① 在eNSP配置路由器的ACL,禁止主机192.168.1.2访问主机192.168.3.2后,为什么反过来也不能ping通了啊
为何要绑两头?
受限IP是192.168.1.2,那就绑定在离192.168.1.2最近的那个端口的in方向。
② 华三二层acl设置
回答不草率,我仔细验证后,下面的配置才行。第一次回答的我给删了
我这个是在三层交换上面配置的
如下:采用如下的思路配置二层ACL:
1、配置ACL。
2、配置流分类。
3、配置流行为。
4、配置流策略。
5、在接口上应用流策略。
操作步骤:
1、配置ACL。
acl 4000
rule 5 deny source-mac 3496-72a9-c20e
quit
2、配置流分类tc1
traffic classifier tc1
if-match acl 4000
quit
3、配置流行为。tb1
traffic behavior tb1
deny
traffic behavior tb1
4、配置流策略。将流分类tc1与流行为tb1关联
traffic policy tp1
classifier tc1 behavior tb1
quit
5、在接口上应用流策略。
interface gigabitethernet 0/0/22
traffic-policy tp1 inbound
quit
若你需要增加或者修改主机只需要在acl4000里面修改即可。
刚刚我使用ensp测试了下,这个控制流分类的方法是可以的。 用心回答,望采纳!
③ 用eNSP配置拓扑图,求大神!!
财务部不允许其他部门的访问
//在接入层交换机上先配置一条acl规则
[接入层交换机]acl 2000 //创建一个acl规则
[接入层交换机-acl-basic-2000]rule permit source 192.168.0.0 0.0.0.255 //允许服务器网段
[接入层交换机-acl-basic-2000]rule deny source any //拒绝所有网段
//进入G0/0/2接口
[接入层交换机]interface g0/0/1//进入接口
[接入层交换机-GigabitEthernet0/0/1]traffic-filter outbound acl 2000 //在这接口上启用acl规则
④ 为什么我在ensp软件上的5700交换机上配置acl就是没有生效。
你sw5上配置才是关键,加入SW5上起了三层的网管用于通信,那么肯定能PING通
⑤ ACL如何配置拒绝vlan访问服务器上的http和DNS服务
r3(config)#access-list permit tcp 192.168.1.2 0.0.0.255 host 1.1.1.1 eq http //允许指定IP段访问指定IP的指定服务
r3(config)# access-list 110 permit tcp 192.168.1.2 0.0.0.255 host 1.1.1.1 eq dns
r3(config)#access-list 110 permit tcp 192.168.1.3 0.0.0.255 host 1.1.1.1 eq http
r3(config)# access-list 110 permit tcp 192.168.1.3 0.0.0.255 host 1.1.1.1 eq dns
r3(config)# access-list 110 deny ip any any
r3(config)#int f0/1
r3(config-if)#ip access-group 110 in 在端口中实现。
指定四个语句,允许访问的两个服务到1.1.1.1这样不至将来填加一个1.1.1.2的服务的时候,会默认给阻止掉了。
上面两个仁兄,思路没问题,第一个要建立两个ACL,但是一个接口的同一个方向,只能用一条ACL,所以你配置两个ACL,行不通。 第二个DENY192.168.1.0的网段思路没问题。可是这样这个IP访问其他服务器的这两个服务的时候,就会阻止,而且,你这个还少一个any 关键字。
⑥ ensp不支持自反acL命令
系统设置了,不支持命令。
这个不支持自反命令,是系统在出厂的时候就会进行设置的。如果需要取消,需要到专门的店里面让工作人员进行取消。
命令是上级对下级下发的,下级是不可以命令上级的。
⑦ 华为ensp acl有没有默认deny
是你下发的方向有问题。你定义的sou地址为192.168.100.203 那么需要在连接这个ip的接口in方向下发acl
⑧ 在华为eNSP模拟器上根据要求进行配置
我是看到好久了, 没人回答你的问题,其实我也不想回答, 敲命令也累啊。是吧。
今天有时间,。还是敲给你看一下吧。 废话不多说,上命令。
R1配置:
acl number 2000
rule 5 permit source 192.168.10.0 0.0.0.255
rule 10 permit source 192.168.20.0 0.0.0.255
#
interface GigabitEthernet0/0/0
ip address 10.1.1.2 255.255.255.0 \\连接SERVER2
nat outbound 2000
#
interface GigabitEthernet0/0/1
ip address 192.168.1.1 255.255.255.0
#
ip route-static 192.168.0.0 255.255.0.0 192.168.1.2 \\静态路由到 SW1
---------------------------
SW1上配置:
sysname SW1
#
vlan batch 10 20 30 100
dhcp enable \\开启dhcp
ip pool vlan10
gateway-list 192.168.10.254
network 192.168.10.0 mask 255.255.255.0
#
ip pool vlan20
gateway-list 192.168.20.254
network 192.168.20.0 mask 255.255.255.0
#
ip pool vlan30 \\创建了3个vlan的地址池
gateway-list 192.168.30.254
network 192.168.30.0 mask 255.255.255.0
interface Vlanif10
ip address 192.168.10.254 255.255.255.0
dhcp select global \\选择全局DHCP地址,当然你也可以直接在接口下配置dhcp
#
interface Vlanif20
ip address 192.168.20.254 255.255.255.0
dhcp select global
#
interface Vlanif30
ip address 192.168.30.254 255.255.255.0
dhcp select global
#
interface Vlanif100
ip address 192.168.1.2 255.255.255.0 \\与路由器连接
interface GigabitEthernet0/0/23
port link-type trunk \\与SW2连接
port trunk allow-pass vlan 10 20 30
#
interface GigabitEthernet0/0/24 \\与路由器连接
port link-type access
port default vlan 100
-----------------------------
SW2上配置:
sysname SW2
#
vlan batch 10 20 30
#
time-range working 08:30 to 17:30 working-day \\配置时间列表(工作日8:30到17:30)
#
acl number 3010 \\配置vlan10不可以访问20的访问控制列表
rule 5 deny ip source 192.168.10.0 0.0.0.255 destination 192.168.20.0 0.0.0.255
acl number 3030 \\配置Server1根据时间允许访问tcp的80端口的
rule 5 permit tcp source 192.168.10.0 0.0.0.255 destination 192.168.30.1 0 destination-port eq www
rule 10 permit tcp source 192.168.20.0 0.0.0.255 destination 192.168.30.1 0 destination-port eq www
rule 15 deny tcp
#
interface Ethernet0/0/1 \\划分端口到vlan10
port link-type access
port default vlan 10
traffic-filter inbound acl 3010 调用访问控制列列表
#
interface Ethernet0/0/2 \\划分端口到vlan20
port link-type access
port default vlan 20
#
interface Ethernet0/0/3 \\划分端口到vlan30
port link-type access
port default vlan 30
traffic-filter outbound acl 3030 \\调用时间段访问控制列表
#
interface GigabitEthernet0/0/1 \\与SW1连接
port link-type trunk
port trunk allow-pass vlan 10 20 30
根据你的图,纯手敲,并验证结果。
⑨ 华为acl应用到vlan配置
1、使用system-view命令进入[]模式。
⑩ 你好,华为ENSP s5700交换机如何做ACL单向访问
1.创建ACL,制定访问控制规则(默认是permit) acl 3000rule 5 permit tcp source 192.168.10.0 0.0.0.255 destination 192.168.20.0 0.0...
2.配置流分类,匹配ACL traffic classifier c1 if-match acl 3000quit
3.配置流行为(默认是permit) traffic behavior b1 quit
4.配置流策略,关联流分类和流行为 traffic policy p1 classifier c1 behavior b1 quit