搜索歷史

清空
搜索熱詞
      0
      • 聊天消息
      • 系統(tǒng)消息
      • 評論與回復
      VIP于 到期 續(xù)費
      登錄后你可以
      • 下載海量資料
      • 學習在線課程
      • 觀看技術(shù)視頻
      • 寫文章/發(fā)帖/加入社區(qū)
      會員中心
      創(chuàng)作中心
      發(fā)布
      創(chuàng)作活動

      完善資料讓更多小伙伴認識你,還能領(lǐng)取20積分哦,立即完善>

      3天內(nèi)不再提示

      如何通過流策略實現(xiàn)VLAN間的訪問權(quán)限?

      jf_qwOiugB3 ? 來源:通信弱電交流學習 ? 2023-05-23 10:18 ? 次閱讀

      前言

      VLAN(Virtual Local Area Network)即虛擬局域網(wǎng),是將一個物理的LAN在邏輯上劃分成多個廣播域的通信技術(shù)。

      本文主要介紹通過流策略實現(xiàn)VLAN間三層隔離,也就是我們常說的對用戶增加訪問權(quán)限。

      01

      過流策略實現(xiàn)VLAN間三層隔離

      1.1 組網(wǎng)需求

      如圖 1 所示,為了通信的安全性,某公司將訪客、員工、服務(wù)器分別劃分到VLAN10、VLAN20、VLAN30中。公司希望:

      員工、服務(wù)器主機、訪客均能訪問Internet。

      訪客只能訪問Internet,不能與其他任何VLAN的用戶通信。

      員工A可以訪問服務(wù)器區(qū)的所有資源,但其他員工只能訪問服務(wù)器A的21端口(FTP服務(wù))。

      17622432-f893-11ed-90ce-dac502259ad0.png?

      圖片

      圖 1 配置通過流策略實現(xiàn)VLAN間三層隔離組網(wǎng)圖

      1.2 配置思路

      可采用如下思路配置通過流策略實現(xiàn)VLAN間互訪控制:

      配置VLAN并將各接口加入VLAN,使員工、服務(wù)器、訪客間二層隔離。

      配置VLANIF接口及其IP地址,使員工、服務(wù)器、訪客間可三層互通。

      配置上行路由,使員工、服務(wù)器、訪客均可通過Switch訪問Internet。

      配置并應用流策略,使員工A可以訪問服務(wù)器區(qū)的所有資源,其他員工只能訪問服務(wù)器A的21端口,且只允許員工訪問服務(wù)器;使訪客只能訪問Internet。

      1.3 操作步驟

      【1】配置VLAN并將各接口加入VLAN,使員工、服務(wù)器、訪客間二層隔離

      # 在Switch_1上創(chuàng)建VLAN10,并將接口GE1/0/1以Untagged方式加入VLAN10,接口GE1/0/2以Tagged方式加入VLAN10。Switch_2和Switch_3的配置與Switch_1類似,不再贅述。

