利用acl如何禁止同一vlan或不同vlan的文件共享

qdigrp 发表于 2013-11-13 11:20

本帖最后由 qdigrp 于 2013-11-13 11:21 编辑

各位好：

如题所示，我想禁公司内部某几个部门之间的windows文件共享传输功能，比如：

vlan10 网段为192.168.60.1 /24
vlan 20 网段为192.168.50.1/24

我所要求的， A 网段内部之间不能进行文件共享传输 ,并且A 网段也不能访问B 网段的445 端口

我在核心交换机上做了ACL ，如下：

ip access-list extended vlan 10
deny tcp any any eq 445 log
deny tcp any any eq 135 log
deny tcp any any eq 137 log
permit ip any nay

然后在 vlan 10 里将ACL 应用；
ip access-groupvlan10 in ;
同理vlan 20也如上设置

但发现不成功，A 和B 互通（445），请问各位如何处理？谢谢！

ssffzz1 发表于 2013-11-13 11:56

你不是设置了LOG参数吗?

看看日志里的ACL匹配情况。

qdigrp 发表于 2013-11-13 13:11

是啊，我知道自己设置了log参数，但问题是没有任何的log 日志啊；
感觉这个acl是不是有问题

qdigrp 发表于 2013-11-14 08:37

自己再顶一下

ssffzz1 发表于 2013-11-14 10:30

没LOG就是没匹配啊。你看看那你下发的位置对吗？？？？全局有无开关。

qdigrp 发表于 2013-11-14 12:26

什么叫全局有无开关？

myfat10 发表于 2013-11-14 13:04

你配置了ACL，这个ACL应用了没啊。。。

qdigrp 发表于 2013-11-14 13:26

应用了啊，我觉得应用也对的，但就是不起作用的

ssffzz1 发表于 2013-11-14 14:17

方向呢？？？

qdigrp 发表于 2013-11-14 16:01

好像有log了，我把ACL的顺序给调了一下，把这些deny 放到最前面

方向是in 的

页: [1] 2

Chinaunix's Archiver

利用acl如何禁止同一vlan或不同vlan的文件共享