评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
配置限制不同网段的用户互访示例
组网需求
如图9-2所示,部门1和部门2可经由SwitchC和路由器访问网络。为方便管理网络,管理员将部门1和部门2划分在不同VLAN之中,规划了两个网段的IP地址。现要求SwitchC能够限制两个网段之间互访。
配置思路
采用如下的思路在SwitchC上进行配置:
- 配置接口所属的VLAN以及接口的IP地址。
- 配置ACL,用于匹配两个部门互访的报文。
- 在接口GE1/0/1和GE1/0/2的入方向配置报文过滤,使SwitchC丢弃匹配ACL规则的报文。
操作步骤
- 配置接口所属的VLAN以及接口的IP地址
# 创建VLAN10和VLAN20。
<HUAWEI> system-view [HUAWEI] sysname SwitchC [SwitchC] vlan batch 10 20
# 配置SwitchC的接口GE1/0/1和GE1/0/2为Trunk类型接口,并分别加入VLAN10和VLAN20。
[SwitchC] interface gigabitethernet 1/0/1 [SwitchC-GigabitEthernet1/0/1] port link-type trunk [SwitchC-GigabitEthernet1/0/1] port trunk allow-pass vlan 10 [SwitchC-GigabitEthernet1/0/1] quit [SwitchC] interface gigabitethernet 1/0/2 [SwitchC-GigabitEthernet1/0/2] port link-type trunk [SwitchC-GigabitEthernet1/0/2] port trunk allow-pass vlan 20 [SwitchC-GigabitEthernet1/0/2] quit
# 创建VLANIF10和VLANIF20,并配置各VLANIF接口的IP地址。
[SwitchC] interface vlanif 10 [SwitchC-Vlanif10] ip address 10.1.1.1 24 [SwitchC-Vlanif10] quit [SwitchC] interface vlanif 20 [SwitchC-Vlanif20] ip address 10.1.2.1 24 [SwitchC-Vlanif20] quit
- 配置ACL
# 创建高级ACL 3001并配置ACL规则,拒绝两个网段之间互访的报文通过。
[SwitchC] acl 3001 [SwitchC-acl-adv-3001] rule deny ip source 10.1.1.0 0.0.0.255 destination 10.1.2.0 0.0.0.255 [SwitchC-acl-adv-3001] rule deny ip source 10.1.2.0 0.0.0.255 destination 10.1.1.0 0.0.0.255 [SwitchC-acl-adv-3001] quit
- 配置基于ACL的报文过滤
# 在接口GE1/0/1和GE1/0/2的入方向配置基于ACL 3001的报文过滤。
[SwitchC] interface gigabitethernet 1/0/1 [SwitchC-GigabitEthernet1/0/1] traffic-filter inbound acl 3001 [SwitchC-GigabitEthernet1/0/1] quit [SwitchC] interface gigabitethernet 1/0/2 [SwitchC-GigabitEthernet1/0/2] traffic-filter inbound acl 3001 [SwitchC-GigabitEthernet1/0/2] quit
- 验证配置结果
# 查看ACL规则的配置信息。
[SwitchC] display acl 3001 Advanced ACL 3001, 2 rules Acl's step is 5 rule 5 deny ip source 10.1.1.0 0.0.0.255 destination 10.1.2.0 0.0.0.255 rule 10 deny ip source 10.1.2.0 0.0.0.255 destination 10.1.1.0 0.0.0.255# 查看基于ACL的简化流策略的应用记录。
[SwitchC] display traffic-applied record ------------------------------------------------------------------------- *interface GigabitEthernet1/0/1 traffic-filter inbound acl 3001 slot 1: success ------------------------------------------------------------------------- *interface GigabitEthernet1/0/2 traffic-filter inbound acl 3001 slot 1: success -------------------------------------------------------------------------
# 部门1和部门2所在的两个网段之间不能互访。
配置文件
SwitchC的配置文件
# sysname SwitchC # vlan batch 10 20 # acl number 3001 rule 5 deny ip source 10.1.1.0 0.0.0.255 destination 10.1.2.0 0.0.0.255 rule 10 deny ip source 10.1.2.0 0.0.0.255 destination 10.1.1.0 0.0.0.255 # interface Vlanif10 ip address 10.1.1.1 255.255.255.0 # interface Vlanif20 ip address 10.1.2.1 255.255.255.0 # interface GigabitEthernet1/0/1 port link-type trunk port trunk allow-pass vlan 10 traffic-filter inbound acl 3001 # interface GigabitEthernet1/0/2 port link-type trunk port trunk allow-pass vlan 20 traffic-filter inbound acl 3001 # return
