怎么设置某个vlan中 只允许一个IP地址出外网,其他地址都不能出
问题描述:
怎么设置某个VLAN中 只允许一个IP地址出外网,其他地址都不能出
能在防火墙做条路由192.168.1.253 0 的回程路由吗 就不写24网段,写明细
组网及组网描述:
有防火墙的话直接通过防火墙做限制就行
7小时前回答写明细路由可以做到
也可以用acl
然后调用nat 出接口 (nat acl 默认全拒绝 只写运许上外网的即可)
用acl 比较方便
interface GigabitEthernet1/0/15
nat outbound 3000
acl advanced 3000
rule 5 permit ip source 172.25.0.0 0.0.255.255
这样就代表只允许 172.25.0.0/16 上外网
其他路由就正常写
好的,这个ACL我可以用回程路由来控制上网网段的问题,比如我现在有
不会很麻烦,你路由该写就全写 ,只用acl控制上不上网, 这后期维护起来很方便。
只要一个地址 acl 掩码就写 rule 5 permit ip source 192.168.1.253 0
在跟上你要上外网的 其他段
就是说把所有需要上网的段创建一个ACL,然后都加进去,再针对某个vlan只能有一个ip上外网的写条192.168.253 0这个就可以了是吧
是的
能在防火墙做条路由192.168.1.253 0 的回程路由吗 就不写24网段
可以的,
还可以通过安全策略限制,和nat outbound 后加ACL限制,只允许这一个地址做nat转换
怎么说呢 其实只是这个业务的vlan不能上网,但是这个vlan服务器的IP要上,这个ACL需要咋写,其他vlan业务都需要上网
那你再防火墙的安全规则里去做吧,ACL的掩码不好写。再防火墙trust 的源地址只写你服务器的,不写其他的
你正在内容来源:知了社区,怎么设置某个vlan中 只允许一个IP地址出外网,其他地址都不能出
