华为acl应用到vlan配置
华为交换机vlan之间禁止通信,我配置了acl,可是在接口下没有packer-filter命令请各位大仙们帮帮,都愁死了。小弟在这谢谢了...
华为交换机vlan之间禁止通信,我配置了acl,可是在接口下没有packer-filter命令
请各位大仙们帮帮,都愁死了 。小弟在这谢谢了 展开
请各位大仙们帮帮,都愁死了 。小弟在这谢谢了 展开
3个回答
展开全部
1、使用system-view命令进入[]模式。
2、创建一个vlan,[Quidway]vlan 2。
3、添加端口[Quidway-vlan2]port
Ethernet 0/0/13 to 0/0/15。
4、然后使用display current查看端口是否属于这个vlan。
5、配置vlan IP,[Quidway]interface Vlanif 2。
6、配置vlanif ip地址[Quidway]interface Vlanif 2,[Quidway-Vlanif2]ip address 10.10.100.1 255.255.255.0。
7、完成之后电脑接入到vlan2的接口上并设置好IP地址,然后ping 10.10.100.1是否正常。
已赞过
已踩过<
评论
收起
你对这个回答的评价是?
展开全部
ACL(AccessControlList,访问控制列表)即是通过配置对报文的匹配规则和处理操作来实现包过滤的功能。
ACL通过一系列的匹配条件对报文进行分类,这些条件可以是报文的源MAC地址、目的MAC地址、源IP地址、目的IP地址、端口号等。
服务器区所有服务器网关均在核心交换机上,共有9个Vlan,9个网段分别如下;Vlan10-Vlan11网段分别为10.0.10.0/24-10.0.11.0/24Vlan14-Vlan19网段分别为10.0.14.0/24-10.0.19.0/24
交换机管理Vlan为Vlan1:10.0.13.0/24,核心交换机的管理ip为10.0.13.254,其余接入交换机网关均在核心交换机上;
客户端共有8个Vlan,分别为Vlan20-Vlan100,网段分别为10.0.20.0/24-10.0.100.0/24,网关均在核心交换机上;
3需求一:对服务器区服务器做安全防护,只允许客户端访问服务器某些端口
由于网络环境拓扑为客户端——客户端接入交换机——核心交换机——防火墙——服务器接入交换机——服务器,也即客户端访问服务器需要通过防火墙,所以对服务器的防护应该放到防火墙上来做,因为若用交换机来做过滤,配置麻烦且失去了防火墙应有的作用(此处不做防火墙配置介绍);
4需求二:交换机只允许固定管理员通过ssh登陆
此处做防护有较为方便的俩种方法
一:在所有交换机配置VTY时,调用ACL只允许源为网络管理员的IP访问,但此方法虽配置不复杂,但是配置工作量较大需要在所有交换机上配置,而且不灵活例如在网络管理员人员或者IP变迁时,需要重新修改所有交换机ACL,所以并不是首选方案;
二:因为管理交换机管理Vlan与所有客户端Vlan不在同一Vlan,也即客户端访问接入交换机必须通过核心交换机,所以可以在核心交换机上做ACL来控制客户端访对接入交换机的访问,核心交换机的访问通过VTY来调用ACL;配置部分在下面;
5需求三:客户端VLAN之间不能互相访问,客户端只允许访问服务器VLAN
一:在核心交换机上的所有链接客户端接入交换机端口做ACL,只放行访问服务器的流量,拒绝其余流量,但由于客户端接入交换机约有几十台,所以配置工作量大几十个端口都需要配置,所以也不是首选方案;二:在核心交换机上的客户端Vlan做Acl,只放行访问服务器的流量,拒绝其余流量,由于客户端Vlan共有8个所以相对于在物理接口上做ACL而言,工作量较小,所以选择此方案;
6配置部分
6.1ACL配置部分
aclnumber2000
rule5permitsource10.0.20.110
rule10permitsource10.0.21.150
rule15deny
//定义允许访问核心交换机的俩位网络管理员IP地址;
aclnumber3000
rule51permitipdestination10.0.10.00.0.0.255
rule53permitipdestination10.0.12.00.0.0.255
rule55permitipdestination10.0.14.00.0.0.255
rule56permitipdestination10.0.15.00.0.0.255
rule57permitipdestination10.0.16.00.0.0.255
rule58permitipdestination10.0.17.00.0.0.255
rule59permitipdestination10.0.18.00.0.0.255
rule60permitipdestination10.0.19.00.0.0.255
//定义所有客户端只允许访问服务器Vlan
rule71permittcpsource10.0.20.110destination10.0.13.00.0.0.255destination-porteq22
rule72permittcpsource10.0.21.150destination10.0.13.00.0.0.255destination-porteq22
ACL通过一系列的匹配条件对报文进行分类,这些条件可以是报文的源MAC地址、目的MAC地址、源IP地址、目的IP地址、端口号等。
服务器区所有服务器网关均在核心交换机上,共有9个Vlan,9个网段分别如下;Vlan10-Vlan11网段分别为10.0.10.0/24-10.0.11.0/24Vlan14-Vlan19网段分别为10.0.14.0/24-10.0.19.0/24
交换机管理Vlan为Vlan1:10.0.13.0/24,核心交换机的管理ip为10.0.13.254,其余接入交换机网关均在核心交换机上;
客户端共有8个Vlan,分别为Vlan20-Vlan100,网段分别为10.0.20.0/24-10.0.100.0/24,网关均在核心交换机上;
3需求一:对服务器区服务器做安全防护,只允许客户端访问服务器某些端口
由于网络环境拓扑为客户端——客户端接入交换机——核心交换机——防火墙——服务器接入交换机——服务器,也即客户端访问服务器需要通过防火墙,所以对服务器的防护应该放到防火墙上来做,因为若用交换机来做过滤,配置麻烦且失去了防火墙应有的作用(此处不做防火墙配置介绍);
4需求二:交换机只允许固定管理员通过ssh登陆
此处做防护有较为方便的俩种方法
一:在所有交换机配置VTY时,调用ACL只允许源为网络管理员的IP访问,但此方法虽配置不复杂,但是配置工作量较大需要在所有交换机上配置,而且不灵活例如在网络管理员人员或者IP变迁时,需要重新修改所有交换机ACL,所以并不是首选方案;
