请教华为三层交换机S5300,可不可以实现禁止某些VALN上外网,但又允许上某些网页或连公网上的某些IP
答案:3 悬赏:10 手机版
解决时间 2021-01-22 15:04
- 提问者网友:孤凫
- 2021-01-22 06:15
请教华为三层交换机S5300,可不可以实现禁止某些VALN上外网,但又允许上某些网页或连公网上的某些IP
最佳答案
- 五星知识达人网友:由着我着迷
- 2021-01-22 06:27
可以做到,用ACL允许你想上的网站的IP地址(因为好像不能基于网址做)。然后把其他的网站都拒绝,再作用到你想控制的vlan。这个我没有做过,你可以试试,理论上可以。
你的配置我看了,你交换上边接的是防火墙吧?如果是那么rule 2 deny ip destination 192.168.1.2 0 (192.168.1.2是防火墙)这条命令不对,这样就把出口禁止了,就都上不去了,还有你的traffic-filter 这个命令我没太接触,是过滤器吗?作用到vlan60就可以了。追问acl number name test 3001
rule 1 permit ip destination 218.85.157.99 0(218.85.157.99是要访问的地址)
rule 2 permit ip destination 192.168.1.2 0 (192.168.1.2是防火墙)
rule 2 deny ip destination 0.0.0.0 0
traffic-filter vlan 60 inbound acl name test
ip route-static 0.0.0.0 0.0.0.0 192.168.1.2
交换机是接在防火墙上,这样可以吗追答你的配置是没问题的,但是你的交换机接在防火墙上,照你这样配置,当vlan60的数据到交换时会允许目的是192.168.1.2 (防火墙)的这个地址,这样数据就已经通过交换到达防火墙上,你在防火墙上如果没做策略还是不行的,所以你最好在防火墙上做策略,这样就可以限制出口了,要在出口的最后一台设备上做。如果非要在交换上做就做一个拓展ACL,允许源地址是vlan60的网段,访问目的地址是218.85.157.99。然后是destination 0.0.0.0 0 拒绝any。再把这条ACL应用到交换的出接口,就是连防火墙的接口。这样就ok了。
你的配置我看了,你交换上边接的是防火墙吧?如果是那么rule 2 deny ip destination 192.168.1.2 0 (192.168.1.2是防火墙)这条命令不对,这样就把出口禁止了,就都上不去了,还有你的traffic-filter 这个命令我没太接触,是过滤器吗?作用到vlan60就可以了。追问acl number name test 3001
rule 1 permit ip destination 218.85.157.99 0(218.85.157.99是要访问的地址)
rule 2 permit ip destination 192.168.1.2 0 (192.168.1.2是防火墙)
rule 2 deny ip destination 0.0.0.0 0
traffic-filter vlan 60 inbound acl name test
ip route-static 0.0.0.0 0.0.0.0 192.168.1.2
交换机是接在防火墙上,这样可以吗追答你的配置是没问题的,但是你的交换机接在防火墙上,照你这样配置,当vlan60的数据到交换时会允许目的是192.168.1.2 (防火墙)的这个地址,这样数据就已经通过交换到达防火墙上,你在防火墙上如果没做策略还是不行的,所以你最好在防火墙上做策略,这样就可以限制出口了,要在出口的最后一台设备上做。如果非要在交换上做就做一个拓展ACL,允许源地址是vlan60的网段,访问目的地址是218.85.157.99。然后是destination 0.0.0.0 0 拒绝any。再把这条ACL应用到交换的出接口,就是连防火墙的接口。这样就ok了。
全部回答
- 1楼网友:过活
- 2021-01-22 07:31
可以啊 做访问控制列表
- 2楼网友:想偏头吻你
- 2021-01-22 06:46
这是肯定可以的。详细设置看产品说明书。
我要举报
如以上问答信息为低俗、色情、不良、暴力、侵权、涉及违法等信息,可以点下面链接进行举报!
大家都在看
推荐资讯
| 正方形一边上任一点到这个正方形两条对角线的 |
| 阴历怎么看 ? |