在现有网络上配置访问控制(ACL)是为了保证网络资源不被非法使用和非法访问,也是维护网络系统安全、保护网络资源的重要手段。通过对特定的网段和服务建立有效的访问控制体系,可在大多数的攻击到达之前进行阻止,从而达到限制非法访问的目的。
在下列示例中,VLAN21为业务网,VLAN22为办公网。
控制办公与业务VLAN互访
【配置需求】
控制VLAN21和VLAN22的用户直接互访
VLAN21 IP地址:21.224.1.*/24
VLAN22 IP地址:22.224.2.*/24
【配置步骤】
(1)配置一条VLAN21网段至VLAN22网段的规则。
[Quidway] rule-map intervlan r1 21.224.1.0 0.0.0.255 22.224.1.0 0.0.0.255
(2)将上述规则的动作设为deny。
[Quidway] eacl a1 r1 deny
(3)将EACL应用到VLAN21所有端口上。
[Quidway] access-group eacl a1 vlan 21 port all
(4)配置一条VLAN22网段至VLAN21网段的规则。
[Quidway] rule-map intervlan r2 22.224.1.0 0.0.0.255 21.224.1.0 0.0.0.255
(5)将上述规则的动作设为deny。
[Quidway] eacl a2 r2 deny
(6)将EACL应用到VLAN22所有端口上。
[Quidway] access-group eacl a2 vlan 22 port all
控制访问时段
【配置需求】
要求VLAN21在时间段8:00~18:00中不能访问VLAN22。
【配置步骤】
(1)定义规则,源端为VLAN21用户,目的端为VLAN22。
[Quidway] rule-map intervlan r3 21.224.1.0 0.0.0.255 22.224.1.0 0.0.0.255
(2)定义时间段从8点到18点,命名为8to18。
[Quidway] time-range 8to18 8:00 18:00
(3)将对禁止网段访问的流加入列表。
[Quidway] eacl a3 r3 deny time-range 8to18
(4)将EACL应用到VLAN2所有端口上。
[Quidway] access-group eacl a3 vlan 21 port all
文章转载地址:http://www.365master.com/kt_article_show.php?article_id=1879&categ_code=10071007