二:因为管理交换机管理Vlan与所有客户端Vlan不在同一Vlan,也即客户端访问接入交换机必须通过核心交换机,所以可以在核心交换机上做ACL来控制客户端访对接入交换机的访问,核心交换机的访问通过VTY来调用ACL;配置部分在下面;
5需求三:客户端VLAN之间不能互相访问,客户端只允许访问服务器VLAN
一:在核心交换机上的所有链接客户端接入交换机端口做ACL,只放行访问服务器的流量,拒绝其余流量,但由于客户端接入交换机约有几十台,所以配置工作量大几十个端口都需要配置,所以也不是首选方案;二:在核心交换机上的客户端Vlan做Acl,只放行访问服务器的流量,拒绝其余流量,由于客户端Vlan共有8个所以相对于在物理接口上做ACL而言,工作量较小,所以选择此方案;
6配置部分
6.1ACL配置部分
aclnumber2000
rule5permitsource10.0.20.110
rule10permitsource10.0.21.150
rule15deny
//定义允许访问核心交换机的俩位网络管理员IP地址;
aclnumber3000
rule51permitipdestination10.0.10.00.0.0.255
rule53permitipdestination10.0.12.00.0.0.255
rule55permitipdestination10.0.14.00.0.0.255
rule56permitipdestination10.0.15.00.0.0.255
rule57permitipdestination10.0.16.00.0.0.255
rule58permitipdestination10.0.17.00.0.0.255
rule59permitipdestination10.0.18.00.0.0.255
rule60permitipdestination10.0.19.00.0.0.255
//定义所有客户端只允许访问服务器Vlan
rule71permittcpsource10.0.20.110destination10.0.13.00.0.0.255destination-porteq22
rule72permittcpsource10.0.21.150destination10.0.13.00.0.0.255destination-porteq22
已赞过
已踩过<
评论
收起
你对这个回答的评价是?
展开全部
华为交换机的vlan隔离策略要在vlan里应用traffic policy来做
#acl number 3011
rule 5 deny ip source 192.168.2.0 0.0.0.255 destination 192.168.1.0 0.0.0.255
rule 10 deny ip source 192.168.3.0 0.0.0.255 destination 192.168.1.0 0.0.0.255
rule 15 deny ip source 192.168.4.0 0.0.0.255 destination 192.168.1.0 0.0.0.255
rule 20 deny ip source 192.168.5.0 0.0.0.255 destination 192.168.1.0 0.0.0.255
rule 25 deny ip source 192.168.6.0 0.0.0.255 destination 192.168.1.0 0.0.0.255
rule 30 deny ip source 192.168.7.0 0.0.0.255 destination 192.168.1.0 0.0.0.255
rule 35 deny ip source 192.168.8.0 0.0.0.255 destination 192.168.1.0 0.0.0.255
rule 40 deny ip source 192.168.9.0 0.0.0.255 destination 192.168.1.0 0.0.0.255
#traffic classifier vlan11
if-match acl 3011
#
traffic behavior vlan11
deny
#
traffic policy vlan11
classifier vlan11 behavior vlan11
#
vlan 11
traffic-policy vlan11 outbound
vlan 11 是192.168.1.0段
策略是禁止192.168.2-9.0段访问192.168.1.0段
#acl number 3011
rule 5 deny ip source 192.168.2.0 0.0.0.255 destination 192.168.1.0 0.0.0.255
rule 10 deny ip source 192.168.3.0 0.0.0.255 destination 192.168.1.0 0.0.0.255
rule 15 deny ip source 192.168.4.0 0.0.0.255 destination 192.168.1.0 0.0.0.255
rule 20 deny ip source 192.168.5.0 0.0.0.255 destination 192.168.1.0 0.0.0.255
rule 25 deny ip source 192.168.6.0 0.0.0.255 destination 192.168.1.0 0.0.0.255
rule 30 deny ip source 192.168.7.0 0.0.0.255 destination 192.168.1.0 0.0.0.255
rule 35 deny ip source 192.168.8.0 0.0.0.255 destination 192.168.1.0 0.0.0.255
rule 40 deny ip source 192.168.9.0 0.0.0.255 destination 192.168.1.0 0.0.0.255
#traffic classifier vlan11
if-match acl 3011
#
traffic behavior vlan11
deny
#
traffic policy vlan11
classifier vlan11 behavior vlan11
#
vlan 11
traffic-policy vlan11 outbound
vlan 11 是192.168.1.0段
策略是禁止192.168.2-9.0段访问192.168.1.0段
来自:求助得到的回答
本回答被提问者采纳
已赞过
已踩过<
评论
收起
你对这个回答的评价是?
更多回答(1)
推荐律师服务:
若未解决您的问题,请您详细描述您的问题,通过百度律临进行免费专业咨询
