Author:Jin
Date:2014-07-05

一、情况描述
调整前
TP-LINK上联光猫 WLAN PPPOE 拨号,LAN 192.168.1.1 DHCP功能 提供给目前在7楼的办公
TP-LINK下联华为S5700S三层交换 当二层,下面再挂了5个二层交换机

调整需求
设备变更:
增加硬件防火墙拿掉TPLINK
业务变更:
划分3个vlan
vlan1 原来192.168.1公司人员使用
vlan2 给访客 无线AP
vlan6 6楼有线和无线 临时将场地借给合作方公司用一段时间
访问控制
vlan2 vlan6不能访问vlan1
vlan2 vlan6 相互不能访问
合作方离开后vlan6可以访问vlan1 给新的团队用

调整后
防火墙:
SSG140 0/1成一个组 上联光猫 连接外网拨号
SSG140 8/9 一千兆口组成一个组 配置IP 192.168.1.1 上面有DHCP Server DHCP网关192.168.1.1 下联华为S5700S三层交换
静态路由添加(不添加可以上网,但肯定无法和其他网段互通)
192.168.2.0 192.168.1.254 网口 8/9组成网卡组
192.168.6.0 192.168.1.254 网口 8/9组成网卡组
对192.168.6.0网段有网速限制
对192.168.2.0网段有网速限制

三层交换
华为S5700S三层交换上面划分三个VLAN
Vlanif1 192.168.1.254 上面没有dhcp #为了现有员工和服务器配置不变化,这里没有配置DHCP Server,由防火墙提供
Vlanif2 192.168.2.254 上面有dhcp 网关192.168.2.254
Vlanif6 192.168.6.254 上面有dhcp 网关192.168.6.254

二、问题描述
在Vlan2 Vlan6中获取的ip
可以ping通
192.168.2.254
192.168.6.254
192.168.1.254
192.168.1.1
192.168.1.120(我自己的linux测试机)

但无法192.168.1.120上的http服务,以及其他服务器的其他服务

三、排查步骤
查资源获取默认没有配置ACL的情况下 各个VLAN应该是互通的
难道是防火墙策略,防火墙上添加策略还是无法访问,而且也是信任区域,不应该有策略限制
打算抓包看看,笔记本上没有工具,网上随便下载不太安全。跳过

是不是因为192.168.1.0段没有路由回来的原因??
C:\Users\jin>tracert -d 192.168.1.4

通过最多 30 个跃点跟踪到 192.168.1.4 的路由

1 4 ms 3 ms 7 ms 192.168.2.254
2 <1 毫秒 <1 毫秒 <1 毫秒 192.168.1.4
没有经过防火墙

但是防火墙上面指回来那条路由一定要有
如果没有的话
C:\Users\jin>tracert -d 192.168.1.4

通过最多 30 个跃点跟踪到 192.168.1.4 的路由

1 9 ms 4 ms 5 ms 192.168.6.2
2 * * * 请求超时。
3 * * * 请求超时。

分析:因为192.168.1.120网关设置的是192.168.1.1的原因?
192.168.1.120网关设置的是192.168.1.254测试

测试:
切换到vlan2或者vlan6访问
vlan2 可以访问 http://192.168.1.220:8080/Login
vlan6 可以访问 http://192.168.1.220:8080/Login

可见是目标服务器回路的问题
三层交换开启vlanif就有路由功能,两个网段网关在不同的设备上,造成问题
vlan2通过192.168.2.254(三层交换)到192.168.1.120
192.168.1.120将宝发送到192.168.1.1(防火墙)
192.168.1.1(防火墙)有目标为192.168.2.0的路由到192.168.2.254
感觉可以回来,实际无法回来。

注意:后续如果要让vlan6可以访问vlan1的服务器的话需要把vlan1中的服务器默认网关修改192.168.1.254
用户不用修改,除非要访问开发人员的开发环境。

四、禁止vlan2 vlan6访问VLAN1
1.配置ACL
acl name vlan1deny 3001
rule 5 deny icmp source 192.168.2.0 0.0.0.255 destination 192.168.1.0 0.0.0.255
rule 10 deny ip source 192.168.2.0 0.0.0.255 destination 192.168.1.0 0.0.0.255
rule 15 deny icmp source 192.168.6.0 0.0.0.255 destination 192.168.1.0 0.0.0.255
rule 20 deny ip source 192.168.6.0 0.0.0.255 destination 192.168.1.0 0.0.0.255
#禁止IP协议即可 控制三层,除非要具体控制TCP/UDP端口服务

2.定义流策略
[Quidway]traffic classifier vlan1deny
[Quidway-classifier-vlan1deny]if-match acl 3001
[Quidway-classifier-vlan1deny]quit

3.定义流动作
[Quidway]traffic behavior vlan1deny
[Quidway-behavior-vlan1deny]permit
[Quidway-behavior-vlan1deny]quit
#动作设置为permit,对应需要特殊通过的场景。这里deny和rule中的rule deny有一个,规则就是拒绝

4.引用流策略和动作
[Quidway]traffic policy vlan1deny
[Quidway-trafficpolicy-vlan1deny]classifier vlan1deny behavior vlan1deny

5.在应用到相应的端口
[Quidway]traffic-policy vlan1deny global inbound
##在设置的时候只有global可选???

