VLAN间单向访问控制配置实例
功能需求及组网说明 配置环境参数:
1. VLAN8的IP地址为192.168.8.254,VLAN9的IP地址为192.168.9.254; 2. E1/0/40- E1/0/44端口属于VLAN8,E1/0/45- E1/0/48端口属于VLAN9。 产品版本信息:
S3952P的版本为Release1510。 组网要求:
VLAN8的每一台主机都无法访问VLAN9的主机,VLAN9的主机都能访问VLAN8的主机。
二 数据配置步骤:
1. 划分VLAN,并将相应端口加入VLAN; 2. 配置VLAN的IP地址; 3. 配置ACL,并下发到端口上。
三 配置命令参考: S3952P相关配置:
1. 创建(进入)VLAN8 [Quidway]vlan 8
2. 将端口加入VLAN8
[Quidway-vlan8]port e1/0/40 to e1/0/44 3. 创建(进入)VLAN9 [Quidway-vlan8]vlan 9 4. 将端口加入VLAN9
[Quidway-vlan9]port e1/0/45 to e1/0/48 5. 进入VLAN端口8视图 [Quidway-vlan9]int vlan 8 6. 为VLAN8配置IP地址
[Quidway-interface-vlan8]ip add 192.168.8.1 255.255.255.0 7. 进入VLAN端口9视图
[Quidway-interface-vlan8]int vlan 9 8. 为VLAN9配置IP地址
[Quidway-interface-vlan9] ip add 192.168.9.1 255.255.255.0 9. 创建ACL 3001
[Quidway-interface-vlan9]acl number 3001 10. 配置ACL 3001规则
[Quidway-acl-adv-3001]rule 0 deny icmp destination 192.168.9.0 0.0.0.255 icmp-type echo [Quidway-acl-adv-3001]rule 1 deny tcp established destination 192.168.9.0 0.0.0.255 [Quidway-acl-adv-3001]rule 2 permit icmp source 192.168.9.0 0.0.0.255 icmp-type echo [Quidway-acl-adv-3001]rule 3 permit tcp established source 192.168.9.0 0.0.0.255 11. 进入E1/0/48端口
[Quidway-acl-adv-3001]int e1/0/40
12. 在E1/0/48端口的outbound方向下发ACL
[Quidway-interface-Ethernet1/0/40]packet inbound ip-group 3001
四 补充说明:
1. 此处仅仅将ACL下发到E1/0/40端口,VLAN9的其余端口同样下发;
2. S3900系列交换机的匹配规则为后下发先生效,且建议最好下发在端口inbound方向; 3. 此处以S3952P为例,其他交换机如S5600等配置相同。