大家都知道通过vlanif可以实现不同vlan之间相互通信,但大部分情况下,为了安全考虑是希望不同vlan之间不能相互通信。今天讲的ACL(访问控制列表)就可以实现不同vlan之间通信隔离。
首先百度百科一下什么是ACL:
ACL(访问控制列表)是一种基于包过滤的访问控制技术,它可以根据设定的条件对接口上的数据包进行过滤,允许其通过或丢弃。访问控制列表被广泛地应用于路由器和三层交换机,借助于访问控制列表,可以有效地控制用户对网络的访问,从而最大程度地保障网络安全。
今天的实验网络拓扑图如下:
首先配置PC_3和PC_4,如下图:
开始配置S6850_2交换机:
<H3C>system-view
[H3C]vlan 10 20
[H3C]interface GigabitEthernet 1/0/2
[H3C-GigabitEthernet1/0/2]port link-type access
[H3C-GigabitEthernet1/0/2]port access vlan 10
[H3C]interface GigabitEthernet 1/0/3
[H3C-GigabitEthernet1/0/3]port link-type access
[H3C-GigabitEthernet1/0/3]port access vlan 20
[H3C]interface GigabitEthernet 1/0/1
[H3C-GigabitEthernet1/0/1]port link-type trunk
[H3C-GigabitEthernet1/0/1]port trunk permit vlan 10 20
配置完成后在系统视图下输入dis cu查看设备配置情况如下图:
开始配置S6850_1交换机:
<H3C>system-view
[H3C]vlan 10 20
[H3C]interface vlan 10
[H3C-Vlan-interface10]ip address 192.168.1.126 25
[H3C]interface vlan 20
[H3C-Vlan-interface20]ip address 192.168.1.254 25
[H3C]interface GigabitEthernet 1/0/1
[H3C-GigabitEthernet1/0/1]port link-type trunk
[H3C-GigabitEthernet1/0/1]port trunk permit vlan 10 20
配置完成后在系统视图下输入dis cu查看设备配置情况如下图:
设置完成后ping测一下:
PC_3pingPC_4、PC_4pingPC_3如下图:
可以看到PC_3和PC_4之间是可以相互通信的。
现在开始在S6850_2交换机配置基本ACL(2000-2999):
[H3C]acl number 2000
[H3C-acl-ipv4-basic-2000]rule 5 deny source 192.168.1.128 0.0.0.127
[H3C]acl number 2001
[H3C-acl-ipv4-basic-2001]rule 5 deny source 192.168.1.0 0.0.0.127
[H3C]interface GigabitEthernet 1/0/2
[H3C-GigabitEthernet1/0/2]packet-filter 2000 outbound
[H3C]interface GigabitEthernet 1/0/3
[H3C-GigabitEthernet1/0/3]packet-filter 2001 outbound
配置完成后在系统试图下输入dis cu查看设备配置情况如下图:
再次ping测一下:
PC_3pingPC_4、PC_4pingPC_3如下图:
可以看到PC_3和PC_4无法相互通信,实现了不同vlan之间隔离通信。
,