网络医生

在跨交换机的VLAN上面配置ACL

作者：网络医生 发布于：2011-5-12 21:40 Thursday 分类：服务器及网络设备

      单位内部的网络分为内网和外网，内网是财务服务器专用，为了安全不与外网互通，内网专属于一个VLAN200,由于办公人员在不同的楼宇办公都要链接到财务的服务器，所以这个专属VLAN就要跨越交换机。虽然实现了内外网隔离相对比较安全，但管理起来却不方便，因为不能通过外网的电脑远程管理财务服务器。

      为了解决这个问题，首先在VLAN200接口上配制一个IP地址，使内网和外网可以互通，然后在VLAN200接口上关联一个ACL，这样就可以指定外网的某台电脑可以远程管理财务服务器，而其它的电脑则拒绝访问。这样既方便了管理又不会对网络中的其它计算机造成影响。

配制命令如下：

ZXR10#config t

//进入特权模式

ZXR10(config)#acl extended number 100

设置扩展访问列表代码为100

ZXR10(config-ext-acl)#rule 1 permit ip 192.168.2.0  0.0.0.255  115.138.123.139  0.0.0.0

//定义一条规则只允许115.138.123.139这台电脑访问财务网段192.168.2.0

ZXR10(config-ext-acl)#rule 2 permit ip 192.168.2.0 0.0.0.255 192.168.2.0 0.0.0.255

//允许财务内部网络之间的电脑可以互通

ZXR10(config-ext-acl)# rule 3 deny ip 192.168.2.0 0.0.0.255 any

//定义一条规则禁止任何电脑访问财务网段

ZXR10(config-ext-acl)#rule 4 permit ip any any 

//定义一条规则允许任何数据包通过，这样可以不影响其它VLAN的数据包通过

注：上面3条规则顺序不能颠倒

ZXR10(config-ext-acl)#exit

ZXR10(config)#vlan 200

//进入财务服务器所属的VLAN

ZXR10(config-vlan200)#ip access-group 100 in

//把扩展ACL关联到VLAN200上面，使之生效

注：以上适合中兴5928和6905

标签: 中兴交换机 ZXR10 ACL ZTE