iT邦幫忙

0

Extreme summit 200-24 VLAN的ACL問題

extreme summit 200-24 VLAN的ACL問題,
ex:要設定v1 vlan可以連v2 vlan,但v2 vlan不能連vl vlan,
vl vlan ip=192.168.1.0 /24
v2 vlan ip=192.168.2.0 /24

有問過廠商
廠商說沒辦法針對vlan下去做acl,
但有在使用者手冊上看到指令:

create access-mask <access-mask name> {dest-mac} {source-mac} {vlan} {ethertype} {tos|code-point} {ipprotocol} {dest-ip /<mask length>
} {dest-L4port} {source-ip /<mask length>} {source-L4oirt|{icmp-code}} {permit-established} {egressport} {ports} {precedence<number>}



create access-list <name> access-mask <access-mask name> {dest-mac<dest_mac>} {source-mac<src_mac>} {vlan<name>} {ethertype[IP|ARP|<hex_value>]} {tos<ip_precedence>}|code-point<code_point>}{ipprotocol[tcp|udp|icmp|<protocol_num>]}{dest-ip<dest_ip>/<mask length>}{source-L4port<src_port>|{icmp_type<icmp_type>}{icmp_cide<icmp_cide>}} {egressport<port>} {ports<portlist>}[permit{qosprofile<qosprofile>}{set code-point<code_point>}{set dot1p<dit1p_value>}|permit-established|deny]

access-mask和access-list都有vlan的參數,不知道vlan可以做怎樣的acl限制?

2 個回答

8
max193
iT邦新手 4 級 ‧ 2009-08-26 13:54:06
最佳解答

1.先做:
create access-mask V1_Permit(這個是自己定的名稱) dest-ip/24 source-ip/24 permit-established precedence 100(這個數值自己定,數值越低,越早被套用)

2.再做:
create access-list V1ToV2_Permit(這個也是自己定的名稱) access-mask V1_Permit(這個要用步驟1定的名稱) dest-ip 192.168.2.0/24 source-ip 192.168.1.0/24 permit-established

這樣應該就OK了。若設了後,V1還是不能訪問V2,就再加個設定:enable ipforwarding

看更多先前的回應...收起先前的回應...
hope35520 iT邦新手 2 級 ‧ 2009-08-27 08:18:31 檢舉

剛測試了,但出現
Summit200-24:1 # create access-mask m1 dest-ip /24 source-ip /24 permit-establis hed precedence 100
ERROR: Access-mask "m1" has a permit-established mask with no ipprotocol mask de

hope35520 iT邦新手 2 級 ‧ 2009-08-27 08:20:20 檢舉

再貼一次,出現
Summit200-24:1 # create access-mask m1 dest-ip /24 source-ip /24 permit-established precedence 100
ERROR: Access-mask "m1" has a permit-established mask with no ipprotocol mask defined

max193 iT邦新手 4 級 ‧ 2009-08-27 15:30:46 檢舉

不確定你的機器中有沒有遺漏哪些設定,要不再試試看把ipprotocol指定進來試試。
create access-mask m1 ethertype ip-protocol dest-ip / 24 source-ip / 24 precedence 100 permit-established

或是用指定Port NO的方式設定看看可不可以。設定方式:
access-mask-> .....source-ip/24 port precedence 100 ......
access-list-> .....source-ip 192.168.1.0/24 port 1-4 permit.....

hope35520 iT邦新手 2 級 ‧ 2009-08-27 16:45:32 檢舉

這是我的sh config,
http://www.badongo.com/file/16827086
因為字數太多,所以只好上傳到網路空間
access-mask還沒設定,因為出現上面的錯誤訊息,所以還沒設

hope35520 iT邦新手 2 級 ‧ 2009-08-27 16:47:40 檢舉

Summit200-24:9 # create access-mask m1 ethertype ip-protocol dest-ip / 24 source-ip / 24 precedence 100 permit-established

Syntax error at token ip-protocol

Next possible completions:
<cr> code-point dest-L4port dest-ip dest-mac egress-port ethertype icmp-code icmp-type ipprotocol permit-established ports precedence source-L4port source-ip source-mac tos vlan

hope35520 iT邦新手 2 級 ‧ 2009-08-27 17:38:25 檢舉

因為不太清楚指令的架構,所以都試試
Summit200-24:12 # create access-mask m1 ip-protocol dest-ip /24 source-ip /24 precedence 100 permit-established

Syntax error at token ip-protocol

Next possible completions:
<cr> code-point dest-L4port dest-ip dest-mac egress-port ethertype icmp-code icmp-type ipprotocol permit-established ports precedence source-L4port source-ip source-mac tos vlan

hope35520 iT邦新手 2 級 ‧ 2009-08-27 17:38:55 檢舉

Summit200-24:14 # create access-mask m1 ethertype dest-ip / 24 source-ip / 24 precedence 100 permit-established
ERROR: Access-mask "m1" has a permit-established mask with no ipprotocol mask defined

hope35520 iT邦新手 2 級 ‧ 2009-08-27 17:49:00 檢舉

Summit200-24:2 # create access-mask m1 dest-ip /24 source-ip /24 port precedence 100

* Summit200-24:3 # create access-list a1 access-mask m1 dest-ip 192.168.2.0/24 source-ip 192.168.1.0/24 port 1-4 permit-established
ERROR: ACL "a1" sets "permit-established" not defined in Access-mask "m1"

hope35520 iT邦新手 2 級 ‧ 2009-08-27 17:50:13 檢舉

Summit200-24:2 # create access-mask m1 dest-ip /24 source-ip /24 port precedence 100

Summit200-24:4 # create access-list a1 access-mask m1 dest-ip 192.168.2.0/24 s
ource-ip 192.168.1.0/24 port 1-4 permit
但結果v1 vlan和v2 vlan還是都不能通

hope35520 iT邦新手 2 級 ‧ 2009-08-27 17:54:13 檢舉

謝謝您的回答~
不好意思
我想知道access-mask.access-list中的vlan參數
能做什麼樣的限制?

hope35520 iT邦新手 2 級 ‧ 2009-08-28 17:37:26 檢舉

create access-mask m1 dest-ip /24 source-ip /24 port precedence 100 permit-established

ERROR: Access-mask "m1" has a permit-established mask with no ipprotocol mask defined

感覺好像access-mask如果用permit-established
就一定要有ipprotocol才行的樣子

有用TAB鍵查詢
但常常show出一堆參數
不知道選哪個
有時套到後來
指令還是error

10
star03629
iT邦新手 4 級 ‧ 2009-08-25 09:29:46

我是覺得... 你可以直接在實機上面下指令 try 看看
好像我之前在做Juniper EX-Series...
怎樣知道EX-4200 有沒有 DHCP Client 的功能...
有時候我覺得連document也不太可信 ^^! (自己小心眼吧)
那... 怎辦... 直接下指令 try 看看就知道了...
最後知道了, 原來 EX-4200 只有 DHCP server, relay, 但沒有 client
所以... Try 看看吧 ^^! 我也沒有用過 Extreme 的, 應該很少人用過 Extreme 的吧

hope35520 iT邦新手 2 級 ‧ 2009-08-25 11:09:07 檢舉

有試著下過指令
但指令都下錯
不知道有沒有指令的範本?

我要發表回答

立即登入回答