通过acl限制vlan间通信

最新推荐文章于 2024-01-28 21:18:32 发布
最新推荐文章于 2024-01-28 21:18:32 发布
阅读量8.5k 收藏 28
点赞数 4
分类专栏: 网络 文章标签: vlan 限制 通信 华为交换机 acl
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wylfengyujiancheng/article/details/53890035
版权

作者:【吴业亮】云计算开发工程师
博客:http://blog.csdn.net/wylfengyujiancheng

拓扑:
这里写图片描述

目标:
1、pc1和pc2互信通信
2、pc2和pc3互信通信
3、pc1和pc3无法通信

创建acl

acl 3000
rule 1 deny ip source 172.16.10.0 0.0.0.255 destination 172.16.30.0 0.0.0.255

应用acl


[Huawei]interface  GigabitEthernet 0/0/3

[Huawei-GigabitEthernet0/0/3] undo traffic-filter outbound acl 3000

附录:
交换机配置

[Huawei]display  current-configuration 
#
sysname Huawei
#
vlan batch 10 20 30
#
cluster enable
ntdp enable
ndp enable
#
drop illegal-mac alarm
#
diffserv domain default
#
acl number 3000
 rule 1 deny ip source 172.16.10.0 0.0.0.255 destination 172.16.30.0 0.0.0.255
#
drop-profile default
#
aaa
 authentication-scheme default
 authorization-scheme default
 accounting-scheme default
 domain default
 domain default_admin
 local-user admin password simple admin
 local-user admin service-type http
#
interface Vlanif1
#
interface Vlanif10
 ip address 172.16.10.1 255.255.255.0
#
interface Vlanif20
 ip address 172.16.20.1 255.255.255.0
#
interface Vlanif30
 ip address 172.16.30.1 255.255.255.0
#
interface MEth0/0/1
#
interface GigabitEthernet0/0/1
 port link-type access
 port default vlan 10
#
interface GigabitEthernet0/0/2
 port link-type access
 port default vlan 20
#
interface GigabitEthernet0/0/3
 port link-type access
 port default vlan 30
 traffic-filter outbound acl 3000
#
interface GigabitEthernet0/0/4
#
interface GigabitEthernet0/0/5
#
interface GigabitEthernet0/0/6
#
interface GigabitEthernet0/0/7
#
interface GigabitEthernet0/0/8
#
interface GigabitEthernet0/0/9
#
interface GigabitEthernet0/0/10
#
interface GigabitEthernet0/0/11
#
interface GigabitEthernet0/0/12
#
interface GigabitEthernet0/0/13
#
interface GigabitEthernet0/0/14
#
interface GigabitEthernet0/0/15
