组网图形

使用高级ACL限制不同网段的用户互访示例

组网需求

如图一所示,某公司通过Switch实现各部门之间的互连。为方便管理网络,管理员为公司的研发部和市场部规划了两个网段的IP地址。同时为了隔离广播域,又将两个部门划分在不同VLAN之中。现要求Switch能够限制两个网段之间互访,防止公司机密泄露。

配置思路

采用如下的思路在Switch上进行配置:

1.   配置高级ACL和基于ACL的流分类,使设备可以对研发部与市场部互访的报文进行过滤。

2.   配置流行为,拒绝匹配上ACL的报文通过。

3.   配置并应用流策略,使ACL和流行为生效。

操作步骤

1.   配置接口所属的VLAN以及接口的IP地址

# 创建VLAN10和VLAN20。

<HUAWEI> system-view

[HUAWEI] sysname Switch

[Switch] vlan batch 10 20

# 配置Switch的接口GE1/0/1和GE1/0/2为trunk类型接口,并分别加入VLAN10和VLAN20。

[Switch] interface gigabitethernet 1/0/1

[Switch-GigabitEthernet1/0/1] port link-type trunk

[Switch-GigabitEthernet1/0/1] port trunk allow-pass vlan 10

[Switch-GigabitEthernet1/0/1] quit

[Switch] interface gigabitethernet 1/0/2

[Switch-GigabitEthernet1/0/2] port link-type trunk

[Switch-GigabitEthernet1/0/2] port trunk allow-pass vlan 20

[Switch-GigabitEthernet1/0/2] quit

# 创建VLANIF10和VLANIF20,并配置各VLANIF接口的IP地址。

[Switch] interface vlanif 10

[Switch-Vlanif10] ip address 10.1.1.1 24

[Switch-Vlanif10] quit

[Switch] interface vlanif 20

[Switch-Vlanif20] ip address 10.1.2.1 24

[Switch-Vlanif20] quit

2.   配置ACL

# 创建高级ACL 3001并配置ACL规则,拒绝研发部访问市场部的报文通过。

[Switch] acl 3001

[Switch-acl-adv-3001] rule deny ip source 10.1.1.0 0.0.0.255 destination 10.1.2.0 0.0.0.255

[Switch-acl-adv-3001] quit

# 创建高级ACL 3002并配置ACL规则,拒绝市场部访问研发部的报文通过。

[Switch] acl 3002

[Switch-acl-adv-3002] rule deny ip source 10.1.2.0 0.0.0.255 destination 10.1.1.0 0.0.0.255

[Switch-acl-adv-3002] quit

3.   配置基于高级ACL的流分类

# 配置流分类tc1,对匹配ACL 3001和ACL 3002的报文进行分类。

[Switch] traffic classifier tc1

[Switch-classifier-tc1] if-match acl 3001

[Switch-classifier-tc1] if-match acl 3002

[Switch-classifier-tc1] quit

4.   配置流行为

# 配置流行为tb1,动作为拒绝报文通过。

[Switch] traffic behavior tb1

[Switch-behavior-tb1] deny

[Switch-behavior-tb1] quit

5.   配置流策略

# 定义流策略,将流分类与流行为关联。

[Switch] traffic policy tp1

[Switch-trafficpolicy-tp1] classifier tc1 behavior tb1

[Switch-trafficpolicy-tp1] quit

6.   在接口下应用流策略

# 由于研发部和市场部互访的流量分别从接口GE1/0/1和GE1/0/2进入Switch,所以在接口GE1/0/1和GE1/0/2的入方向应用流策略。

[Switch] interface gigabitethernet 1/0/1

[Switch-GigabitEthernet1/0/1] traffic-policy tp1 inbound

[Switch-GigabitEthernet1/0/1] quit

[Switch] interface gigabitethernet 1/0/2

[Switch-GigabitEthernet1/0/2] traffic-policy tp1 inbound

[Switch-GigabitEthernet1/0/2] quit

7.   验证配置结果

# 查看ACL规则的配置信息。

[Switch] display acl 3001

Advanced ACL 3001, 1 rule

Acl's step is 5

 rule 5 deny ip source 10.1.1.0 0.0.0.255 destination 10.1.2.0 0.0.0.255

[Switch] display acl 3002

Advanced ACL 3002, 1 rule

Acl's step is 5

 rule 5 deny ip source 10.1.2.0 0.0.0.255 destination 10.1.1.0 0.0.0.255

# 查看流分类的配置信息。

[Switch] display traffic classifier user-defined

  User Defined Classifier Information:

   Classifier: tc1

    Precedence: 5

    Operator: OR

    Rule(s) : if-match acl 3001

              if-match acl 3002

Total classifier number is 1

# 查看流策略的配置信息。

[Switch] display traffic policy user-defined tp1

  User Defined Traffic Policy Information:

