① 在eNSP配置路由器的ACL,禁止主機192.168.1.2訪問主機192.168.3.2後,為什麼反過來也不能ping通了啊
為何要綁兩頭?
受限IP是192.168.1.2,那就綁定在離192.168.1.2最近的那個埠的in方向。
② 華三二層acl設置
回答不草率,我仔細驗證後,下面的配置才行。第一次回答的我給刪了
我這個是在三層交換上面配置的
如下:採用如下的思路配置二層ACL:
1、配置ACL。
2、配置流分類。
3、配置流行為。
4、配置流策略。
5、在介面上應用流策略。
操作步驟:
1、配置ACL。
acl 4000
rule 5 deny source-mac 3496-72a9-c20e
quit
2、配置流分類tc1
traffic classifier tc1
if-match acl 4000
quit
3、配置流行為。tb1
traffic behavior tb1
deny
traffic behavior tb1
4、配置流策略。將流分類tc1與流行為tb1關聯
traffic policy tp1
classifier tc1 behavior tb1
quit
5、在介面上應用流策略。
interface gigabitethernet 0/0/22
traffic-policy tp1 inbound
quit
若你需要增加或者修改主機只需要在acl4000裡面修改即可。
剛剛我使用ensp測試了下,這個控制流分類的方法是可以的。 用心回答,望採納!
③ 用eNSP配置拓撲圖,求大神!!
財務部不允許其他部門的訪問
//在接入層交換機上先配置一條acl規則
[接入層交換機]acl 2000 //創建一個acl規則
[接入層交換機-acl-basic-2000]rule permit source 192.168.0.0 0.0.0.255 //允許伺服器網段
[接入層交換機-acl-basic-2000]rule deny source any //拒絕所有網段
//進入G0/0/2介面
[接入層交換機]interface g0/0/1//進入介面
[接入層交換機-GigabitEthernet0/0/1]traffic-filter outbound acl 2000 //在這介面上啟用acl規則
④ 為什麼我在ensp軟體上的5700交換機上配置acl就是沒有生效。
你sw5上配置才是關鍵,加入SW5上起了三層的網管用於通信,那麼肯定能PING通
⑤ ACL如何配置拒絕vlan訪問伺服器上的http和DNS服務
r3(config)#access-list permit tcp 192.168.1.2 0.0.0.255 host 1.1.1.1 eq http //允許指定IP段訪問指定IP的指定服務
r3(config)# access-list 110 permit tcp 192.168.1.2 0.0.0.255 host 1.1.1.1 eq dns
r3(config)#access-list 110 permit tcp 192.168.1.3 0.0.0.255 host 1.1.1.1 eq http
r3(config)# access-list 110 permit tcp 192.168.1.3 0.0.0.255 host 1.1.1.1 eq dns
r3(config)# access-list 110 deny ip any any
r3(config)#int f0/1
r3(config-if)#ip access-group 110 in 在埠中實現。
指定四個語句,允許訪問的兩個服務到1.1.1.1這樣不至將來填加一個1.1.1.2的服務的時候,會默認給阻止掉了。
上面兩個仁兄,思路沒問題,第一個要建立兩個ACL,但是一個介面的同一個方向,只能用一條ACL,所以你配置兩個ACL,行不通。 第二個DENY192.168.1.0的網段思路沒問題。可是這樣這個IP訪問其他伺服器的這兩個服務的時候,就會阻止,而且,你這個還少一個any 關鍵字。
⑥ ensp不支持自反acL命令
系統設置了,不支持命令。
這個不支持自反命令,是系統在出廠的時候就會進行設置的。如果需要取消,需要到專門的店裡面讓工作人員進行取消。
命令是上級對下級下發的,下級是不可以命令上級的。
⑦ 華為ensp acl有沒有默認deny
是你下發的方向有問題。你定義的sou地址為192.168.100.203 那麼需要在連接這個ip的介面in方向下發acl
⑧ 在華為eNSP模擬器上根據要求進行配置
我是看到好久了, 沒人回答你的問題,其實我也不想回答, 敲命令也累啊。是吧。
今天有時間,。還是敲給你看一下吧。 廢話不多說,上命令。
R1配置:
acl number 2000
rule 5 permit source 192.168.10.0 0.0.0.255
rule 10 permit source 192.168.20.0 0.0.0.255
#
interface GigabitEthernet0/0/0
ip address 10.1.1.2 255.255.255.0 \\連接SERVER2
nat outbound 2000
#
interface GigabitEthernet0/0/1
ip address 192.168.1.1 255.255.255.0