#
interface GigabitEthernet0/0/16
#
interface GigabitEthernet0/0/17
#
interface GigabitEthernet0/0/18
#
interface GigabitEthernet0/0/19
#
interface GigabitEthernet0/0/20
#
interface GigabitEthernet0/0/21
#
interface GigabitEthernet0/0/22
#
interface GigabitEthernet0/0/23
#
interface GigabitEthernet0/0/24
#
interface NULL0
#
user-interface con 0
user-interface vty 0 4
#
return
Yeliang Wu
关注
  • 4
    点赞
  • 28
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
通信专业毕业设计(论文)-企业网通信方案设计
03-28
随着网络和科学技术的飞速发展,网络建设作为信息化建设的基础,也越来越受到企业的重视,网络结构和网络信息安全都是企业信息化建设中需要解决的重要问题。 本设计出于对众宇通讯公司长期稳定发展的考虑,针对公司的现状和发展需求,为公司设计了一个稳定的、相对安全的、可扩展并且可以支撑必要的网络应用的网络结构。在此次设计中,主要的运用到的技术与实现功能有:(1)汇聚交换机上使用DHCP技术,使各个接入层设备可自动获取相应的IP地址,也避免了IP地址的冲突;(2)运用VRRP技术,增强网络的连续性和稳定性,实现多链路备份冗余和网关备份冗余;(3)运用MSTP技术,将不同的VLAN与相应实例捆绑,避免了网络环路和广播风暴的产生;(4)通过防火墙技术,实现了企业内部与外部网络之间的信息交互安全。除此之外,还进行了VLAN的划分,端口安全设置,ACL访问限制,NAT地址转换,使用OSPF协议、静态路由等网络配置。 本论文基于华为ENSP仿真模拟软件,充分考虑到了整个公司网络今后的实用性、安全性以及可扩展性。利用所学的相关知识和网络技术,对众宇通讯公司的网络进行模拟设计。此设计根据三层网络结构来搭建网络拓扑,
使用ACL限制不同网段的用户控制访问
weixin_45921302的博客
09-24 2827
不同valn之间的控制访问。
ACLVLAN、NAT笔记
one piece的博客
01-28 1006
一、ACL ---访问控制列表1.ACL的作用1,访问控制:在路由器流量流入或流出的接口上,匹配流量,然后执行设定好的动作。---- permit 允许 , deny 拒绝2,抓取感兴趣流:ACL可以和其他服务结合使用。ACL只负责匹配流量,其他服务则对匹配上的流量执行对应的动作。自上而下,逐一匹配,如果匹配上,则按照对应的动作执行,不再向下匹配。思科体系的设备:在ACL列表末尾隐含一条拒绝所有的规则华为体系的设备:在ACL列表末尾隐含一条允许所有的规则2.ACL列表的分类。
校园网网络安全的策略.docx
06-08
校园网网络安全的策略全文共5页,当前为第1页。校园网网络安全的策略全文共5页,当前为第1页。 校园网网络安全的策略全文共5页,当前为第1页。 校园网网络安全的策略全文共5页,当前为第1页。 校园网网络安全的策略 校园网网络安全的策略全文共5页,当前为第2页。校园网网络安全的策略全文共5页,当前为第2页。 校园网网络安全的策略全文共5页,当前为第2页。 校园网网络安全的策略全文共5页,当前为第2页。 吕胜金 摘要:当前,互联网的应用越来越广泛。校园网为广大师生创造了方便、快捷的信息运行环境,已成为各校十分重要的基础设施。教师的教育教学工作和学生的日常生活、学习也越来越离不开校园网,校园网络的安全与否将决定着这些活动能否顺利开展,所以,要注重校园网络的安全问题,并采取切实可行的措施,以保证校园网络的安全。 【关键词】校园网 网络安全 策略 简单地说,校园网是指在学校范围之内,为教师的教育教学和科研、学生的学习和生活等需求提供信息交流、资源共享的计算机网络系统。校园办公服务软件不断发展的同时,学校的教育教学、校务办公、为学生服务的功能也通过互联网连接,这大大扩展了办公及学习的深度和广度。与此同时,校园网的安全问题也越来越突出,网络病毒,黑客入侵,管理不善等原因使得校园网络面临着严重的威胁。 1 校园网的安全隐患 1.1 导致校园网危险的内在原因 1.1.1 软硬件自身的漏洞 硬件系统的安全威胁。