save此時PC3和PC4能夠互通����,和PC5不能夠互通,驗證一下���。
擴展閱讀���,以下內(nèi)容您可能還感興趣。
華為交換機可不可以基于VLAN做ACL�,而不是物理端口,具體是什么型號�,新手啊,好多都不懂
S2700-EI支持豐富的ACL策略控制�����,特別支持基于VLAN下發(fā)ACL規(guī)則�����,實現(xiàn)VLAN內(nèi)多端口的靈活控制和統(tǒng)一資源調(diào)度���。而S3700����、S5700更是三層交換機���,以及為運營商提供的S2300��、S3300�����、5300以及S9300���,當然支持基于VLAN的ACL,而華三的交換機�,?二層交換機需要是EI型號��,比如?S3100-26TP-EI��,而SI類應(yīng)該是有問題�����,沒有試過���,華三?S3600、S5120EI�����,S5500��,S5800�,S7500及以上三層交換機也都支持基于VLAN的ACL。?
在思科設(shè)備上�,有VLAN?ACL和VACL的區(qū)別:
我們常說的VLAN之間的訪問控制,它的實現(xiàn)方式是將ACL直接應(yīng)用到VLAN的虛端口上�����,與應(yīng)用到物理端口的ACL實現(xiàn)方式是一樣的����。而VLAN訪問控制(VACL)�,也稱為VLAN訪問映射表�,它的實現(xiàn)方式與前者完全不同。它應(yīng)用于VLAN中的所有通信流����,支持基于ETHERTYPE和MAC地址的過濾�����,可以防止未經(jīng)授權(quán)的數(shù)據(jù)流進入VLAN。目前支持的VACL操作有三種:轉(zhuǎn)發(fā)(forward),丟棄(drop)�,重定向(redirect)。?
1)???????最后一條隱藏規(guī)則是deny?ip?any?any���,與ACL相同��。
2)???????VACL沒有inbound和outbound之分���,區(qū)別于ACL。
3)???????若ACL列表中是permit,而VACL中為drop��,則數(shù)據(jù)流執(zhí)行drop�。
4)???????VACL規(guī)則應(yīng)用在NAT之前。
5)???????一個VACL可以用于多個VLAN中�;但一個VLAN只能與一個VACL關(guān)聯(lián)�。
6)???????VACL只有在VLAN的端口被激活后才會啟用����,否則狀態(tài)為inactive。
在交換機上有兩種訪問控制列表
1.控制抵達交換機的流量的訪問控制列表
2.穿越交換機的流量的訪問控制列表
控制穿越流量的三種類型ACL
1.RACL:路由器ACL�����,路由器是可以支持的�����,控制的是三層的流量����,可以在三層接口上做input/output的過濾
2.VACL:vlan間的ACL,這種ACL是路由器不能支持的����,它可以做三層或者VLAN內(nèi)部的控制,也就是二層/三層都可以做*
3.RACL:端口ACL���,二層端口運用一個三層的訪問控制列表,可以對VLAN間或者VLAN內(nèi)部做*����,只能在input方向應(yīng)用
VACL的特點
1.VACL能控制vlan內(nèi)的流量
2.能夠?qū)P或者是非IP的流量進行控制
3.VACL優(yōu)先RACL進行處理
4.VACL沒有方向性����,進入或離開都要受控制
在思科設(shè)備上�����,我也試過�,應(yīng)用也很簡單。
在華三的設(shè)備上�,幾年前我試過,沒成功����,只能用以下方法���,進行代替性的工作:
基于網(wǎng)段的限速
為了保證辦公區(qū)對帶寬的優(yōu)先使用����,決定采用按VLAN分配帶寬的限速策略��。由于辦公區(qū)優(yōu)先級別高���,它的平均帶寬應(yīng)大于帶寬總平均值,所以將30M中的10M分配給VLAN?2���,10M分配給VLAN?10,10M分配給VLAN?20配置如下:
定義各個vlan的上下行ACL
acl?number?3001
rule?0?permit?ip?source?192.168.0.0?255.255.255.0
acl?number?3002?
rule?0?permit?ip?destination?192.168.0.0?255.255.255.0
acl?number?3003?
rule?0?permit?ip?source?192.168.1.0?255.255.255.0
acl?number?3004?
rule?0?permit?ip?destination?192.168.1.0?255.255.255.0???
acl?number?3005
rule?0?permit?ip?source?192.168.2.0?255.255.255.0
acl?number?3006?
