华为的路由器，如何禁止内网两个网段互访？不能ping和telnet

Posted 2023-04-02

我单位有一台路由器，连接2个网段，一个是192.168.2.0/24，连接在ge1上，另一个是192.168.3/24，连接在ge2上，如何让两个网段不能互访？我指的是telnet和ping都不可以
我配置了一个acl不好用rule deny ip source 192.168.2.0 0.0.0.255 destination 192.168.3.0 0.0.0.255，哪里有错吗？acl是不是配置上了就直接应用了，用不用应用？

思科设备可以直接在接口下配置ACL，华为的设备得先配ACL，然后再配流分类，把ACL和流分类绑定起来。再配流行为和流策略，最后把策略应用到接口下。ACL才能生效。

步骤1 配置ACL
[Quidway] acl 5000

[Quidway-acl-user-5000] rule deny ip source 192.168.2.0 0.0.0.255 destination 192.168.3.0 0.0.0.255
[Quidway-acl-user-5000] quit
步骤2 配置基于用户自定义ACL 的流分类
# 配置流分类tc1，对匹配ACL 5000 的报文进行分类。
[Quidway] traffic classifier tc1
[Quidway-classifier-tc1] if-match acl 5000
[Quidway-classifier-tc1] quit
步骤3 配置流行为
# 配置流行为tb1，动作为拒绝报文通过。
[Quidway] traffic behavior tb1
[Quidway-behavior-tb1] deny
[Quidway-behavior-tb1] quit
步骤4 配置流策略
# 定义流策略，将流分类与流行为关联。
[Quidway] traffic policy tp1
[Quidway-trafficpolicy-tp1] classifier tc1 behavior tb1
[Quidway-trafficpolicy-tp1] quit
步骤5 在接口下应用流策略
# 在接口GE1/0/1 下应用流策略。
[Quidway] interface gigabitethernet 1/0/1
[Quidway-GigabitEthernet1/0/1] traffic-policy tp1 inbound
[Quidway-GigabitEthernet1/0/1] quit 参考技术A 可以用ACL过滤，配好了ACL还是应用于接口方向。比如in方向。 参考技术B acl number 3000
rule 50 permit ip source 192.168.0.0 0.0.0.255 destination 192.168.0.0 0.0.0.255
rule 60 permit ip source 192.168.1.0 0.0.0.255 destination 192.168.1.0 0.0.0.255
rule 70 permit ip source 192.168.2.0 0.0.0.255 destination 192.168.2.0 0.0.0.255
rule 80 permit ip source 192.168.3.0 0.0.0.255 destination 192.168.3.0 0.0.0.255
rule 90 permit ip source 192.168.4.0 0.0.0.255 destination 192.168.4.0 0.0.0.255
rule 100 deny ip source 192.168.0.0 0.0.255.255 destination 192.168.0.0 0.0.255.255
rule 110 permit ip 参考技术C 什么路由器、SRG 还是USG ？可以加在不同的域里面就可以了。

H3C防火墙怎么让局域网内不同网段互连互访?

拓扑图如下，不会命令操作，请尽量用WEB的方法说一下，谢谢！

网卡设置多个不同网段ip教程，不同ip跨网段电脑网络互相访问方法

参考技术A 你两个局域网的网关都在防火墙上，理论直连路由是有的，所以可以直接互访。如果无法互访，检查下防火墙上的直连路由追问

能说得详细点吗？

追答

这个比较直观，看下VLAN这一项是不是有两个VLAN的网关，然后看看路由信息都有没有两个局域网的信息。

本回答被提问者和网友采纳