当前位置:首页 > 网络 > 配置IP Access List将无线网与有线网隔离

配置IP Access List将无线网与有线网隔离

网络5年前 (2017-08-11)

配置IP Access List将无线网与有线网隔离

锐捷核心交换访问控制列表标号如下

S8605E(config)#access-list ?
  <1-99>       IP standard acl   标准访问控制列表
  <100-199>    IP extended acl  扩展访问控制列表
  <1300-1999>  IP standard acl (expanded range)  扩展范围的标准访问控制列表
  <2000-2699>  IP extended acl (expanded range)  扩展范围的扩展访问控制列表
  <2700-2899>  Expert extended access list 专家级扩展访问控制列表
  <700-799>    Mac extended access list  基于mac的访问控制列表


图为现网拓扑的一部分,全网无汇聚层,网络中有线、无线DHCP均在核心交换上做

配置IP Access List将无线网与有线网隔离

有线VLAN配置

interface VLAN 401
 ip address 172.19.41.254 255.255.255.0
ip dhcp pool 401
 network 172.19.41.0 255.255.255.0
 dns-server 114.114.114.114 8.8.8.8 
 default-router 172.19.41.254


无线VLAN配置为

interface VLAN 2232
 ip address 172.20.232.254 255.255.252.0
ip dhcp pool 2232
 lease 0 4 0 
 network 172.20.232.0 255.255.252.0
 dns-server 211.137.130.3 211.137.130.19 
 default-router 172.20.232.254


核心上做条扩展访问控制列表

创建扩展控制列表,标号为199
ip access-list extended 199    
 
 序号11 拒绝ip源网段为172.20.232.0访问目的172.20.0.0网段
 11 deny ip 172.20.232.0 0.0.3.255 172.20.0.0 0.0.255.255     
 
 序号12 拒绝ip源网段为172.20.232.0访问目的172.19.0.0网段
 12 deny ip 172.20.232.0 0.0.3.255 172.19.0.0 0.0.255.255     
 
 20 permit ip any any     其他网段放行
!
创建访问控制列表计数器,统计命中包数量
ip access-list counter 199  

在SVI上的安全ACL仅对VLAN间的三层转发报文生效,而不对VLAN内的桥转发报文进行控制
svi router-acls enable

interface VLAN 2232
 ip access-group 199 in 最后在VLAN 2232上调用这个acl


本站所有文章均可随意转载,转载时请保留原文链接及作者。

本文链接:https://www.vos.cn/net/151.html

相关文章

锐捷无线控制器WS6108将AP组关联SSID

锐捷无线控制器WS6108将AP组关联SSID

将楼层AP关联到AP组后,AC首页点击“添加无线网络”在“wifi网络名称”中选择要关联的SSID后,点击“编辑”点击“下一步”在最下面的组中,点击“+添加”然后左侧选择一个需要关联的组wireles...

解决H3C MSR光转电、电转光后DHCP无法获得地址

解决H3C MSR光转电、电转光后DHCP无法获得地址

电信进来的光纤接入光猫后,转为电后接入MSR的Ge1口,Ge0口出来根6类线插入TP-link光纤收发器后电转光,接入光纤法兰盘W26,W26与A2相连,A和B机房A2-A2相连,B机房A2-L2相连...

静态路由

静态路由

三台路由器的三个网段和回环接口地址要求全部可以ping通,地址规划如图R1配置interface Loopback0  ip address 1.1.1.1&...

Cisco ASA v8.4 NAT和不同安全区域互访

Cisco ASA v8.4 NAT和不同安全区域互访

实验需求:1、inside区域的Internal-PC可以通过NAT功能访问所有outside设备2、inside区域的Internal-PC可访问dmz区域的Server3、outside区域的Ex...

VRRP和HSRP

VRRP和HSRP

拓扑简介R1、R2下联端口之间启用热备份协议,虚拟地址为192.168.1.10,Switch为,2层接入交换,R3关闭路由功能模拟客户机预配置R1interface Loopback0...

PPPoE服务端

PPPoE服务端

拓扑简介7206VXR为思科PPPoE服务端,Win为PPPoE客户端,全部与EVE-NG桥接网卡相连,桥接网卡为VMnet1,地址为192.168.111.1,路由器F0/0手工配置同网段地址,Wi...