在跨交换机的VLAN上面配置ACL

作者:网络医生 发布于:2011-5-12 21:40 Thursday 分类:服务器及网络设备

      单位内部的网络分为内网和外网,内网是财务服务器专用,为了安全不与外网互通,内网专属于一个VLAN200,由于办公人员在不同的楼宇办公都要链接到财务的服务器,所以这个专属VLAN就要跨越交换机。虽然实现了内外网隔离相对比较安全,但管理起来却不方便,因为不能通过外网的电脑远程管理财务服务器。

      为了解决这个问题,首先在VLAN200接口上配制一个IP地址,使内网和外网可以互通,然后在VLAN200接口上关联一个ACL,这样就可以指定外网的某台电脑可以远程管理财务服务器,而其它的电脑则拒绝访问。这样既方便了管理又不会对网络中的其它计算机造成影响。

配制命令如下:

ZXR10#config t

//进入特权模式

ZXR10(config)#acl extended number 100

设置扩展访问列表代码为100

ZXR10(config-ext-acl)#rule 1 permit ip 192.168.2.0  0.0.0.255  115.138.123.139  0.0.0.0

//定义一条规则只允许115.138.123.139这台电脑访问财务网段192.168.2.0

ZXR10(config-ext-acl)#rule 2 permit ip 192.168.2.0 0.0.0.255 192.168.2.0 0.0.0.255

//允许财务内部网络之间的电脑可以互通

ZXR10(config-ext-acl)# rule 3 deny ip 192.168.2.0 0.0.0.255 any

//定义一条规则禁止任何电脑访问财务网段

ZXR10(config-ext-acl)#rule 4 permit ip any any 

//定义一条规则允许任何数据包通过,这样可以不影响其它VLAN的数据包通过

注:上面3条规则顺序不能颠倒

ZXR10(config-ext-acl)#exit

ZXR10(config)#vlan 200

//进入财务服务器所属的VLAN

ZXR10(config-vlan200)#ip access-group 100 in

//把扩展ACL关联到VLAN200上面,使之生效


注:以上适合中兴5928和6905

标签: 中兴交换机 ZXR10 ACL ZTE

发表评论:

  • 4
  • 1
  • 7
  • 0
  • 5

Powered by emlog