一是指物理方面的安全,主要是由于互联网中硬件装置摆放的位置不太合适,或是由于安全的防范措施不当,导致网络硬件一些设备不能安全正常地使用。二是指设置安全,主要是指在仪器上要有正确的设置,预防网络黑客获取了计算机的远程控制的特权。 网络系统的安全漏洞,是指网络系统的程序员编程设计时,没有事先预料到可能存在的安全隐患,导致系统存在缺陷。现今,校园里采用的计算机操作系统大部分是微软公司的WINDOWS操作系统,而针对WINDOWS操作系统的病毒和黑客非常的多,安全问题十分堪忧。 1.1.2 设置上的失误 正确地安排设计校园网的配置设备是非常关键的。网络线路一旦成形并布线,那么,如果再进行调整是十分麻烦的。因为其布线有一定的网络拓扑结构,如果重新设计,不仅会浪费人力、物力、财力,还会影响正常的教学活动。目前,网络维护公司其技术、质量及其所谓的解决方案一般都是夸大其词,并不能真正地达到百分之百的防治效果。 校园网网络安全的策略全文共5页,当前为第3页。校园网网络安全的策略全文共5页,当前为第3页。1.1.3 管理漏洞 校园网网络安全的策略全文共5页,当前为第3页。 校园网网络安全的策略全文共5页,当前为第3页。 人为的管理体制,也是校园网中比较重要的部分。人员的负责制度、管理条例、安全意识、安全防范行为都不健全,加上一些管理人员自身的知识和技能不足等原因,非常有可能引发网络安全的问题。 1.2 导致校园网危险的外在原因 1.2.1 网络黑客的入侵 校园网的规模庞大而且复杂,其中的设备五花八门,不仅在管理上带来了很大的难度,也给不法的黑客可趁之机,因此,黑客的攻击是校园网络安全中一个不可小视的重要因素。 1.2.2 计算机病毒的破坏 通常情况下,计算机网络的基本组成包括在网络中安置的服务器和节点站(包含有盘和无盘工作站、远程工作站)。计算机病毒的入侵路径,通常是先进入到网络中的有盘工作站,即进入了网络,再开始在互联网上传播。 2 解决校园网络安全问题的一些关键技术 基于校园网络的现状,在明确了几个威胁校园网安全的因素的基础上,就可以制定一系列网络安全系统策略和原则,并从硬件和软件方面考虑,需要采用多种技术及软件相互配合的方式,包括防火墙、入侵检测、病毒防御等的运用。 2.1 防火墙部署 防火墙是指一种隔离技术,用于将内部网和公众访问网分开的技术,也就是校内网和校外人员访问的校园网是不同的。防火墙是在网络之间进行信息传递时所实现的访问限制标准和程度,它可以使你"允许进入"的访问用户和数据访问你的网络,也将你"不允许进入"的访问用户和数据拒绝,这种分隔校园中的通信更加安全,校园内的数据库、网络、网站就能得到最大限度的保护。最大程度地保护校园网络免于其他的威胁和侵害。 2.2 入侵检测 入侵检测是对入侵网络的行为进行检查。它的技术原理就是利用对计算机网络或者是计算机系统中一些关键点进行收集信息,并对信息进行分析,从中检测网络或系统中有无违背安全策略的行为和被攻击的现象。 2.3 计算机病毒防御 防病毒技术能够及时发现病毒并且消灭病毒,防止网络病毒的进一步传播和扩大。防病毒核校园网网络安全的策略全文共5页,当前为第4页。校园网网络安全的策略全文共5页,当前为第4页。心技术有:特征代码匹配、病毒特征自动发现、启发式搜索等。防病毒产品有:Norton、Kaspersk
路由器配置实训.doc
07-12
路由器配置实训 一、访问控制列表 实训目的 掌握标准访问控制列表的配置方法。 掌握扩展访问控制列表的配置方法。 实训设备与环境 Cisco2621路由器1台,PC机4台,1台服务器。Console电缆1条,控制电缆1条,双绞 线若干,交换机两台。标准访问控制列表的实训环境如图1所示。扩展访问控制列表的实 训环境如图2所示。 图1 标准访问控制列表实训环境 图2 扩展访问控制列表实训环境 实训内容 配置标准ACL,使某个网段中只有指定PC机可以访问其他网段。 配置扩展ACL,对ICMP协议数据进行限制,对流入、流出路由器的不同类型服务数据加以 限制。 实训步骤 标准访问控制列表配置。 1) 按图1所示连接路由器、交换机和PC机。 2) 配置路由器和PC机的IP地址,并测试PC机间的连通性。 3) 配置路由器上的标准访问控制列表,要求只有PC2可以访问子网192.168.2.0/24,禁 止其他通信量。 4) 测试、检查配置的标准访问控制列表。 扩展访问控制列表配置。 1) 按图2所示连接路由器、PC机和服务器。 2) 配置路由器、PC机和服务器的IP地址,测试PC机和服务器的连通性。 3
【交换篇】14. 限制 VLAN 之间互相访问 ❀ C3750-E ❀ CISCO 交换机
