本文介绍了如何使用华为S5700系列交换机配置高级ACL来限制不同网段间的用户互访,以实现部门间的网络隔离,保护公司机密。配置包括创建VLAN、配置接口、定义ACL、流分类、流行为和流策略,并在接口上应用策略。
组网图形
图1使用高级ACL限制不同网段的用户互访示例
组网需求
如图一所示,某公司通过Switch实现各部门之间的互连。为方便管理网络,管理员为公司的研发部和市场部规划了两个网段的IP地址。同时为了隔离广播域,又将两个部门划分在不同VLAN之中。现要求Switch能够限制两个网段之间互访,防止公司机密泄露。
配置思路
采用如下的思路在Switch上进行配置:
1. 配置高级ACL和基于ACL的流分类,使设备可以对研发部与市场部互访的报文进行过滤。
2. 配置流行为,拒绝匹配上ACL的报文通过。
3. 配置并应用流策略,使ACL和流行为生效。
操作步骤
1. 配置接口所属的VLAN以及接口的IP地址
# 创建VLAN10和VLAN20。
system-view
[HUAWEI] sysname Switch
[Switch] vlan batch 10 20
#配置Switch的接口GE1/0/1和GE1/0/2为trunk类型接口,并分别加入VLAN10和VLAN20。
[Switch] interface gigabitethernet 1/0/1
[Switch-GigabitEthernet1/0/1] port link-type trunk
[Switch-GigabitEthernet1/0/1] port trunk allow-pass vlan 10
[Switch-GigabitEthernet1/0/1] quit
[Switch] interface gigabitethernet 1/
最低0.47元/天 解锁文章
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
