华为设备配置通过流策略实现VLAN间三层隔离

最新推荐文章于 2024-08-01 13:21:23 发布
最新推荐文章于 2024-08-01 13:21:23 发布
阅读量3.7k 收藏 45
点赞数 1
分类专栏: 网络设计与配置 文章标签: 华为 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Tony_long7483/article/details/122271773
版权

在这里插入图片描述

1.配置VLAN并将各接口加入VLAN,PC、服务器间二层隔离
[LSW2]vlan 10
[LSW2-GigabitEthernet0/0/2]port link-type access
[LSW2-GigabitEthernet0/0/2]port default vlan 10
[LSW2-GigabitEthernet0/0/1]port link-type trunk
[LSW2-GigabitEthernet0/0/1]port trunk allow-pass vlan 10
[LSW3]vlan 20
[LSW3-GigabitEthernet0/0/2]port link-type access
[LSW3-GigabitEthernet0/0/2]port default vlan 20
[LSW3-GigabitEthernet0/0/3]port link-type access
[LSW3-GigabitEthernet0/0/3]port default vlan 20
[LSW3-GigabitEthernet0/0/1]port link-type trunk
[LSW3-GigabitEthernet0/0/1]port trunk allow-pass vlan 20
[LSW4]vlan 30
[LSW4-GigabitEthernet0/0/2]port link-type access
[LSW4-GigabitEthernet0/0/2]port default vlan 30
[LSW4-GigabitEthernet0/0/1]port link-type trunk
[LSW4-GigabitEthernet0/0/1]port trunk allow-pass vlan 30
[LSW1]vlan batch 10 20 30 100
[LSW1-GigabitEthernet0/0/2]port link-type trunk
[LSW1-GigabitEthernet0/0/2]port trunk allow-pass vlan 10
[LSW1-GigabitEthernet0/0/3]port link-type trunk
[LSW1-GigabitEthernet0/0/3]port trunk allow-pass vlan 20
[LSW1-GigabitEthernet0/0/4]port link-type trunk
[LSW1-GigabitEthernet0/0/4]port trunk allow-pass vlan 30
[LSW1-GigabitEthernet0/0/1]port link-type trunk
[LSW1-GigabitEthernet0/0/1]port trunk allow-pass vlan 100
[LSW1-GigabitEthernet0/0/1]port trunk pvid vlan 100
2.配置VLANIF接口及其IP地址,使PC、服务器间可以三层互通
[LSW1]int Vlanif 10
[LSW1-Vlanif10]ip add 10.1.1.1 24
[LSW1-Vlanif10]int Vlanif 20
[LSW1-Vlanif20]ip add 10.1.2.1 24
[LSW1-Vlanif20]int Vlanif 30
[LSW1-Vlanif30]ip add 10.1.3.1 24
[LSW1-Vlanif30]int Vlanif 100
[LSW1-Vlanif100]ip add 10.1.100.1 24
3.配置上行路由,使PC、服务器均可通过LSW1访问Internet
[LSW1]ospf 1
[LSW1-ospf-1]area 0
[LSW1-ospf-1-area-0.0.0.0]network 10.1.1.0 0.0.0.255
[LSW1-ospf-1-area-0.0.0.0]network 10.1.2.0 0.0.0.255
[LSW1-ospf-1-area-0.0.0.0]network 10.1.3.0 0.0.0.255
[LSW1-ospf-1-area-0.0.0.0]network 10.1.100.0 0.0.0.255
4.配置AR1
[AR1-GigabitEthernet0/0/0]ip add 10.1.100.2 24
[AR1]ospf 1
[AR1-ospf-1]area 0
[AR1-ospf-1-area-0.0.0.0]network 10.1.100.0 0.0.0.255
5.配置PC和服务器
