2. 程式人生 > >華為S5700系列交換機使用高階ACL限制不同網段的使用者互訪

華為S5700系列交換機使用高階ACL限制不同網段的使用者互訪

阿新 發佈:2019-01-15

組網圖形

使用高階ACL限制不同網段的使用者互訪示例 

組網需求

如圖一所示,某公司通過Switch實現各部門之間的互連。為方便管理網路,管理員為公司的研發部和市場部規劃了兩個網段的IP地址。同時為了隔離廣播域,又將兩個部門劃分在不同VLAN之中。現要求Switch能夠限制兩個網段之間互訪,防止公司機密洩露。

配置思路

採用如下的思路在Switch上進行配置:

1.   配置高階ACL和基於ACL的流分類,使裝置可以對研發部與市場部互訪的報文進行過濾。

2.   配置流行為,拒絕匹配上ACL的報文通過。

3.   配置並應用流策略,使ACL和流行為生效。

操作步驟

1.   配置介面所屬的VLAN以及介面的IP地址

# 建立VLAN10和VLAN20。

<HUAWEI> system-view
[HUAWEI] sysname Switch
[Switch] vlan batch 10 20

# 配置Switch的介面GE1/0/1和GE1/0/2為trunk型別介面,並分別加入VLAN10和VLAN20。

[Switch] interface gigabitethernet 1/0/1
[Switch-GigabitEthernet1/0/1] port link-type trunk
[Switch-GigabitEthernet1/0/1] port trunk allow-pass vlan 10
[Switch-GigabitEthernet1/0/1] quit
[Switch] interface gigabitethernet 1/0/2
[Switch-GigabitEthernet1/0/2] port link-type trunk
[Switch-GigabitEthernet1/0/2] port trunk allow-pass vlan 20
[Switch-GigabitEthernet1/0/2] quit

# 建立VLANIF10和VLANIF20,並配置各VLANIF介面的IP地址。

[Switch] interface vlanif 10
[Switch-Vlanif10] ip address 10.1.1.1 24
[Switch-Vlanif10] quit
[Switch] interface vlanif 20
[Switch-Vlanif20] ip address 10.1.2.1 24
[Switch-Vlanif20] quit

2.   配置ACL

# 建立高階ACL 3001並配置ACL規則,拒絕研發部訪問市場部的報文通過。

[Switch] acl 3001
[Switch-acl-adv-3001] rule deny ip source 10.1.1.0 0.0.0.255 destination 10.1.2.0 0.0.0.255
[Switch-acl-adv-3001] quit

# 建立高階ACL 3002並配置ACL規則,拒絕市場部訪問研發部的報文通過。

[Switch] acl 3002
[Switch-acl-adv-3002] rule deny ip source 10.1.2.0 0.0.0.255 destination 10.1.1.0 0.0.0.255
[Switch-acl-adv-3002] quit

3.   配置基於高階ACL的流分類

# 配置流分類tc1,對匹配ACL 3001和ACL 3002的報文進行分類。

[Switch] traffic classifier tc1
[Switch-classifier-tc1] if-match acl 3001
[Switch-classifier-tc1] if-match acl 3002
[Switch-classifier-tc1] quit

4.   配置流行為

# 配置流行為tb1,動作為拒絕報文通過。

[Switch] traffic behavior tb1
[Switch-behavior-tb1] deny
[Switch-behavior-tb1] quit

5.   配置流策略

# 定義流策略,將流分類與流行為關聯。

[Switch] traffic policy tp1
[Switch-trafficpolicy-tp1] classifier tc1 behavior tb1
[Switch-trafficpolicy-tp1] quit

6.   在介面下應用流策略

# 由於研發部和市場部互訪的流量分別從介面GE1/0/1和GE1/0/2進入Switch,所以在介面GE1/0/1和GE1/0/2的入方向應用流策略。

[Switch] interface gigabitethernet 1/0/1
[Switch-GigabitEthernet1/0/1] traffic-policy tp1 inbound
[Switch-GigabitEthernet1/0/1] quit
[Switch] interface gigabitethernet 1/0/2
[Switch-GigabitEthernet1/0/2] traffic-policy tp1 inbound
[Switch-GigabitEthernet1/0/2] quit

7.   驗證配置結果

# 檢視ACL規則的配置資訊。

[Switch] display acl 3001
Advanced ACL 3001, 1 rule                                                      
Acl's step is 5                                                               
 rule 5 deny ip source 10.1.1.0 0.0.0.255 destination 10.1.2.0 0.0.0.255
[Switch] display acl 3002
Advanced ACL 3002, 1 rule                                                      
Acl's step is 5                                                               
 rule 5 deny ip source 10.1.2.0 0.0.0.255 destination 10.1.1.0 0.0.0.255