6.测试
vlan6访问我自己办公电脑
PING
C:\Users\jin>ping 192.168.1.77

正在 Ping 192.168.1.77 具有 32 字节的数据:
Control-C
C:\Users\jin>ping 192.168.1.1

正在 Ping 192.168.1.1 具有 32 字节的数据:
请求超时。
请求超时。

HTTP
http://192.168.1.220:8080/login 无法访问

vlan2访问 无法访问

达到要求

五、禁止vlan2 vlan6访问VLAN1 但其中有个IP例外
现在对我笔记本 IP 192.168.2.199例外
因为我设置的流动作是permit 所以具体控制都在rule里控制

1.计算反掩码
下载一个工具甲酸反码
192.168.2.199 0.0.31.255
添加
acl name vlan1deny 3001
rule 25 permit ip source 192.168.2.199 0.0.31.255 destination 192.168.1.0 0.0.0.255
确认
[Quidway-acl-adv-vlan1deny]dis this
#
acl name vlan1deny 3001
rule 5 deny icmp source 192.168.2.0 0.0.0.255 destination 192.168.1.0 0.0.0.255
rule 10 deny ip source 192.168.2.0 0.0.0.255 destination 192.168.1.0 0.0.0.255
rule 15 deny icmp source 192.168.6.0 0.0.0.255 destination 192.168.1.0 0.0.0.255
rule 20 deny ip source 192.168.6.0 0.0.0.255 destination 192.168.1.0 0.0.0.255
rule 25 permit ip source 192.168.0.0 0.0.31.255 destination 192.168.1.0 0.0.0.255

测试无法访问,反掩码有问题单个IP的反码应该为0.0.0.0
undo rule 25
rule 25 permit ip source 192.168.2.199 0.0.0.0 destination 192.168.1.0 0.0.0.255
确认
[Quidway-acl-adv-vlan1deny]dis this
#
acl name vlan1deny 3001
rule 5 deny icmp source 192.168.2.0 0.0.0.255 destination 192.168.1.0 0.0.0.255
rule 10 deny ip source 192.168.2.0 0.0.0.255 destination 192.168.1.0 0.0.0.255
rule 15 deny icmp source 192.168.6.0 0.0.0.255 destination 192.168.1.0 0.0.0.255
rule 20 deny ip source 192.168.6.0 0.0.0.255 destination 192.168.1.0 0.0.0.255
rule 25 permit ip source 192.168.2.199 0 destination 192.168.1.0 0.0.0.255

测试还是无法访问。顺序问题?
undo rule 25
rule 0 permit ip source 192.168.2.199 0.0.0.0 destination 192.168.1.0 0.0.0.255
确认
[Quidway-acl-adv-vlan1deny]dis this
#
acl name vlan1deny 3001
rule 0 permit ip source 192.168.2.199 0 destination 192.168.1.0 0.0.0.255
rule 5 deny icmp source 192.168.2.0 0.0.0.255 destination 192.168.1.0 0.0.0.255
rule 10 deny ip source 192.168.2.0 0.0.0.255 destination 192.168.1.0 0.0.0.255
rule 15 deny icmp source 192.168.6.0 0.0.0.255 destination 192.168.1.0 0.0.0.255
rule 20 deny ip source 192.168.6.0 0.0.0.255 destination 192.168.1.0 0.0.0.255

访问测试,可以在访问了
对比测试,我修改IP为192.168.2.198看看,修改后测试无法访问

配置成功

Vlan访问控制ACL的更多相关文章

  1. emqtt 试用(四)emq 的主题访问控制 acl.conf

    访问控制(ACL) EMQ 消息服务器通过 ACL(Access Control List) 实现 MQTT 客户端访问控制. ACL 访问控制规则定义: 允许(Allow)|拒绝(Deny) 谁(W ...

  2. emqtt emq 的主题访问控制 acl.conf

    访问控制(ACL) EMQ 消息服务器通过 ACL(Access Control List) 实现 MQTT 客户端访问控制. ACL 访问控制规则定义: 允许(Allow)|拒绝(Deny) 谁(W ...