      system-view

      [HUAWEI] sysname Switch_1

      [Switch_1] vlan batch 10

      [Switch_1] interface gigabitethernet 1/0/1

      [Switch_1-GigabitEthernet1/0/1] port link-type access

      [Switch_1-GigabitEthernet1/0/1] port default vlan 10

      [Switch_1-GigabitEthernet1/0/1] quit

      [Switch_1] interface gigabitethernet 1/0/2

      [Switch_1-GigabitEthernet1/0/2] port link-type trunk

      [Switch_1-GigabitEthernet1/0/2] port trunk allow-pass vlan 10

      [Switch_1-GigabitEthernet1/0/2] quit

      # 在Switch_4上創(chuàng)建VLAN10、VLAN20、VLAN30、VLAN100,并配置接口GE1/0/1~GE1/0/4分別以Tagged方式加入VLAN10、VLAN20、VLAN30、VLAN100。

      system-view

      [HUAWEI] sysname Switch_4

      [Switch_4] vlan batch 10 20 30 100

      [Switch_4] interface gigabitethernet 1/0/1

      [Switch_4-GigabitEthernet1/0/1] port link-type trunk

      [Switch_4-GigabitEthernet1/0/1] port trunk allow-pass vlan 10

      [Switch_4-GigabitEthernet1/0/1] quit

      [Switch_4] interface gigabitethernet 1/0/2

      [Switch_4-GigabitEthernet1/0/2] port link-type trunk

      [Switch_4-GigabitEthernet1/0/2] port trunk allow-pass vlan 20

      [Switch_4-GigabitEthernet1/0/2] quit

      [Switch_4] interface gigabitethernet 1/0/3

      [Switch_4-GigabitEthernet1/0/3] port link-type trunk

      [Switch_4-GigabitEthernet1/0/3] port trunk allow-pass vlan 30

      [Switch_4-GigabitEthernet1/0/3] quit

      [Switch_4] interface gigabitethernet 1/0/4

      [Switch_4-GigabitEthernet1/0/4] port link-type trunk

      [Switch_4-GigabitEthernet1/0/4] port trunk allow-pass vlan 100

      [Switch_4-GigabitEthernet1/0/4] quit

      176c6668-f893-11ed-90ce-dac502259ad0.png?

      【2】配置VLANIF接口及其IP地址,使員工、服務(wù)器、訪客間可以三層互通

      # 在Switch_4上創(chuàng)建VLANIF10、VLANIF20、VLANIF30、VLANIF100,并分別配置其IP地址為10.1.1.1/24、10.1.2.1/24、10.1.3.1/24、10.1.100.1/24。

      [Switch_4] interface vlanif 10

      [Switch_4-Vlanif10] ip address 10.1.1.1 24

      [Switch_4-Vlanif10] quit

      [Switch_4] interface vlanif 20

      [Switch_4-Vlanif20] ip address 10.1.2.1 24

      [Switch_4-Vlanif20] quit

      [Switch_4] interface vlanif 30

      [Switch_4-Vlanif30] ip address 10.1.3.1 24

      [Switch_4-Vlanif30] quit

      [Switch_4] interface vlanif 100

      [Switch_4-Vlanif100] ip address 10.1.100.1 24

      [Switch_4-Vlanif100] quit

      【3】配置上行路由,使員工、服務(wù)器、訪客均可通過Switch訪問Internet。

      # 在Switch_4上配置OSPF基本功能,發(fā)布用戶網(wǎng)段以及Switch_4與Router之間的互聯(lián)網(wǎng)段。

      [Switch_4] ospf

      [Switch_4-ospf-1] area 0

      [Switch_4-ospf-1-area-0.0.0.0] network 10.1.1.0 0.0.0.255

      [Switch_4-ospf-1-area-0.0.0.0] network 10.1.2.0 0.0.0.255

      [Switch_4-ospf-1-area-0.0.0.0] network 10.1.3.0 0.0.0.255

      [Switch_4-ospf-1-area-0.0.0.0] network 10.1.100.0 0.0.0.255

      [Switch_4-ospf-1-area-0.0.0.0] quit

      [Switch_4-ospf-1] quit

      Router上需要進行如下配置:

      將連接Switch的接口以Tagged方式加入VLAN100,并指定VLANIF100的IP地址與10.1.100.1在同一網(wǎng)段。

      配置OSPF基本功能,并發(fā)布Switch與Router之間的互聯(lián)網(wǎng)段。

      【4】配置并應用流策略,控制員工、訪客、服務(wù)器之間的訪問

      A、通過ACL定義每個流

      # 在Switch_4上配置ACL 3000,禁止訪客訪問員工區(qū)和服務(wù)器區(qū)。

      [Switch_4] acl 3000

      [Switch_4-acl-adv-3000] rule deny ip destination 10.1.2.1 0.0.0.255

      [Switch_4-acl-adv-3000] rule deny ip destination 10.1.3.1 0.0.0.255

      [Switch_4-acl-adv-3000] quit

      # 在Switch_4上配置ACL 3001,使員工A可以訪問服務(wù)器區(qū)的所有資源,其他員工只能訪問服務(wù)器A的21端口。

      [Switch_4] acl 3001

      [Switch_4-acl-adv-3001] rule permit ip source 10.1.2.2 0 destination 10.1.3.1 0.0.0.255

      [Switch_4-acl-adv-3001] rule permit tcp destination 10.1.3.2 0 destination-port eq 21

