公司网络维护之仿DMZ

    公司有需求:内网的一台机器的x端口映射到外网，让外网能访问这台机器，但是不能再通过这台机器访问局域网的其他机器，而局域网内的其他机器能访问该机器。

一听这个需求，有点像是DMZ区的功能，但是我们没有防火墙，只有路由器和交换机。    于是在路由器上作了nat转换，在交换机（h3c 5500）上作单向访问。由于该机器不是直接连载核心上的，而是连接在某二层上，在不改变网络连接的情况下，只有把核心和该机器所连交换机的下联口（也就是核心和该交换机连接的端口）设置一下qos策略。

核心交换机上的具体配置；

1.建立acl

acl number 3001 
 rule 5 permit tcp established source 10.10.10.1 0
acl number 3002
 rule 5 deny ip source 10.10.10.1 0 destination 10.10.10.0 0.0.0.255

2.建立traffice的class

traffic classifier per-dmz operator and
 if-match acl 3001
traffic classifier deny-dmz operator and
 if-match acl 3002

3.建立traffice的行为
traffic behavior per-dmz
 filter permit
traffic behavior deny-dmz
 filter deny  

4.建立qos，把class和行为关联起来
qos policy dmz
 classifier per-dmz behavior per-dmz
 classifier deny-dmz behavior deny-dmz

5.在端口上应用qos

interface GigabitEthernet1/0/13
 port link-type trunk
 port trunk permit vlan all
 qos apply policy dmz inbound

经过试验，可以满足需求。