防火墙技术专栏
03-08 9571
前面我们为了所有VLAN都可以上网,开启了交换机的路由功能,但现实情况是需要限制某些VLAN之间的互相访问,这就需要用到ACL(访问控制列表)功能了。
华为ensp---ACL实验2---三层交换机限制VLAN互访
qq_33754943的博客
03-23 1万+
场景:三层交换机,多个VLAN 需求:ACL限制VLAN间的互访 VLANVLANIF配置省略 PC3可以PING通PC4 [Huawei]traffic classifier tc1 [Huawei-classifier-tc1]if-match acl 3000 [Huawei-classifier-tc1]q [Huawei]traffic behavior tb1 [Huawei-behavior-tb1]deny [Huawei-behavior-tb1]q [Huawei]traffic
R&S,数通HCIP|ACL实现Vlan间访问控制实验
朔方鸟的博客
01-15 2722
​使用了DHCP-VLAN间通信-OSPF综合实验的拓扑,尽可能使用多种ACL实现只允许Vlan10访问Vlan40。
ACL的原理与配置
ou_shen_xian的博客
10-17 1278
ACL原理与配置 ACL实现流量过滤 ACL是由一系列permit (允许)和demy(拒绝)语句组成的,有顺序的列表 ACL是一个匹配工具,能够对报文进行匹配和区分 ACL number 2000 ~2999 基本接口 ACL number 3000~3999 高级接口 rule 5 (默认步长5)permit source 1.1.1.0 0.0.0.255(Wildcard 通配符) rule 10 (默认步长5) deny source 2.2.2.0
华为S5720交换机通过ACL限制VLAN之间的访问
热门推荐
womendouhenqiang的博客
05-23 5万+
华为S5720上实际配置过 不过iP是10.0.151.0 0.0.0.255不能访问其他vlan通过traffic-filter调用<Huawei>sys[Huawei]acl 3000               //创建高级ACL(3000~3999)[Huawei-acl-adv-3000][Huawei-acl-adv-3000]rule permit ip source19...
广工计算机网络实验源文件(内含.pkt文件,Cisco Packet Tracer Instructor软件实现)
05-08
基于Cisco Packet Tracer Instructor软件实现的计算机网络实验(资源内是实验原文件)。 主要涵盖四种实验: 1、三层交换机实现VLAN间通信 实验设备:2台3560三层交换机,3台电脑。 实验要求:使在同一VLAN里的计算机系统能跨交换机进行相互通信,而在不同VLAN里的计算机系统也能进行相互通信。 2、RIP路由协/2 实验设备:两台28系列型号路由器通过串口相连。 实验要求: 根据拓扑结果图,用RIPv2协议配置使全网互通 3、OSPF单区域3 实验设备:三台28系列型号路由器和一台2950交换机。 实验要求:3台路由器分别命名为Router1 ,Router2和Router3,路由器全部连接到2950交换机上,配置OSPF,使全网互通。 4、扩展ACL -1 实验设备:S3550交换机(1台)、PC(3台)、直连线(3条) 实验要求: 学校规定学生只能对服务器进行FTP访问,不能进行WWW访问,教工则没有此限制
通信专业毕业设计(论文)
最新发布
03-26
大学校园网规划与实践 摘 要:近些年来,伴随着信息技术产业飞速发展进步时代的到来,网络的使用率越来越高,对于一个高校来说,一个优质的现代化校园网能够更有效的推动学校发展进程,更能提升学校的整体教学水平,校园网已经成为教育和科研的重要平台。因此,我们需要改变传统的教学观念,建立一个具备实用性、先进性、稳定性、安全性和可靠性的校园网络。 本次是以淄博某大学校园网设计与实现为原型,对淄博某大学进行了考量,依据本校建设校园网的资金安排,在听取相关技术人员的意见的基础上,结合本校教学科研内容及发展需要,规划了一个适合淄博某大学的校园网络。淄博某大学的校园网设计使用了三层模型,根据该中学的需求,设计实现了该中学所需要的功能,该校园网设计主要采用了OSPF、HSRP、VLANACL等技术,主要能够实现的功能如下: (1)实现了能够让校园网能够访问外网,并且内网之间也可以相互通信。 (2)实现了在这个校园网中禁止其他区域去访问教务区,限制它们之间的通信,并且教务区不受到影响,使其可以自由的访问校园数据中心和外网。 (3)内网地址可以得到保护,外界访问内网时,真实信息不会轻易被泄露,可以达到一定的安
