组网图形

配置通过流策略实现VLAN间三层隔离组网图

组网需求

如图一所示,为了通信的安全性,某公司将访客、员工、服务器分别划分到VLAN10、VLAN20、VLAN30中。公司希望:

  • 员工、服务器主机、访客均能访问Internet。
  • 访客只能访问Internet,不能与其他任何VLAN的用户通信。
  • 员工A可以访问服务器区的所有资源,但其他员工只能访问服务器A的21端口(FTP服务)。

配置思路

可采用如下思路配置通过流策略实现VLAN间互访控制:

1.      配置VLAN并将各接口加入VLAN,使员工、服务器、访客间二层隔离。

2.      配置VLANIF接口及其IP地址,使员工、服务器、访客间可三层互通。

3.      配置上行路由,使员工、服务器、访客均可通过Switch访问Internet。

4.      配置并应用流策略,使员工A可以访问服务器区的所有资源,其他员工只能访问服务器A的21端口,且只允许员工访问服务器;使访客只能访问Internet。

操作步骤

1.      配置VLAN并将各接口加入VLAN,使员工、服务器、访客间二层隔离

# 在Switch_1上创建VLAN10,并将接口GE0/0/1以Untagged方式加入VLAN10,接口GE0/0/2以Tagged方式加入VLAN10。Switch_2和Switch_3的配置与Switch_1类似,不再赘述。

<HUAWEI> system-view

[HUAWEI] sysname Switch_1

[Switch_1] vlan batch 10

[Switch_1] interface gigabitethernet 0/0/1

[Switch_1-GigabitEthernet0/0/1] port link-type access

[Switch_1-GigabitEthernet0/0/1] port default vlan 10

[Switch_1-GigabitEthernet0/0/1] quit

[Switch_1] interface gigabitethernet 0/0/2

[Switch_1-GigabitEthernet0/0/2] port link-type trunk

[Switch_1-GigabitEthernet0/0/2] port trunk allow-pass vlan 10

[Switch_1-GigabitEthernet0/0/2] quit

# 在Switch_4上创建VLAN10、VLAN20、VLAN30、VLAN100,并配置接口GE0/0/1~GE0/0/4分别以Tagged方式加入VLAN10、VLAN20、VLAN30、VLAN100。

<HUAWEI> system-view

[HUAWEI] sysname Switch_4

[Switch_4] vlan batch 10 20 30 100

[Switch_4] interface gigabitethernet 0/0/1

[Switch_4-GigabitEthernet0/0/1] port link-type trunk

[Switch_4-GigabitEthernet0/0/1] port trunk allow-pass vlan 10

[Switch_4-GigabitEthernet0/0/1] quit

[Switch_4] interface gigabitethernet 0/0/2

[Switch_4-GigabitEthernet0/0/2] port link-type trunk

[Switch_4-GigabitEthernet0/0/2] port trunk allow-pass vlan 20

[Switch_4-GigabitEthernet0/0/2] quit

[Switch_4] interface gigabitethernet 0/0/3

[Switch_4-GigabitEthernet0/0/3] port link-type trunk

[Switch_4-GigabitEthernet0/0/3] port trunk allow-pass vlan 30

[Switch_4-GigabitEthernet0/0/3] quit

[Switch_4] interface gigabitethernet 0/0/4

[Switch_4-GigabitEthernet0/0/4] port link-type trunk

[Switch_4-GigabitEthernet0/0/4] port trunk allow-pass vlan 100

[Switch_4-GigabitEthernet0/0/4] quit

2.      配置VLANIF接口及其IP地址,使员工、服务器、访客间可以三层互通

# 在Switch_4上创建VLANIF10、VLANIF20、VLANIF30、VLANIF100,并分别配置其IP地址为10.1.1.1/24、10.1.2.1/24、10.1.3.1/24、10.1.100.1/24。

[Switch_4] interface vlanif 10

[Switch_4-Vlanif10] ip address 10.1.1.1 24

[Switch_4-Vlanif10] quit

[Switch_4] interface vlanif 20

[Switch_4-Vlanif20] ip address 10.1.2.1 24

[Switch_4-Vlanif20] quit

[Switch_4] interface vlanif 30

[Switch_4-Vlanif30] ip address 10.1.3.1 24

[Switch_4-Vlanif30] quit

[Switch_4] interface vlanif 100

[Switch_4-Vlanif100] ip address 10.1.100.1 24