      [Switch_4-acl-adv-3001] rule deny ip destination 10.1.3.1 0.0.0.255

      [Switch_4-acl-adv-3001] quit

      B、配置流分類,區(qū)分不同的流

      # 在Switch_4上創(chuàng)建流分類c_custom、c_staff,并分別配置匹配規(guī)則3000、3001。

      [Switch_4] traffic classifier c_custom

      [Switch_4-classifier-c_custom] if-match acl 3000

      [Switch_4-classifier-c_custom] quit

      [Switch_4] traffic classifier c_staff

      [Switch_4-classifier-c_staff] if-match acl 3001

      [Switch_4-classifier-c_staff] quit

      C、配置流行為,指定流動作

      # 在Switch_4上創(chuàng)建流行為b1,并配置允許動作。

      [Switch_4] traffic behavior b1

      [Switch_4-behavior-b1] permit

      [Switch_4-behavior-b1] quit

      D、配置流策略,關(guān)聯(lián)流分類和流行為

      # 在Switch_4上創(chuàng)建流策略p_custom、p_staff,并分別將流分類c_custom、c_staff與流行為b1關(guān)聯(lián)。

      [Switch_4] traffic policy p_custom

      [Switch_4-trafficpolicy-p_custom] classifier c_custom behavior b1

      [Switch_4-trafficpolicy-p_custom] quit

      [Switch_4] traffic policy p_staff

      [Switch_4-trafficpolicy-p_staff] classifier c_staff behavior b1

      [Switch_4-trafficpolicy-p_staff] quit

      E、應用流策略,實現(xiàn)員工、訪客、服務(wù)器之間的訪問控制

      # 在Switch_4上,分別在VLAN10、VLAN20的入方向應用流策略p_custom、p_staff。

      [Switch_4] vlan 10

      [Switch_4-vlan10] traffic-policy p_custom inbo





      審核編輯:劉清

      聲明:本文內(nèi)容及配圖由入駐作者撰寫或者入駐合作網(wǎng)站授權(quán)轉(zhuǎn)載。文章觀點僅代表作者本人,不代表電子發(fā)燒友網(wǎng)立場。文章及其配圖僅供工程師學習之用,如有內(nèi)容侵權(quán)或者其他違規(guī)問題,請聯(lián)系本站處理。 舉報投訴
      • VLAN
        +關(guān)注

        關(guān)注

        1

        文章

        264

        瀏覽量

        35534
      • OSPF協(xié)議
        +關(guān)注

        關(guān)注

        0

        文章

        17

        瀏覽量

        9371
      • VLAN技術(shù)
        +關(guān)注

        關(guān)注

        0

        文章

        45

        瀏覽量

        6370

      原文標題:如何通過流策略實現(xiàn)VLAN間的訪問權(quán)限,一看便知?。。?/p>

      文章出處:【微信號:通信弱電交流學習,微信公眾號:通信弱電交流學習】歡迎添加關(guān)注!文章轉(zhuǎn)載請注明出處。

      收藏 人收藏

        評論

        相關(guān)推薦

        VoIP?Voice VLAN?是如何實現(xiàn)的?

        Voice VLAN是為用戶的語音專門劃分的VLAN
        的頭像 發(fā)表于 12-25 10:30 ?819次閱讀
        VoIP?Voice <b class='flag-5'>VLAN</b>?是如何<b class='flag-5'>實現(xiàn)</b>的?

        華為路由器交換機VLAN配置實例

        ,組建一VLAN,實現(xiàn)虛擬網(wǎng)和物理網(wǎng)之間的連接。實現(xiàn)防火墻策略,和訪問控制(ACL)。 方案說明: 四臺PC的IP地址、掩碼如下列
        發(fā)表于 05-25 00:21

        請問如何實現(xiàn)VLAN

        、…):Harmony有同樣的問題嗎?我能通過修改MAC層(和配置部分)來實現(xiàn)VLAN嗎?你能告訴我最好的做法,以確保兼容性與未來版本的和諧?我需要:-設(shè)置具有特定VLAN的和諧Web
        發(fā)表于 11-07 14:37

        Linux改變文件或目錄的訪問權(quán)限命令

        Linux改變文件或目錄的訪問權(quán)限命令 Linux改變文件或目錄的訪問權(quán)限命令  Linux系統(tǒng)中的每個文件和目錄都有訪問許可
        發(fā)表于 01-18 12:46 ?1194次閱讀

        基于RBAC的B/S系統(tǒng)訪問控制設(shè)計

        基于角色的訪問控制模型 RBAC 通過引入角色實現(xiàn)了用戶和訪問控制權(quán)限的邏輯分離,簡化了系統(tǒng)授權(quán)過程,提高了
        發(fā)表于 06-07 17:06 ?0次下載
        基于RBAC的B/S系統(tǒng)<b class='flag-5'>訪問</b>控制設(shè)計

