爱快同一个LAN口下多个VLAN，如果设置ACL阻止互访

luzhigang321

1、VLAN设置如下：

2、ACL已设置阻断上网，但VLAN之间还是能互访?

3、我想设置部分IP能上外网，但不能访问其他的VLAN，现在发现只要能上外网的IP，都能访问其他的VLAN网段了。

luzhigang321

再请教一下各位大神，假如真的出现ACL规则冲突，爱快默认允许优先于阻断，那是阻断的那条规则整条失效，还是只是某个IP地址的规则失效？

luzhigang321

谢谢楼上大神，我试一下

xibanya

清除现有ACL，重新写拒绝规则   匹配进出接口

例如  出口为wan1 wan2       要求：不允许vlan10下面的终端和vlan20下的终端互访       且vlan10下的192.16.1.101-192.16.1.200不允许访问互联网

规则1，阻断vlan互访：

协议任意，动作阻断，方向转发或进，方向匹配本示例不用关心

源地址  192.16.1.0/24或者不填写    目的地址  192.16.2.0/24或者不填     省事点源目都不写，匹配所有
进接口   vlan10   出接口 vlan 20   一定要精确匹配进出接口

规则2，阻断vlan10下特定终端访问互联网

协议任意，动作阻断，方向转发或进，方向匹配本示例不用关心

源地址   192.16.1.101-192.16.1.200    目的地址  留空

进接口   vlan10   出接口  wan1 wan2勾选
放行的不需要写，不匹配阻断的默认就放行

爱快技术支持01

luzhigang321 发表于 2024-2-20 10:54换句话讲，原来是设置允许的IP组，现在可能就变成设置阻断的IP地址了？
能不能做个ACL范例来参考一下，麻烦 ...

不考虑设置允许 直接将非访问网段做阻断即可  ACL阻断源IP填写VLAN段 目的IP填写就不想让其访问的VLAN段。

luzhigang321

换句话讲，原来是设置允许的IP组，现在可能就变成设置阻断的IP地址了？
能不能做个ACL范例来参考一下，麻烦了

爱快技术支持01

楼主您好，设置ACL时 如有先阻断后允许的冲突规则，会以允许的优先级更高优先执行，爱快默认是放行的 所以只需要设置阻断到对应其他VLAN的网关或网段填写即可，无需单独配置ACL的允许。