三层交换机vlan间访问
- 1关注
- 1收藏,1568浏览
问题描述:
要实现1.vlan2不 能访问vlan3 ,vlan3不能访问vlan2
组网及组网描述:
如何配置.求详细步骤案例
- 2019-04-16提问
- 举报
-
(0)
最佳答案
请参考该案例:S5560-EI交换机通过acl控制vlan间的访问
- 2019-04-16回答
- 评论(2)
- 举报
-
(0)
打不开啊大哥
一、功能需求 现在客户只有一台交换机的情况下需要对内网属于两个不同vlan的客户端之间的访问进行控制。 二、 组网信息: 如图所示,交换机下面分别接着属于不同vlan的客户端,pc1属于vlan1,pc2属于vlan2。现在要求pc1的电脑可以ping通pc2的电脑,但是pc2的电脑不可以ping通pc1;pc1的电脑可以使用tcp协议对pc2电脑进行访问,但是pc2 的电脑不可以使用tcp协议对pc1电脑的访问。 三、 组网需求: 1. acl控制列表的配置 1.1 配置acl3000的rule 0对icmp报文的控制。 rule 0 deny icmp source 2.2.2.0 0.0.0.255 destination 1.1.1.0 0.0.0.255 icmp-type echo //需要在vlan2的虚接口上面引用,对vlan2到vlan1的icmp请求报文进行控制。 1.2 配置acl3000的rule 1对tcp报文的控制。 rule 1 deny tcp source 2.2.2.0 0.0.0.255 destination 1.1.1.0 0.0.0.255 ack 0 //需要在vlan2的虚接口上面引用,对vlan2到vlan1的tcp报文进行控制。 2. acl3000在vlan虚接口下的配置 2.1 将acl3000引用到vlan虚接口 # interface Vlan-interface2 ip address 2.2.2.1 255.255.255.0 packet-filter 3000 inbound //在vlan2的虚接口下面调用acl3000,inbound方向。 四、 配置要点 1. 配置要点 1.1 acl的rule的配置需要根据acl引用在哪个接口,以及在接口引用acl的方向来确定。 1.2 如上的需求,如果引用在vlan1接口的inbound方向的话,acl3000应该配置如下: # acl advanced 3000 rule 0 deny icmp source 1.1.1.0 0.0.0.255 destination 2.2.2.0 0.0.0.255 icmp-type echo-reply //针对pc1回应的icmp报文进行控制。 rule 1 deny tcp source 1.1.1.0 0.0.0.255 destination 2.2.2.0 0.0.0.255 ack 1 //与以上配置作为比较,这次拦截的方向不同,拦截的tcp的ack报文方向也不一样。 一、功能需求 现在客户只有一台交换机的情况下需要对内网属于两个不同vlan的客户端之间的访问进行控制。 二、 组网信息: 如图所示,交换机下面分别接着属于不同vlan的客户端,pc1属于vlan1,pc2属于vlan2。现在要求pc1的电脑可以ping通pc2的电脑,但是pc2的电脑不可以ping通pc1;pc1的电脑可以使用tcp协议对pc2电脑进行访问,但是pc2 的电脑不可以使用tcp协议对pc1电脑的访问。 三、 组网需求: 1. acl控制列表的配置 1.1 配置acl3000的rule 0对icmp报文的控制。 rule 0 deny icmp source 2.2.2.0 0.0.0.255 destination 1.1.1.0 0.0.0.255 icmp-type echo //需要在vlan2的虚接口上面引用,对vlan2到vlan1的icmp请求报文进行控制。 1.2 配置acl3000的rule 1对tcp报文的控制。 rule 1 deny tcp source 2.2.2.0 0.0.0.255 destination 1.1.1.0 0.0.0.255 ack 0 //需要在vlan2的虚接口上面引用,对vlan2到vlan1的tcp报文进行控制。 2. acl3000在vlan虚接口下的配置 2.1 将acl3000引用到vlan虚接口 # interface Vlan-interface2 ip address 2.2.2.1 255.255.255.0 packet-filter 3000 inbound //在vlan2的虚接口下面调用acl3000,inbound方向。 四、 配置要点 1. 配置要点 1.1 acl的rule的配置需要根据acl引用在哪个接口,以及在接口引用acl的方向来确定。 1.2 如上的需求,如果引用在vlan1接口的inbound方向的话,acl3000应该配置如下: # acl advanced 3000 rule 0 deny icmp source 1.1.1.0 0.0.0.255 destination 2.2.2.0 0.0.0.255 icmp-type echo-reply //针对pc1回应的icmp报文进行控制。 rule 1 deny tcp source 1.1.1.0 0.0.0.255 destination 2.2.2.0 0.0.0.255 ack 1 //与以上配置作为比较,这次拦截的方向不同,拦截的tcp的ack报文方向也不一样。
默认情况下,建立三层几口后,设置好ip地址,且接口处于up状态,vlan间的直连路由就已经形成,就可互访了,如果做vlan间的访问控制,需要做类、行为、策略,然后应用vlan进方向上,例如:
1,配置acl
acl ad 3000 (如果是v5版本的,此处是 acl num 3000)