rule?0?permit?ip?destination?192.168.2.0?255.255.255.0
interface?GigabitEthernet1/0/1?//在口做限速
qos?car?inbound?acl?3001?cir?12288000?cbs?800000?ebs?0?green?pass?red?discard???//vlan2上行帶寬*為12M
qos?car?inbound?acl?3003?cir?12288000?cbs?800000?ebs?0?green?pass?red?discard???//vlan10上行帶寬*為12M
qos?car?inbound?acl?3005?cir?12288000?cbs?800000?ebs?0?green?pass?red?discard???//vlan20上行帶寬*為12M
qos?car?outbound?acl?3002?cir?12288000?cbs?800000?ebs?0?green?pass?red?discard??//vlan2下行帶寬*為12M
qos?car?outbound?acl?3004?cir?12288000?cbs?800000?ebs?0?green?pass?red?discard??//vlan10下行帶寬*為12M
qos?car?outbound?acl?3006?cir?12288000?cbs?800000?ebs?0?green?pass?red?discard??//vlan20下行帶寬*為12M
interface?GigabitEthernet1/0/3?//在內(nèi)網(wǎng)口做每IP限速
qos?car?inbound?acl?3001?cir?2000000?cbs?100000?ebs?0?green?pass?red?discard???//vlan2上行帶寬*為2M
qos?car?inbound?acl?3003?cir?2000000?cbs?100000?ebs?0?green?pass?red?discard???//vlan10上行帶寬*為2M
qos?car?inbound?acl?3005?cir?2000000?cbs?100000?ebs?0?green?pass?red?discard???//vlan20上行帶寬*為2M
qos?car?outbound?acl?3002?cir?2000000?cbs?100000?ebs?0?green?pass?red?discard??//vlan2下行帶寬*為2M
qos?car?outbound?acl?3004?cir?2000000?cbs?100000?ebs?0?green?pass?red?discard??//vlan10下行帶寬*為2M
qos?car?outbound?acl?3006?cir?2000000?cbs?100000?ebs?0?green?pass?red?discard??//vlan20下行帶寬*為2M
可以通過運行display?qos?car?interface命令查看每條限速命令是否已生效
其他應(yīng)用���,需要實際應(yīng)用的時候試試看了�。?
這是幾年前開局時用過的����,現(xiàn)在的交換機軟件版本更新太快,這個做法�,現(xiàn)在已經(jīng)做不出來了。
現(xiàn)在最常用的���,就是在華為X7系列以及X3交換機上做基于IP地址的ACL:
#
?sysname?Quidway
#
?time-range?server1?09:00?to?18:00?working-day
#
acl?number?3001
?rule?1?deny?ip?destination?192.168.2.1?0?time-range?server1
#
interface?GigabitEthernet0/0/1
?traffic-filter?inbound?acl?3001?rule?1
return
剛才找了臺機器試了下�����,華在X3���,X7系列都支持,在WEB頁面可以配置��。將ACL應(yīng)用到VLAN�。
請問,華為2309系列交換機�,本身可以對端口限速,可以基于VLAN限速嗎���,如果可以對VLAN限速�����,請問配置方式
此交換機不支持acl方式限速�。
型號太低。
華為交換機可不可以基于VLAN做ACL��,而不是物理端口�����,具體是什么型號�,新手啊,好多都不懂
S2700-EI支持豐富的ACL策略控制�����,特別支持基于VLAN下發(fā)ACL規(guī)則�����,實現(xiàn)VLAN內(nèi)多端口的靈活控制和統(tǒng)一資源調(diào)度�。而S3700�、S5700更是三層交換機����,以及為運營商提供的S2300�����、S3300�����、5300以及S9300����,當然支持基于VLAN的ACL,而華三的交換機�����,?二層交換機需要是EI型號���,比如?S3100-26TP-EI�,而SI類應(yīng)該是有問題���,沒有試過��,華三?S3600����、S5120EI,S5500�����,S5800��,S7500及以上三層交換機也都支持基于VLAN的ACL��。?
在思科設(shè)備上�,有VLAN?ACL和VACL的區(qū)別:
我們常說的VLAN之間的訪問控制,它的實現(xiàn)方式是將ACL直接應(yīng)用到VLAN的虛端口上�����,與應(yīng)用到物理端口的ACL實現(xiàn)方式是一樣的����。而VLAN訪問控制(VACL),也稱為VLAN訪問映射表���,它的實現(xiàn)方式與前者完全不同���。它應(yīng)用于VLAN中的所有通信流,支持基于ETHERTYPE和MAC地址的過濾��,可以防止未經(jīng)授權(quán)的數(shù)據(jù)流進入VLAN�。目前支持的VACL操作有三種:轉(zhuǎn)發(fā)(forward),丟棄(drop)��,重定向(redirect)��。?