        VLAN實現(xiàn)VLAN路由

        VLAN(Virtual LAN),翻譯成中文是虛擬局域網(wǎng)。LAN 可以是由少數(shù)幾臺家用計算機構(gòu)成的網(wǎng)絡(luò),也可以是數(shù)以百計的計算機構(gòu)成的企業(yè)網(wǎng)絡(luò)。VLAN 所指的LAN 特指使用路由器分割的網(wǎng)絡(luò)也就是
        發(fā)表于 02-28 15:46 ?35次下載
        <b class='flag-5'>VLAN</b>的<b class='flag-5'>實現(xiàn)</b>及<b class='flag-5'>VLAN</b><b class='flag-5'>間</b>路由

        18-VLAN訪問列表配置命令

        VLAN訪問列表配置命令
        發(fā)表于 12-17 11:06 ?7次下載

        不同vlan的通信簡單配置的三種方式解析

        不同VLAN之間通信的原理 在劃分VLAN后,不同VLAN之間不能直接進行二層通信。如果要實現(xiàn)VLAN
        發(fā)表于 12-05 11:13 ?5.9w次閱讀
        不同<b class='flag-5'>vlan</b><b class='flag-5'>間</b>的通信簡單配置的三種方式解析

        一文詳解交換機VLAN的通信過程

        VLAN(VirtualLocalAreaNetwork,虛擬局域網(wǎng)),通過在支持VLAN的交換機上添加VLAN,并且動態(tài)的調(diào)整每個端口所屬VLAN
        的頭像 發(fā)表于 11-23 12:12 ?7296次閱讀
        一文詳解交換機<b class='flag-5'>間</b><b class='flag-5'>VLAN</b>的通信過程

        通過二層技術(shù),如何實現(xiàn)不同VLAN通訊

        VLAN Switch是一種按照VLAN Tag進行數(shù)據(jù)轉(zhuǎn)發(fā)的轉(zhuǎn)發(fā)技術(shù),需要預先在網(wǎng)絡(luò)中各交換節(jié)點上建立一條靜態(tài)轉(zhuǎn)發(fā)路徑。交換節(jié)點接收到符合轉(zhuǎn)發(fā)條件的VLAN報文后,根據(jù)VLAN Sw
        的頭像 發(fā)表于 03-07 09:32 ?9542次閱讀

        使用路由器子接口單臂路由實現(xiàn)VLAN互相訪問

        VLAN網(wǎng)絡(luò)中,實現(xiàn)VLAN之間互訪,除了利用三層交換方式來實現(xiàn)外,還可以通過路由器實現(xiàn)。
        的頭像 發(fā)表于 06-02 16:30 ?2233次閱讀
        使用路由器子接口單臂路由<b class='flag-5'>實現(xiàn)</b><b class='flag-5'>VLAN</b><b class='flag-5'>間</b>互相<b class='flag-5'>訪問</b>

        VLAN路由

        部署了VLAN的傳統(tǒng)交換機不能實現(xiàn)不同VLAN的二層報文轉(zhuǎn)發(fā),因此必須引入路由技術(shù)來實現(xiàn)不同VLAN
        發(fā)表于 06-25 09:51 ?0次下載

        VLAN的基礎(chǔ)知識總結(jié)

        關(guān)于Vlan的知識點可謂是多之又多,什么廣播域、實現(xiàn)Vlan的機制、Vlan訪問鏈接、匯聚鏈接、匯聚方式、
        的頭像 發(fā)表于 09-04 10:27 ?740次閱讀
        <b class='flag-5'>VLAN</b>的基礎(chǔ)知識總結(jié)

        linux文件訪問權(quán)限怎么設(shè)置

        Linux 文件訪問權(quán)限是操作系統(tǒng)中一個非常重要的概念。正確地設(shè)置文件訪問權(quán)限可以保護系統(tǒng)的安全性,防止未經(jīng)授權(quán)的人員對文件進行修改、刪除或執(zhí)行。本文將詳細介紹 Linux 文件
        的頭像 發(fā)表于 11-23 10:20 ?1409次閱讀

        如何通過單臂路由實現(xiàn)VLAN通信?

        如何通過單臂路由實現(xiàn)VLAN通信? 通過單臂路由實現(xiàn)VLA
        的頭像 發(fā)表于 12-07 09:40 ?1227次閱讀

        感谢您访问我们的网站,您可能还对以下资源感兴趣:

        好色先生污app