如何通过流策略实现VLAN间的访问权限,一看便知!

发布时间:2023-12-27  

01过流策略实现间三层隔离

本文引用地址:

1.1 组网需求


如图 1 所示,为了的安全性,某公司将访客、员工、服务器分别划分到10、20、VLAN30中。公司希望:


  • 员工、服务器主机、访客均能访问Internet。


  • 访客只能访问Internet,不能与其他任何VLAN的用户。


  • 员工A可以访问服务器区的所有资源,但其他员工只能访问服务器A的21端口(FTP服务)。


图 1 配置通过流策略实现VLAN间三层隔离组网图


1.2 配置思路


可采用如下思路配置通过流策略实现VLAN间互访控制:


  1. 配置VLAN并将各接口加入VLAN,使员工、服务器、访客间二层隔离。


  2. 配置VLANIF接口及其IP地址,使员工、服务器、访客间可三层互通。


  3. 配置上行路由,使员工、服务器、访客均可通过Switch访问Internet。


  4. 配置并应用流策略,使员工A可以访问服务器区的所有资源,其他员工只能访问服务器A的21端口,且只允许员工访问服务器;使访客只能访问Internet。


1.3 操作步骤


【1】配置VLAN并将各接口加入VLAN,使员工、服务器、访客间二层隔离


# 在Switch_1上创建VLAN10,并将接口GE1/0/1以Untagged方式加入VLAN10,接口GE1/0/2以Tagged方式加入VLAN10。Switch_2和Switch_3的配置与Switch_1类似,不再赘述。(详看文章后面的配置文件)

<HUAWEI> system-view
[HUAWEI] sysname Switch_1
[Switch_1] vlan batch 10[Switch_1] interface gigabitethernet 1/0/1[Switch_1-GigabitEthernet1/0/1] port link-type access
[Switch_1-GigabitEthernet1/0/1] port default vlan 10[Switch_1-GigabitEthernet1/0/1] quit
[Switch_1] interface gigabitethernet 1/0/2[Switch_1-GigabitEthernet1/0/2] port link-type trunk
[Switch_1-GigabitEthernet1/0/2] port trunk allow-pass vlan 10[Switch_1-GigabitEthernet1/0/2] quit


# 在Switch_4上创建VLAN10、VLAN20、VLAN30、VLAN100,并配置接口GE1/0/1~GE1/0/4分别以Tagged方式加入VLAN10、VLAN20、VLAN30、VLAN100。

<HUAWEI> system-view[HUAWEI] sysname Switch_4[Switch_4] vlan batch 10 20 30 100[Switch_4] interface gigabitethernet 1/0/1[Switch_4-GigabitEthernet1/0/1] port link-type trunk[Switch_4-GigabitEthernet1/0/1] port trunk allow-pass vlan 10[Switch_4-GigabitEthernet1/0/1] quit[Switch_4] interface gigabitethernet 1/0/2[Switch_4-GigabitEthernet1/0/2] port link-type trunk[Switch_4-GigabitEthernet1/0/2] port trunk allow-pass vlan 20[Switch_4-GigabitEthernet1/0/2] quit[Switch_4] interface gigabitethernet 1/0/3[Switch_4-GigabitEthernet1/0/3] port link-type trunk[Switch_4-GigabitEthernet1/0/3] port trunk allow-pass vlan 30[Switch_4-GigabitEthernet1/0/3] quit[Switch_4] interface gigabitethernet 1/0/4[Switch_4-GigabitEthernet1/0/4] port link-type trunk[Switch_4-GigabitEthernet1/0/4] port trunk allow-pass vlan 100[Switch_4-GigabitEthernet1/0/4] quit


