0

我的帖子

个人中心

设置

  发新话题
请教一下如何能让二级路由下的电脑跟手机,访问不了一级路由下的任何设备,但是还可以上外网?
我这边基本情况是:一级路由是H3C的ER3108GW,网段为192.168.1.X,然后LAN1口接交换机 , LAN3口接了一台TPLINK的WVR1200L路由器作为手机与外来人员上网用,网段为192.168.0.X,设置的WAN口为静态IP访问。我现在不想让二级路由下的电脑访问我们的数据库与共享。
麻烦问下有什么办法实现吗?谢谢



三层上的访问控制列表(ACL )



··话说,你们的数据库服务器和共享文件服务器是不通过内网防火墙的????
墙上也可以做策略啊



引用:
原帖由 只为休闲 于 2017-6-15 09:58 发表
请教一下如何能让二级路由下的电脑跟手机,访问不了一级路由下的任何设备,但是还可以上外网?
我这边基本情况是:一级路由是H3C的ER3108GW,网段为192.168.1.X,然后LAN1口接交换机 , LAN3口接了一台TPLINK的WVR1200L路由器作为 ...
你的交换机必须是可以管理的。如果不是可以管理那就免谈了。你写一个扩展acl禁止访问就可以了。



引用:
原帖由 zhangjx800 于 2017-6-15 10:09 发表
··话说,你们的数据库服务器和共享文件服务器是不通过内网防火墙的????
墙上也可以做策略啊
额,我们刚成立的小公司,没装防火墙。。我们这边没有三层交换机怎么办?有其他办法吗?比如在路由器上设置



引用:
原帖由 lygzhan 于 2017-6-15 10:13 发表

你的交换机必须是可以管理的。如果不是可以管理那就免谈了。你写一个扩展acl禁止访问就可以了。
交换机是可以管理的,但是我不会命令,找人给我改成傻瓜式的了。。版主大大,有其他的方式吗?比如改路由器设置之类的



引用:
原帖由 只为休闲 于 2017-6-15 10:13 发表

额,我们刚成立的小公司,没装防火墙。。我们这边没有三层交换机怎么办?有其他办法吗?比如在路由器上设置
那你找找你路由器上的那个管理界面有没有



引用:
原帖由 zhangjx800 于 2017-6-15 10:15 发表

那你找找你路由器上的那个管理界面有没有
路由上写没有用,因为更本不过路由,直接交换过去了。因为他是nat的。



引用:
原帖由 只为休闲 于 2017-6-15 10:15 发表

交换机是可以管理的,但是我不会命令,找人给我改成傻瓜式的了。。版主大大,有其他的方式吗?比如改路由器设置之类的
那就没有办法了。因为你现在都搞成傻瓜的了。直接交换过去了。你只能写二层的acl了。



引用:
原帖由 lygzhan 于 2017-6-15 10:19 发表

路由上写没有用,因为更本不过路由,直接交换过去了。因为他是nat的。
就是说我二级路由不能接一级路由的LAN口,需要接网管型交换机,然后做交换机的ACL是吧?



H3C上面单独给TP起个VLAN,然后做个ACL就可以了


多局域网功能(VLAN) ER3108GW支持多局域网功能,企业可以方便的划分局域网为多个网段,降低广播域和ARP病毒的影响,并针对不同的VLAN配置相应的防火墙策略。
针对每个局域网可以配置单独的DHCP Server和防火墙规则,ER3108GW最多可同时支持16个内部局域网。




本帖最后由 cocor 于 2017-6-15 10:25 编辑
以上仅代表个人观点,如有遗误请指正
引用:
原帖由 lygzhan 于 2017-6-15 10:19 发表

路由上写没有用,因为更本不过路由,直接交换过去了。因为他是nat的。
那就买个小墙吧
写写放行策略,应该比较简单



引用:
原帖由 只为休闲 于 2017-6-15 10:15 发表

交换机是可以管理的,但是我不会命令,找人给我改成傻瓜式的了。。版主大大,有其他的方式吗?比如改路由器设置之类的
你现在的网络就是一个二层网络,搞三层设备有什么毛用?还有一个办法,就是把你的服务器另起一个vlan。然后在路由器里写策略,把你无线路由器的流量访问服务器的流量都拒绝掉。或是写条路由到null口。



引用:
原帖由 cocor 于 2017-6-15 10:21 发表
H3C上面单独给TP起个VLAN,然后做个ACL就可以了
H3C上能给TP单独做个VLAN,但是好像不能ACL



引用:
原帖由 只为休闲 于 2017-6-15 10:21 发表

就是说我二级路由不能接一级路由的LAN口,需要接网管型交换机,然后做交换机的ACL是吧?
用11楼的办法也可以,但写acl你估计也不会。



引用:
原帖由 只为休闲 于 2017-6-15 10:24 发表

H3C上能给TP单独做个VLAN,但是好像不能ACL
多局域网功能(VLAN) ER3108GW支持多局域网功能,企业可以方便的划分局域网为多个网段,降低广播域和ARP病毒的影响,并针对不同的VLAN配置相应的防火墙策略。
针对每个局域网可以配置单独的DHCP Server和防火墙规则,ER3108GW最多可同时支持16个内部局域网。

看官方介绍是可以的



以上仅代表个人观点,如有遗误请指正
引用:
原帖由 zhangjx800 于 2017-6-15 10:22 发表

那就买个小墙吧
写写放行策略,应该比较简单
他要是会写就不至于把可管理交换机改成傻瓜了。



引用:
原帖由 lygzhan 于 2017-6-15 10:27 发表

他要是会写就不至于把可管理交换机改成傻瓜了。
还有个终极办法,他再拉一条宽带,直接用TP接新宽带上网。
物理隔离了就



引用:
原帖由 只为休闲 于 2017-6-15 10:24 发表

H3C上能给TP单独做个VLAN,但是好像不能ACL
你用web不能写是正常的。acl要用命令写。



引用:
原帖由 lygzhan 于 2017-6-15 10:23 发表

你现在的网络就是一个二层网络,搞三层设备有什么毛用?还有一个办法,就是把你的服务器另起一个vlan。然后在路由器里写策略,把你无线路由器的流量访问服务器的流量都拒绝掉。或是写条路由到null口。 ...
路由器里怎么把访问服务器的流量拒绝掉?



‹‹ 上一贴:利用三层交换机实现vlan间路由   |   下一贴:登录不了路由器这是怎么了 ››
  发新话题
快速回复主题
关于我们 | 诚聘英才 | 联系我们 | 网站大事 | 友情链接 |意见反馈 | 网站地图
Copyright©2005-2017 51CTO.COM
本论坛言论纯属发布者个人意见,不代表51CTO网站立场!如有疑义,请与管理员联系:bbs@51cto.com