领导要求,新建的图书馆只能访问电子阅览室,且不能访问内网其他主机,以免对安全造成影响,不开放上外网
电子阅览室的IP为10.0.1.9,新建的图书馆打算划分的vlan为vlan 11,网段为10.1.11.0/25,vlan-int 11的IP为10.1.11.1,三层交换机已经默认做好vlan间路由。
配置如下:
1,不能访问外网:这个只要在路由器上不给它做nat便可,所以不用更改,因为默认是没给新网段做nat的
2,为实现方案,要在核心交换机做Acl:
a,入方向
acl num 3001 name ReadRoomIn
rule perm ip source 10.1.11.0 0.0.0.127 dest 10.1.11.0 0.0.0.127
rule perm ip dest 10.0.1.4 0
rule perm ip dest 10.0.1.9 0
rule deny ip
quit
这是入方向的,第一条是让vlan11内的电脑间可以互通,且vlan内的主机跟网关之间数据包可正常收发,这是非常重要的;第二条和第三条是让图书馆内的电脑可以访问到dns服务器和电子阅览室,最后一条当然是让它不能访问内网其他主机了
b,出方向
acl num 3002 name ReadRoomOut
rule perm ip sour 10.0.1.4 0 dest 10.1.11.0 0.0.0.127
rule perm ip sour 10.0.1.9 0 dest 10.1.11.0 0.0.0.127
rule deny ip
这是出方向的,第一、二条是保证dns主机和电子阅览室主机跟vlan 11之间数据包互通,第三条就是禁止内网其他主机跟vlan 11内主机互通。因为路由是双向的,所以inbound和outbound方向都有关于10.0.1.4和10.0.1.9两个主机的设定
c,在vlan接口上运用acl
int vlan 101
dest ReadRoom
packet-filter acl name ReadRoomIn inbound
packet-filter acl name ReadRoomOut outbound
最后,在接入层电子阅览室的无线ap上做nat,wan口接入核心交换机并加入vlan11,实现了图书馆内的电脑只能访问电子阅览室而不能访问内网其他主机及不能访问internet的目的