【2】配置VLANIF接口及其IP地址,使员工、服务器、访客间可以三层互通


# 在Switch_4上创建VLANIF10、VLANIF20、VLANIF30、VLANIF100,并分别配置其IP地址为10.1.1.1/24、10.1.2.1/24、10.1.3.1/24、10.1.100.1/24。

[Switch_4] interface vlanif 10[Switch_4-Vlanif10] ip address 10.1.1.1 24[Switch_4-Vlanif10] quit[Switch_4] interface vlanif 20[Switch_4-Vlanif20] ip address 10.1.2.1 24[Switch_4-Vlanif20] quit[Switch_4] interface vlanif 30[Switch_4-Vlanif30] ip address 10.1.3.1 24[Switch_4-Vlanif30] quit[Switch_4] interface vlanif 100[Switch_4-Vlanif100] ip address 10.1.100.1 24[Switch_4-Vlanif100] quit


【3】配置上行路由,使员工、服务器、访客均可通过Switch访问Internet。


# 在Switch_4上配置OSPF基本功能,发布用户网段以及Switch_4与Router之间的互联网段。

[Switch_4] ospf[Switch_4-ospf-1] area 0[Switch_4-ospf-1-area-0.0.0.0] network 10.1.1.0 0.0.0.255[Switch_4-ospf-1-area-0.0.0.0] network 10.1.2.0 0.0.0.255[Switch_4-ospf-1-area-0.0.0.0] network 10.1.3.0 0.0.0.255[Switch_4-ospf-1-area-0.0.0.0] network 10.1.100.0 0.0.0.255[Switch_4-ospf-1-area-0.0.0.0] quit[Switch_4-ospf-1] quit


Router上需要进行如下配置:

将连接Switch的接口以Tagged方式加入VLAN100,并指定VLANIF100的IP地址与10.1.100.1在同一网段。

配置OSPF基本功能,并发布Switch与Router之间的互联网段。


【4】配置并应用流策略,控制员工、访客、服务器之间的访问


A、通过ACL定义每个流


# 在Switch_4上配置ACL 3000,禁止访客访问员工区和服务器区。

[Switch_4] acl 3000[Switch_4-acl-adv-3000] rule deny ip destination 10.1.2.1 0.0.0.255[Switch_4-acl-adv-3000] rule deny ip destination 10.1.3.1 0.0.0.255[Switch_4-acl-adv-3000] quit


# 在Switch_4上配置ACL 3001,使员工A可以访问服务器区的所有资源,其他员工只能访问服务器A的21端口。

[Switch_4] acl 3001[Switch_4-acl-adv-3001] rule permit ip source 10.1.2.2 0 destination 10.1.3.1 0.0.0.255[Switch_4-acl-adv-3001] rule permit tcp destination 10.1.3.2 0 destination-port eq 21[Switch_4-acl-adv-3001] rule deny ip destination 10.1.3.1 0.0.0.255[Switch_4-acl-adv-3001] quit


B、配置流分类,区分不同的流


# 在Switch_4上创建流分类c_custom、c_staff,并分别配置匹配规则3000、3001。

[Switch_4] traffic classifier c_custom
[Switch_4-classifier-c_custom] if-match acl 3000[Switch_4-classifier-c_custom] quit
[Switch_4] traffic classifier c_staff
[Switch_4-classifier-c_staff] if-match acl 3001[Switch_4-classifier-c_staff] quit


C、配置流行为,指定流动作


# 在Switch_4上创建流行为b1,并配置允许动作。

[Switch_4] traffic behavior b1
[Switch_4-behavior-b1] permit
[Switch_4-behavior-b1] quit


D、配置流策略,关联流分类和流行为

# 在Switch_4上创建流策略p_custom、p_staff,并分别将流分类c_custom、c_staff与流行为b1关联。

[Switch_4] traffic policy p_custom
[Switch_4-trafficpolicy-p_custom] classifier c_custom behavior b1
[Switch_4-trafficpolicy-p_custom] quit
[Switch_4] traffic policy p_staff
[Switch_4-trafficpolicy-p_staff] classifier c_staff behavior b1
[Switch_4-trafficpolicy-p_staff] quit


E、应用流策略,实现员工、访客、服务器之间的访问控制


# 在Switch_4上,分别在VLAN10、VLAN20的入方向应用流策略p_custom、p_staff。

[Switch_4] vlan 10[Switch_4-vlan10] traffic-policy p_custom inbound
[Switch_4-vlan10] quit
[Switch_4] vlan 20[Switch_4-vlan20] traffic-policy p_staff inbound
[Switch_4-vlan20] quit