[Switch_4-Vlanif100] quit

3.      配置上行路由,使员工、服务器、访客均可通过Switch访问Internet。

# 在Switch_4上配置OSPF基本功能,发布用户网段以及Switch_4与Router之间的互联网段。

[Switch_4] ospf

[Switch_4-ospf-1] area 0

[Switch_4-ospf-1-area-0.0.0.0] network 10.1.1.0 0.0.0.255

[Switch_4-ospf-1-area-0.0.0.0] network 10.1.2.0 0.0.0.255

[Switch_4-ospf-1-area-0.0.0.0] network 10.1.3.0 0.0.0.255

[Switch_4-ospf-1-area-0.0.0.0] network 10.1.100.0 0.0.0.255

[Switch_4-ospf-1-area-0.0.0.0] quit

[Switch_4-ospf-1] quit

说明:

Router上需要进行如下配置:

  • 将连接Switch的接口以Tagged方式加入VLAN100,并指定VLANIF100的IP地址与10.1.100.1在同一网段。
  • 配置OSPF基本功能,并发布Switch与Router之间的互联网段。

具体配置请参见使用设备的产品文档,本文不再赘述。

4.      配置并应用流策略,控制员工、访客、服务器之间的访问

a.      通过ACL定义每个流

# 在Switch_4上配置ACL 3000,禁止访客访问员工区和服务器区。

[Switch_4] acl 3000

[Switch_4-acl-adv-3000] rule deny ip destination 10.1.2.1 0.0.0.255

[Switch_4-acl-adv-3000] rule deny ip destination 10.1.3.1 0.0.0.255

[Switch_4-acl-adv-3000] quit

# 在Switch_4上配置ACL 3001,使员工A可以访问服务器区的所有资源,其他员工只能访问服务器A的21端口。

[Switch_4] acl 3001

[Switch_4-acl-adv-3001] rule permit ip source 10.1.2.2 0 destination 10.1.3.1 0.0.0.255

[Switch_4-acl-adv-3001] rule permit tcp destination 10.1.3.2 0 destination-port eq 21

[Switch_4-acl-adv-3001] rule deny ip destination 10.1.3.1 0.0.0.255

[Switch_4-acl-adv-3001] quit

b.      配置流分类,区分不同的流

# 在Switch_4上创建流分类c_custom、c_staff,并分别配置匹配规则3000、3001。

[Switch_4] traffic classifier c_custom

[Switch_4-classifier-c_custom] if-match acl 3000

[Switch_4-classifier-c_custom] quit

[Switch_4] traffic classifier c_staff

[Switch_4-classifier-c_staff] if-match acl 3001

[Switch_4-classifier-c_staff] quit

c.      配置流行为,指定流动作

# 在Switch_4上创建流行为b1,并配置允许动作。

[Switch_4] traffic behavior b1

[Switch_4-behavior-b1] permit

[Switch_4-behavior-b1] quit

d.      配置流策略,关联流分类和流行为

# 在Switch_4上创建流策略p_custom、p_staff,并分别将流分类c_custom、c_staff与流行为b1关联。

[Switch_4] traffic policy p_custom

[Switch_4-trafficpolicy-p_custom] classifier c_custom behavior b1

[Switch_4-trafficpolicy-p_custom] quit

[Switch_4] traffic policy p_staff

[Switch_4-trafficpolicy-p_staff] classifier c_staff behavior b1

[Switch_4-trafficpolicy-p_staff] quit

e.      应用流策略,实现员工、访客、服务器之间的访问控制

# 在Switch_4上,分别在VLAN10、VLAN20的入方向应用流策略p_custom、p_staff。

[Switch_4] vlan 10

[Switch_4-vlan10] traffic-policy p_custom inbound

[Switch_4-vlan10] quit

[Switch_4] vlan 20

[Switch_4-vlan20] traffic-policy p_staff inbound

[Switch_4-vlan20] quit

5.      验证配置结果

配置访客A的IP地址为10.1.1.2/24,缺省网关为VLANIF10接口的IP地址10.1.1.1;配置员工A的IP地址为10.1.2.2/24,缺省网关为VLANIF20接口的从IP地址10.1.2.1;配置员工B的IP地址为10.1.2.3/24,缺省网关为VLANIF20接口的从IP地址10.1.2.1;配置服务器A的IP地址为10.1.3.2/24,缺省网关为VLANIF30接口的从IP地址10.1.3.1。

