请教华为三层交换机S5300,可不可以实现禁止某些VALN上外网,但又允许上某些网页或连公网上的某些IP
aclnumbernametest3001rule1permitipdestination218.85.157.990(218.85.157.99是要访问的地址)rule...
acl number name test 3001
rule 1 permit ip destination 218.85.157.99 0(218.85.157.99是要访问的地址)
rule 2 deny ip destination 192.168.1.2 0 (192.168.1.2是防火墙)
traffic-filter vlan 60 inbound acl name test
ip route-static 0.0.0.0 0.0.0.0 192.168.1.2
ACL是这样做吗 展开
rule 1 permit ip destination 218.85.157.99 0(218.85.157.99是要访问的地址)
rule 2 deny ip destination 192.168.1.2 0 (192.168.1.2是防火墙)
traffic-filter vlan 60 inbound acl name test
ip route-static 0.0.0.0 0.0.0.0 192.168.1.2
ACL是这样做吗 展开
3个回答
展开全部
可以做到,用ACL允许你想上的网站的IP地址(因为好像不能基于网址做)。然后把其他的网站都拒绝,再作用到你想控制的vlan。这个我没有做过,你可以试试,理论上可以。
你的配置我看了,你交换上边接的是防火墙吧?如果是那么rule 2 deny ip destination 192.168.1.2 0 (192.168.1.2是防火墙)这条命令不对,这样就把出口禁止了,就都上不去了,还有你的traffic-filter 这个命令我没太接触,是过滤器吗?作用到vlan60就可以了。
你的配置我看了,你交换上边接的是防火墙吧?如果是那么rule 2 deny ip destination 192.168.1.2 0 (192.168.1.2是防火墙)这条命令不对,这样就把出口禁止了,就都上不去了,还有你的traffic-filter 这个命令我没太接触,是过滤器吗?作用到vlan60就可以了。
追问
acl number name test 3001
rule 1 permit ip destination 218.85.157.99 0(218.85.157.99是要访问的地址)
rule 2 permit ip destination 192.168.1.2 0 (192.168.1.2是防火墙)
rule 2 deny ip destination 0.0.0.0 0
traffic-filter vlan 60 inbound acl name test
ip route-static 0.0.0.0 0.0.0.0 192.168.1.2
交换机是接在防火墙上,这样可以吗
追答
你的配置是没问题的,但是你的交换机接在防火墙上,照你这样配置,当vlan60的数据到交换时会允许目的是192.168.1.2 (防火墙)的这个地址,这样数据就已经通过交换到达防火墙上,你在防火墙上如果没做策略还是不行的,所以你最好在防火墙上做策略,这样就可以限制出口了,要在出口的最后一台设备上做。如果非要在交换上做就做一个拓展ACL,允许源地址是vlan60的网段,访问目的地址是218.85.157.99。然后是destination 0.0.0.0 0 拒绝any。再把这条ACL应用到交换的出接口,就是连防火墙的接口。这样就ok了。
本回答由提问者推荐
已赞过
已踩过<
评论
收起
你对这个回答的评价是?
展开全部
这是肯定可以的。详细设置看产品说明书。
已赞过
已踩过<
评论
收起
你对这个回答的评价是?
展开全部
可以啊 做访问控制列表
已赞过
已踩过<
评论
收起
你对这个回答的评价是?
推荐律师服务:
若未解决您的问题,请您详细描述您的问题,通过百度律临进行免费专业咨询