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述6. 配置并应用流策略,控制PC、服务器之间的访问
(1)通过ACL定义每个流
[LSW1]acl 3000 //禁止访问PC2、PC3和服务器
[LSW1-acl-adv-3000]rule deny ip destination 10.1.2.0 0.0.0.255
[LSW1-acl-adv-3000]rule deny ip destination 10.1.3.0 0.0.0.255
[LSW1]acl 3001 //使PC2可以访问服务器的所有资源,其他PC只能访问服务器的21端口
[LSW1-acl-adv-3001]rule permit ip source 10.1.2.2 0 destination 10.1.3.0 0.0.0.255
[LSW1-acl-adv-3001]rule permit tcp destination 10.1.3.2 0 destination-port eq 21
[LSW1-acl-adv-3001]rule deny ip destination 10.1.3.0 0.0.0.255
(2)配置流分类,区分不同的流
[LSW1]traffic classifier c1
[LSW1-classifier-c1]if-match acl 3000
[LSW1-classifier-c1]traffic classifier c2
[LSW1-classifier-c2]if-match acl 3001
(3)配置流行为,指定流动作为允许
[LSW1]traffic behavior b1
[LSW1-behavior-b1]permit
(4)配置流策略,关联流分类和流行为
[LSW1]traffic policy p1
[LSW1-trafficpolicy-p1]classifier c1 behavior b
[LSW1]traffic policy p2
[LSW1-trafficpolicy-p2]classifier c2 behavior b1
(5)应用流策略,实现PC、服务器之间的访问控制
[LSW1]vlan 10
[LSW1-vlan10]traffic-policy p1 inbound
[LSW1]vlan 20
[LSW1-vlan20]traffic-policy p2 inbound
7.验证配置
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

Tony_long7483
关注
专栏目录
华为S5700系列交换机配置通过策略实现VLAN三层隔离
a226433955的博客
11-20 4444
组网图形 图1配置通过策略实现VLAN三层隔离组网图 组网需求 如图一所示,为了通信的安全性,某公司将访客、员工、服务器分别划分到VLAN10、VLAN20、VLAN30中。公司希望: 员工、服务器主机、访客均能访问Internet。 访客只能访问Internet,不能与其他任何VLAN的用户通信。 员工A可以访问服务器区的所有资源,但其他员工只能访问服务器A的...
华为交换机端口隔离技术【限制VLAN内与VLAN量】
06-28
华为交换机
配置端口隔离实现同一vlan中主机不互通,再配置三层交换机vlanif接口实现二层隔离三层互通。
weixin_45103766的博客
05-05 693
需要在三层交换机中配置vlanif接口,并配置ip地址和pc1(10.1.1.1)pc2(10.1.1.12)处于同一网络:比如vlanif(10.1.1.254),还要开启代理arp功能,这时pc1和2可以互访。原理:通过vlanif接口,pc1发arp请求到三层设备vlanif接口,vlanif开启了arp代理功能,它代理pc1去请求pc2,然后以自己的vlanif接口去告知pc1。通过端口隔离的方式在二层实现隔离:如把端口1和端口2都放进同一隔离组。两端口所连接主机实现隔离
ACL实验-交换机实现三层隔离
最新发布
weixin_52267871的博客
08-01 1252
192.168.20.0/24网段可以访问192.168.40.1(web服务器) 不能访问192.168.40.2(ftp服务器)第一步:创建两个acl,acl 3001 和acl 3002,acl 3001里面写允许策略,acl 3002里面写拒绝策略。PC3:PC3ping192.168.30.1(不通)、192.168.40.1(通)、192.168.40.2(不通)。PC4:PC4ping192.168.20.1(不通)、192.168.40.1(通)、192.168.40.2(不通)。
华为交换机的三层隔离
weixin_34348111的博客
11-22 2523
华为交换机的三层隔离1,项目要求A、一个500人左右的单位进行组网设计;B、该单位共有3个部门,分别为:部门A(50人)、部门B(50人)、部门C(400人);请为这3个部门划分不同的VLAN,要求彼此之不能通讯,同时都能访问互联网;C、该单位还有一个门户网站,对外发布服务;D、要求部门C动态分配地址;部门A和部门B配置静态地址。2,项目拓扑3,实施过程:(1)地址规划...