#
ip route-static 192.168.0.0 255.255.0.0 192.168.1.2 \\靜態路由到 SW1
---------------------------
SW1上配置:
sysname SW1
#
vlan batch 10 20 30 100
dhcp enable \\開啟dhcp
ip pool vlan10
gateway-list 192.168.10.254
network 192.168.10.0 mask 255.255.255.0
#
ip pool vlan20
gateway-list 192.168.20.254
network 192.168.20.0 mask 255.255.255.0
#
ip pool vlan30 \\創建了3個vlan的地址池
gateway-list 192.168.30.254
network 192.168.30.0 mask 255.255.255.0
interface Vlanif10
ip address 192.168.10.254 255.255.255.0
dhcp select global \\選擇全局DHCP地址,當然你也可以直接在介面下配置dhcp
#
interface Vlanif20
ip address 192.168.20.254 255.255.255.0
dhcp select global
#
interface Vlanif30
ip address 192.168.30.254 255.255.255.0
dhcp select global
#
interface Vlanif100
ip address 192.168.1.2 255.255.255.0 \\與路由器連接
interface GigabitEthernet0/0/23
port link-type trunk \\與SW2連接
port trunk allow-pass vlan 10 20 30
#
interface GigabitEthernet0/0/24 \\與路由器連接
port link-type access
port default vlan 100
-----------------------------
SW2上配置:
sysname SW2
#
vlan batch 10 20 30
#
time-range working 08:30 to 17:30 working-day \\配置時間列表(工作日8:30到17:30)
#
acl number 3010 \\配置vlan10不可以訪問20的訪問控制列表
rule 5 deny ip source 192.168.10.0 0.0.0.255 destination 192.168.20.0 0.0.0.255
acl number 3030 \\配置Server1根據時間允許訪問tcp的80埠的
rule 5 permit tcp source 192.168.10.0 0.0.0.255 destination 192.168.30.1 0 destination-port eq www
rule 10 permit tcp source 192.168.20.0 0.0.0.255 destination 192.168.30.1 0 destination-port eq www
rule 15 deny tcp
#
interface Ethernet0/0/1 \\劃分埠到vlan10
port link-type access
port default vlan 10
traffic-filter inbound acl 3010 調用訪問控制列列表
#
interface Ethernet0/0/2 \\劃分埠到vlan20
port link-type access
port default vlan 20
#
interface Ethernet0/0/3 \\劃分埠到vlan30
port link-type access
port default vlan 30
traffic-filter outbound acl 3030 \\調用時間段訪問控制列表
#
interface GigabitEthernet0/0/1 \\與SW1連接
port link-type trunk
port trunk allow-pass vlan 10 20 30
根據你的圖,純手敲,並驗證結果。
⑨ 華為acl應用到vlan配置
1、使用system-view命令進入[]模式。
⑩ 你好,華為ENSP s5700交換機如何做ACL單向訪問
1.創建ACL,制定訪問控制規則(默認是permit) acl 3000rule 5 permit tcp source 192.168.10.0 0.0.0.255 destination 192.168.20.0 0.0...
2.配置流分類,匹配ACL traffic classifier c1 if-match acl 3000quit
3.配置流行為(默認是permit) traffic behavior b1 quit
4.配置流策略,關聯流分類和流行為 traffic policy p1 classifier c1 behavior b1 quit