网络基础(VLAN、单臂路由、三层交换、ACL、HSRP&VRRP协议)
Pluto.的博客
12-09 561
文章目录网络基础一、VLAN1. 概述2. 类型2.1 静态VLAN2.2 动态VLAN3. Trunk4. 单臂路由&三层交换技术4.1 单臂路由4.2 三层交换技术二、内部网络规划 网络基础 一、VLAN 1. 概述 虚拟局域网:VLAN(Virtual Local Area Network),是一组逻辑上的设备和用户,这些设备和用户并不受物理位置的限制,可以根据功能、部门及应用等因素将它们组织起来,相互之间的通信就好像它们在同一个网段中一样。工作在交换机上,一个VLAN就是一个广播域,就是一个
HCIA基础(4)
weixin_68047790的博客
10-26 413
VLAN---虚拟局域网,ACL技术---访问控制列表,NAT技术---网络地址转换,园区网组网
华为PBR简单应用
12-04 1699
把两个vlan的数据调整为走联通出,不走电信 1、先把两个valn数据用acl匹配出来 acl 2000 rule 1 permit source 192.168.10.0 0.0.0.0255 rule 1 permit source 192.168.20.0 0.0.0.0255 2、定义数据流,和acl匹配 traffic classifier liantong operator or if-match acl 2000 3、定义流行为 traffic behavior liantong (名称可.
对于ACL访问控制在vlan间设置的一些见解
忆林的博客
11-09 1672
好了这边得出猜想,一个数据包走到vlan内部是会进行一个解析的,为了不配置出错,以及预防意外的情况,我们会将这个数据包放进vlan内部让他进行一个解析,然后解析过后这个数据包就要往对应的地方走,那么这个时候我们在vlan的out位置给他来一个限制的话,这个时候不就达到我们想要的效果 了,至于如果说你一定要配置在in口上的也可以,但是你会配置一个IP any any,放行所有,这个时候你觉得会放心嘛。这边只是笔者的一个猜想,作为一个路由小白,发现要学的东西还有很多,有错的话,还请多多指教。
交换机之间用管理vlan互联,并用ACL进行管控的实例
08-31 459
PC2先到S1的网关254,网关发现目的地址和自己不同段,于是按路由表扔到了vlan999段,然后vlan999查了下mac表,没找到1.1.1.2,于是通过trunk发给了S1。S1上:管理vlan999,IP:1.1.1.2/30,需要PC1仅能访问2.2.2.2的地址,不能访问vlan 20 、vlan 999的网段。网关起在S2上,管理vlan999,IP:1.1.1.1/30,lookback 0 地址用2.2.2.2/32当做外网接口IP。S2配置:(核心层配置)
ACL原理与配置
manyulanlanlu的博客
06-06 1014
2、匹配到第一条后续相同的将不再匹配,一个端口只能匹配一条策略,只能调用一个ACL方法,要配其他的·,必须删除原先的。虽然划分了vlan,但不是流量控制,只是单纯划分广播域,而且通过三层交换机或单臂路由可以实现不同vlan间的通信。3000~3999:高级ACL,可以匹配源ip地址,目标ip还可以匹配源端口号,目标端口还包括三层或四层的协议字段。结合其他协议(tcp/udp/http等)匹配范围,ACL可以控制协议的流量(数据包)是否通过。多条策略的匹配原则:1、有则匹配,无则放通。
实现不同vlan间通信
07-14
利用三层交换机可以通过创建不同的VLAN来实现不同VLAN间的通信。具体步骤如下: 1. 首先在三层交换机上创建不同的VLAN,每个VLAN都有一个唯一的VLAN ID。 2. 将不同的端口划分到不同的VLAN中,可以通过端口的配置或者VLAN的配置来实现。 3. 配置三层交换机的路由功能,使得不同的VLAN可以相互通信。可以通过静态路由或者动态路由协议来实现。 4. 配置VLAN间的ACL(访问控制列表),限制不同VLAN之间的通信,保证网络的安全性。 通过以上步骤,就可以利用三层交换机实现不同VLAN间的通信

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值