VLAN间限制通讯
问题描述:
核心交换机上有三个VLAN分别为
vlan11: 10.0.11.1/24
vlan12:10.0.12.1/24
vlan13:10.0.13.1/24
dhcp由核心交换机分配
分配的地址池分别为
vlan11:10.0.11.100-200
vlan12:10.0.12.50-200
vlan13:10.0.13.50-200
现在客户需要限制三个vlan dhcp分配的IP地互不能互访,这个ACL要怎么写,单个IP写的话差不多几万条rule
(0)
最佳答案
已采纳 shenyun shenyun 四段 粉丝:5人 关注:0人
交换机限制网段之间互访配置案例
1、 需求:限制内网员工电脑PC1:192.168.1.2网段不能去访问财务的电脑PC2:192.168.10.2网段。
(组网图)
2、 配置思路:通过在网关设备上运用包过滤防火墙,定义一个ACL来拒绝员工网段访问财务的网段数据流量,实现两个网段不能互相通信。(测试设备为V7交换机)
1) 基本联通性调试
<H3C>sys //进入系统配置视图
System View: return to User View with Ctrl+Z.
[H3C]interface Vlan-interface 1 //创建VLAN1网段的网关
[H3C-Vlan-interface1]ip address 192.168.1.1 24 //配置网关地址
[H3C-Vlan-interface1]quit
[H3C]interface Vlan-interface 10 //创建VLAN10网段的网关
[H3C-Vlan-interface10]ip address 192.168.10.1 24 //配置网关地址
[H3C-Vlan-interface10]quit
PC1去ping主机PC2测试联通性,已经能够正常通信:
<pc1>ping 192.168.10.2
Ping 192.168.10.2 (192.168.10.2): 56 data bytes, press CTRL_C to break
56 bytes from 192.168.10.2: icmp_seq=0 ttl=254 time=8.584 ms
56 bytes from 192.168.10.2: icmp_seq=1 ttl=254 time=1.048 ms
56 bytes from 192.168.10.2: icmp_seq=2 ttl=254 time=1.090 ms
56 bytes from 192.168.10.2: icmp_seq=3 ttl=254 time=1.009 ms
56 bytes from 192.168.10.2: icmp_seq=4 ttl=254 time=1.052 ms
2) 配置包过滤防火墙来让PC1无法ping通主机PC2
[H3C]acl advanced 3000 //创建高级ACL3000(V7交换机这样创建)
[H3C]acl number 3000 //创建高级ACL3000(V5交换机这样创建)
[H3C-acl-ipv4-adv-3000] rule 0 deny ip source 192.168.1.0 0.0.0.255 destination 192.168.10.0 0.0.0.255 //定义规则deny目的网段是192.168.10.0网段流量
[H3C-acl-ipv4-adv-3000]quit
[H3C]interface Vlan-interface 1 //进入VLAN1网关接口下
[H3C-Vlan-interface1]packet-filter 3000 inbound //在接口入方向过滤
[H3C-Vlan-interface1]quit
此时PC1去ping主机PC2测试联通性,不能正常通信,过滤动作生效了。
<pc1>ping 192.168.10.2
Ping 192.168.10.2 (192.168.10.2): 56 data bytes, press CTRL_C to break
Request time out
Request time out
Request time out
Request time out
Request time out
(0)
回复xxx [x] 4
做VLAN隔离就好了,不用做ACL吧
(0)
请问怎么做VLAN隔离,具体命令给点参考
zhiliao_jOO8V 发表时间:
acl匹配网段就可以为什么要单个IP写呢?。。。。
(0)
回复xxx [x] 已采纳 ID404 ID404 知了小白 粉丝:0人 关注:0人
问题的关键就在于dhcp分配的地址不能互访问,非dhcp分配的地址可以互访问
(0)
回复xxx [x] 已采纳 Kaiser Kaiser 八段 粉丝:27人 关注:35人
这位兄弟太为难交换机和自己了。。。。交换机应该这么用,trunk all、vlan1、全打通、一把嗦。
(0)
不是我为难自己,是客户为难我。。。
ID404 发表时间:是个狠人啊
zhiliao1111 发表时间:2020-07-15 回复xxx [x],VLAN间限制通讯
