求助华为交换机 ACL配置~

qq360870025 · 发表于 2012-12-23 15:39:20

雪候鸟发表于 2012-12-23 15:36

登录/注册后可看大图

华为交换机的 VLAN 默认是不能互访吗？我用2台计算机分别在 2个VLAN端口测试是可以ping 通的。还能访问 ...

HW的默认是能访问的，cisco的才需要敲ip routing才能访问

雪候鸟 · 发表于 2012-12-23 15:45:47

qq360870025 发表于 2012-12-23 15:39

登录/注册后可看大图

HW的默认是能访问的，cisco的才需要敲ip routing才能访问

哦好的谢谢了

qq360870025 · 发表于 2012-12-23 16:03:19

雪候鸟发表于 2012-12-23 15:45

登录/注册后可看大图

哦好的谢谢了

不用，你先解决问题吧

雪候鸟 · 发表于 2012-12-23 16:21:07

高手我刚才错了，你说的那些命令可以执行

[S3700]traffic classfier 1
[S3700-classfier-1]if-match acl 3000
[S3700]traffic behavior 1
[S3700-behavior-1]deny
[S3700]traffic policy 1
[S3700-trafficpolicy-1]classifier 1 behavior 1
[S3700-Ethernet0/0/8]traffic-policy 1 inbound

上述的命令执行完后 10.1.2.X 确实不能访问 10.1.11.X ，但是我在WEB配置界面想继续增加其他ACL规则时，就报错了，“the acl is contained by some application(s) an forbidden to be modified” 请问是我操作得不对吗？

qq360870025 · 发表于 2012-12-23 16:44:21

雪候鸟发表于 2012-12-23 16:21

登录/注册后可看大图

高手我刚才错了，你说的那些命令可以执行

[S3700]traffic classfier 1

想增加的话，先把接口的调用去掉，然后在增加

雪候鸟 · 发表于 2012-12-23 16:55:34

本帖最后由雪候鸟于 2012-12-23 16:58 编辑

哦哦请问下接口的调用怎么去掉？

还有我有7个VLAN 如果都不能互访那么我要写 7*7 条 ACL 规则，请问有没有什么好的办法，谢谢

能不能再VLAN上调用，还是只能在接口上调用？

qq360870025 · 发表于 2012-12-23 16:58:00

雪候鸟发表于 2012-12-23 16:55

登录/注册后可看大图

哦哦请问下接口的调用怎么去掉？

还有我有7个VLAN 如果都不能互访那么我要写 7*7 条 ACL 规则， ...

... 如果你确定大段时间不改动的话，那么就使用 mux-vlan就是，相当于cisco的 pvlan
去掉就是undo 加前面的参数

雪候鸟 · 发表于 2012-12-23 17:08:41

本帖最后由雪候鸟于 2012-12-23 17:19 编辑

汗~又是个新知识，我太菜了，还是老老实实一个一个加了，谢谢高手~
今天真是太麻烦你了，万分感谢。

qq360870025 · 发表于 2012-12-23 17:58:18

雪候鸟发表于 2012-12-23 17:08

登录/注册后可看大图

汗~又是个新知识，我太菜了，还是老老实实一个一个加了，谢谢高手~
今天真是太麻烦你了，万分感谢。{:6_ ...

你搞定就好

jerry_jing · 发表于 2012-12-23 19:41:24

雪候鸟发表于 2012-12-23 15:36

登录/注册后可看大图

华为交换机的 VLAN 默认是不能互访吗？我用2台计算机分别在 2个VLAN端口测试是可以ping 通的。还能访问 ...

这个说明你上端连接有三层交换机或者路由器，在VLAN之间做了路由的，这样VLAN之间才可以通信的，你可以用模拟器做个实验，不管那个厂家的设备，二层交换机默认情况下VLAN之间都不能通信，一个VLAN就是一个局域网，用一个display vlan 看看一个端口有几个VLAN，端口下面确实只有一个VLAN的话，那不同VLAN是不通信的。仅供参考！

qq360870025 · 发表于 2012-12-23 20:30:53

jerry_jing 发表于 2012-12-23 19:41

登录/注册后可看大图

这个说明你上端连接有三层交换机或者路由器，在VLAN之间做了路由的，这样VLAN之间才可以通信的，你可以用 ...

人家这个就是三层交换

雪候鸟 · 发表于 2012-12-23 21:48:08

jerry_jing 发表于 2012-12-23 19:41

登录/注册后可看大图

这个说明你上端连接有三层交换机或者路由器，在VLAN之间做了路由的，这样VLAN之间才可以通信的，你可以用 ...