1)???????最后一條隱藏規(guī)則是deny?ip?any?any�����,與ACL相同���。
2)???????VACL沒有inbound和outbound之分�����,區(qū)別于ACL�����。
3)???????若ACL列表中是permit����,而VACL中為drop,則數(shù)據(jù)流執(zhí)行drop��。
4)???????VACL規(guī)則應(yīng)用在NAT之前����。
5)???????一個VACL可以用于多個VLAN中;但一個VLAN只能與一個VACL關(guān)聯(lián)����。
6)???????VACL只有在VLAN的端口被激活后才會啟用,否則狀態(tài)為inactive���。
在交換機上有兩種訪問控制列表
1.控制抵達交換機的流量的訪問控制列表
2.穿越交換機的流量的訪問控制列表
控制穿越流量的三種類型ACL
1.RACL:路由器ACL����,路由器是可以支持的�,控制的是三層的流量,可以在三層接口上做input/output的過濾
2.VACL:vlan間的ACL��,這種ACL是路由器不能支持的����,它可以做三層或者VLAN內(nèi)部的控制�,也就是二層/三層都可以做*
3.RACL:端口ACL��,二層端口運用一個三層的訪問控制列表�,可以對VLAN間或者VLAN內(nèi)部做*����,只能在input方向應(yīng)用
VACL的特點
1.VACL能控制vlan內(nèi)的流量
2.能夠?qū)P或者是非IP的流量進行控制
3.VACL優(yōu)先RACL進行處理
4.VACL沒有方向性,進入或離開都要受控制
在思科設(shè)備上�����,我也試過����,應(yīng)用也很簡單。
在華三的設(shè)備上���,幾年前我試過�����,沒成功�����,只能用以下方法���,進行代替性的工作:
基于網(wǎng)段的限速
為了保證辦公區(qū)對帶寬的優(yōu)先使用��,決定采用按VLAN分配帶寬的限速策略��。由于辦公區(qū)優(yōu)先級別高�����,它的平均帶寬應(yīng)大于帶寬總平均值��,所以將30M中的10M分配給VLAN?2��,10M分配給VLAN?10,10M分配給VLAN?20配置如下:
定義各個vlan的上下行ACL
acl?number?3001
rule?0?permit?ip?source?192.168.0.0?255.255.255.0
acl?number?3002?
rule?0?permit?ip?destination?192.168.0.0?255.255.255.0
acl?number?3003?
rule?0?permit?ip?source?192.168.1.0?255.255.255.0
acl?number?3004?
rule?0?permit?ip?destination?192.168.1.0?255.255.255.0???
acl?number?3005
rule?0?permit?ip?source?192.168.2.0?255.255.255.0
acl?number?3006?
rule?0?permit?ip?destination?192.168.2.0?255.255.255.0
interface?GigabitEthernet1/0/1?//在口做限速
qos?car?inbound?acl?3001?cir?12288000?cbs?800000?ebs?0?green?pass?red?discard???//vlan2上行帶寬*為12M
qos?car?inbound?acl?3003?cir?12288000?cbs?800000?ebs?0?green?pass?red?discard???//vlan10上行帶寬*為12M
qos?car?inbound?acl?3005?cir?12288000?cbs?800000?ebs?0?green?pass?red?discard???//vlan20上行帶寬*為12M
qos?car?outbound?acl?3002?cir?12288000?cbs?800000?ebs?0?green?pass?red?discard??//vlan2下行帶寬*為12M
qos?car?outbound?acl?3004?cir?12288000?cbs?800000?ebs?0?green?pass?red?discard??//vlan10下行帶寬*為12M
qos?car?outbound?acl?3006?cir?12288000?cbs?800000?ebs?0?green?pass?red?discard??//vlan20下行帶寬*為12M
interface?GigabitEthernet1/0/3?//在內(nèi)網(wǎng)口做每IP限速
qos?car?inbound?acl?3001?cir?2000000?cbs?100000?ebs?0?green?pass?red?discard???//vlan2上行帶寬*為2M
qos?car?inbound?acl?3003?cir?2000000?cbs?100000?ebs?0?green?pass?red?discard???//vlan10上行帶寬*為2M
qos?car?inbound?acl?3005?cir?2000000?cbs?100000?ebs?0?green?pass?red?discard???//vlan20上行帶寬*為2M
qos?car?outbound?acl?3002?cir?2000000?cbs?100000?ebs?0?green?pass?red?discard??//vlan2下行帶寬*為2M
qos?car?outbound?acl?3004?cir?2000000?cbs?100000?ebs?0?green?pass?red?discard??//vlan10下行帶寬*為2M
qos?car?outbound?acl?3006?cir?2000000?cbs?100000?ebs?0?green?pass?red?discard??//vlan20下行帶寬*為2M
可以通過運行display?qos?car?interface命令查看每條限速命令是否已生效
其他應(yīng)用��,需要實際應(yīng)用的時候試試看了��。?
這是幾年前開局時用過的���,現(xiàn)在的交換機軟件版本更新太快,這個做法��,現(xiàn)在已經(jīng)做不出來了。
現(xiàn)在最常用的���,就是在華為X7系列以及X3交換機上做基于IP地址的ACL:
#
?sysname?Quidway
#
?time-range?server1?09:00?to?18:00?working-day
#
acl?number?3001
?rule?1?deny?ip?destination?192.168.2.1?0?time-range?server1
#
interface?GigabitEthernet0/0/1
?traffic-filter?inbound?acl?3001?rule?1
return
剛才找了臺機器試了下�,華在X3�����,X7系列都支持��,在WEB頁面可以配置����。將ACL應(yīng)用到VLAN�����。
請問����,華為2309系列交換機,本身可以對端口限速����,可以基于VLAN限速嗎���,如果可以對VLAN限速,請問配置方式
此交換機不支持acl方式限速�����。
型號太低����。
華為的三層交換機基于ip劃分了兩個vlan,交換機怎么跟路由器相連�,實現(xiàn)通信,求具體配置
你的是單臂路由器���。需要通過配置子接口���。。����。
如果你的交換機是三層的話,直接在交換機上配置VLAN間互訪即可����。
科技
