VLAN间单向访问.docVIP

VLAN间单向访问 在8016上如何实现两个VLAN之间的单向访问？ 假设S8016上有两个VLAN：VLAN 2和VLAN 3。 要求：VLAN 2下的用户可以访问VLAN 3下的用户， 而VLAN 3下的用户不能访问VLAN 2下的用户。 具体的配置过程如下： 1、首先定义两个VLAN： [Quidway-vlan2]port Ethernet 15/0/2 [Quidway-vlan2]interface vlan 2 [Quidway-Vlanif2]ip address 192.168.1.1 255.255.255.0  [Quidway-Vlanif2]vlan 3 [Quidway-vlan2]port Ethernet 15/0/3 [Quidway-vlan3]interface vlan 3 [Quidway-Vlanif3]ip address 192.168.2.1 255.255.255.0  2、定义一个流规则： 定义规则Ping请求报文。 ap intervlan p1 icmp 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255 echo # 定义规则限制TCP连接发起方。  3、将规则映射描述的一个流加入一个ACL列表，并且配置访问禁止 过滤Ping请求报文。 ntong p1 deny # 过滤TCP发起方报文。 [Quidway] eacl dantong t1 deny  4、将ACL应用到VLAN3所有端口上。 [Quidway] access-group eacl dantong vlan 3 port all  5、做完以上配置，能够实现TCP和ICMP报文从VLAN 2到VLAN 3方向的单通。 注意：由于UDP报文为无连接方式，无法得知发起连接方，所以无法配置对于UDP报文的单通。 8016DHCP配置 『配置环境参数』 1. DHCP server的IP地址192.168.0.10/24 2. DHCP server连接在交换机G1/0/0，属于vlan100，网关即vlan100虚接口地址192.168.0.1/24 3. 交换机通过G1/0/1连接SwitchAG1/1，G1/0/2连接SwitchBG1/1 4. SwitchA通过G2/1连接SwitchC G1/1 5. vlan10的用户网段为10.10.1.1/24 6. vlan20的用户网段为10.10.2.1/24 7. vlan30的用户网段为10.10.3.1/24 8. SwitchA和SwitchC为二层交换机，SwitchB为三层交换机 『组网需求』 1. 8016作DHCP relay，利用远端DHCP server为SwitchA下面的vlan10分配IP地址 2. SwitchB上的vlan20用户以8016上的vlan20虚接口为网关，8016作DHCP server直接为其分配IP地址 3. SwitchC上的vlan30用户以SwitchB上的vlan30虚接口为网关，8016作DHCP server为其分配IP地址 2 数据配置步骤 『8016DHCP relay数据流程』 DHCP Relay的作用则是为了适应客户端和服务器不在同一网段的情况，通过Relay，不同子网的用户可以到同一个DHCP server申请IP地址，这样便于地址池的管理和维护。 【8016DHCP relay配置】 1. DHCP server要配置到一个VLAN上，这个VLAN可以是任意的，但是要实现Relay，不要将Server同任何客户端配置到同一个VLAN内，建议专门划出VLAN给DHCP server组使用，这里将DHCP服务器组1对应的端口的VLAN配置为100。 [Quidway] vlan 100 [Quidway-vlan100] port gigabitethernet 1/0/0 [Quidway] interface vlanif 100 2. 配置DHCP server的网关地址 [Quidway-Vlanif100] ip address 192.168.0.1 255.255.255.0 3. 配置DHCP服务器组1对应的IP地址。 [Quidway] dhcp relay server-group 1 server 192.168.0.10 4. 配置DHCP服务器组1服务的VLAN范围为10 [Quidway] dhcp relay ser