免费注册	查看新帖 \|


平台论坛博客文库

› 论坛 › IT运维 › 网络技术 › H3C S3900 VLAN禁止访问

12 3 / 3 页下一页

最近访问板块

发新帖

查看: 10657 | 回复: 28

上一主题

下一主题

H3C S3900 VLAN禁止访问 [复制链接]

论坛徽章:: 0

电梯直达

跳转到指定楼层

1楼 [收藏(0)] [报告]

发表于 2010-04-08 11:50 |只看该作者 |倒序浏览

本帖最后由 xy-coordinate 于 2010-04-08 12:26 编辑

H3C S3900

F0/1 VLAN20 192.168.231.1/29
连接PC1 192.168.231.2
F0/2 VLAN30 192.168.231.9/29
连接PC2 192.168.231.10

F0/24 VLAN10 192.168.0.1/29
连接到cisco 2801 E0/0 192.168.0.2/29

现在想禁止vlan20、vlan30之间访问，允许vlan10与vlan20、vlan30访问
如何写ACL？？？

以前做过cisco catalyst3550的相似，但H3C与之不同，将命令简单修改达不到预期效果！

vlan test.JPG (26.28 KB, 下载次数: 38)

vlan test.JPG

文库|博客

论坛徽章:: 0

2楼 [报告]

发表于 2010-04-08 12:18 |只看该作者

本帖最后由 xy-coordinate 于 2010-04-08 12:48 编辑

原来交换机是cisco catalyst3550
ACL

ip access-list extended acl-test
permit ip 192.168.231.0 0.0.0.255 192.168.12.0 0.0.0.255
permit ip 192.168.231.0 0.0.0.7 host 192.19.8.20
permit ip 192.168.231.0 0.0.0.7 host 192.19.11.30
permit ip 192.168.231.8 0.0.0.7 host 192.19.14.43
permit ip 192.168.231.8 0.0.0.7 host 192.19.14.64
permit ip 192.168.231.8 0.0.0.7 host 192.19.13.70
deny ip any any

int vlan 20
ip access-group acl-test in

int vlan 30
ip access-group acl-test in

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

论坛徽章:: 0

3楼 [报告]

发表于 2010-04-08 12:35 |只看该作者

本帖最后由 lock0n 于 2010-04-08 13:02 编辑

我还以为lz是搞h3c的呢，试试下面的看看

acl num 3000
rule 0 deny ip source 192.168.231.0 0.0.0.7 destination 192.168.231.8 0.0.0.7

int f0/1
packet-filter inbound ip-group 3000

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

论坛徽章:: 0

4楼 [报告]

发表于 2010-04-08 12:43 |只看该作者

我还以为lz是搞h3c的呢，试试下面的看看

acl num 3000
rule deny ip source 192.168.231.24 0.0.0.7 de ...
lock0n 发表于 2010-04-08 12:35

假如还有vlan40 vlan50 vlan60 ……

也是一行一行的加？
acl num 3001
acl num 3002
acl num 3003
……

不能像cisco那样只写一个acl？？？

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

论坛徽章:: 0

5楼 [报告]

发表于 2010-04-08 12:50 |只看该作者

原来的图，IP标错了！

谢谢，那我试试看！

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

论坛徽章:: 0

6楼 [报告]

发表于 2010-04-08 12:59 |只看该作者

本帖最后由 lock0n 于 2010-04-08 13:03 编辑

搞错了，假如还有vlan40 vlan50 vlan60 ……，那么就是

acl num 3000
rule 0 deny ip source 192.168.231.0 0.0.0.7 destination 192.168.231.8 0.0.0.7
rule 1 deny ip source 192.168.231.0 0.0.0.7 destination #vlan 40段

##上面只能禁止其他网段访问vlan10，如果要禁止vlan30 vlan40之间互相访问的话下面也要写的
acl num 3001
rule 0 deny ip source .....
rule 1 deny ip source ....
int f0/2
packet-filter inbound ip-group 3001

每个接口上各应用一个num

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

论坛徽章:: 0

7楼 [报告]

发表于 2010-04-08 13:00 |只看该作者

假如有vlan20 vlan30 vlan40 vlan50，按照上面的讲法，不是要写4个acl？！

acl num 3000
rule 10 deny ip source 192.168.231.0 0.0.0.7 destination 192.168.231.8 0.0.0.7
rule 20 deny ip source 192.168.231.0 0.0.0.7 destination 192.168.231.16 0.0.0.7
rule 30 deny ip source 192.168.231.0 0.0.0.7 destination 192.168.231.24 0.0.0.7

acl num 3001
rule 10 deny ip source 192.168.231.8 0.0.0.7 destination 192.168.231.0 0.0.0.7
rule 20 deny ip source 192.168.231.8 0.0.0.7 destination 192.168.231.16 0.0.0.7
rule 30 deny ip source 192.168.231.8 0.0.0.7 destination 192.168.231.24 0.0.0.7

acl num 3002
rule 10 deny ip source 192.168.231.16 0.0.0.7 destination 192.168.231.0 0.0.0.7
rule 20 deny ip source 192.168.231.16 0.0.0.7 destination 192.168.231.8 0.0.0.7
rule 30 deny ip source 192.168.231.16 0.0.0.7 destination 192.168.231.24 0.0.0.7

acl num 3003
rule 10 deny ip source 192.168.231.24 0.0.0.7 destination 192.168.231.0 0.0.0.7
rule 20 deny ip source 192.168.231.24 0.0.0.7 destination 192.168.231.8 0.0.0.7
rule 30 deny ip source 192.168.231.24 0.0.0.7 destination 192.168.231.16 0.0.0.7

int f0/1
packet-filter inbound ip-group 3000

int f0/2
packet-filter inbound ip-group 3001

int f0/3
packet-filter inbound ip-group 3002

int f0/4
packet-filter inbound ip-group 3003

太麻烦了！！！

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

论坛徽章:: 0

8楼 [报告]

发表于 2010-04-08 13:46 |只看该作者

我也是搞cisco的，感觉你写复杂了，不知道下面对不对

acl num 3001
rule 10 deny ip source 192.168.231.8 0.0.0.7 destination 192.168.231.0 0.0.0.15
acl num 3002
rule 10 deny ip source 192.168.231.16 0.0.0.7 destination 192.168.231.0 0.0.0.31
acl num 3003
rule 10 deny ip source 192.168.231.24 0.0.0.7 destination 192.168.231.0 0.0.0.63

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

论坛徽章:: 0

9楼 [报告]

发表于 2010-04-08 15:31 |只看该作者

我也是搞cisco的，感觉你写复杂了，不知道下面对不对

acl num 3001
rule 10 deny ip source 192 ...
lock0n 发表于 2010-04-08 13:46

肯定不对

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

论坛徽章:: 0

10楼 [报告]

发表于 2010-04-08 16:29 |只看该作者

回复 9# xy-coordinate

。。。

你站短ssffzz1问问

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

12 3 / 3 页下一页

发新帖

Chinaunix › 论坛 › IT运维 › 网络技术 › H3C S3900 VLAN禁止访问

北京盛拓优讯信息技术有限公司. 版权所有京ICP备16024965号-6 北京市公安局海淀分局网监中心备案编号：11010802020122 niuxiaotong@pcpop.com 17352615567
未成年举报专区
中国互联网协会会员联系我们：huangweiwei@itpub.net
感谢所有关心和支持过ChinaUnix的朋友们转载本站内容请注明原作者名及出处

清除 Cookies - ChinaUnix - Archiver - WAP - TOP