華為S5700系列交換機使用高階ACL限制不同網段的使用者互訪
組網圖形
圖1 使用高階ACL限制不同網段的使用者互訪示例
組網需求
如圖一所示,某公司通過Switch實現各部門之間的互連。為方便管理網路,管理員為公司的研發部和市場部規劃了兩個網段的IP地址。同時為了隔離廣播域,又將兩個部門劃分在不同VLAN之中。現要求Switch能夠限制兩個網段之間互訪,防止公司機密洩露。
配置思路
採用如下的思路在Switch上進行配置:
1. 配置高階ACL和基於ACL的流分類,使裝置可以對研發部與市場部互訪的報文進行過濾。
2. 配置流行為,拒絕匹配上ACL的報文通過。
3. 配置並應用流策略,使ACL和流行為生效。
操作步驟
1. 配置介面所屬的VLAN以及介面的IP地址
# 建立VLAN10和VLAN20。
<HUAWEI> system-view [HUAWEI] sysname Switch [Switch] vlan batch 10 20
# 配置Switch的介面GE1/0/1和GE1/0/2為trunk型別介面,並分別加入VLAN10和VLAN20。
[Switch] interface gigabitethernet 1/0/1 [Switch-GigabitEthernet1/0/1] port link-type trunk [Switch-GigabitEthernet1/0/1] port trunk allow-pass vlan 10 [Switch-GigabitEthernet1/0/1] quit [Switch] interface gigabitethernet 1/0/2 [Switch-GigabitEthernet1/0/2] port link-type trunk [Switch-GigabitEthernet1/0/2] port trunk allow-pass vlan 20 [Switch-GigabitEthernet1/0/2] quit
# 建立VLANIF10和VLANIF20,並配置各VLANIF介面的IP地址。
[Switch] interface vlanif 10 [Switch-Vlanif10] ip address 10.1.1.1 24 [Switch-Vlanif10] quit [Switch] interface vlanif 20 [Switch-Vlanif20] ip address 10.1.2.1 24 [Switch-Vlanif20] quit
2. 配置ACL
# 建立高階ACL 3001並配置ACL規則,拒絕研發部訪問市場部的報文通過。
[Switch] acl 3001 [Switch-acl-adv-3001] rule deny ip source 10.1.1.0 0.0.0.255 destination 10.1.2.0 0.0.0.255 [Switch-acl-adv-3001] quit
# 建立高階ACL 3002並配置ACL規則,拒絕市場部訪問研發部的報文通過。
[Switch] acl 3002 [Switch-acl-adv-3002] rule deny ip source 10.1.2.0 0.0.0.255 destination 10.1.1.0 0.0.0.255 [Switch-acl-adv-3002] quit
3. 配置基於高階ACL的流分類
# 配置流分類tc1,對匹配ACL 3001和ACL 3002的報文進行分類。
[Switch] traffic classifier tc1 [Switch-classifier-tc1] if-match acl 3001 [Switch-classifier-tc1] if-match acl 3002 [Switch-classifier-tc1] quit
4. 配置流行為
# 配置流行為tb1,動作為拒絕報文通過。
[Switch] traffic behavior tb1 [Switch-behavior-tb1] deny [Switch-behavior-tb1] quit
5. 配置流策略
# 定義流策略,將流分類與流行為關聯。
[Switch] traffic policy tp1 [Switch-trafficpolicy-tp1] classifier tc1 behavior tb1 [Switch-trafficpolicy-tp1] quit
6. 在介面下應用流策略
# 由於研發部和市場部互訪的流量分別從介面GE1/0/1和GE1/0/2進入Switch,所以在介面GE1/0/1和GE1/0/2的入方向應用流策略。
[Switch] interface gigabitethernet 1/0/1 [Switch-GigabitEthernet1/0/1] traffic-policy tp1 inbound [Switch-GigabitEthernet1/0/1] quit [Switch] interface gigabitethernet 1/0/2 [Switch-GigabitEthernet1/0/2] traffic-policy tp1 inbound [Switch-GigabitEthernet1/0/2] quit
7. 驗證配置結果