5.华为交换机局域网vlan网段隔离配置
WilliamEvano的博客
06-17 427
华为交换机局域网vlan网段隔离配置
使用三层交换机的ACL实现不同vlan隔离
weixin_34044273的博客
06-13 4370
使用三层交换机的ACL实现不同vlan隔离   建立三个vlan vlan10 vlan20 vlan30    www.2cto.com   PC1 PC3属于vlan10 PC2 PC4属于vlan20   PC5属于vlan30 Vlan10 vlan20 vlan30不能互访 但是能上外网 Pc1 :172.16.10.2    pc2: 172.16.20.2 pc3:17...
华为VLAN隔离配置
01-07
华为VLAN隔离配置 方法1:通过vlan ACL 包过滤 (这个最简单) [Huawei]acl 3000 [Huawei-acl-adv-3000]rule 5 deny ip source 192.168.10.0 0.0.0.255 destination 192.168.20.0 0.0.0.255 [Huawei-acl-adv-3000]rule 100 permit ip [Huawei-acl-adv-3000]quit [Huawei]traffic-filter vlan 10 inbound acl 3000      #相当于H3C在接口上启用包过滤,注意方向,我配置
计算机网络中通过策略实现VLAN三层隔离组网+企业网搭建
01-17
多适用于公司组网,对有些小伙伴毕业设计基于华为ensp企业网络设计的区域内容, 本实验运用通过二层隔离三层交换,通过策略实现vlan三层隔离组网、行为、分类、ACL技术、VLANIF技术等的运用,有对企业网络...
华为三层交换机之配置VLAN路由
10-01
总结来说,华为三层交换机的VLAN路由配置主要包括创建VLAN、端口划分、配置VLAN接口地址和静态路由。这个过程对于大型网络环境中的通信至关重要,因为它允许不同VLAN中的设备相互通信,同时保持网络的安全性和管理...
华为HCIE基于VLANIF接口的VLAN三层通信完整实验
06-23
VLANIF接口是华为路由器或交换机上的逻辑接口,用于实现VLAN三层通信,相当于每个VLAN都有一个独立的三层IP地址。 在实验中,我们首先需要了解VLAN的创建与配置。这包括定义VLAN ID,将端口分配到相应的VLAN,...
VLAN三层交换机
weixin_47219818的博客
05-22 4462
VLAN三层交换机 实验案例:在华为ensp软件上手动配置三层交换机,实现不同VLAN数据交互,并通过数据抓包验证。 实验环境 如图所示,在华为ensp软件上将3个交换机4台PC按图进行连接,配置ip和虚拟网关,保证所有PC信息互通,并对中继线处抓包验证。 需求描述 将上述过程通过实验再现出来。 在华为ensp虚拟环境进行试验, 推荐步骤 新建一个拓扑图如下所示, 手动配置各个路由器端口的ip地址 配置其环回地址 设置下一跳地址 使其顺时针正常通信 在各个路由器上ping其余两个能够正
三层交换机关于VLAN的划分以及ACL的使用
weixin_33981932的博客
10-30 227
今天下午去了一个公司,叫我过去的目的是帮他们划一下VLAN,本来想到应该还是很简单的,但是没有想到想了一下午的办法才想出来。感兴趣的话来试试看你能够花多少时把这个方案想出来。 需求: 他们以前没有划分VLAN,用的一台Cisco 2918二层交换机,但是他们没有做任何配置,现在由于他们的有一部分计算机(192.168.1.0/24)配置比较差,当交换机发送一个广播包的时...
