华为S5720交换机通过ACL限制VLAN之间的访问
华为S5720上实际配置过 不过iP是10.0.151.0 0.0.0.255不能访问其他vlan
通过traffic-filter调用
<Huawei>sys
[Huawei]acl 3000 //创建高级ACL(3000~3999)
[Huawei-acl-adv-3000]
[Huawei-acl-adv-3000]rule permit ip source192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255 //配置允许192.168.1.0段去访问192.168.2.0段
[Huawei-acl-adv-3000]rule deny ip source192.168.1.0 0.0.0.255 destination 192.168.4.0 0.0.0.255 //配置拒绝192.168.1.0段去访问192.168.=4.0段
[Huawei-acl-adv-3000]dis thi //查看当前配置是否配置成功
#
acl number 3000
rule5 permit ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255
rule10 deny ip source 192.168.1.0 0.0.0.255 destination 192.168.4.0 0.0.0.255
#
return
[Huawei-acl-adv-3000]q //退出ACL视图
[Huawei]int g0/0/1 //进入对应的接口
[Huawei-GigabitEthernet0/0/1]traffic-filterinbound acl 3000 //接口下调用ACL 3000
[Huawei-GigabitEthernet0/0/1]q //退出接口视图
[Huawei]
上面的这个配置有点粗糙。没错,配置完1.0不能访问2.0,反过来2.0ping1.0也不通了。因为通信是相互的,icmp和tcp协议都存在一个对方要回信号(TCP三次握手)
下面是一个实现精确单向控制的ACL
交换机V100R005以后版本可以通过下面的方法配置针对ICMP和TCP报文的单向访问。
下面是交换机实现从A不能访问B,但能从B访问A需求的示例
假设192.168.10.0是A的地址段(属于VLAN10),192.168.20.0是B的地址段(属于VLAN20)
1、创建ACL,制定访问控制规则(默认是permit)
acl 3000
rule 5 deny icmp source 192.168.10.0 0.0.0.255 destination 192.168.20.0 0.0.0.255 icmp-type echo //配置ICMP单向访问规则 注解一下ehco的意思是第一个请求包,规则拒绝的是icmp中10请求20,
rule 10 deny tcp source 192.168.10.0 0.0.0.255 destination 192.168.20.0 0.0.0.255 tcp-flag syn //配置TCP单向访问规则 注解一下syn是三次握手的第一个动作,就被deny了
quit
2、配置流分类,匹配ACL
traffic classifier c1
if-match acl 3000
quit
3、配置流行为
traffic behavior b1
quit
4、配置流策略,关联流分类和流行为
traffic policy p1
classifier c1 behavior b1
quit
5、应用流策略
应用到接口上
interface gigabitethernet 1/0/1
traffic-policy p1 inbound
或者应用到vlan上
vlan 10
traffic-policy p1 inbound
或者在全局应用
traffic-policy p1 global inbound
华为S5720交换机通过ACL限制VLAN之间的访问相关推荐
- 基于snmp协议监控华为s5720交换机
类别 节点信息 对应节点的OID 备注 设备状态监控 CPU利用率 1.3.6.1.4.1.2011.5.25.31.1.1.1.1.5 盒式设备获取CPU利用率和内存利用率的大小还可以使用另一个节点 ...
- ruijie交换机lacp动态_Server2016和华为s5720交换机链路聚合增加带宽
一. 背景 1.server端 企业中一台server2016利用两块1G网卡组成teaming生成一张2G的虚拟网卡,业务数据在这张带宽为2G的虚拟网卡上运行. 这块网卡不仅带宽可以提升1倍,而且可 ...
- 华为S9300交换机看acl命中数:acl counter
华为S9300无法看acl命中匹配计数? ===>经过研究华为该型号交换机确实无法直接看acl 命中数,只有进入到诊断模式下能看到计数 交换机软件版本:VRP (R) software, Ver ...
- 基于链路聚合提升带宽:winserver2016对接华为S5720交换机
一. 背景 1.server端 企业中一台server2016利用两块1G网卡组成teaming生成一张2G的虚拟网卡,业务数据在这张带宽为2G的虚拟网卡上运行. 这块网卡不仅带宽可以提升1倍,而且可 ...
- 华为S5720交换机堆叠配置
S5720交换机,做下堆叠,两条线,交叉互联(即A交换机23口连到B交换机24口,A交换机24口连接B交换机23口). PS: S5720堆叠可基于电口或者光口做,本次测试基于电口. SWA配置 # ...
- vlan之间互相访问_VLAN的划分和网络的配置实例
1.VLAN基础知识 VLAN(Virtual Local Area Network)的中文名为'虚拟局域网',注意不是'VPN'(虚拟专用网).VLAN是一种将局域网设备从逻辑上划分(注意,不是从物 ...
- H3C交换机配置ACL禁止vlan间互访
1.先把基础工作做好,就是配置VLAN,配置Trunk,确定10个VLAN和相应的端口都正确.假设10个VLAN的地址分别是192.168.10.X,192.168.20.X......192.168 ...
- Promethes监控华为S5720交换机
Promethes监控华为交换机 文章目录 Promethes监控华为交换机 一.部署Promethes 1.1 下载安装包 1.2 解压至 /data/tools/ 1.3 设置环境变量 1.4 创 ...
- 华为S5720交换机配置stelnet和sftp远程服务
第1步,先建立一个aaa验证用户admin [SW1]aaa [SW1-aaa]local-user admin password cipher 123456 #设置aaa用户名和密码 [SW1-aa ...
最新文章
- 01 使用AFN3 0上传图片时间慢的问题
- Silverlight游戏设计(Game Design):目录
- labelme标注需要精确标注吗_国内需要一个数据标注平台
- 【FI 收付款条件】Payment Terms 收付款条件
- C语言二级指针与典型应用(1)
- Java 如何优雅的实现时间控制
- 分类分布(categorical分布)
- 38K红外遥控发射与接收电路设计与选型、正向压降、限流电阻、半值角
- 重点推荐:HP大中华区总裁孙振耀退休感言
- android 几个快速编译images指令
- Git从远程主分支切换出一个开发分支
- 快捷支付与网银支付的对比
- 国人魔改后的中文优化版资源管理器,终于解决我多年的难题
- Oracle数据库 查询所有表
- 疫情之下,分享几款免费CRM系统,提高在家办公效率!
- php 公众号 群发,php实现微信公众号无限群发
- 高境三中计算机老师,立德树人奋进担当,教育脱贫托举希望——高境三中热烈庆祝第三十六个教师节...
- 阿里巴巴最新总结「百亿级别并发设计手册」GitHub收获70K标星
- linux文件设置显示行号
- ABAP 7.55更新概览
热门文章
- 【Pygame小游戏】史上最全:《唐诗三百首》合集,每一首都是精华,果断收藏~(学诗+锻炼记忆+Python诗句填空小程序上线啦)
- 南航计算机考研录取数据分析-2023
- 计算机导论课前演讲稿,课前三分钟演讲稿(精选6篇)
- 服务器柜机位置摆放电子图,客厅空调柜机要怎么摆放 客厅空调柜机摆放位置介绍【详解】...
- 根据链接下载zip文件并用密码解压
- FLASH加载XML相册
- deepnode软件下载地址_KeePass软件-KeePass下载地址
- 紫金桥软件与和利时PLC Modbus连接
- win7 注册表编辑已被管理员禁用 解决办法
- OCaml与C的互操作