請問各位大大,需求是想要禁止WIFI連各VLAN,但要能上網,wifi沒有設定ACL的情況下可正常上網、連通所有VLAN。
架構是
Internet>>>firewall(192.168.1.254)>>>HP5510(192.168.1.253)>>>wifi WAN port (192.168.7.1)。
以下是我失敗測試的指令
acl number 3015 name wifi-test
step 1
rule 0 permit ip source 192.168.7.0 0.0.0.255 destination 192.168.1.254 0
rule 1 permit ip source 192.168.1.254 0 destination 192.168.7.0 0.0.0.255
rule 2 permit ip source 192.168.1.253 0 destination 192.168.7.0 0.0.0.255
rule 3 permit ip source 192.168.7.0 0.0.0.255 destination 192.168.1.253 0
acl number 3016
step 1
rule 0 deny ip source 192.168.7.0 0.0.0.255 any
rule 1 deny ip source any destination 192.168.7.0 0.0.0.255
traffic classifier permitwifitest
if-match acl 3015
traffic classifier denywifitest
if-match acl 3016
traffic behavior permitwifitest
filter permit
traffic behavior denywifitest
filter deny
qos policy 13
classifier permitwifitest behavior permitwifitest
classifier denywifitest behavior denywifitest
qos vlan-policy 13 vlan 7 inbound
結果是ping的到192.168.1.254、253,但無法上網
請問各位大大qos policy 13是哪裡設定有問題?
另外有成功的指令
acl number 3003 name wifi-internet
rule 5 deny ip source 192.168.7.0 0.0.0.255 destination 192.168.21.0 0.0.0.255
rule 15 deny ip source 192.168.21.0 0.0.0.255 destination 192.168.7.0 0.0.0.255
rule 20 deny ip source 192.168.7.0 0.0.0.255 destination 192.168.20.0 0.0.0.255
rule 25 deny ip source 192.168.7.0 0.0.0.255 destination 192.168.22.0 0.0.0.255
rule 30 deny ip source 192.168.7.0 0.0.0.255 destination 192.168.1.0 0.0.0.255
acl number 3101
rule 0 permit ip source 192.168.7.0 0.0.0.255 destination 192.168.1.254 0
rule 1 permit ip source 192.168.1.254 0 destination 192.168.7.0 0.0.0.255
qos policy 11
classifier permitwifi behavior permitwifi
classifier deny3003 behavior deny3003
qos vlan-policy 11 vlan 7 inbound
執行結果符合我的需求
請大大qos policy 11 與qos policy 13差在哪裡?
謝謝
已邀請的邦友 {{ invite_list.length }}/5
所以你是要干什麼, 看到一堆ACL就心煩,
直接說你要到和不能到的SUBNET,
給你COMMANDs不就好
大大您好,需求是想要禁止WIFI連各VLAN(192.168.1.0/24、192.168.21.0/24),但要能上網。
網路架構是
Internet>>>firewall(192.168.1.254)>>>HP5510(192.168.1.253)>>>wifi WAN port (192.168.7.1)。
謝謝
acl number 4000 name Demo
rule 0 deny ip source 192.168.7.0 0.0.0.255 destination 192.168.1.0 0.0.0.255
rule 1 deny ip source 192.168.7.0 0.0.0.255 destination 192.168.21.0 0.0.0.255
rule 2 permit ip any any
自己找方法套用到wifi WAN vlan的"Out方向"上去
大大不好意思,這樣192.168.1.0/24、192.168.21.0/24會通,能上網
不符合我的需求
即是你192.168.1.0/24 192.168.21.0/24要不可以互通?
還是你要
192.168.1.0/24 192.168.21.0/24不可以互通
192.168.1.0/24 192.168.1.0/24不可以上網
192.168.7.0/24 不可以互通 192.168.21.0/24 192.168.1.0/24
192.168.7.0/24 可以上網
大大不好意思,是192.168.7.0/24只能上網,禁止連192.168.21.0/24 和192.168.1.0/24
我的做法是vlan7 permit 192.168.1.254/32,deny any
vlan7禁止連到vlan1和vlan21這部分是成功的。
Q1:卡在為何vlan7(192.168.7.0/24)可以ping 到192.168.1.254(static routing),卻不能上網。
Q2:qos policy 11有符合我要的需求,但想簡化他的ACL,有點太長這樣。
所以是
acl number 4000 name Demo
rule 0 deny ip source 192.168.7.0 0.0.0.255 destination 192.168.1.0 0.0.0.255
rule 1 deny ip source 192.168.7.0 0.0.0.255 destination 192.168.21.0 0.0.0.255
rule 2 permit ip any any
套用到wifi WAN vlan的"Out方向"上去後仍然可以到192.168.1.0跟192.168.21.0?
你那AP是什麼來的, 不會是家用那些吧
另外
192.168.1.0
192.168.7.0
192.168.21.0
的GATEWAY都是什麼, 都是FIREWALL嗎?
套用到wifi WAN vlan的"Out方向"上去後仍然可以到192.168.1.0跟192.168.21.0?
A:是的,wifi這樣可以通vlan1和vlan2
你那AP是什麼來的, 不會是家用那些吧
A:tp-link ax10 ax1500
大大您好
192.168.1.0
A:gateway=192.168.1.253
192.168.7.0
A:gateway=192.168.7.1
192.168.21.0
A:gateway=192.168.21.1
的GATEWAY都是什麼, 都是FIREWALL嗎?
HP5510 靜態路由是到192.168.1.254(即是firewall)
我大膽地問一下, 現在你的:tp-link ax10 ax150
是WAN口接到192.168.1.X的
然後自己的LAN設定是192.168.7.X?
而不是tp-link ax10 ax150的WAN口沒接東西, 然後LAN口直接SWITCH上某個設了ACCESS VLAN 7的接口?
我假設VLAN 7就是192.168.7.X
大大您好,tp-link ax10 ax150 WAN IP=192.168.7.154/24,接在
switch access vlan 7接口上,LAN IP=192.168.15.0/24,LAN 沒接任何東西。
謝謝
iThome鐵人賽
看影片追技術