一个核心交换机如何安全隔离两个网络?
Posted
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了一个核心交换机如何安全隔离两个网络?相关的知识,希望对你有一定的参考价值。
网络描述:客户内部电脑分为内网和互联网;由于预算有限,只有一台核心交换机,分别连接互联网和集团内网;客户想要内网交换机的终端只能访问集团内网,接互联网的交换机只访问互联网,看看有啥办法?
分析:一种你通过部署ACL、策略路由;还有一种种是采用VRF,可扩展性高,关键是真香!下面采用VRF配置。
拓扑如下:
关键配置:
AR1:
interface LoopBack0 //环回口测试网络用
ip address 1.1.1.1 255.255.255.255
interface GigabitEthernet0/0/0
ip address 10.10.10.1 255.255.255.0
ip route-static 192.168.100.0 255.255.255.0 10.10.10.2
AR2:
interface LoopBack0 //环回口测试网络用
ip address 2.2.2.2 255.255.255.255
interface GigabitEthernet0/0/0
ip address 10.10.20.1 255.255.255.0
ip route-static 172.16.200.0 255.255.255.0 10.10.20.2
核心配置Core:
ip vpn-instance jituan //创建vpn实例
ipv4-family
route-distinguisher 20:1
interface Vlanif10 //连接互联网路由器
ip address 10.10.10.2 255.255.255.0
#
interface Vlanif20 //连接集团内网路由器
ip binding vpn-instance jituan //绑定vpn实例
ip address 10.10.20.2 255.255.255.0
#
interface Vlanif30 //连接互联网交换机
ip address 192.168.100.254 255.255.255.0
#
interface Vlanif40 //连接内网交换机
ip binding vpn-instance jituan //绑定vpn实例
ip address 172.16.200.254 255.255.255.0
interface GigabitEthernet0/0/1
port link-type access
port default vlan 10
#
interface GigabitEthernet0/0/2
port link-type access
port default vlan 20
#
interface GigabitEthernet0/0/3
port link-type access
port default vlan 30
#
interface GigabitEthernet0/0/4
port link-type access
port default vlan 40
ip route-static 0.0.0.0 0.0.0.0 10.10.10.1
ip route-static vpn-instance jituan 0.0.0.0 0.0.0.0 10.10.20.1 //VPN实例jituan路由
测试:
PC1可以ping通1.1.1.1,ping不通2.2.2.2,满足要求
PC2可以ping通2.2.2.2 ,ping不通1.1.1.1,满足要求
以上是关于一个核心交换机如何安全隔离两个网络?的主要内容,如果未能解决你的问题,请参考以下文章