客户需求:
创建一个新的vlan,现有vlan有vlan1、5、6、7、8、除了VLAN2可以访问新的VLAN其他都不可以。
需要禁用的IP段:
192.168.1.0
192.168.5.0
192.168.6.0
192.168.7.0
192.168.8.0
================================================================================================
ok 我们开始实现这个需求:
华为交换机 S5720
sys
vlan12(创建vlan)
int vlan12 (进入vlan12)
IP address 192.168.12.1 24 (配置ip和掩码)
================================================================================================
开始对VLAN12进行访问控制
acl number 3333
rule 5 deny ip source 192.168.1.0 0.0.0.255 destination 192.168.12.0 0.0.0.255 (拒绝1网段访问12网段)
rule 10 deny ip source 192.168.5.0 0.0.0.255 destination 192.168.12.0 0.0.0.255 (拒绝5网段访问12网段)
rule 15 deny ip source 192.168.6.0 0.0.0.255 destination 192.168.12.0 0.0.0.255 (拒绝6网段访问12网段)
rule 20 deny ip source 192.168.7.0 0.0.0.255 destination 192.168.12.0 0.0.0.255 (拒绝7网段访问12网段)
rule 25 deny ip source 192.168.8.0 0.0.0.255 destination 192.168.12.0 0.0.0.255 (拒绝8网段访问12网段)
效果图如下:
最后一步 我们将策略应用在vlan上即可:
traffic-filter vlan 12 inbound acl 3333
traffic-filter vlan 12 outbound acl 3333
注:in 和out都写上 save 保存 完成。
最后验证出了 192.168.2.0 能ping通外、其余都禁止了。
记录项目上的一些小细节。
![更改LYNC SIP地址[图]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)