  3. VLAN技术 & ACL访问控制

    VLAN介绍与配置 VLAN概述 交换网络中的问题 VLAN(Virtual Local Area Network) 在物理网络上划分出逻辑网 ,对应OS模型第二层 VLAN划分不受端口物理位置限制, ...

  4. 负载均衡服务之HAProxy访问控制ACL

    前文我们聊到了haproxy的错误页的配置,自定义日志的配置,回顾请参考https://www.cnblogs.com/qiuhom-1874/p/12797913.html:今天我们主要来看看hap ...

  5. 文件系统访问控制ACL设置

    1.传统Linux文件系统权限的问题 传统Linux文件系统有三类用户:文件属主-u,组用户-g,其它用户-o,以及三种访问权限:读-r,写-w,执行或目录进入-x,但很多时候并不能满足对文件访问的细 ...

  6. 三层交换配置VLAN+DHCP+ACL

    使用思科模拟软件Cisco Packet Tracer Student,软件功能有限,只能架设简单的网络架构,适合初学者使用.

  7. Cisco VLAN ACL配置

    什么是ACL? ACL全称访问控制列表(Access Control List),主要通过配置一组规则进行过滤路由器或交换机接口进出的数据包, 是控制访问的一种网络技术手段, ACL适用于所有的被路由 ...

  8. [na]华为acl(traffic-filter)和dhcp管理

    这个是财务网络的一个问题, 要求财务的某台机器能访问其他部门区的打印机. 其他部门是不能访问到财务网络的. 华为alc配置实例:-traffic-filter # 在VLAN100上配置基于ACL的报 ...

  9. Squid 访问控制配置

    Squid 访问控制配置 主配置文件内加入限制参数 vim /etc/squid/squid.conf # 访问控制 acl http proto HTTP # 限制访问 good_domain添加两 ...

随机推荐

  1. UBIFS学习笔记

    在做项目的时候,发现flash芯片有异常现象,经过打印分析,发现是UBIFS方面设置有一些问题,经过查阅一部分资料,最终得到问题的答案. 在解决问题的过程中,发现打印信息比较重要,但网上并没有直接的相 ...

  2. Linux 删除文件后空间不释放【原创】

    删除MySQL备份文件后,查找文件所在目录发现文件已经备删除了,但是空间没有释放,还是83% 解决方法: lsof|grep -i delete 发现进程还在,杀掉进程 kill -9 5377 再次 ...

  3. MongoDB 3.x 安装配置

    目录 (见右侧目录栏导航)- 1. 安装Mongodb    - 1.1 使用二进制包安装    - 1.2 运行MongoDB- 2. MongoDB 配置文件详解    - 2.1 说明    - ...

  4. mysql一个字符问题

    顺便记录一下在使用mysql过程中碰到的一些问题: 有时候使用脚本迁移数据时会碰到乱码的问题,即使将表字符集设置成utf8也无济于事,这个时候在执行sql之前加一句set names utf8即可.

  5. 浅谈BeanUtils的拷贝,深度克隆

    1.BeanUtil本地简单测试在项目中由于需要对某些对象进行深度拷贝然后进行持久化操作,想到了apache和spring都提供了BeanUtils的深度拷贝工具包,自己写了几个Demo做测试,定义了 ...

  6. 关于HTML5 boilerplate 的一些笔记

    最近在研究HTML5 boilerplate的模版,以此为线索可以有条理地学习一些前端的best practice,好过在W3C的文档汪洋里大海捞针……啊哈哈哈…… 开头的IE探测与no-js类是什么 ...

  7. Web前端开发最佳实践(1):前端开发概述

    引言 我从07年开始进入博客园,从最开始阅读别人的文章到自己开始尝试表达一些自己对技术的看法.可以说,博客园是我参与技术讨论的一个主要的平台.在这其间,随着接触技术的广度和深度的增加,也写了一些得到了 ...

  8. 免费的.NET混淆和反编译工具

    免费的.NET代码混淆工具: Eazfuscator.NET  http://www.foss.kharkov.ua/g1/projects/eazfuscator/dotnet/Default.as ...

  9. Robot Framework自动化测试的应用

    Robot Framework自动化测试的应用(一) 最近尝试用Robot Framework代替之前全部采用python实现测试case,开始对Robot Framework进行些了解学习. 1. ...

  10. shell-sed命令详解(转)

    (转自http://blog.csdn.net/wl_fln/article/details/7281986) Sed简介 sed是一种在线编辑器,它一次处理一行内容.处理时,把当前处理的行存储在临时 ...