华为 vlan 端口隔离
alancct的博客
10-15 731
进入接口后 port-isolate enable group 指定组号 (在接口处做配置) 组内成员端口隔离,不同组不隔离
VLAN应用篇系列:(6)华为交换机端口隔离演示(基于VLAN内与VLAN
网络之路Blog(其他平台同名)
02-27 1413
掌握目标 1、实现VLAN内的端口隔离 2、实现VLAN的端口隔离 拓扑图 其中PC1与PC2在同一个网段,而PC3在另外一个网段,默认情况下是都可以互访的。 1、实现VLAN内的端口隔离 interface GigabitEthernet0/0/1 port-isolate enable group 1 # interface GigabitEthernet0/0/2 port-isolate enable group 1 # interface GigabitEthernet0/0/
华为三层架构+隔离+路由区域实验
weixin_51045259的博客
01-22 1739
交换部分 1.起vlan 2.划分vlan 在交换机1,2,3,4,上分别起vlan2,3,并将vlan划分给交换机3,4下的接口 3.聚合 在这里插入代码片 4.干道 核心交换机之心跳线的作用 1.能够减少局域网PC互通的转发路径 2.最大限度发挥核心的转发效能,而不是让接入交换机承担更多的转发任务 3.能够增加冗余 vrrp的切换条件 1.上行链路发生故障 2.Backup发现不了主设备 将AR1和AR2做vrrp ...
H3C S6850交换机通过配置基本ACL实现不同vlan通信隔离
hhada123的博客
04-09 6844
大家都知道通过vlanif可以实现不同vlan相互通信,但大部分情况下,为了安全考虑是希望不同vlan不能相互通信。今天讲的ACL(访问控制列表)就可以实现不同vlan通信隔离。 首先百度百科一下什么是ACL: ACL(访问控制列表)是一种基于包过滤的访问控制技术,它可以根据设定的条件对接口上的数据包进行过滤,允许其通过或丢弃。访问控制列表被广泛地应用于路由器和三层交换机,借助于访问控制列表,可以有效地控制用户对网络的访问,从而最大程度地保障网络安全。 今天的实验网络拓扑图如下: ...
华3交换机3层vlan隔离配置
weixin_34319999的博客
03-12 1914
华3层交换机vlan隔离192.168.1.0---------g1/0/1SSWg1/0/2-------192.168.2.0192.168.3.0-----------------------|192.168.4.0-----------------------|禁止1.0、3.0、4.0与2.0互访...
华为交换机vlan三层隔离
08-17
华为交换机支持使用VLAN进行三层隔离,即在网络中将不同的子网划分到不同的VLAN中,实现三层网络隔离与划分。 首先,VLAN(Virtual LAN)是一种虚拟局域网技术,可以将物理上分散的设备连接在同一个逻辑上的LAN中,而且每个VLAN都是相互隔离的。华为交换机可以根据需求创建不同的VLAN,并为每个VLAN配置不同的IP地址段。 在华为交换机上,通过在交换机上配置三层接口,即将某个物理接口绑定到一个VLAN上,并为该接口配置一个IP地址,这样就可以实现VLAN三层隔离。不同VLAN的通信将通过路由器功能实现。 例如,假设我们创建了VLAN10和VLAN20两个虚拟局域网,分别表示两个不同的子网。我们可以将接口GigabitEthernet 0/0/1绑定到VLAN10,并为接口GigabitEthernet 0/0/1配置一个IP地址,比如192.168.10.1/24。同样地,我们将接口GigabitEthernet 0/0/2绑定到VLAN20,并为该接口配置一个IP地址,比如192.168.20.1/24。 然后,通过配置交换机的路由功能,将VLAN10和VLAN20之的通信进行路由。这样,从VLAN10中的主机向VLAN20中的主机发送数据包时,数据包将经过交换机的路由功能进行转发,实现VLAN三层隔离。 总之,华为交换机通过配置VLAN三层接口以及路由功能,可以实现网络中不同子网的三层隔离,确保不同子网之的安全性和独立性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值