【5】验证配置结果


配置访客A的IP地址为10.1.1.2/24,缺省网关为VLANIF10接口的IP地址10.1.1.1;配置员工A的IP地址为10.1.2.2/24,缺省网关为VLANIF20接口的从IP地址10.1.2.1;配置员工B的IP地址为10.1.2.3/24,缺省网关为VLANIF20接口的从IP地址10.1.2.1;配置服务器A的IP地址为10.1.3.2/24,缺省网关为VLANIF30接口的从IP地址10.1.3.1。


配置完成后:


  • 访客A不能Ping通员工A、服务器A;员工A和服务器A不能Ping通访客A。


  • 员工A可以Ping通服务器A,即可以使用服务器A的FTP服务,也可以使用服务器A的。


  • 员工B可以Ping不通服务器A,只能使用服务器A的FTP服务。


  • 访客、员工A、员工B、服务器A均可以Ping通Router连接Switch_4的接口的IP地址10.1.100.2/24,也就都可以访问Internet。

1.4 配置文件

Switch_1的配置文件

#sysname Switch_1#vlan batch 10#interface GigabitEthernet1/0/1
 port link-type access
 port default vlan 10#interface GigabitEthernet1/0/2
 port link-type trunk
 port trunk allow-pass vlan 10#return


Switch_2的配置文件

#sysname Switch_2#vlan batch 20#interface GigabitEthernet1/0/1
 port link-type access
 port default vlan 20#interface GigabitEthernet1/0/2
 port link-type access
 port default vlan 20#interface GigabitEthernet1/0/3
 port link-type trunk
 port trunk allow-pass vlan 20#return


Switch_3的配置文件

#sysname Switch_3#vlan batch 30#interface GigabitEthernet1/0/1
 port link-type access
 port default vlan 30#interface GigabitEthernet1/0/2
 port link-type trunk
 port trunk allow-pass vlan 30#return


Switch_4的配置文件

#sysname Switch_4#vlan batch 10 20 30 100#acl number 3000
 rule 5 deny ip destination 10.1.2.0 0.0.0.255
 rule 10 deny ip destination 10.1.3.0 0.0.0.255acl number 3001
 rule 5 permit tcp destination 10.1.3.2 0 destination-port eq ftp 
 rule 10 permit ip source 10.1.2.2 0 destination 10.1.3.0 0.0.0.255
 rule 15 deny ip destination 10.1.3.0 0.0.0.255#traffic classifier c_custom operator or precedence 5
 if-match acl 3000traffic classifier c_staff operator or precedence 10
 if-match acl 3001#traffic behavior b1
 permit#traffic policy p_custom match-order config
 classifier c_custom behavior b1traffic policy p_staff match-order config
 classifier c_staff behavior b1#vlan 10
 traffic-policy p_custom inboundvlan 20
 traffic-policy p_staff inbound#interface Vlanif10
 ip address 10.1.1.1 255.255.255.0#interface Vlanif20
 ip address 10.1.2.1 255.255.255.0#interface Vlanif30
 ip address 10.1.3.1 255.255.255.0#interface Vlanif100
 ip address 10.1.100.1 255.255.255.0#interface GigabitEthernet1/0/1
 port link-type trunk
 port trunk allow-pass vlan 10#interface GigabitEthernet1/0/2
 port link-type trunk
 port trunk allow-pass vlan 20#interface GigabitEthernet1/0/3
 port link-type trunk
 port trunk allow-pass vlan 30#interface GigabitEthernet1/0/4
 port link-type trunk
 port trunk allow-pass vlan 100#ospf 1
 area 0.0.0.0
  network 10.1.1.0 0.0.0.255
  network 10.1.2.0 0.0.0.255
  network 10.1.3.0 0.0.0.255
  network 10.1.100.0 0.0.0.255#return


