網(wǎng)絡(luò)一向不只是能通就好 , 很多場(chǎng)景里面 , 都會(huì)有特殊的需求 , 比如說(shuō) , 有時(shí)候需要配置VLAN之間TCP的單向訪問(wèn)——在下圖中 , 要求只允許PC1主動(dòng)與PC2建立TCP連接 , 而不允許PC2主動(dòng)發(fā)起與PC1的TCP連接 。
針對(duì)客戶(hù)的要求 , 打算配置高級(jí)ACL和基于ACL的流分類(lèi) , 通過(guò)限制ICMP和TCP連接的方式實(shí)現(xiàn)PC1到PC2的單向訪問(wèn) 。
實(shí)際上的網(wǎng)絡(luò)架構(gòu)當(dāng)然不可能這么簡(jiǎn)單 , 本文只為展示TCP單向發(fā)起通訊的配置方法 , 所以其他因素暫不考慮 , 也就暫時(shí)不需要引入其他的設(shè)備了 。
配置步驟如下:
- 配置VLAN參數(shù)
[HUAWEI
sysname Sw1
[Sw1
vlan batch 10 20 # 創(chuàng)建VLAN10和VLAN20
[Sw1
interface vlanif 10
[Sw1-Vlanif10
ip address 10.1.1.1 24
[Sw1-Vlanif10
quit
[Sw1
interface vlanif 20
[Sw1-Vlanif20
ip address 10.1.2.1 24
[Sw1-Vlanif20
quit
2、配置物理接口
[Sw1
interface gigabitethernet 0/0/1
[Sw1-GigabitEthernet0/0/1
port link-type trunk
[Sw1-GigabitEthernet0/0/1
port trunk allow-pass vlan 10
[Sw1-GigabitEthernet0/0/1
quit
【流行|如何讓老板能訪問(wèn)員工的電腦,而員工卻不能訪問(wèn)老板的電腦】[Sw1
interface gigabitethernet 0/0/2
[Sw1-GigabitEthernet0/0/2
port link-type trunk
[Sw1-GigabitEthernet0/0/2
port trunk allow-pass vlan 20
[Sw1-GigabitEthernet0/0/2
quit
3、配置高級(jí)ACL
[Sw1
acl 3001
[Sw1-acl-adv-3001
rule permit tcp source 10.1.2.0 0.0.0.255 destination 10.1.1.0 0.0.0.255 tcp-flag syn ack
[Sw1-acl-adv-3001
rule deny tcp source 10.1.2.0 0.0.0.255 destination 10.1.1.0 0.0.0.255 tcp-flag syn
[Sw1-acl-adv-3001
rule deny icmp source 10.1.2.0 0.0.0.255 destination 10.1.1.0 0.0.0.255 icmp-type echo
[Sw1-acl-adv-3001
quit
- 配置匹配于高級(jí)ACL的流分類(lèi)
traffic classifier c1
[Sw1-classifier-c1
if-match acl 3001
[Sw1-classifier-c1
quit
- 配置流行為
traffic behavior b1
[Sw1-behavior-b1
permit
[Sw1-behavior-b1
quit
- 配置流策略 , 將流分類(lèi)與流行為關(guān)聯(lián)
traffic policy p1
[Sw1-trafficpolicy-p1
classifier c1 behavior b1
[Sw1-trafficpolicy-p1
quit
- 在接口下應(yīng)用流
策略
interface gigabitethernet 0/0/2
[Sw1-GigabitEthernet0/0/2
traffic-policy p1 inbound
[Sw1-GigabitEthernet0/0/2
quit
最后提醒一下 , 不要在模擬器里面實(shí)驗(yàn)這個(gè)配置 , 因?yàn)橥耆珱](méi)有效果 , 此時(shí) , 如果把流行
誰(shuí)能在模擬器里面配置成VLAN單向通訊的 , 還請(qǐng)不吝賜教 , 謝謝 。
相關(guān)經(jīng)驗(yàn)推薦
- |高性?xún)r(jià)比的千元機(jī)144Hz變幀屏+5000mAh,如今再次讓利了
- 華為手機(jī)|外媒是如何報(bào)道國(guó)產(chǎn)華為手機(jī)的?
- iqoo neo|為新機(jī)讓路?E5 2D直屏+驍龍8+120W,跌至3249元
- 華碩|假期宅家如何提升幸福感?實(shí)用輕薄本必不可少,華碩好屏太香了
- 無(wú)線耳機(jī)|如何選擇你的無(wú)線耳機(jī),記住這幾條購(gòu)買(mǎi)無(wú)線耳機(jī)的王牌標(biāo)準(zhǔn)
- 七彩虹|富士康的“打工妹”,是如何一步步成為搶走富士康訂單的競(jìng)爭(zhēng)對(duì)手的?
- 算法|曾經(jīng)是爆款機(jī)型,如今是廉價(jià)手機(jī)!目前這3款手機(jī)你看如何?
- 蘋(píng)果|蘋(píng)果終于讓步,這些APP,不收蘋(píng)果稅!
- 華為榮耀|榮耀被曝強(qiáng)行讓員工買(mǎi)股份!沒(méi)錢(qián)要求去貸款,堅(jiān)決不買(mǎi)或被逼離職
- iOS|iOS15.4.1深度用了一天,續(xù)航終于重回巔峰,來(lái)看看大家評(píng)價(jià)如何