配置完成后:

  • 访客A不能Ping通员工A、服务器A;员工A和服务器A不能Ping通访客A。
  • 员工A可以Ping通服务器A,即可以使用服务器A的FTP服务,也可以使用服务器A的。
  • 员工B可以Ping不通服务器A,只能使用服务器A的FTP服务。
  • 访客、员工A、员工B、服务器A均可以Ping通Router连接Switch_4的接口的IP地址10.1.100.2/24,也就都可以访问Internet。
  • Switch_1的配置文件

配置文件

#

sysname Switch_1

#

vlan batch 10

#

interface GigabitEthernet0/0/1

 port link-type access

 port default vlan 10

#

interface GigabitEthernet0/0/2

 port link-type trunk

 port trunk allow-pass vlan 10

#

return

Switch_2的配置文件

#

sysname Switch_2

#

vlan batch 20

#

interface GigabitEthernet0/0/1

 port link-type access

 port default vlan 20

#

interface GigabitEthernet0/0/2

 port link-type access

 port default vlan 20

#

interface GigabitEthernet0/0/3

 port link-type trunk

 port trunk allow-pass vlan 20

#

return

Switch_3的配置文件

#

sysname Switch_3

#

vlan batch 30

#

interface GigabitEthernet0/0/1

 port link-type access

 port default vlan 30

#

interface GigabitEthernet0/0/2

 port link-type trunk

 port trunk allow-pass vlan 30

#

return

Switch_4的配置文件

#

sysname Switch_4

#

vlan batch 10 20 30 100

#

acl number 3000

 rule 5 deny ip destination 10.1.2.0 0.0.0.255

 rule 10 deny ip destination 10.1.3.0 0.0.0.255

acl number 3001

 rule 5 permit tcp destination 10.1.3.2 0 destination-port eq ftp

 rule 10 permit ip source 10.1.2.2 0 destination 10.1.3.0 0.0.0.255

 rule 15 deny ip destination 10.1.3.0 0.0.0.255

#

traffic classifier c_custom operator and

 if-match acl 3000

traffic classifier c_staff operator and

 if-match acl 3001

#

traffic behavior b1

 permit

#

traffic policy p_custom match-order config

 classifier c_custom behavior b1

traffic policy p_staff match-order config

 classifier c_staff behavior b1

#

vlan 10

 traffic-policy p_custom inbound

vlan 20

 traffic-policy p_staff inbound

#

interface Vlanif10

 ip address 10.1.1.1 255.255.255.0

#

interface Vlanif20

 ip address 10.1.2.1 255.255.255.0

#

interface Vlanif30

 ip address 10.1.3.1 255.255.255.0

#

interface Vlanif100

 ip address 10.1.100.1 255.255.255.0

#

interface GigabitEthernet0/0/1

 port link-type trunk

 port trunk allow-pass vlan 10

#

interface GigabitEthernet0/0/2

 port link-type trunk

 port trunk allow-pass vlan 20

#

interface GigabitEthernet0/0/3

 port link-type trunk

 port trunk allow-pass vlan 30

#

interface GigabitEthernet0/0/4

 port link-type trunk

 port trunk allow-pass vlan 100

#

ospf 1

 area 0.0.0.0

  network 10.1.1.0 0.0.0.255

  network 10.1.2.0 0.0.0.255

  network 10.1.3.0 0.0.0.255

  network 10.1.100.0 0.0.0.255

#

return

华为S5700系列交换机配置通过流策略实现VLAN间三层隔离的更多相关文章

  1. 华为S5700系列交换机配置通过Telnet登录设备

    声明:不管什么服务,都需要交换机开启服务,创建对应权限的用户,在通道下允许协议通过,缺一不可,以telnet为例. 组网图形 图1 配置通过Telnet登录设备组网图 组网需求 如图一所示,PC与设备 ...

  2. 华为S5700系列交换机使用高级ACL限制不同网段的用户互访

    组网图形 图1 使用高级ACL限制不同网段的用户互访示例 组网需求 如图一所示,某公司通过Switch实现各部门之间的互连.为方便管理网络,管理员为公司的研发部和市场部规划了两个网段的IP地址.同时为 ...