# 檢視ACL規則的配置資訊。
[Switch] display acl 3001 Advanced ACL 3001, 1 rule Acl's step is 5 rule 5 deny ip source 10.1.1.0 0.0.0.255 destination 10.1.2.0 0.0.0.255 [Switch] display acl 3002 Advanced ACL 3002, 1 rule Acl's step is 5 rule 5 deny ip source 10.1.2.0 0.0.0.255 destination 10.1.1.0 0.0.0.255
# 檢視流分類的配置資訊。
[Switch] display traffic classifier user-defined User Defined Classifier Information: Classifier: tc1 Precedence: 5 Operator: OR Rule(s) : if-match acl 3001 if-match acl 3002 Total classifier number is 1
# 檢視流策略的配置資訊。
[Switch] display traffic policy user-defined tp1 User Defined Traffic Policy Information: Policy: tp1 Classifier: tc1 Operator: OR Behavior: tb1 Deny
# 研發部和市場部所在的兩個網段之間不能互訪。
配置檔案
Switch的配置檔案
# sysname Switch # vlan batch 10 20 # acl number 3001 rule 5 deny ip source 10.1.1.0 0.0.0.255 destination 10.1.2.0 0.0.0.255 acl number 3002 rule 5 deny ip source 10.1.2.0 0.0.0.255 destination 10.1.1.0 0.0.0.255 # traffic classifier tc1 operator or precedence 5 if-match acl 3001 if-match acl 3002 # traffic behavior tb1 deny # traffic policy tp1 match-order config classifier tc1 behavior tb1 # interface Vlanif10 ip address 10.1.1.1 255.255.255.0 # interface Vlanif20 ip address 10.1.2.1 255.255.255.0 # interface GigabitEthernet1/0/1 port link-type trunk port trunk allow-pass vlan 10 traffic-policy tp1 inbound # interface GigabitEthernet1/0/2 port link-type trunk port trunk allow-pass vlan 20 traffic-policy tp1 inbound # return
相關推薦
ENSP模擬交換環境中呼叫高階ACL限制不同網段之間互訪
實驗環境:網段規劃:vlan 100:10.10.10.0 /24 閘道器 10.10.10.254 DNS:8.8.8.8vlan 101:192.168.10.0/24 閘道器 192.168.10.254 DNS:8.8.8.8配置Center1、建立vlanvlan 100description ba
華為S5700系列交換機使用高階ACL限制不同網段的使用者互訪
組網圖形 圖1 使用高階ACL限制不同網段的使用者互訪示例 組網需求 如圖一所示,某公司通過Switch實現各部門之間的互連。為方便管理網路,管理員為公司的研發部和市場部規劃了兩個網段的IP地址。同時為了隔離廣播域,又將兩個部門劃分在不同VLAN之中。現要求Switch能夠限制兩個網段之間互訪,防
ENSP模擬交換環境中調用高級ACL限制不同網段之間互訪
針對 ddr tex color 獲取 select work fad ado 實驗環境:網段規劃:vlan 100:10.10.10.0 /24 網關 10.10.10.254 DNS:8.8.8.8vlan 101:192.168.10.0/24 網關 192.168.
華為S5700系列交換機AR配置靜態IP雙鏈路負載分擔
適用於:有多個以太WAN口的機型。 業務需求: 運營商1分配的介面IP為100.100.1.2,子網掩碼為255.255.255.252,閘道器IP為100.100.1.1。 運營商2分配的介面IP為200.200.1.2,子網掩碼為255.255.255.248,閘道器IP為200.200.1.1。
華為S5700系列交換機配置通過流策略實現VLAN間三層隔離
operator 安全 abi view 分享圖片 brush align system 5.0 組網圖形 圖1 配置通過流策略實現VLAN間三層隔離組網圖 組網需求 如圖一所示,為了通信的安全性,某公司將訪客、員工、服務器分別劃分到VLAN10、VLAN20、V
華為S5700系列交換機配置通過Telnet登入裝置
