0
  • 聊天消息
  • 系统消息
  • 评论与回复
登录后你可以
  • 下载海量资料
  • 学习在线课程
  • 观看技术视频
  • 写文章/发帖/加入社区
会员中心
创作中心

完善资料让更多小伙伴认识你,还能领取20积分哦,立即完善>

3天内不再提示

如何通过流策略实现VLAN间的访问权限?

jf_qwOiugB3 来源:通信弱电交流学习 2023-05-23 10:18 次阅读

前言

VLAN(Virtual Local Area Network)即虚拟局域网,是将一个物理的LAN在逻辑上划分成多个广播域的通信技术

本文主要介绍通过流策略实现VLAN间三层隔离,也就是我们常说的对用户增加访问权限。

01

过流策略实现VLAN间三层隔离

1.1 组网需求

如图 1 所示,为了通信的安全性,某公司将访客、员工、服务器分别划分到VLAN10、VLAN20、VLAN30中。公司希望:

员工、服务器主机、访客均能访问Internet。

访客只能访问Internet,不能与其他任何VLAN的用户通信。

员工A可以访问服务器区的所有资源,但其他员工只能访问服务器A的21端口(FTP服务)。

17622432-f893-11ed-90ce-dac502259ad0.png

图片

图 1 配置通过流策略实现VLAN间三层隔离组网图

1.2 配置思路

可采用如下思路配置通过流策略实现VLAN间互访控制:

