在VLAN中禁止访问外网,如何实现?
各位达人:公司用Cisco3725路由,FTTB+LAN接入Internet,Cisco 4506 交换机上划分了N个VLAN。冒号(领导)突然间要求某个VLAN中的某几台计算机不能上外网,只能在内部转悠,可能是被发现网游太多,做事的太少了(呵呵)。求助如何配置?小弟先谢了!
问题已经解决,多谢各位!
公司网络架构的拓扑结构如下:
Internet(FTTB+LAN,固定IP地址)─→Cisco 3725(路由)─→Cisco PIX525(防火墙)─→Cisco Catalyst 4506(核心交换机)─→Cisco Catalyst 2950(二层交换机)─→用户终端。
1.划分一个新的VLAN(VLAN9),将欲禁外网的计算机并入该VLAN,IP地址自动分配;
2.在Cisco Catalyst 4506上配置ACL:
[indent]a.设置允许访问外网的时间段(周一至周五的8:00~16:30):
time-range vst_www
absolute start 00:00 01 June 2008 end 00:00 31 December 2010
periodic weekdays 8:00 to 16:30
b.设置ACL访问控制列表(并在规定时间段内禁QQ、MSN、WWW):
ip access-list extended no_vst_www
deny udp any any time-range vst_www
deny tcp any eq www any time-range vst_www
deny tcp any eq 443 any time-range vst_www
deny tcp any eq 1863 any time-range vst_www
deny tcp any eq 8000 any time-range vst_www
deny tcp any eq 3128 any time-range vst_www
deny tcp any eq 8080 any time-range vst_www
deny tcp any eq 1080 any time-range vst_www
permit ip any any
c.应用ACL访问控制列表
interface Vlan9
ip address 192.168.9.1 255.255.255.0
ip access-group no_vst_www out
[/indent]搞定!
[[i] 本帖最后由 shable 于 2008-4-12 10:52 编辑 [/i]] ACL啊,很简单的事 谢谢版主!我很菜很菜的。
我设置ACL应该是在路由(3725)上设?
还是在核心交换机(4506)上设?
还是在二层交换机(2950)上设置?
是设置IP规则还是MAC规则呢?
麻烦版主能给个用MAC规则的设置范例给我吗?我怕出错,要挨骂的 55555....
例:禁止MAC地址为00-EE-EE-00-CD-0D的计算机上外网应该写才正确
注:这台计算机在VLAN5上,IP地址为手动设置(192.168.5.XXX)的。 2950不支持ACL的,建议在4506上设置
既然是手动设置的IP,用IP规则就行了
access-list 2 deny host 192.168.5.XXX
access-list 2 permit any
然后在4506上的接路由的接口的out方向应用 谢谢版主指教!
若禁多个IP的话,是不是应该这样写:
access-list 2 deny host 192.168.5.XX0
access-list 3 deny host 192.168.5.XX1
access-list 4 deny host 192.168.5.XX2
access-list 5 deny host 192.168.5.XX3
access-list 2 permit any
access-list 3 permit any
access-list 4 permit any
access-list 5 permit any
(192.168.5.XX0~192.168.5.XX3表示一个IP地址范围)
这样的话,用户改一下IP地址不还是能出外网吗?
[[i] 本帖最后由 shable 于 2008-4-3 12:39 编辑 [/i]] access-list 2 deny host 192.168.5.XX0
access-list 2 deny host 192.168.5.XX1
access-list 2 deny host 192.168.5.XX2
access-list 2 deny host 192.168.5.XX3
access-list 2 permit any
你限制其他用户改IP啊,不然就算你对MAC做了限制,也一样可以更改MAC地址 谢谢版主,我一定好好学习。:handshake 顶!顶!顶上天 版主救命!
按照你的指令在4506上行不通,说是命令不完全,在路由却行,但设置后却不起作用。
命令如下:
********************************************
conf t
access-list 2 deny host 192.168.5.50
access-list 2 deny host 192.168.5.51
access-list 2 deny host 192.168.5.52
access-list 2 deny host 192.168.5.53
access-list 2 permit any
inte fa 0/1 *这是路由上接口的OUT方向
ip access-group 2 out
CNTL/Z *保存
********************************************
注:路由(3725)上有inte fa 0/0 公网地址是5x.xx.xxx.xxx,这个到底是IN还是OUT?
还有个inte fa 0/1 地址是192.168.100.2,这个到底是IN还是OUT?
看看为什么,我急呀!
再有若在路由上删除此ACL如何命令操作
[[i] 本帖最后由 shable 于 2008-4-3 15:09 编辑 [/i]] 在路由上就要是接外网的接口的out方向 删除前面加 no 噢
我看到了
********************************
interface fastethernet0/0
ip address 5x.xx.xxx.xxx 255.255.255.0
ip nat outside
....
....
....
interface fastethernet0/1
ip address 192.168.100.2 255.255.255.0
ip access-group 2 out * 看这句
ip nat inside
....
....
....
********************************
看看到底哪个是路由的OUT方向?如果是fa0/0的话,那我如何删除 在inte fa 0/1 上的 ip access-group 2 out 的配置呢?
版主救我! inte fa0/1上的ip access-group 2 out设置已经加no删除,
用ip access-group 2 out 设置在inte fa 0/0上还是不行,指定的IP还是能出外网。
版主,到底怎样设置才对呀? 应该是在fa 0/0口的out方向,如果不行的话试下fa 0/1口的in方向
另外4506是支持ACL的,还是建议在4506上进行配置 问题已经解决,多谢各位!:lol
页:
[1]