# 檢視流分類的配置資訊。

[Switch] display traffic classifier user-defined
  User Defined Classifier Information:
   Classifier: tc1
    Precedence: 5
    Operator: OR
    Rule(s) : if-match acl 3001                                               
              if-match acl 3002
 

Total classifier number is 1

# 檢視流策略的配置資訊。

[Switch] display traffic policy user-defined tp1
  User Defined Traffic Policy Information:                                    
  Policy: tp1                                                                 
   Classifier: tc1                                                             
    Operator: OR                                                              
     Behavior: tb1                                                            
      Deny

# 研發部和市場部所在的兩個網段之間不能互訪。

配置檔案

Switch的配置檔案

#
sysname Switch
#
vlan batch 10 20
#
acl number 3001                                                               
 rule 5 deny ip source 10.1.1.0 0.0.0.255 destination 10.1.2.0 0.0.0.255      
acl number 3002                                                                
 rule 5 deny ip source 10.1.2.0 0.0.0.255 destination 10.1.1.0 0.0.0.255
#
traffic classifier tc1 operator or precedence 5
if-match acl 3001                                                            
 if-match acl 3002 
#
traffic behavior tb1
deny
#
traffic policy tp1 match-order config
classifier tc1 behavior tb1
#
interface Vlanif10
ip address 10.1.1.1 255.255.255.0
#
interface Vlanif20
ip address 10.1.2.1 255.255.255.0
#
interface GigabitEthernet1/0/1
port link-type trunk                                                          
 port trunk allow-pass vlan 10
 traffic-policy tp1 inbound
#
interface GigabitEthernet1/0/2
port link-type trunk                                                         
 port trunk allow-pass vlan 20
 traffic-policy tp1 inbound
#
return

相關推薦

ENSP模擬交換環境中呼叫高階ACL限制不同之間互訪

實驗環境:網段規劃:vlan 100:10.10.10.0 /24 閘道器 10.10.10.254 DNS:8.8.8.8vlan 101:192.168.10.0/24 閘道器 192.168.10.254 DNS:8.8.8.8配置Center1、建立vlanvlan 100description ba

S5700系列交換機使用高階ACL限制不同的使用者互訪

組網圖形 圖1 使用高階ACL限制不同網段的使用者互訪示例  組網需求 如圖一所示,某公司通過Switch實現各部門之間的互連。為方便管理網路,管理員為公司的研發部和市場部規劃了兩個網段的IP地址。同時為了隔離廣播域,又將兩個部門劃分在不同VLAN之中。現要求Switch能夠限制兩個網段之間互訪,防

ENSP模擬交換環境中調用高級ACL限制不同之間互訪

針對 ddr tex color 獲取 select work fad ado 實驗環境:網段規劃:vlan 100:10.10.10.0 /24 網關 10.10.10.254 DNS:8.8.8.8vlan 101:192.168.10.0/24 網關 192.168.

S5700系列交換機AR配置靜態IP雙鏈路負載分擔

適用於:有多個以太WAN口的機型。 業務需求: 運營商1分配的介面IP為100.100.1.2,子網掩碼為255.255.255.252,閘道器IP為100.100.1.1。 運營商2分配的介面IP為200.200.1.2,子網掩碼為255.255.255.248,閘道器IP為200.200.1.1。

S5700系列交換機配置通過流策略實現VLAN間三層隔離

operator 安全 abi view 分享圖片 brush align system 5.0 組網圖形 圖1 配置通過流策略實現VLAN間三層隔離組網圖 組網需求 如圖一所示,為了通信的安全性,某公司將訪客、員工、服務器分別劃分到VLAN10、VLAN20、V

S5700系列交換機配置通過Telnet登入裝置

宣告:不管什麼服務,都需要交換機開啟服務,建立對應許可權的使用者,在通道下允許協議通過,缺一不可,以telnet為例。 組網圖形 圖1 配置通過Telnet登入裝置組網圖  組網需求 如圖一所示,PC與裝置之間路由可達,使用者希望簡單方便的配置和管理遠端裝置,可以在伺服器端配置Telnet使用者使

5700系列交換機常用配置示例

dhcp vlan telnet 華為交換機 華為S5700系列交換機,是我們項目中用的較多的一款,其中24與48口應用較多。現在將華為交換機的一些常用配置整理一下,進行記錄。如有錯誤,請指正。1 允許telnet(遠程登錄)允許華為交換機能telnet,設置密碼為[email pr

