华为三层交换机S5700做ACL访问控制列表限制不同vlan间的通信
Posted
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了华为三层交换机S5700做ACL访问控制列表限制不同vlan间的通信相关的知识,希望对你有一定的参考价值。
组网情况:华为核心三层S5700下边接入了5个接入二层交换机。现在是在核心交换机上划分了五个vlan
vlan1 192.168.1.10 vlan2 192.168.2.20 vlan3 192.168.3.30 vlan4 192.168.4.40 vlan5 192.168.5.50
五台二层接入交换机分别对应划分vlan1 vlan2 vlan3 vlan4 vlan5 需求是vlan1 vlan2 vlan3 vlan4 不能互相访问但是可以同时访问vlan5 这个需求如何用acl访问控制实现
华为-ACL访问控制列表
ACL:access list 访问控制列表
acl 两种:
基本acl(2000-2999):只能匹配源ip地址。
高级acl(3000-3999):可以匹配源ip、目标ip、源端口、目标端口等三层和四层的字段。
四个注意事项:
注1:一个接口的同一个方向,只能调用一个acl
注2:一个acl里面可以有多个rule 规则,从上往下依次执行
注3:数据包一旦被某rule匹配,就不再继续向下匹配
注4: 用来做数据包访问控制时,默认隐含放过所有(华为设备)
ACL 两种作用:
① 用来对数据包做访问控制(丢弃或者放行)
② 结合其他协议,用来匹配范围
配置静态路由使全网互通:
R1:ip route-static 172.16.10.0 24 12.1.1.2
R2:ip route-s 192.168.10.0 24 12.1.1.1需求一:在R2配置基本acl 拒绝PC1 访问172.16.10.0 网络。
R2:
acl number 2000 创建acl 2000
rule deny source 192.168.10.1 0 拒绝源地址为192.168.10.1 的流量
int gi 0/0/1
traffic-filter outbound acl 2000 接口下出方向调用acl 2000inbound:进入方向 站在路由器的角度考虑 数据包进入路由器“肚子”里面的时候
outbound:出方向 站在路由器的角度考虑 数据包从路由器的?肚子"向外发出时
调试命令:查看acl是否生效 (matches 数量)
匹配了15个报文,拒绝了15个报文
需求二:在R2上配置高级acl 拒绝PC1所在的网段 ping server1,但是允许其HTTP 访问server1
R2:
acl 3000
rule deny icmp source 192.168.10.0 0.0.0.255 destination 172.16.10.2 0
int gi0/0/1
traffic-filter outbound acl 3000
拒绝① 源地址为192.168.10.0/24 且② 目标地址为172.16.10.2 且是③ icmp的包 (注意:三个条件①②③ 同时被满足才可以被拒绝掉)
acl 工作原理:当数据包从接口经过时,由于接口启用了acl,此时路由器会对报文进行检查,然后做出相应的处理。
需求三:在R2上配置高级acl 拒绝PC1所在网段 http 访问server1,但是允许其 ping server。
R2:
acl number 3001
rule 5 deny tcp source 192.168.10.0 0.0.0.255 destination 172.16.10.2 0 destination-port eq 80
int gi 0/0/1
traffic-filter outbound acl 3001 acl 举例:拒绝源地址192.168.10.2 telnet 访问12.0.0.2
acl 3000 rule 5 deny tcp source 192.168.10.2 0 destination 12.0.0.2 0 destination-port eq telnet acl举例:拒绝所有的报文
acl number 3006
rule 5 deny ip 注意:acl 不能拒绝路由器自己触发产生的报文。
可选配置:只允许12.1.1.5 远程telnet
acl 2000
rule permit source 12.1.1.5 0
rule denyuser-interface vty 0 4
acl 2000 inbound以上是关于华为三层交换机S5700做ACL访问控制列表限制不同vlan间的通信的主要内容,如果未能解决你的问题,请参考以下文章