rule 0 permit ip source 172.16.1. 0 0.0.0.255 destination 172.16.2.0 0.0.0.255 (匹配的数据流)
qu
2,设置类:
traffic classifier 1
if-match acl 3000
3,设置行为:
traffic behavior 1
filter permit
4,设置策略:
qos policy 1
classifier 1 behavior 1
5,应用策略(假设1网段属于vlan 1):
qos vlan-policy 1 vlan 1 inbound
- 2019-04-16回答
- 评论(0)
- 举报
-
(0)
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
一、功能需求 现在客户只有一台交换机的情况下需要对内网属于两个不同vlan的客户端之间的访问进行控制。 二、 组网信息: 如图所示,交换机下面分别接着属于不同vlan的客户端,pc1属于vlan1,pc2属于vlan2。现在要求pc1的电脑可以ping通pc2的电脑,但是pc2的电脑不可以ping通pc1;pc1的电脑可以使用tcp协议对pc2电脑进行访问,但是pc2 的电脑不可以使用tcp协议对pc1电脑的访问。 三、 组网需求: 1. acl控制列表的配置 1.1 配置acl3000的rule 0对icmp报文的控制。 rule 0 deny icmp source 2.2.2.0 0.0.0.255 destination 1.1.1.0 0.0.0.255 icmp-type echo //需要在vlan2的虚接口上面引用,对vlan2到vlan1的icmp请求报文进行控制。 1.2 配置acl3000的rule 1对tcp报文的控制。 rule 1 deny tcp source 2.2.2.0 0.0.0.255 destination 1.1.1.0 0.0.0.255 ack 0 //需要在vlan2的虚接口上面引用,对vlan2到vlan1的tcp报文进行控制。 2. acl3000在vlan虚接口下的配置 2.1 将acl3000引用到vlan虚接口 # interface Vlan-interface2 ip address 2.2.2.1 255.255.255.0 packet-filter 3000 inbound //在vlan2的虚接口下面调用acl3000,inbound方向。 四、 配置要点 1. 配置要点 1.1 acl的rule的配置需要根据acl引用在哪个接口,以及在接口引用acl的方向来确定。 1.2 如上的需求,如果引用在vlan1接口的inbound方向的话,acl3000应该配置如下: # acl advanced 3000 rule 0 deny icmp source 1.1.1.0 0.0.0.255 destination 2.2.2.0 0.0.0.255 icmp-type echo-reply //针对pc1回应的icmp报文进行控制。 rule 1 deny tcp source 1.1.1.0 0.0.0.255 destination 2.2.2.0 0.0.0.255 ack 1 //与以上配置作为比较,这次拦截的方向不同,拦截的tcp的ack报文方向也不一样。 一、功能需求 现在客户只有一台交换机的情况下需要对内网属于两个不同vlan的客户端之间的访问进行控制。 二、 组网信息: 如图所示,交换机下面分别接着属于不同vlan的客户端,pc1属于vlan1,pc2属于vlan2。现在要求pc1的电脑可以ping通pc2的电脑,但是pc2的电脑不可以ping通pc1;pc1的电脑可以使用tcp协议对pc2电脑进行访问,但是pc2 的电脑不可以使用tcp协议对pc1电脑的访问。 三、 组网需求: 1. acl控制列表的配置 1.1 配置acl3000的rule 0对icmp报文的控制。 rule 0 deny icmp source 2.2.2.0 0.0.0.255 destination 1.1.1.0 0.0.0.255 icmp-type echo //需要在vlan2的虚接口上面引用,对vlan2到vlan1的icmp请求报文进行控制。 1.2 配置acl3000的rule 1对tcp报文的控制。 rule 1 deny tcp source 2.2.2.0 0.0.0.255 destination 1.1.1.0 0.0.0.255 ack 0 //需要在vlan2的虚接口上面引用,对vlan2到vlan1的tcp报文进行控制。 2. acl3000在vlan虚接口下的配置 2.1 将acl3000引用到vlan虚接口 # interface Vlan-interface2 ip address 2.2.2.1 255.255.255.0 packet-filter 3000 inbound //在vlan2的虚接口下面调用acl3000,inbound方向。 四、 配置要点 1. 配置要点 1.1 acl的rule的配置需要根据acl引用在哪个接口,以及在接口引用acl的方向来确定。 1.2 如上的需求,如果引用在vlan1接口的inbound方向的话,acl3000应该配置如下: # acl advanced 3000 rule 0 deny icmp source 1.1.1.0 0.0.0.255 destination 2.2.2.0 0.0.0.255 icmp-type echo-reply //针对pc1回应的icmp报文进行控制。 rule 1 deny tcp source 1.1.1.0 0.0.0.255 destination 2.2.2.0 0.0.0.255 ack 1 //与以上配置作为比较,这次拦截的方向不同,拦截的tcp的ack报文方向也不一样。