S5300系列交換機V100R006SPH017VRP熱補丁

aud 交換機 附件 con controls lan lrn targe pla 附件: 鏈接:https://pan.baidu.com/s/16lrNMykatXR3_5xKBc2zuw 密碼:rt1l 華為S5300系列交換機V100R006SPH017VRP

S系列交換機修改密碼不成功

問題描述 在客戶局點為接入層裝置S5700-52P-LI-AC做預配置,配置完成後客戶要求修改維護賬號huawei的密碼為該局點專用密碼。修改前AAA下配置如下: aaa  authentication

S5700 S2700交換機 配置

1.  串列埠登入 a. 華為附帶的232串列埠線,通過232轉usb後連線交換機的console口和pc的usb口 b. 登入配置 c. 指令 <Quidway> 使用者檢視       system-view命令進入系統檢視 [Quidway] 系統檢視 

交換機 DHCP中繼全域性不同配置

一、組網需求1、DHCP作為公司匯聚交換機,在上面配置DHCP全域性地址池,然後接入交換機根據不同vlan會獲取到不同網段IP地址。2、網路拓撲二、操作步驟1、客戶端1)建立DHCP伺服器組,併為DHCP伺服器組新增DHCP伺服器對應網段的閘道器IP<Huawei>

S5700/S5720系列交換機的光模塊解決方案和常見問題解答

交換機 解決方案 華為s5700/s5720 在使用交換機的時候,我們可能會有很多困惑,例如華為不同型號的交換機需要匹配什麽類型的光模塊、交換機使用過程中遇到問題如何解決。本文中飛速(FS)總結了幾種使用交換機的光模塊解決方案以及在使用過程中會遇到的常見問題,並提出了具體的解決辦法。一、華為S57

S5700交換機端口聚合

建立 創建 命令 華為 手工 查看 members 實例 all 華為S5700的手工鏈路聚合配置 1、建立 eth-trunk ID 2、將配置eth-trunl的link-type為trunk 3、設置允許通過的vlan 4、將端口加入eth-trunk 配置實例: #

配置通過STelnet登入S5700交換機

配置思路採用如下的思路配置使用者通過STelnet登入裝置:PC端已安裝登入SSH伺服器軟體。在SSH伺服器端生成本地金鑰對,實現在伺服器端和客戶端進行安全地資料互動。在SSH伺服器端配置SSH使用者client001。在SSH伺服器端開啟STelnet服務功能。在SSH伺服

S5700交換機初始化和配置telnet,ssh使用者方法

通過串列埠線配置S5700 的管理IP地址和閘道器,串列埠線接在交換機的console口,ip設定完成後網線接在ETH口: <Quidway> system-view                    [Quidway] interface Meth 0/0

三層交換機綁定IP和MAC地址基礎命令

流程 bsp tab mac地址 基本 tegra 端口 root權限 如果 //本文檔主要介紹交換機地址綁定基本流程和用到的命令; //不記得命令可以輸入?查看,或在一段命令中用‘TAB’鍵進行命令補全:如”user-b s mac-a ‘TAB‘ //此處,將自動補全命

三層交換機實現不同vlan,不同的互通

子網 interface 實驗 連接 efault sha isp tor roman 實驗任務:1. 不同vlan,不同網段實現互通;2. 路由AR11用默認路由配置;3. LSW8實現三層交換機功能;如下華為拓撲圖:配置思路:1.將LSW8看成一個路由器,LSW8下面連

三S5820V2系列交換機的光模塊解決方案

size space attach clas edit bottom vertica lin top 華三S5820V2系列交換機定位於下一代數據中心及雲計算網絡中的高密接入,也可用於企業網或城域網。本文中將為您重點介紹華三(H3C)S5120-SI系列交換機及其的解決方案

三層交換機的配置!求指教

type tle vlan 路由器的配置 shu proc 三層交換機 int res 華為三層交換機的配置先來看拓撲圖下來看看配置過程SW2配置<Huawei>sys[Huawei]vlan batch 10 20 30 創建vlan[Huawei]sy

和H3C交換機NTP version不一致導致時間無法同步解決辦法

有效 一個 一分鐘 服務器配置 原因 ESS 服務器 官方文檔 play 昨天給客戶內網網絡設備配置NTP服務,用的華為9303做的NTP服務器,其它設備為NTP客戶端。但是華為所有設備成功同步到NTP服務器,而H3C設備均無法正常同步。華為交換機作為服務器配置如下:ntp