锐捷6506交换机,网关192.168.0.254在1/12端口,如何禁止192.168.9.0 网段访问网关?
答案:3 悬赏:0 手机版
解决时间 2021-03-07 04:07
- 提问者网友:你给我的爱
- 2021-03-06 04:50
锐捷6506交换机,网关192.168.0.254在1/12端口,如何通过ACL禁止192.168.9.0 网段访问网关?最好能实现9:00-10:00允许访问,别的时间禁止访问。
最佳答案
- 五星知识达人网友:舊物识亽
- 2021-03-06 05:20
先创立192.168.9.0网段的vlan40
2、access-list 110 permit tcp ip(VLAN40的IP范围) eq 21 ftp
3、access-list 110 permit icmp ip(VLAN40的IP范围)
4、access-list 110 deny ip any any
5、Router(config)#interface ethernet 1(连D计算机的接口)
6、Router(config)#ip access-group 110 out
7、#time-range ftp
2、access-list 110 permit tcp ip(VLAN40的IP范围) eq 21 ftp
3、access-list 110 permit icmp ip(VLAN40的IP范围)
4、access-list 110 deny ip any any
5、Router(config)#interface ethernet 1(连D计算机的接口)
6、Router(config)#ip access-group 110 out
7、#time-range ftp
全部回答
- 1楼网友:掌灯师
- 2021-03-06 06:23
1、先创立192.168.9.0网段的vlan40
2、access-list 110 permit tcp ip(VLAN40的IP范围) eq 21 ftp
3、access-list 110 permit icmp ip(VLAN40的IP范围)
4、access-list 110 deny ip any any
5、Router(config)#interface ethernet 1(连D计算机的接口)
6、Router(config)#ip access-group 110 out
7、#time-range ftp
8、Router(config-if)#absolute start 8:00 end 18:00
- 2楼网友:不想翻身的咸鱼
- 2021-03-06 05:52
标准acl配置
提问:如何只允许端口下的用户只能访问特定的服务器网段?
回答:
步骤一:定义acl
s5750#conf t ----进入全局配置模式
s5750(config)#ip access-list standard 1 ----定义标准acl
s5750(config-std-nacl)#permit 192.168.1.0 0.0.0.255
----允许访问服务器资源
s5750(config-std-nacl)#deny any ----拒绝访问其他任何资源
s5750(config-std-nacl)#exit ----退出标准acl配置模式
步骤二:将acl应用到接口上
s5750(config)#interface gigabitethernet 0/1 ----进入所需应用的端口
s5750(config-if)#ip access-group 1 in ----将标准acl应用到端口in方向
注释:
1. s1900系列、s20系列交换机不支持基于硬件的acl。
2. 实际配置时需注意,在交换机每个acl末尾都隐含着一条“拒绝所有数据流”的语句。
3. 以上所有配置,均以锐捷网络s5750-24gt/12sfp 软件版本10.2(2)为例。
单向acl的配置
提问:如何实现主机a可以访问主机b的ftp资源,但主机b无法访问主机a的ftp资源??
回答:
步骤一:定义acl
s5750#conf t ----进入全局配置模式
s5750(config)#ip access-list extended 100 ----定义扩展acl
s5750(config-ext-nacl)#deny tcp any host 192.168.1.254 match-all syn
----禁止主动向a主机发起tcp连接
s5750(config-ext-nacl)#permit ip any any ----允许访问其他任何资源
s5750(config-ext-nacl)#exit ----退出扩展acl配置模式
步骤二:将acl应用到接口上
s5750(config)#interface gigabitethernet 0/1 ----进入连接b主机的端口
s5750(config-if)#ip access-group 100 in ----将扩展acl应用到端口下
s5750(config-if)#end ----退回特权模式
s5750#wr ----保存
注释:单向acl只能对应于tcp协议,使用ping无法对该功能进行检测。
[分享]4.2 扩展acl配置 post by:2008-12-1 16:18:00
扩展acl配置
提问:如何禁止用户访问单个网页服务器?
回答:
步骤一:定义acl
s5750#conf t ----进入全局配置模式
s5750(config)#ip access-list extended 100 ----创建扩展acl
s5750(config-ext-nacl)#deny tcp any host 192.168.1.254 eq www
----禁止访问web服务器
s5750(config-ext-nacl)#deny tcp any any eq 135 ----预防冲击波病毒
s5750(config-ext-nacl)#deny tcp any any eq 445 ----预防震荡波病毒
s5750(config-ext-nacl)#permit ip any any ----允许访问其他任何资源
s5750(config-ext-nacl)#exit ----退出acl配置模式
步骤二:将acl应用到接口上
s5750(config)#interface gigabitethernet 0/1 ----进入所需应用的端口
s5750(config-if)#ip access-group 100 in ----将扩展acl应用到端口下
其他说明,其详见各产品的配置手册《访问控制列表配置》一节。
我要举报
如以上回答内容为低俗、色情、不良、暴力、侵权、涉及违法等信息,可以点下面链接进行举报!
点此我要举报以上问答信息
大家都在看
推荐资讯