h3c三层交换机acl实战一例
2012-05-28 16:11
295 查看
领导要求,新建的图书馆只能访问电子阅览室,且不能访问内网其他主机,以免对安全造成影响,不开放上外网
电子阅览室的IP为10.0.1.9,新建的图书馆打算划分的vlan为vlan 11,网段为10.1.11.0/25,vlan-int 11的IP为10.1.11.1,三层交换机已经默认做好vlan间路由。
配置如下:
1,不能访问外网:这个只要在路由器上不给它做nat便可,所以不用更改,因为默认是没给新网段做nat的
2,为实现方案,要在核心交换机做Acl:
a,入方向
acl num 3001 name ReadRoomIn
rule perm ip source 10.1.11.0 0.0.0.127 dest 10.1.11.0 0.0.0.127
rule perm ip dest 10.0.1.4 0
rule perm ip dest 10.0.1.9 0
rule deny ip
quit
这是入方向的,第一条是让vlan11内的电脑间可以互通,且vlan内的主机跟网关之间数据包可正常收发,这是非常重要的;第二条和第三条是让图书馆内的电脑可以访问到dns服务器和电子阅览室,最后一条当然是让它不能访问内网其他主机了
b,出方向
acl num 3002 name ReadRoomOut
rule perm ip sour 10.0.1.4 0 dest 10.1.11.0 0.0.0.127
rule perm ip sour 10.0.1.9 0 dest 10.1.11.0 0.0.0.127
rule deny ip
这是出方向的,第一、二条是保证dns主机和电子阅览室主机跟vlan 11之间数据包互通,第三条就是禁止内网其他主机跟vlan 11内主机互通。因为路由是双向的,所以inbound和outbound方向都有关于10.0.1.4和10.0.1.9两个主机的设定
c,在vlan接口上运用acl
int vlan 101
dest ReadRoom
packet-filter acl name ReadRoomIn inbound
packet-filter acl name ReadRoomOut outbound
最后,在接入层电子阅览室的无线ap上做nat,wan口接入核心交换机并加入vlan11,实现了图书馆内的电脑只能访问电子阅览室而不能访问内网其他主机及不能访问internet的目的
本文出自 “yman_IT世界” 博客,请务必保留此出处http://ymaniter.blog.51cto.com/1122663/880897
电子阅览室的IP为10.0.1.9,新建的图书馆打算划分的vlan为vlan 11,网段为10.1.11.0/25,vlan-int 11的IP为10.1.11.1,三层交换机已经默认做好vlan间路由。
配置如下:
1,不能访问外网:这个只要在路由器上不给它做nat便可,所以不用更改,因为默认是没给新网段做nat的
2,为实现方案,要在核心交换机做Acl:
a,入方向
acl num 3001 name ReadRoomIn
rule perm ip source 10.1.11.0 0.0.0.127 dest 10.1.11.0 0.0.0.127
rule perm ip dest 10.0.1.4 0
rule perm ip dest 10.0.1.9 0
rule deny ip
quit
这是入方向的,第一条是让vlan11内的电脑间可以互通,且vlan内的主机跟网关之间数据包可正常收发,这是非常重要的;第二条和第三条是让图书馆内的电脑可以访问到dns服务器和电子阅览室,最后一条当然是让它不能访问内网其他主机了
b,出方向
acl num 3002 name ReadRoomOut
rule perm ip sour 10.0.1.4 0 dest 10.1.11.0 0.0.0.127
rule perm ip sour 10.0.1.9 0 dest 10.1.11.0 0.0.0.127
rule deny ip
这是出方向的,第一、二条是保证dns主机和电子阅览室主机跟vlan 11之间数据包互通,第三条就是禁止内网其他主机跟vlan 11内主机互通。因为路由是双向的,所以inbound和outbound方向都有关于10.0.1.4和10.0.1.9两个主机的设定
c,在vlan接口上运用acl
int vlan 101
dest ReadRoom
packet-filter acl name ReadRoomIn inbound
packet-filter acl name ReadRoomOut outbound
最后,在接入层电子阅览室的无线ap上做nat,wan口接入核心交换机并加入vlan11,实现了图书馆内的电脑只能访问电子阅览室而不能访问内网其他主机及不能访问internet的目的
本文出自 “yman_IT世界” 博客,请务必保留此出处http://ymaniter.blog.51cto.com/1122663/880897
相关文章推荐
- H3c S5500-EI交换机利用ACL实现TCP单向访问的配置
- H3C 三层交换机添加本地认证用户并应用到telnet[HCNA-HNTD-学习]
- H3C路由器之NAT+端口映射实战
- 三层交换机flash格式化后如何恢复(以H3C S3600为例)
- H3C设备之高级ACL应用
- H3C系列之三层交换机文件管理
- CISCO路由器ACL与流量捕获应用一例
- 项目实战4—HAProxy实现高级负载均衡实战和ACL控制
- 华为交换机vlan聚合与H3C Supervlan 配置实战对比
- 一例 Hive join 优化实战
- 华为三层交换机及H3C二层交换机跨网段管理配置方法
- 数字机房H3C S 3600三层交换机配置
- 三层交换机关于VLAN的划分以及ACL的使用
- 电子商务网站SQL注入项目实战一例
- 各种设备ACL防病毒规则(主要针对H3C)
- 三层交换机关于VLAN的划分以及ACL的使用
- h3c 三层交换机snmp 团体名称配置
- H3C 7506E基于时间的分时段上网的ACL
- 实战Kafka ACL机制