VLAN间单向访问控制配置实例

VLAN间单向访问控制配置实例

2007-07-25 14:01

一 功能需求及组网说明
配置环境参数：
1. VLAN8的IP地址为192.168.8.254，VLAN9的IP地址为192.168.9.254；
2. E1/0/40- E1/0/44端口属于VLAN8，E1/0/45- E1/0/48端口属于VLAN9。
产品版本信息：
S3952P的版本为Release1510。
组网要求：
VLAN8的每一台主机都无法访问VLAN9的主机，VLAN9的主机都能访问VLAN8的主机。

二 数据配置步骤：
1. 划分VLAN，并将相应端口加入VLAN；
2. 配置VLAN的IP地址；
3. 配置ACL，并下发到端口上。

三 配置命令参考：
S3952P相关配置：
1. 创建（进入）VLAN8
[Quidway]vlan 8
2. 将端口加入VLAN8
[Quidway-vlan8]port e1/0/40 to e1/0/44
3. 创建（进入）VLAN9
[Quidway-vlan8]vlan 9
4. 将端口加入VLAN9
[Quidway-vlan9]port e1/0/45 to e1/0/48
5. 进入VLAN端口8视图
[Quidway-vlan9]int vlan 8
6. 为VLAN8配置IP地址
[Quidway-interface-vlan8]ip add 192.168.8.1 255.255.255.0
7. 进入VLAN端口9视图
[Quidway-interface-vlan8]int vlan 9
8. 为VLAN9配置IP地址
[Quidway-interface-vlan9] ip add 192.168.9.1 255.255.255.0
9. 创建ACL 3001
[Quidway-interface-vlan9]acl number 3001
10. 配置ACL 3001规则
[Quidway-acl-adv-3001]rule 0 deny icmp destination 192.168.9.0 0.0.0.255 icmp-type echo
[Quidway-acl-adv-3001]rule 1 deny tcp established destination 192.168.9.0 0.0.0.255
[Quidway-acl-adv-3001]rule 2    permit icmp source 192.168.9.0 0.0.0.255 icmp-type echo
[Quidway-acl-adv-3001]rule 3 permit tcp established source 192.168.9.0 0.0.0.255
11. 进入E1/0/48端口
[Quidway-acl-adv-3001]int e1/0/40
12. 在E1/0/48端口的outbound方向下发ACL
[Quidway-interface-Ethernet1/0/40]packet inbound ip-group 3001

四 补充说明：
1. 此处仅仅将ACL下发到E1/0/40端口，VLAN9的其余端口同样下发；
2. S3900系列交换机的匹配规则为后下发先生效，且建议最好下发在端口inbound方向；
3. 此处以S3952P为例，其他交换机如S5600等配置相同。