問題描述:
現場有一台核心交換機S10506X,創建多個vlanif,有內網,有訪客,譬如我內網的網段是192.168.10.0/24,我訪客是192.168.20.0/24,如何讓訪客不能訪問內網,隻訪問外網223.5.5.5,內網192.168.10.0/24,訪客192.168.20.0/24是直連路由,都是在同一台交換機上啟的vlanif
- 2024-12-30提問
- 舉報
-
(0)
最佳答案
在 H3C S10506X 核心交換機上實現讓訪客隻能訪問外網(Internet),而不能訪問內網其他網段,可以通過以下步驟實現。該方案主要基於 VLAN 劃分和 ACL(訪問控製列表) 的配置。
配置步驟
1. 創建 VLAN 和 VLANIF
確保為訪客網絡和內網網絡分別創建 VLAN,並配置相應的 VLANIF 接口以實現三層路由。
# 創建訪客 VLAN 100
vlan 100
name Guest
quit
# 創建內網 VLAN 200
vlan 200
name Internal_Network
quit
# 配置 VLANIF 接口(訪客 VLAN)
interface Vlan-interface 100
ip address 192.168.100.1 255.255.255.0
quit
# 配置 VLANIF 接口(內網 VLAN)
interface Vlan-interface 200
ip address 192.168.200.1 255.255.255.0
quit
2. 配置訪問控製列表(ACL)
定義一個 ACL 來阻止訪客 VLAN 的設備訪問內網網段,但允許其他流量(如 Internet 流量)。
# 創建高級 ACL 3000
acl number 3000
# 阻止訪問內網 VLAN 200
rule 10 deny ip source 192.168.100.0 0.0.0.255 destination 192.168.200.0 0.0.0.255
# 允許其他流量(例如外網流量)
rule 20 permit ip
quit
3. 應用 ACL 到訪客 VLANIF
在訪客 VLANIF 接口上應用 ACL,限製其流量行為。
interface Vlan-interface 100
ip address 192.168.100.1 255.255.255.0
packet-filter 3000 inbound
quit
4. 確認路由配置
確保交換機的路由表中有通向外網的默認路由,並且 VLANIF 接口能正常轉發流量到出口路由器。
ip route-static 0.0.0.0 0.0.0.0 <next-hop-IP>
驗證配置
測試訪客設備:
- 確保訪客設備可以訪問 Internet。
- 驗證訪客設備無法訪問內網(192.168.200.0/24)。
檢查流量控製:
- 使用以下命令查看 ACL 命中情況,確保規則正常生效:
display acl 3000
- 使用以下命令查看 ACL 命中情況,確保規則正常生效:
排查問題:
- 如果訪客仍然可以訪問內網,檢查 ACL 應用是否正確,尤其是是否在正確的 VLANIF 接口上應用了 inbound。
注意事項
外網訪問的範圍控製:
如果希望進一步細化訪客的訪問範圍,例如限製其隻能訪問特定外網服務,可以在 ACL 中添加更詳細的規則。性能影響:
使用 ACL 可能對設備性能產生一定影響,尤其是在高流量環境中。安全強化:
如果訪客網絡有更多的安全需求,例如防止廣播風暴、IP 地址欺騙等,可以啟用 DHCP Snooping、防 ARP 欺騙等功能。
- 2024-12-30回答
- 評論(0)
- 舉報
-
(0)
acl number 3001
rule 0 deny source 192.168.20.0 0.0.0.255 destination 192.168.10.0 0.0.0.255
rule 1 permit any
#
interface Vlan-interface2
packet-filter 3001 inbound
- 2024-12-30回答
- 評論(1)
- 舉報
-
(0)
沒用啊,不生效啊
沒用啊,不生效啊
包過濾如果不行,就把內網和訪客網段隔離唄,訪客網段加入vpn實例,然後核心再寫條默認實例路由出去;
實例:
ip vpn-instance fangke
#
int vlanif xxx(訪客網關)
ip binding vpn-instance fangke
ip add 192.168.20.xx(網關IP)
#
ip route-s vpn-instance fangke 0.0.0.0 0 x.x.x.x(下一跳IP)
- 2024-12-30回答
- 評論(1)
- 舉報
-
(1)
這個可以有
這個可以有
編輯答案
親~登錄後才可以操作哦!
確定你的郵箱還未認證,請認證郵箱或綁定手機後進行當前操作
舉報
×
侵犯我的權益
×
侵犯了我企業的權益
×
- 1. 您舉報的內容是什麼?(請在郵件中列出您舉報的內容和鏈接地址)
- 2. 您是誰?(身份證明材料,可以是身份證或護照等證件)
- 3. 是哪家企業?(營業執照,單位登記證明等證件)
- 4. 您與該企業的關係是?(您是企業法人或被授權人,需提供企業委托授權書)
抄襲了我的內容
×
原文鏈接或出處
誹謗我
×
- 1. 您舉報的內容以及侵犯了您什麼權益?(請在郵件中列出您舉報的內容、鏈接地址,並給出簡短的說明)
- 2. 您是誰?(身份證明材料,可以是身份證或護照等證件)
對根叔社區有害的內容
×
不規範轉載
×
舉報說明