早上这个帖子"请教s3600-28tp-si怎么配置让某些v-lan不能访问外网!!! "也是我发的,不好意思,是我没有问题说清楚,现在我补充一下:
请教关于s3600-28tp-si交换机acl的一些问题!
我是前天刚接触华为交换机设置,还很菜,也很急。希望大家多指点!
问题:
首先说一下我们公司的网络拓扑,外网10兆光纤通过光电收发机连接到tp-link402m路由器,路由器连接到华为s3600-28tp-si交换机,华为交换机有11个端口连接了公司的11个不同的部门,交换机上还有一个端口连接了一台crm服务器。
然后公司有一台48换机(交换机是什么型号我不清楚,因为不属于我管,明天我去问一下),交换机上连接了7个不同的部门和一台erp服务器。这个48换机构成的网络是个独立的网络,除了连接这交换机的这7个部门以外,不和其他部门的相通。
我先问一个很菜的问题,是不是s3600交换机上每一个端口都有一个ip地址,还是这个ip地址是网管自己手动配置的吗,还有就是从路由器wan口出来的线接到交换机一个端口上,这个端口的ip地址是什么,也是由网管自己配置的吗?
说了这么多,我最终想达到的是这样的。从连接erp服务器上的交换机引一跟线出来连接到s3600华为交换机上,假设这根线连接到华为交换机的这个端口是1端口,华为s3600交换机上crm服务器的端口是2端口,从路由器wan口上连接到华为s3600交换机上端口是3端口,现在要让端口1能与端口2相互通信,端口1不能连接到internet,华为s3600交换机上其他端口不能与端口1通信
我自己想通过这样做来达到(假设端口3的ip地址为1.1.1.1.1)
配置一个ACL 2000,禁止源地址为1.1.1.1的报文通过。
[H3C] acl number 2000
[H3C-acl-basic-2000] rule deny source 1.1.1.1 0
[H3C-acl-basic-2000] display acl 2000
Basic ACL 2000, 1 rule
Acl's step is 1
rule 0 deny source 1.1.1.1 0
照葫芦画瓢,又配置一个ACL 2001 把s3600交换机上另外一个端口禁止起来,这样一直下去,除了crm服务器的端口2不禁止外。
我上这样配置的,请高手指点一下啊,我也是很急啊,这两天就要配置好
内容全部来源于网络收集,如有侵权,请联系网站删除:QQ:24596024