ACL应用到VLAN下不能获取IP

seasonli72658 · ‎10-15-2019

本帖最后由 seasonli72658 于 2019-10-16 18:06 编辑

interface Vlan125
ip address 10.88.125.1 255.255.255.0
ip access-group deny-wifi-Enwave-Tech in
ip helper-address 10.99.203.1
ip access-list extended deny-wifi-Enwave-Tech
permit ip 10.88.125.0 0.0.0.255 host 10.99.203.1
permit ip 10.88.125.0 0.0.0.255 10.88.125.0 0.0.0.255
deny ip 10.88.125.0 0.0.0.255 10.0.0.0 0.255.255.255
deny ip 10.88.125.0 0.0.0.255 172.16.0.0 0.0.255.255
deny ip 10.88.125.0 0.0.0.255 192.168.0.0 0.0.255.255
permit ip 10.88.125.0 0.0.0.255 any
我只想让vlan125上外网，所有内网的业务都不能访问，但是现在我的终端不能获取到IP，ACL哪里写的有问题呢，把vlaN125下的ACL

liu_zhimin · ‎10-21-2019

你需要放行VLAN125下面访问DHCP服务器的ACL策略

Wubin2010 · ‎10-21-2019

第三条插一段
permit ip 10.88.125.0 0.0.0.255 host 10.99.203.1
你这里有dhcp中继，得放行

seasonli72658 · ‎10-21-2019

Wubin2010 发表于 2019-10-22 08:25
第三条插一段
permit ip 10.88.125.0 0.0.0.255 host 10.99.203.1
你这里有dhcp中继，得放行

deny ip 10.88.125.0 0.0.0.255 10.0.0.0 0.255.255.255
是在这条下面在插一个permit ip 10.88.125.0 0.0.0.255 host 10.99.203.1
我对ACL不是插别了解，能告诉我放在第一条和放在第三条后面有什么区别吗

Wubin2010 · ‎10-22-2019

seasonli72658 发表于 2019-10-22 09:31
deny ip 10.88.125.0 0.0.0.255 10.0.0.0 0.255.255.255
是在这条下面在插一个permit ip 10.88.125. ...

抱歉，方向搞错了
permit ip host 10.99.203.1 10.88.125.0 0.0.0.255

liu_zhimin · ‎10-22-2019

按照如下配置就可以了，配置完成后show log检查下看有没有访问ACL日志。
ip access-list extended deny-wifi-Enwave-Tech
permit ip 10.88.125.0 0.0.0.255 host 10.99.203.1
permit ip 10.88.125.0 0.0.0.255 10.88.125.0 0.0.0.255
permit ip 10.88.125.0 0.0.0.255 host 10.99.203.1 log
deny ip 10.88.125.0 0.0.0.255 10.0.0.0 0.255.255.255
deny ip 10.88.125.0 0.0.0.255 172.16.0.0 0.0.255.255
deny ip 10.88.125.0 0.0.0.255 192.168.0.0 0.0.255.255
permit ip 10.88.125.0 0.0.0.255 any