文章来源于:电子产品世界    原文链接
本站所有转载文章系出于传递更多信息之目的,且明确注明来源,不希望被转载的媒体或个人可与我们联系,我们将立即进行删除处理。

相关文章

    如何通过流策略实现VLAN间的访问权限,一看便知!;01过流策略实现间三层隔离本文引用地址:1.1 组网需求 如图 1 所示,为了的安全性,某公司将访客、员工、服务器分别划分到10、20......
    VLAN的4种应用场景,你都用过吗?;1.1 基于接口的划分本文引用地址: 如图 1 所示,某商务楼内有多家公司,为了降低成本,多家公司共用资源,各公司分别连接到一台二层交换机的不同接口,并通过统一的出口访问......
    Meshed One-To-Many/Many-To-One); · 部分互连的多个设备(Partially Meshed Multiple Devices); · 部分网状互连条件下的单向......
     interface gigabitethernet 1/0/2 switch-vlan 20 【3】检查配置结果 配置完成后,VLAN10内的PC与VLAN20的PC能够相互访问。 3.4 配置......
    -To-Many/Many-To-One); · 部分互连的多个设备(Partially Meshed Multiple Devices); · 部分网状互连条件下的单向通信流量(Partially......
    -To-Many/Many-To-One); · 部分互连的多个设备(Partially Meshed Multiple Devices); · 部分网状互连条件下的单向通信流量(Partially......
    层级定义与作用如下: LLC:负责向上层提供服务,管理数据链路通信,链接寻址定义等,与所用物理介质没有关系; MAC:负责数据帧的封装,总线访问方式,寻址方式以及差错控制等,MAC层的......
    的链路必须被分成两段并通过MediaGateway重新连接。中间的RJ-45端口用于记录这两个DUT之间的通信,最左侧的RJ-45端口用于配置Media Gateway。 步骤 我们建议使用双VLAN标记......
    车载以太网交换机入门基本功(3)—VLAN 转发;在《车载以太网交换机入门基本功(2)》中提到,报文通过携带Tag字段,表明报文所属的VLAN。本文将介绍携带Tag报文在VLAN下的转发过程。而在......
    就免去了使用DHCP协议去动态分配地址的开销。同时,整车网络内的虚拟子网也是预先划分好的。 车载以太网网络内部的几种角色: 1.Switch(交换机) 在某个VLAN中利用层2地址(MAC地址)转发以太网帧 2......

我们与500+贴片厂合作,完美满足客户的定制需求。为品牌提供定制化的推广方案、专属产品特色页,多渠道推广,SEM/SEO精准营销以及与公众号的联合推广...详细>>

利用葫芦芯平台的卓越技术服务和新产品推广能力,原厂代理能轻松打入消费物联网(IOT)、信息与通信(ICT)、汽车及新能源汽车、工业自动化及工业物联网、装备及功率电子...详细>>

充分利用其强大的电子元器件采购流量,创新性地为这些物料提供了一个全新的窗口。我们的高效数字营销技术,不仅可以助你轻松识别与连接到需求方,更能够极大地提高“闲置物料”的处理能力,通过葫芦芯平台...详细>>

我们的目标很明确:构建一个全方位的半导体产业生态系统。成为一家全球领先的半导体互联网生态公司。目前,我们已成功打造了智能汽车、智能家居、大健康医疗、机器人和材料等五大生态领域。更为重要的是...详细>>

我们深知加工与定制类服务商的价值和重要性,因此,我们倾力为您提供最顶尖的营销资源。在我们的平台上,您可以直接接触到100万的研发工程师和采购工程师,以及10万的活跃客户群体...详细>>

凭借我们强大的专业流量和尖端的互联网数字营销技术,我们承诺为原厂提供免费的产品资料推广服务。无论是最新的资讯、技术动态还是创新产品,都可以通过我们的平台迅速传达给目标客户...详细>>

我们不止于将线索转化为潜在客户。葫芦芯平台致力于形成业务闭环,从引流、宣传到最终销售,全程跟进,确保每一个potential lead都得到妥善处理,从而大幅提高转化率。不仅如此...详细>>