华为三层交换机配置访问控制列表示例
Vlan 2、3、4、5、6、
现状
Vlan 2中有192.168.2.2应用服务器,只对3网段开放5901-5999端口
Vlan 3为horizon虚拟化网段,3.31、3.32为域控服务器,3.33为horizon连接服务器(对外只开放80、443、8443端口)
Vlan 4 为员工办公电脑物理机网段,只能访问3.33 horizon连接服务器80、443、8443端口
Vlan 5、6为备用网段,要求与vlan4一致
华为访问控制列表中默认为放通所有,所有策略匹配顺序为从上到下匹配,
如果启用访问控制列表限制网段之间互相访问,
需要在最后一条添加一条拒绝any到any的策略
按以上要求分析
首先需要在vlan4、5、6中添加默认拒绝所有的策略,
因为vlan4、5、6网段需要访问vlan3 中的连接服务器,此时需要与vlan3中的域控服务器做dns请求,所以也需要添加这些网段中允许通过到3.31与3.32的DNS 53端口的策略
以网页配置详细示例如下
在网页中配置时,启用vlan acl,配置时,需要双方网段都做配置,
比如vlan4、5、6和vlan3两端都要做配置
在策略中,最后一条为拒绝所有
其它条策略中源网段为当前vlan6网段,目的IP可以为其它网段,也可以为其它网段IP,子网掩码一定要正确,另外,当前的源端口因为是随机的,不能填写,目的端口填写要访问到的端口
此示例中,要访问3.31、3.32的DNS端口,DNS端口为TCP和UDP 的53端口, 所以两个全都要添加,另外再添加到3.33的80、443、8443端口
Vlan5和vlan4的策略按同样思路配置
此时配置vlan3网段的acl
Vlan3中acl先添加拒绝所有的,
再添加源为3.31、32、33三个IP地址, 目的为vlan 4、5、6三个网段的策略,协议类型为IP, 放通所有协议,在vlan4、5、6三个网段中,测试是否达到自己想要的结果
此时在vlan3中添加对192.168.2.2此IP的端口策略,放通icmp与5901-5999端口协议
因为添加端口比较多,并且是连续的, 所以直接使用命令行添加较快
全令
rule 5 permit tcp source 192.168.3.0 0.0.0.255 destination 192.168.2.2 0 destination-port range 5901 5999
再对vlan2进行限制
拒绝所有, 再放通源192.168.2.2此IP, 目的192.168.3.0网段的所有协议
命令行中配置如下
调用acl