学习了~感谢朋友指点。我的是 S3700 就是三层交换机了呵呵。

雪候鸟 · 发表于 2012-12-23 21:51:02

qq360870025 发表于 2012-12-23 20:30

登录/注册后可看大图

人家这个就是三层交换

感谢指点了，我现在设置了N个ACL规则，然后应用到每个VLAN，不知道这样设置有没有什么问题

acl number 3000
rule 1 deny ip source 10.1.2.0 0.0.0.255 destination 10.1.11.0 0.0.0.255
rule 2 deny ip source 10.1.2.0 0.0.0.255 destination 10.1.4.0 0.0.0.255
rule 3 deny ip source 10.1.2.0 0.0.0.255 destination 10.1.5.0 0.0.0.255
rule 5 deny ip source 10.1.2.0 0.0.0.255 destination 10.1.6.0 0.0.0.255
rule 10 deny ip source 10.1.2.0 0.0.0.255 destination 10.1.7.0 0.0.0.255
rule 15 deny ip source 10.1.11.0 0.0.0.255 destination 10.1.2.0 0.0.0.255
rule 20 deny ip source 10.1.11.0 0.0.0.255 destination 10.1.4.0 0.0.0.255
rule 25 deny ip source 10.1.11.0 0.0.0.255 destination 10.1.5.0 0.0.0.255
rule 30 deny ip source 10.1.11.0 0.0.0.255 destination 10.1.6.0 0.0.0.255
rule 35 deny ip source 10.1.11.0 0.0.0.255 destination 10.1.7.0 0.0.0.255
rule 40 deny ip source 10.1.4.0 0.0.0.255 destination 10.1.11.0 0.0.0.255
rule 45 deny ip source 10.1.4.0 0.0.0.255 destination 10.1.2.0 0.0.0.255
rule 50 deny ip source 10.1.4.0 0.0.0.255 destination 10.1.5.0 0.0.0.255
rule 55 deny ip source 10.1.4.0 0.0.0.255 destination 10.1.6.0 0.0.0.255
rule 60 deny ip source 10.1.4.0 0.0.0.255 destination 10.1.7.0 0.0.0.255
rule 65 deny ip source 10.1.5.0 0.0.0.255 destination 10.1.11.0 0.0.0.255
rule 70 deny ip source 10.1.5.0 0.0.0.255 destination 10.1.2.0 0.0.0.255
rule 75 deny ip source 10.1.5.0 0.0.0.255 destination 10.1.4.0 0.0.0.255
rule 80 deny ip source 10.1.5.0 0.0.0.255 destination 10.1.6.0 0.0.0.255
rule 85 deny ip source 10.1.5.0 0.0.0.255 destination 10.1.7.0 0.0.0.255
rule 90 deny ip source 10.1.6.0 0.0.0.255 destination 10.1.11.0 0.0.0.255
rule 95 deny ip source 10.1.6.0 0.0.0.255 destination 10.1.2.0 0.0.0.255
rule 100 deny ip source 10.1.6.0 0.0.0.255 destination 10.1.4.0 0.0.0.255
rule 105 deny ip source 10.1.6.0 0.0.0.255 destination 10.1.5.0 0.0.0.255
rule 110 deny ip source 10.1.6.0 0.0.0.255 destination 10.1.7.0 0.0.0.255
rule 115 deny ip source 10.1.7.0 0.0.0.255 destination 10.1.11.0 0.0.0.255
rule 120 deny ip source 10.1.7.0 0.0.0.255 destination 10.1.2.0 0.0.0.255
rule 125 deny ip source 10.1.7.0 0.0.0.255 destination 10.1.4.0 0.0.0.255
rule 130 deny ip source 10.1.7.0 0.0.0.255 destination 10.1.5.0 0.0.0.255
rule 135 deny ip source 10.1.7.0 0.0.0.255 destination 10.1.6.0 0.0.0.255
#
traffic classifier 1 operator and
if-match acl 3000
#
traffic behavior 1
deny
#
traffic policy 1
classifier 1 behavior 1
#
vlan 2
description 2lou
vlan 4
traffic-policy 1 inbound

qq360870025 · 发表于 2012-12-24 10:44:24

雪候鸟发表于 2012-12-23 21:51

登录/注册后可看大图

感谢指点了，我现在设置了N个ACL规则，然后应用到每个VLAN，不知道这样设置有没有什么问题
acl nu ...

调用到不能互访的VLAN 因该没啥问题

雪候鸟 · 发表于 2012-12-24 13:06:37

qq360870025 发表于 2012-12-24 10:44

登录/注册后可看大图

调用到不能互访的VLAN 因该没啥问题

真是帮了我大忙了~~我太希望成为你这样的高手了，但是不知道要怎么自学才行！

账号		自动登录	找回密码
密码			论坛注册

求助华为交换机 ACL配置~

客服中心

投诉建议

求助 华为 交换机 ACL配置~

客服中心

投诉建议

求助华为交换机 ACL配置~