VLAN间单向访问控制配置实例

VLAN间单向访问控制配置实例

2007-07-25 14:01

一 功能需求及组网说明

配置环境参数：

1. VLAN8的IP地址为192.168.8.254，VLAN9的IP地址为192.168.9.254；

2. E1/0/40- E1/0/44端口属于VLAN8，E1/0/45- E1/0/48端口属于VLAN9。

产品版本信息：

S3952P的版本为Release1510。

组网要求：

VLAN8的每一台主机都无法访问VLAN9的主机，VLAN9的主机都能访问VLAN8的主机。

二 数据配置步骤：

1. 划分VLAN，并将相应端口加入VLAN；

2. 配置VLAN的IP地址；

3. 配置ACL，并下发到端口上。

三 配置命令参考：

S3952P相关配置：

1. 创建（进入）VLAN8

[Quidway]vlan 8

2. 将端口加入VLAN8

[Quidway-vlan8]port e1/0/40 to e1/0/44

3. 创建（进入）VLAN9

[Quidway-vlan8]vlan 9

4. 将端口加入VLAN9

[Quidway-vlan9]port e1/0/45 to e1/0/48

5. 进入VLAN端口8视图

[Quidway-vlan9]int vlan 8

6. 为VLAN8配置IP地址

[Quidway-interface-vlan8]ip add 192.168.8.1 255.255.255.0

7. 进入VLAN端口9视图

[Quidway-interface-vlan8]int vlan 9

8. 为VLAN9配置IP地址

[Quidway-interface-vlan9] ip add 192.168.9.1 255.255.255.0

9. 创建ACL 3001

[Quidway-interface-vlan9]acl number 3001

10. 配置ACL 3001规则

[Quidway-acl-adv-3001]rule 0 deny icmp destination 192.168.9.0 0.0.0.255 icmp-type echo

[Quidway-acl-adv-3001]rule 1 deny tcp established destination 192.168.9.0 0.0.0.255

[Quidway-acl-adv-3001]rule 2    permit icmp source 192.168.9.0 0.0.0.255 icmp-type echo

[Quidway-acl-adv-3001]rule 3 permit tcp established source 192.168.9.0 0.0.0.255

11. 进入E1/0/48端口

[Quidway-acl-adv-3001]int e1/0/40

12. 在E1/0/48端口的outbound方向下发ACL

[Quidway-interface-Ethernet1/0/40]packet inbound ip-group 3001

四 补充说明：

1. 此处仅仅将ACL下发到E1/0/40端口，VLAN9的其余端口同样下发；

2. S3900系列交换机的匹配规则为后下发先生效，且建议最好下发在端口inbound方向；

3. 此处以S3952P为例，其他交换机如S5600等配置相同。