公司有需求:内网的一台机器的x端口映射到外网,让外网能访问这台机器,但是不能再通过这台机器访问局域网的其他机器,而局域网内的其他机器能访问该机器。
一听这个需求,有点像是DMZ区的功能,但是我们没有防火墙,只有路由器和交换机。 于是在路由器上作了nat转换,在交换机(h3c 5500)上作单向访问。由于该机器不是直接连载核心上的,而是连接在某二层上,在不改变网络连接的情况下,只有把核心和该机器所连交换机的下联口(也就是核心和该交换机连接的端口)设置一下qos策略。
核心交换机上的具体配置;
1.建立acl
acl number 3001
rule 5 permit tcp established source 10.10.10.1 0
acl number 3002
rule 5 deny ip source 10.10.10.1 0 destination 10.10.10.0 0.0.0.255
rule 5 permit tcp established source 10.10.10.1 0
acl number 3002
rule 5 deny ip source 10.10.10.1 0 destination 10.10.10.0 0.0.0.255
2.建立traffice的class
traffic classifier per-dmz operator and
if-match acl 3001
traffic classifier deny-dmz operator and
if-match acl 3002
if-match acl 3001
traffic classifier deny-dmz operator and
if-match acl 3002
3.建立traffice的行为
traffic behavior per-dmz
filter permit
traffic behavior deny-dmz
filter deny
traffic behavior per-dmz
filter permit
traffic behavior deny-dmz
filter deny
4.建立qos,把class和行为关联起来
qos policy dmz
classifier per-dmz behavior per-dmz
classifier deny-dmz behavior deny-dmz
qos policy dmz
classifier per-dmz behavior per-dmz
classifier deny-dmz behavior deny-dmz
5.在端口上应用qos
interface GigabitEthernet1/0/13
port link-type trunk
port trunk permit vlan all
qos apply policy dmz inbound
port link-type trunk
port trunk permit vlan all
qos apply policy dmz inbound
经过试验,可以满足需求。