配置VLAN并将各接口加入VLAN,使员工、服务器、访客间二层隔离。

配置VLANIF接口及其IP地址,使员工、服务器、访客间可三层互通。

配置上行路由,使员工、服务器、访客均可通过Switch访问Internet。

配置并应用流策略,使员工A可以访问服务器区的所有资源,其他员工只能访问服务器A的21端口,且只允许员工访问服务器;使访客只能访问Internet。

1.3 操作步骤

【1】配置VLAN并将各接口加入VLAN,使员工、服务器、访客间二层隔离

# 在Switch_1上创建VLAN10,并将接口GE1/0/1以Untagged方式加入VLAN10,接口GE1/0/2以Tagged方式加入VLAN10。Switch_2和Switch_3的配置与Switch_1类似,不再赘述。

system-view

[HUAWEI] sysname Switch_1

[Switch_1] vlan batch 10

[Switch_1] interface gigabitethernet 1/0/1

[Switch_1-GigabitEthernet1/0/1] port link-type access

[Switch_1-GigabitEthernet1/0/1] port default vlan 10

[Switch_1-GigabitEthernet1/0/1] quit

[Switch_1] interface gigabitethernet 1/0/2

[Switch_1-GigabitEthernet1/0/2] port link-type trunk

[Switch_1-GigabitEthernet1/0/2] port trunk allow-pass vlan 10

[Switch_1-GigabitEthernet1/0/2] quit

# 在Switch_4上创建VLAN10、VLAN20、VLAN30、VLAN100,并配置接口GE1/0/1~GE1/0/4分别以Tagged方式加入VLAN10、VLAN20、VLAN30、VLAN100。

system-view

[HUAWEI] sysname Switch_4

[Switch_4] vlan batch 10 20 30 100

[Switch_4] interface gigabitethernet 1/0/1

[Switch_4-GigabitEthernet1/0/1] port link-type trunk

[Switch_4-GigabitEthernet1/0/1] port trunk allow-pass vlan 10

[Switch_4-GigabitEthernet1/0/1] quit

[Switch_4] interface gigabitethernet 1/0/2

[Switch_4-GigabitEthernet1/0/2] port link-type trunk

[Switch_4-GigabitEthernet1/0/2] port trunk allow-pass vlan 20

[Switch_4-GigabitEthernet1/0/2] quit

[Switch_4] interface gigabitethernet 1/0/3

[Switch_4-GigabitEthernet1/0/3] port link-type trunk

[Switch_4-GigabitEthernet1/0/3] port trunk allow-pass vlan 30

[Switch_4-GigabitEthernet1/0/3] quit

[Switch_4] interface gigabitethernet 1/0/4

[Switch_4-GigabitEthernet1/0/4] port link-type trunk

[Switch_4-GigabitEthernet1/0/4] port trunk allow-pass vlan 100

[Switch_4-GigabitEthernet1/0/4] quit

176c6668-f893-11ed-90ce-dac502259ad0.png

【2】配置VLANIF接口及其IP地址,使员工、服务器、访客间可以三层互通

# 在Switch_4上创建VLANIF10、VLANIF20、VLANIF30、VLANIF100,并分别配置其IP地址为10.1.1.1/24、10.1.2.1/24、10.1.3.1/24、10.1.100.1/24。

[Switch_4] interface vlanif 10

[Switch_4-Vlanif10] ip address 10.1.1.1 24

[Switch_4-Vlanif10] quit

[Switch_4] interface vlanif 20

[Switch_4-Vlanif20] ip address 10.1.2.1 24

[Switch_4-Vlanif20] quit

[Switch_4] interface vlanif 30

[Switch_4-Vlanif30] ip address 10.1.3.1 24

[Switch_4-Vlanif30] quit

[Switch_4] interface vlanif 100

[Switch_4-Vlanif100] ip address 10.1.100.1 24

[Switch_4-Vlanif100] quit

【3】配置上行路由,使员工、服务器、访客均可通过Switch访问Internet。

# 在Switch_4上配置OSPF基本功能,发布用户网段以及Switch_4与Router之间的互联网段。

[Switch_4] ospf

[Switch_4-ospf-1] area 0

[Switch_4-ospf-1-area-0.0.0.0] network 10.1.1.0 0.0.0.255

[Switch_4-ospf-1-area-0.0.0.0] network 10.1.2.0 0.0.0.255

[Switch_4-ospf-1-area-0.0.0.0] network 10.1.3.0 0.0.0.255

[Switch_4-ospf-1-area-0.0.0.0] network 10.1.100.0 0.0.0.255

[Switch_4-ospf-1-area-0.0.0.0] quit

[Switch_4-ospf-1] quit

Router上需要进行如下配置:

将连接Switch的接口以Tagged方式加入VLAN100,并指定VLANIF100的IP地址与10.1.100.1在同一网段。

配置OSPF基本功能,并发布Switch与Router之间的互联网段。

【4】配置并应用流策略,控制员工、访客、服务器之间的访问

A、通过ACL定义每个流

# 在Switch_4上配置ACL 3000,禁止访客访问员工区和服务器区。

[Switch_4] acl 3000

[Switch_4-acl-adv-3000] rule deny ip destination 10.1.2.1 0.0.0.255

[Switch_4-acl-adv-3000] rule deny ip destination 10.1.3.1 0.0.0.255

[Switch_4-acl-adv-3000] quit

# 在Switch_4上配置ACL 3001,使员工A可以访问服务器区的所有资源,其他员工只能访问服务器A的21端口。

[Switch_4] acl 3001

[Switch_4-acl-adv-3001] rule permit ip source 10.1.2.2 0 destination 10.1.3.1 0.0.0.255

[Switch_4-acl-adv-3001] rule permit tcp destination 10.1.3.2 0 destination-port eq 21

[Switch_4-acl-adv-3001] rule deny ip destination 10.1.3.1 0.0.0.255

[Switch_4-acl-adv-3001] quit

B、配置流分类,区分不同的流

# 在Switch_4上创建流分类c_custom、c_staff,并分别配置匹配规则3000、3001。

[Switch_4] traffic classifier c_custom

[Switch_4-classifier-c_custom] if-match acl 3000

[Switch_4-classifier-c_custom] quit

[Switch_4] traffic classifier c_staff

[Switch_4-classifier-c_staff] if-match acl 3001

[Switch_4-classifier-c_staff] quit

C、配置流行为,指定流动作

# 在Switch_4上创建流行为b1,并配置允许动作。

[Switch_4] traffic behavior b1

[Switch_4-behavior-b1] permit

[Switch_4-behavior-b1] quit

D、配置流策略,关联流分类和流行为

# 在Switch_4上创建流策略p_custom、p_staff,并分别将流分类c_custom、c_staff与流行为b1关联。

[Switch_4] traffic policy p_custom

[Switch_4-trafficpolicy-p_custom] classifier c_custom behavior b1

[Switch_4-trafficpolicy-p_custom] quit

[Switch_4] traffic policy p_staff

[Switch_4-trafficpolicy-p_staff] classifier c_staff behavior b1

[Switch_4-trafficpolicy-p_staff] quit

E、应用流策略,实现员工、访客、服务器之间的访问控制

# 在Switch_4上,分别在VLAN10、VLAN20的入方向应用流策略p_custom、p_staff。

[Switch_4] vlan 10

[Switch_4-vlan10] traffic-policy p_custom inbo





审核编辑:刘清

声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉
  • VLAN
    +关注

    关注

    1

    文章

    278

    浏览量

    35663
  • OSPF协议
    +关注

    关注

    0

    文章

    17

    浏览量

    9385
  • VLAN技术
    +关注

    关注

    0

    文章

    45

    浏览量

    6382

原文标题:如何通过流策略实现VLAN间的访问权限,一看便知!!!