  Policy: tp1

   Classifier: tc1

    Operator: OR

     Behavior: tb1

      Deny

# 研发部和市场部所在的两个网段之间不能互访。

配置文件

Switch的配置文件

#

sysname Switch

#

vlan batch 10 20

#

acl number 3001

 rule 5 deny ip source 10.1.1.0 0.0.0.255 destination 10.1.2.0 0.0.0.255

acl number 3002

 rule 5 deny ip source 10.1.2.0 0.0.0.255 destination 10.1.1.0 0.0.0.255

#

traffic classifier tc1 operator or precedence 5

if-match acl 3001

 if-match acl 3002

#

traffic behavior tb1

deny

#

traffic policy tp1 match-order config

classifier tc1 behavior tb1

#

interface Vlanif10

ip address 10.1.1.1 255.255.255.0

#

interface Vlanif20

ip address 10.1.2.1 255.255.255.0

#

interface GigabitEthernet1/0/1

port link-type trunk

 port trunk allow-pass vlan 10

 traffic-policy tp1 inbound

#

interface GigabitEthernet1/0/2

port link-type trunk

 port trunk allow-pass vlan 20

 traffic-policy tp1 inbound

#

return

华为S5700系列交换机使用高级ACL限制不同网段的用户互访的更多相关文章

  1. 华为S5700系列交换机配置通过Telnet登录设备

    声明:不管什么服务,都需要交换机开启服务,创建对应权限的用户,在通道下允许协议通过,缺一不可,以telnet为例. 组网图形 图1 配置通过Telnet登录设备组网图 组网需求 如图一所示,PC与设备 ...

  2. 华为S5700系列交换机配置通过流策略实现VLAN间三层隔离

    组网图形 图1 配置通过流策略实现VLAN间三层隔离组网图 组网需求 如图一所示,为了通信的安全性,某公司将访客.员工.服务器分别划分到VLAN10.VLAN20.VLAN30中.公司希望: 员工.服 ...

  3. 华为S5700系列交换机AR配置静态IP双链路负载分担

    适用于:有多个以太WAN口的机型. 业务需求: 运营商1分配的接口IP为100.100.1.2,子网掩码为255.255.255.252,网关IP为100.100.1.1. 运营商2分配的接口IP为2 ...

  4. 华为S5700系列交换机配置文件导出、导入

    一.导出 配置用户名密码,使能ftp ftp server enable aaa local-user putty password cipher putty123 local-user putty ...

  5. 华为QUIDWAY系列交换机的console重置

    作者:邓聪聪 华为QUIDWAY系列交换机的console重置 这里以华为QUIDWAY S3700密码清除为例: 各位看官请自行注意,这是两个不同版本设备的重置方法. 一:方法1 首先在电脑上新建一 ...

  6. 华为S5300系列交换机限制特定IP可以登录Web

    针对Web管理可能有如下需求: 1.限制某个特定IP允许访问Web 2.默认修改80端口访问 那么针对上面的设置可以有效杜绝而已Web密码暴力破解,增强交换机安全等. 实现: 1.限制特定IP登录We ...

  7. 华为S5300系列交换机V100R005SPH021升级补丁

    S23_33_53-V100R005SPH021.pat 附件: 链接:https://pan.baidu.com/s/1xaEZa8hn8psHSQXrk2d9yA  密码:9b6o

  8. 华为S5300系列交换机V100R005SPH020升级补丁

    S23_33_53-V100R005SPH020.pat 附件: 链接:https://pan.baidu.com/s/1-qgNEtRsZbNnC4eK4DTctA  密码:wpn3

  9. 华为S5300系列交换机V100R006SPH019升级补丁

    S5300_V100R006SPH019.pat 附件: 链接:https://pan.baidu.com/s/1M1S5amGGViUieSp8lJ9psw  密码:sexx

随机推荐

  1. Linux shell(. /path/filename)

    在 /etc/profile 文件中,有一段脚本: if [ -f /etc/bash.bashrc ]; then . /etc/bash.bashrc fi 这里的 “点号 + 空格 + 文件” ...

  2. Django 找不到模版报错" django.template.exceptions.TemplateDoesNotExist: index.html"

    解决办法:在setting.py的TEMPLATES‘DIRS'[]加入模版路径 os.path.join(BASE_DIR, 'templates') TEMPLATES = [ { 'BACKEN ...

  3. TypeScript 接口(三)

    TypeScript的核心原则之一是对值所具有的结构进行类型检查. 接口初始: interface objProperty { name: string } function printName(na ...

  4. [原创]adb使用教程v1.1.0-----by-----使用logcat快速抓取android崩溃日志

    原文再续,书接上回:<使用logcat快速抓取android崩溃日志>中提到的工具包可以下载拉~ <使用logcat快速抓取android崩溃日志>:http://www.cn ...

  5. js如何去除多个cookie?

    转自:https://zhidao.baidu.com/question/211006012.html :1:设置cookie 最简单的就是:document.cookie="user=aa ...

  6. No transactional EntityManager available; nested exception is javax.persistence.TransactionRequiredException: No transactional EntityManager available

    参考地址:http://docs.spring.io/spring-data/jpa/docs/current/api/org/springframework/data/jpa/repository/ ...

  7. jquery验证手机号码

    function checkSubmitMobil() { if ($("#tel").val() == "") { alert("手机号码不能为空! ...

  8. 《挑战程序设计竞赛》2.6 数学问题-辗转相除法 AOJ0005 POJ2429 1930(1)

    AOJ0005 http://judge.u-aizu.ac.jp/onlinejudge/description.jsp?id=0005 题意 给定两个数,求其最大公约数GCD以及最小公倍数LCM. ...

  9. CSRF Cross-site request forgery

    w 跨站请求伪造目标站---无知用户---恶意站 http://fallensnow-jack.blogspot.com/2011/08/webgoat-csrf.html https://wiki. ...

  10. Java 之包

    作用: 对类文件进行分类管理, 类似于文件夹 给类提供多层命名(名称)空间 写在程序的第一行, 包名使用小写 类名的全称是: 包名.类名 包也是一种封装形式 // 示例 package mypack; ...