  3. 华为S5700系列交换机AR配置静态IP双链路负载分担

    适用于:有多个以太WAN口的机型. 业务需求: 运营商1分配的接口IP为100.100.1.2,子网掩码为255.255.255.252,网关IP为100.100.1.1. 运营商2分配的接口IP为2 ...

  4. 华为S5700系列交换机配置文件导出、导入

    一.导出 配置用户名密码,使能ftp ftp server enable aaa local-user putty password cipher putty123 local-user putty ...

  5. 华为QUIDWAY系列交换机的console重置

    作者:邓聪聪 华为QUIDWAY系列交换机的console重置 这里以华为QUIDWAY S3700密码清除为例: 各位看官请自行注意,这是两个不同版本设备的重置方法. 一:方法1 首先在电脑上新建一 ...

  6. 思科Cisco 2960系列交换机配置命令

    配置密码: 2960>en :第一次密码为空 2960h#conf t :进入全局配置模式 2960(config)#hostname swa :设置交换机名 2960(config)#enab ...

  7. 路由器配置——单臂路由实现VLAN间通信

    一.实验目的:用路由器使同和不同vlan可以通信 二.拓扑图如下: 三.具体步骤: (1)R1路由器配置: Router>en  --进入特权模式Router#conf t  --进入全局配置模 ...

  8. 华为S5300系列交换机限制特定IP可以登录Web

    针对Web管理可能有如下需求: 1.限制某个特定IP允许访问Web 2.默认修改80端口访问 那么针对上面的设置可以有效杜绝而已Web密码暴力破解,增强交换机安全等. 实现: 1.限制特定IP登录We ...

  9. 华为S5300系列交换机V100R005SPH021升级补丁

    S23_33_53-V100R005SPH021.pat 附件: 链接:https://pan.baidu.com/s/1xaEZa8hn8psHSQXrk2d9yA  密码:9b6o

随机推荐

  1. CSV转PDF(C++)

    CSV : Comma Separate Values 特点: 每条记录占一行 以逗号为分隔符 逗号前后的空格会被忽略 字段中包含有逗号,该字段必须用双引号括起来 字段中包含有换行符,该字段必须用双引 ...

  2. Extjs4 中date时间格式的问题

    在Grid中显示时间,后台传过来的是date格式的数据(PHP date('Y-m-d', time()),一般在Ext model中定义数据的类型和格式: {name:'birth', type:' ...

  3. SpringMVC学习(十一)——SpringMVC实现Resultful服务

    http://blog.csdn.net/yerenyuan_pku/article/details/72514034 Restful就是一个资源定位及资源操作的风格,不是标准也不是协议,只是一种风格 ...

  4. Hibernate 中多对多(many-to-many)关系的查询语句

    两个对象: 学生表:Student 课程表:Course 两者的关系是多对多,当查询Student对象,并以Course对象作为条件时的sql语句写法如下: select pa from Studen ...

  5. NavigationBar 背景颜色,字体颜色

    // 设置状态栏颜色 [application setStatusBarStyle:UIStatusBarStyleLightContent]; // 设置导航栏 [[UINavigationBar ...

  6. 关于Z序的总结

    //转自:http://blog.csdn.net/flowshell/article/details/4797917 Z 序:一个重叠窗口的堆,每个窗口在Z 序中 都有唯一一个位置.一个窗口的Z 序 ...

  7. 170111、MapperScannerConfigurer处理过程源码分析

    前言 本文将分析mybatis与spring整合的MapperScannerConfigurer的底层原理,之前已经分析过java中实现动态,可以使用jdk自带api和cglib第三方库生成动态代理. ...

  8. RPC远程过程调用概念及实现

    RPC框架学习笔记 >>什么是RPC RPC 的全称是 Remote Procedure Call 是一种进程间通信方式. 它允许程序调用另一个地址空间(通常是共享网络的另一台机器上)的过 ...

  9. javascript的解析过程

    引言: javascript是一种解释型的脚本语言,它不同于java或者c#这种编译语言,不需要编译成游览器可识别的语言,而是由游览器动态解析和执行的.(本身就是游览器可以直接识别,javascrip ...

  10. 创建自己的java类库并加以调用方法

    第一次搞博客,心里有点发慌,记录一下:2018/2/1/   21:33 今天Think In Java第4版 中文版(英文看着可能很耗时),看到了6.1.3 定制工具库这一章节,之前作者调用自己的类 ...