宣告:不管什麼服務,都需要交換機開啟服務,建立對應許可權的使用者,在通道下允許協議通過,缺一不可,以telnet為例。 組網圖形 圖1 配置通過Telnet登入裝置組網圖 組網需求 如圖一所示,PC與裝置之間路由可達,使用者希望簡單方便的配置和管理遠端裝置,可以在伺服器端配置Telnet使用者使
華為5700系列交換機常用配置示例
dhcp vlan telnet 華為交換機 華為S5700系列交換機,是我們項目中用的較多的一款,其中24與48口應用較多。現在將華為交換機的一些常用配置整理一下,進行記錄。如有錯誤,請指正。1 允許telnet(遠程登錄)允許華為交換機能telnet,設置密碼為[email pr
華為S5300系列交換機V100R006SPH017VRP熱補丁
aud 交換機 附件 con controls lan lrn targe pla 附件: 鏈接:https://pan.baidu.com/s/16lrNMykatXR3_5xKBc2zuw 密碼:rt1l 華為S5300系列交換機V100R006SPH017VRP
華為S系列交換機修改密碼不成功
問題描述 在客戶局點為接入層裝置S5700-52P-LI-AC做預配置,配置完成後客戶要求修改維護賬號huawei的密碼為該局點專用密碼。修改前AAA下配置如下: aaa authentication
華為S5700 S2700交換機 配置
1. 串列埠登入 a. 華為附帶的232串列埠線,通過232轉usb後連線交換機的console口和pc的usb口 b. 登入配置 c. 指令 <Quidway> 使用者檢視 system-view命令進入系統檢視 [Quidway] 系統檢視
華為交換機 DHCP中繼全域性不同網段配置
一、組網需求1、DHCP作為公司匯聚交換機,在上面配置DHCP全域性地址池,然後接入交換機根據不同vlan會獲取到不同網段IP地址。2、網路拓撲二、操作步驟1、客戶端1)建立DHCP伺服器組,併為DHCP伺服器組新增DHCP伺服器對應網段的閘道器IP<Huawei>
華為S5700/S5720系列交換機的光模塊解決方案和常見問題解答
交換機 解決方案 華為s5700/s5720 在使用交換機的時候,我們可能會有很多困惑,例如華為不同型號的交換機需要匹配什麽類型的光模塊、交換機使用過程中遇到問題如何解決。本文中飛速(FS)總結了幾種使用交換機的光模塊解決方案以及在使用過程中會遇到的常見問題,並提出了具體的解決辦法。一、華為S57
華為S5700交換機端口聚合
建立 創建 命令 華為 手工 查看 members 實例 all 華為S5700的手工鏈路聚合配置 1、建立 eth-trunk ID 2、將配置eth-trunl的link-type為trunk 3、設置允許通過的vlan 4、將端口加入eth-trunk 配置實例: #
配置通過STelnet登入華為S5700交換機
配置思路採用如下的思路配置使用者通過STelnet登入裝置:PC端已安裝登入SSH伺服器軟體。在SSH伺服器端生成本地金鑰對,實現在伺服器端和客戶端進行安全地資料互動。在SSH伺服器端配置SSH使用者client001。在SSH伺服器端開啟STelnet服務功能。在SSH伺服
華為S5700交換機初始化和配置telnet,ssh使用者方法
通過串列埠線配置S5700 的管理IP地址和閘道器,串列埠線接在交換機的console口,ip設定完成後網線接在ETH口: <Quidway> system-view [Quidway] interface Meth 0/0
華為三層交換機綁定IP和MAC地址基礎命令
流程 bsp tab mac地址 基本 tegra 端口 root權限 如果 //本文檔主要介紹交換機地址綁定基本流程和用到的命令; //不記得命令可以輸入?查看,或在一段命令中用‘TAB’鍵進行命令補全:如”user-b s mac-a ‘TAB‘ //此處,將自動補全命
華為三層交換機實現不同vlan,不同網段的互通
子網 interface 實驗 連接 efault sha isp tor roman 實驗任務:1. 不同vlan,不同網段實現互通;2. 路由AR11用默認路由配置;3. LSW8實現三層交換機功能;如下華為拓撲圖:配置思路:1.將LSW8看成一個路由器,LSW8下面連
華三S5820V2系列交換機的光模塊解決方案
size space attach clas edit bottom vertica lin top 華三S5820V2系列交換機定位於下一代數據中心及雲計算網絡中的高密接入,也可用於企業網或城域網。本文中將為您重點介紹華三(H3C)S5120-SI系列交換機及其的解決方案
華為三層交換機的配置!求指教
type tle vlan 路由器的配置 shu proc 三層交換機 int res 華為三層交換機的配置先來看拓撲圖下來看看配置過程SW2配置<Huawei>sys[Huawei]vlan batch 10 20 30 創建vlan[Huawei]sy
華為和H3C交換機NTP version不一致導致時間無法同步解決辦法
有效 一個 一分鐘 服務器配置 原因 ESS 服務器 官方文檔 play 昨天給客戶內網網絡設備配置NTP服務,用的華為9303做的NTP服務器,其它設備為NTP客戶端。但是華為所有設備成功同步到NTP服務器,而H3C設備均無法正常同步。華為交換機作為服務器配置如下:ntp