当前位置:首页 > 网络 > 华为S5700单向访问

华为S5700单向访问

网络5年前 (2017-09-09)

华为S5700单向访问

实验需求

工作组A可以访问工作组B,但是工作组B无法访问工作组A

地址规划

核心SW1: vlan10网关为192.168.1.1/24  vlan20网关为192.168.2.1/24

工作组A: 192.168.1.0/24 属于vlan 10

工作组B: 192.168.2.0/24 属于vlan 20


接入SW2配置

<Huawei>system-view 
[Huawei]sysname SW2
[SW2]vlan 10  #创建vlan10
[SW2-vlan10]quit
[SW2]int e0/0/1
[SW2-Ethernet0/0/1]port link-type trunk  #将上联接口e0/0/1设为trunk
[SW2-Ethernet0/0/1]port trunk allow-pass vlan 10   #允许vlan10的数据透传
[SW2-Ethernet0/0/1]quit
[SW2]int e0/0/2
[SW2-Ethernet0/0/2]port link-type access  #将下联接口e0/0/2设为access
[SW2-Ethernet0/0/2]port default vlan 10   #让接口属于vlan10


接入SW3配置

<Huawei>system-view 
[Huawei]sysname SW3
[SW3]vlan 20  #创建vlan20
[SW3-vlan20]quit
[SW3]int e0/0/1
[SW3-Ethernet0/0/1]port link-type trunk  #将上联接口e0/0/1设为trunk
[SW3-Ethernet0/0/1]port trunk allow-pass vlan 20  #允许vlan20的数据透传
[SW3-Ethernet0/0/1]quit
[SW3]int e0/0/2
[SW3-Ethernet0/0/2]port link-type access  #将下联接口e0/0/2设为access
[SW3-Ethernet0/0/2]port default vlan 20   #让接口属于vlan20


核心SW1配置

<Huawei>system-view 
[Huawei]sysname SW1
[SW1]vlan bat 10 20  #批量创建vlan10和20

配置接口
[SW1]interface g0/0/1
[SW1-GigabitEthernet0/0/1]port link-type trunk  #将下联SW2接口设为trunk
[SW1-GigabitEthernet0/0/1]port trunk allow-pass vlan 10  #只允许透传vlan10信息
[SW1-GigabitEthernet0/0/1]quit
[SW1]interface g0/0/2
[SW1-GigabitEthernet0/0/2]port link-type trunk  #将下联SW3接口设为trunk
[SW1-GigabitEthernet0/0/2]port trunk allow-pass vlan 20  #只允许透传vlan20信息
[SW1-GigabitEthernet0/0/2]quit
配置vlan
[SW1]int vlan 10
[SW1-Vlanif10]ip address 192.168.1.1 24
[SW1-Vlanif10]quit
[SW1]int vlan 20
[SW1-Vlanif20]ip address 192.168.2.1 24
[SW1-Vlanif20]quit
配置dhcp
[SW1]dhcp enable  #启用全局dhcp
[SW1]ip pool 10  #创建地址池10
[SW1-ip-pool-10]network 192.168.1.0 mask 255.255.255.0  #指定网段
[SW1-ip-pool-10]dns-list 8.8.8.8  #指定dns
[SW1-ip-pool-10]gateway-list 192.168.1.1  #指定网关
[SW1-ip-pool-10]lease day 10 #指定租约
[SW1]ip pool 20  #创建地址池20
[SW1-ip-pool-20]network 192.168.2.0 mask 255.255.255.0
[SW1-ip-pool-20]dns-list 8.8.8.8
[SW1-ip-pool-20]gateway-list 192.168.2.1 
[SW1-ip-pool-20]lease day 10  

[SW1]int vlan 10 
[SW1-Vlanif10]dhcp select global  #调用全局dhcp信息
[SW1]int vlan 20
[SW1-Vlanif10]dhcp select global


互通检查

工作组获得IP情况

华为S5700单向访问

华为S5700单向访问


PING网关

华为S5700单向访问

PING对方网关

华为S5700单向访问

PING对端工作组

华为S5700单向访问


单向访问设置

#创建2条高级访问控制列表
[SW1]acl number 3001  
[SW1-acl-adv-3001]rule 0 permit tcp source 192.168.2.0 0.0.0.255 destination 192.168.1.0 0.0.0.255 tcp-flag ack  #匹配TCP连接ack报文
[SW1]acl number 3002
[SW1-acl-adv-3002]rule 0 permit tcp source 192.168.2.0 0.0.0.255 destination 192.168.1.0 0.0.0.255 tcp-flag syn  #匹配TCP连接syn报文
#创建流分类并匹配
[SW1]traffic classifier 3001
[SW1-classifier-3001]if-match acl 3001
[SW1]traffic classifier 3002
[SW1-classifier-3002]if-match acl 3002
#创建流行为,允许带有ack标志位的TCP连接报文,丢弃TCP连接syn报文
[SW1]traffic behavior 3001
[SW1-behavior-3001]permit                     
[SW1]traffic behavior 3002
[SW1-behavior-3002]deny
#创建Qos策略关联流分类和流行为。
[SW1]traffic policy 3000                          
[SW1-trafficpolicy-3000]classifier 3001 behavior 3001
[SW1-trafficpolicy-3000]classifier 3002 behavior 3002
#Vlan20端口入方向下发Qos策略
[SW1]interface GigabitEthernet 0/0/2
[SW1-GigabitEthernet0/0/2]traffic-policy 3000 inbound


本站所有文章均可随意转载,转载时请保留原文链接及作者。

本文链接:https://www.vos.cn/net/161.html

相关文章

Cisco ASA v8.4 NAT和不同安全区域互访

Cisco ASA v8.4 NAT和不同安全区域互访

实验需求:1、inside区域的Internal-PC可以通过NAT功能访问所有outside设备2、inside区域的Internal-PC可访问dmz区域的Server3、outside区域的Ex...

IS-IS

IS-IS

预配置R1interface Loopback0  ip address 1.1.1.1 255.255.255.0 interface ...

锐捷交换机防ARP欺骗

锐捷交换机防ARP欺骗

采用官方推荐的DHCP Snooping + IP Source guard + ARP-check方式用户VLAN网关在核心交换机S8605E上面并创建DHCP Server,接入交换机S2928G...

SANGFOR AF-1520 NAT

SANGFOR AF-1520 NAT

深信服AF-1520默认的配置向导非常难用,推荐手动设置,拓扑为eth0为管理口,上联口eth1,下联2个路由器,分别为eth2和eth3eth1 DHCPeth2 172.16.1.1 下联172....

锐捷交换机端口聚合

锐捷交换机端口聚合

锐捷端口汇聚的成员属性必须一致,包括接口速率、双工等二层端口只能加入二层AP,三层端口只能加入三层AP包含成员口的AP口不允许改变二层/三层属性AP不能开启端口安全功能端口聚合后,成员接口不能单独再进...

HUAWEI USG5500 NAT

HUAWEI USG5500 NAT

总公司三台服务器需要被分公司内网PC所访问拓扑总公司核心配置vlan batch 10 20  # interface Vlanif10 ...