客戶需求:
建立一個新的vlan,現有vlan有vlan1、5、6、7、8、除了VLAN2可以通路新的VLAN其他都不可以。
需要禁用的IP段:
192.168.1.0
192.168.5.0
192.168.6.0
192.168.7.0
192.168.8.0
================================================================================================
ok 我們開始實作這個需求:
華為交換機 S5720
sys
vlan12(建立vlan)
int vlan12 (進入vlan12)
IP address 192.168.12.1 24 (配置ip和掩碼)
================================================================================================
開始對VLAN12進行通路控制
acl number 3333
rule 5 deny ip source 192.168.1.0 0.0.0.255 destination 192.168.12.0 0.0.0.255 (拒絕1網段通路12網段)
rule 10 deny ip source 192.168.5.0 0.0.0.255 destination 192.168.12.0 0.0.0.255 (拒絕5網段通路12網段)
rule 15 deny ip source 192.168.6.0 0.0.0.255 destination 192.168.12.0 0.0.0.255 (拒絕6網段通路12網段)
rule 20 deny ip source 192.168.7.0 0.0.0.255 destination 192.168.12.0 0.0.0.255 (拒絕7網段通路12網段)
rule 25 deny ip source 192.168.8.0 0.0.0.255 destination 192.168.12.0 0.0.0.255 (拒絕8網段通路12網段)
效果圖如下:
最後一步 我們将政策應用在vlan上即可:
traffic-filter vlan 12 inbound acl 3333
traffic-filter vlan 12 outbound acl 3333
注:in 和out都寫上 save 儲存 完成。
最後驗證出了 192.168.2.0 能ping通外、其餘都禁止了。
記錄項目上的一些小細節。
![更改LYNC SIP位址[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)