華爲交換機的三層隔離
1,項目要求
A、一個500人左右的單位進行組網設計;
B、該單位共有3個部門,分別爲:部門A(50人)、
部門B(50人)、部門C(400人);請爲這3個部門劃分
不同的VLAN,要求彼此之間不能通訊,同時都能訪問互聯網;
C、該單位還有一個門戶網站,對外發布服務;
D、要求部門C動態分配地址;部門A和部門B配置靜態地址。
2,項目拓撲
3,實施過程:
(1)地址規劃
部門A vlan 10 192.168.10.0 24
部門B vlan20 192.168.20.0 24
部門C VLAN30 172.16.1.0 22
4,配置過程
(1)將A,B,C三個部門劃入不通的vlan配置略。
(2)VLAN的三層隔離
acl number 3001
rule 1 deny icmp source 192.168.10.0 0.0.0.255 destination 192.168.20.0 0.0.0.255
創建相應的策略,不允許放行部門A到B的ip通過。
traffic-filter vlan 20 inbound acl 3001
將策略綁定到VLAN20裏面才能生效。
5,結果驗證
部門A的地址無法ping通B的地址