文章出处:【微信号:通信弱电交流学习,微信公众号:通信弱电交流学习】欢迎添加关注!文章转载请注明出处。

收藏 人收藏

    评论

    相关推荐

    VoIP?Voice VLAN?是如何实现的?

    Voice VLAN是为用户的语音专门划分的VLAN
    的头像 发表于 12-25 10:30 900次阅读
    VoIP?Voice <b class='flag-5'>VLAN</b>?是如何<b class='flag-5'>实现</b>的?

    华为路由器交换机VLAN配置实例

    ,组建一VLAN实现虚拟网和物理网之间的连接。实现防火墙策略,和访问控制(ACL)。 方案说明: 四台PC的IP地址、掩码如下列
    发表于 05-25 00:21

    请问如何实现VLAN

    、…):Harmony有同样的问题吗?我能通过修改MAC层(和配置部分)来实现VLAN吗?你能告诉我最好的做法,以确保兼容性与未来版本的和谐?我需要:-设置具有特定VLAN的和谐Web
    发表于 11-07 14:37

    Linux改变文件或目录的访问权限命令

    Linux改变文件或目录的访问权限命令 Linux改变文件或目录的访问权限命令  Linux系统中的每个文件和目录都有访问许可
    发表于 01-18 12:46 1202次阅读

    基于RBAC的B/S系统访问控制设计

    基于角色的访问控制模型 RBAC 通过引入角色实现了用户和访问控制权限的逻辑分离,简化了系统授权过程,提高了
    发表于 06-07 17:06 0次下载
    基于RBAC的B/S系统<b class='flag-5'>访问</b>控制设计

    VLAN实现VLAN路由

    VLAN(Virtual LAN),翻译成中文是虚拟局域网。LAN 可以是由少数几台家用计算机构成的网络,也可以是数以百计的计算机构成的企业网络。VLAN 所指的LAN 特指使用路由器分割的网络也就是
    发表于 02-28 15:46 35次下载
    <b class='flag-5'>VLAN</b>的<b class='flag-5'>实现</b>及<b class='flag-5'>VLAN</b><b class='flag-5'>间</b>路由

    18-VLAN访问列表配置命令

    VLAN访问列表配置命令
    发表于 12-17 11:06 7次下载

    不同vlan的通信简单配置的三种方式解析

    不同VLAN之间通信的原理 在划分VLAN后,不同VLAN之间不能直接进行二层通信。如果要实现VLAN
    发表于 12-05 11:13 5.9w次阅读
    不同<b class='flag-5'>vlan</b><b class='flag-5'>间</b>的通信简单配置的三种方式解析

    一文详解交换机VLAN的通信过程

    VLAN(VirtualLocalAreaNetwork,虚拟局域网),通过在支持VLAN的交换机上添加VLAN,并且动态的调整每个端口所属VLAN
    的头像 发表于 11-23 12:12 7462次阅读
    一文详解交换机<b class='flag-5'>间</b><b class='flag-5'>VLAN</b>的通信过程

    通过二层技术,如何实现不同VLAN通讯

    VLAN Switch是一种按照VLAN Tag进行数据转发的转发技术,需要预先在网络中各交换节点上建立一条静态转发路径。交换节点接收到符合转发条件的VLAN报文后,根据VLAN Sw
    的头像 发表于 03-07 09:32 9761次阅读

    使用路由器子接口单臂路由实现VLAN互相访问

    VLAN网络中,实现VLAN之间互访,除了利用三层交换方式来实现外,还可以通过路由器实现
    的头像 发表于 06-02 16:30 2323次阅读
    使用路由器子接口单臂路由<b class='flag-5'>实现</b><b class='flag-5'>VLAN</b><b class='flag-5'>间</b>互相<b class='flag-5'>访问</b>

    VLAN路由

    部署了VLAN的传统交换机不能实现不同VLAN的二层报文转发,因此必须引入路由技术来实现不同VLAN
    发表于 06-25 09:51 0次下载

    VLAN的基础知识总结

    关于Vlan的知识点可谓是多之又多,什么广播域、实现Vlan的机制、Vlan访问链接、汇聚链接、汇聚方式、
    的头像 发表于 09-04 10:27 799次阅读
    <b class='flag-5'>VLAN</b>的基础知识总结

    linux文件访问权限怎么设置

    Linux 文件访问权限是操作系统中一个非常重要的概念。正确地设置文件访问权限可以保护系统的安全性,防止未经授权的人员对文件进行修改、删除或执行。本文将详细介绍 Linux 文件
    的头像 发表于 11-23 10:20 1517次阅读

    如何通过单臂路由实现VLAN通信?

    如何通过单臂路由实现VLAN通信? 通过单臂路由实现VLA
    的头像 发表于 12-07 09:40 1281次阅读