iKuai爱快流控路由

标题: 爱快同一个LAN口下多个VLAN，如果设置ACL阻止互访 [打印本页]

作者: luzhigang321 时间: 2024-2-20 10:37
标题: 爱快同一个LAN口下多个VLAN，如果设置ACL阻止互访
1、VLAN设置如下：

2、ACL已设置阻断上网，但VLAN之间还是能互访?

3、我想设置部分IP能上外网，但不能访问其他的VLAN，现在发现只要能上外网的IP，都能访问其他的VLAN网段了。

作者: 爱快技术支持01 时间: 2024-2-20 10:47
楼主您好，设置ACL时如有先阻断后允许的冲突规则，会以允许的优先级更高优先执行，爱快默认是放行的所以只需要设置阻断到对应其他VLAN的网关或网段填写即可，无需单独配置ACL的允许。

作者: luzhigang321 时间: 2024-2-20 10:54
换句话讲，原来是设置允许的IP组，现在可能就变成设置阻断的IP地址了？
能不能做个ACL范例来参考一下，麻烦了

作者: 爱快技术支持01 时间: 2024-2-20 11:04

luzhigang321 发表于 2024-2-20 10:54换句话讲，原来是设置允许的IP组，现在可能就变成设置阻断的IP地址了？
能不能做个ACL范例来参考一下，麻烦 ...

不考虑设置允许直接将非访问网段做阻断即可 ACL阻断源IP填写VLAN段目的IP填写就不想让其访问的VLAN段。

作者: xibanya 时间: 2024-2-20 14:06
本帖最后由 xibanya 于 2024-2-20 14:14 编辑

清除现有ACL，重新写拒绝规则匹配进出接口

例如  出口为wan1 wan2    要求：不允许vlan10下面的终端和vlan20下的终端互访    且vlan10下的192.16.1.101-192.16.1.200不允许访问互联网

规则1，阻断vlan互访：

协议任意，动作阻断，方向转发或进，方向匹配本示例不用关心

源地址  192.16.1.0/24或者不填写目的地址  192.16.2.0/24或者不填    省事点源目都不写，匹配所有
进接口 vlan10 出接口 vlan 20 一定要精确匹配进出接口

规则2，阻断vlan10下特定终端访问互联网

协议任意，动作阻断，方向转发或进，方向匹配本示例不用关心

源地址 192.16.1.101-192.16.1.200 目的地址  留空

进接口 vlan10 出接口  wan1 wan2勾选
放行的不需要写，不匹配阻断的默认就放行

作者: luzhigang321 时间: 2024-2-20 16:56
谢谢楼上大神，我试一下

作者: luzhigang321 时间: 2024-2-20 16:59
再请教一下各位大神，假如真的出现ACL规则冲突，爱快默认允许优先于阻断，那是阻断的那条规则整条失效，还是只是某个IP地址的规则失效？

欢迎光临 iKuai爱快流控路由 (https://bbs.ikuai8.com/)