S7003E交換機三層隔離失敗
- 1關注
- 1收藏,2517瀏覽
問題描述:
為了通信的安全性,某公司將訪客、員工、服務器分別劃分到VLAN10、VLAN20、VLAN30中。公司希望:
- 員工、服務器主機、訪客均能訪問Internet。
- 訪客隻能訪問Internet,不能訪問服務器,也不能與其他任何VLAN的用戶通信。
- 員工A可以訪問服務器區的所有資源,但員工B隻能訪問服務器A的21端口(FTP服務)。
- 測試流策略並沒起作用,不知道什麼問題
- 使用packet-filterw會拒絕所有流量,所以沒有使用
- 三層 流策略如下:
組網及組網描述:
- 2022-08-17提問
- 舉報
-
(0)
您好,做包過濾,應用在vlan接口下即可
配置報文過濾在VLAN接口的生效範圍
在VLAN接口下應用ACL進行報文過濾時,可以通過本功能指定報文過濾的生效範圍:
· 僅對三層轉發的報文生效。
· 對所有報文生效,即通過VLAN接口進行三層轉發的報文和通過VLAN接口對應的物理接口進行二層轉發的報文均生效。
表1-14 配置報文過濾在VLAN接口的生效範圍
操作 | 命令 | 說明 |
進入係統視圖 | system-view | - |
創建VLAN接口並進入VLAN接口視圖 | interface vlan-interface vlan-interface-id | 如果該VLAN接口已經存在,則直接進入該VLAN接口視圖 缺省情況下,未創建VLAN接口 |
配置報文過濾的生效範圍 | packet-filter filter { route | all } | 缺省情況下,報文過濾僅對通過VLAN接口進行三層轉發的報文生效 |
- 2022-08-17回答
- 評論(0)
- 舉報
-
(0)
在接口上應用包過濾的ACL典型配置舉例
1. 組網需求
· 某公司內的各部門之間通過Device實現互連,該公司的工作時間為每周工作日的8點到18點。
· 通過配置,允許總裁辦在任意時間、財務部在工作時間訪問財務數據庫服務器,禁止其它部門在任何時間、財務部在非工作時間訪問該服務器。
2. 組網圖
圖1-1 ACL典型配置組網圖
3. 配置步驟
# 創建名為work的時間段,其時間範圍為每周工作日的8點到18點。
<Device> system-view
[Device] time-range work 08:00 to 18:00 working-day
# 創建IPv4高級ACL 3000,並製訂如下規則:允許總裁辦在任意時間、財務部在工作時間訪問財務數據庫服務器,禁止其它部門在任何時間、財務部在非工作時間訪問該服務器。
[Device] acl advanced 3000
[Device-acl-ipv4-adv-3000] rule permit ip source 192.168.1.0 0.0.0.255 destination 192.168.0.100 0
[Device-acl-ipv4-adv-3000] rule permit ip source 192.168.2.0 0.0.0.255 destination 192.168.0.100 0 time-range work
[Device-acl-ipv4-adv-3000] rule deny ip source any destination 192.168.0.100 0
[Device-acl-ipv4-adv-3000] quit
# 應用IPv4高級ACL 3000對接口GigabitEthernet1/0/1出方向上的報文進行過濾。
[Device] interface gigabitethernet 1/0/1
[Device-GigabitEthernet1/0/1] packet-filter 3000 outbound
[Device-GigabitEthernet1/0/1] quit
4. 驗證配置
配置完成後,在各部門的PC(假設均為Windows XP操作係統)上可以使用ping命令檢驗配置效果,在Device上可以使用display acl命令查看ACL的配置和運行情況。例如在工作時間:
# 在財務部的PC上檢查到財務數據庫服務器是否可達。
C:\> ping 192.168.0.100
Pinging 192.168.0.100 with 32 bytes of data:
Reply from 192.168.0.100: bytes=32 time=1ms TTL=255
Reply from 192.168.0.100: bytes=32 time<1ms TTL=255
Reply from 192.168.0.100: bytes=32 time<1ms TTL=255
Reply from 192.168.0.100: bytes=32 time<1ms TTL=255
Ping statistics for 192.168.0.100:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 0ms, Maximum = 1ms, Average = 0ms
由此可見,財務部的PC能夠在工作時間訪問財務數據庫服務器。
# 在市場部的PC上檢查財務數據庫服務器是否可達。
C:\> ping 192.168.0.100
Pinging 192.168.0.100 with 32 bytes of data:
Request timed out.
Request timed out.
Request timed out.
Request timed out.
Ping statistics for 192.168.0.100:
Packets: Sent = 4, Received = 0, Lost = 4 (100% loss),
由此可見,市場部的PC不能在工作時間訪問財務數據庫服務器。
# 查看IPv4高級ACL 3000的配置和運行情況。
[Device] display acl 3000
Advanced IPv4 ACL 3000, 3 rules,
ACL's step is 5
rule 0 permit ip source 192.168.1.0 0.0.0.255 destination 192.168.0.100 0
rule 5 permit ip source 192.168.2.0 0.0.0.255 destination 192.168.0.100 0 time-range work (Active)
rule 10 deny ip destination 192.168.0.100 0
由此可見,由於目前是工作時間,因此規則5是生效的;且由於之前使用了ping命令的緣故,規則5和規則10分別被匹配了4次
- 2022-08-17回答
- 評論(0)
- 舉報
-
(0)
暫無評論
編輯答案
親~登錄後才可以操作哦!
確定你的郵箱還未認證,請認證郵箱或綁定手機後進行當前操作
舉報
×
侵犯我的權益
×
侵犯了我企業的權益
×
- 1. 您舉報的內容是什麼?(請在郵件中列出您舉報的內容和鏈接地址)
- 2. 您是誰?(身份證明材料,可以是身份證或護照等證件)
- 3. 是哪家企業?(營業執照,單位登記證明等證件)
- 4. 您與該企業的關係是?(您是企業法人或被授權人,需提供企業委托授權書)
抄襲了我的內容
×
原文鏈接或出處
誹謗我
×
- 1. 您舉報的內容以及侵犯了您什麼權益?(請在郵件中列出您舉報的內容、鏈接地址,並給出簡短的說明)
- 2. 您是誰?(身份證明材料,可以是身份證或護照等證件)
對根叔社區有害的內容
×
不規範轉載
×
舉報說明
暫無評論