旧有2条外网接入:分别运行着2个不同的网络平台,现需实现2个网络平台的访问
日期:2014-05-16 浏览次数:21007 次
现有2条外网接入:分别运行着2个不同的网络平台,现需实现2个网络平台的访问?
求帮帮啊! 公司现有2条外网接入:联通和电信,分别运行着2个不同的平台;现需实现2个网络平台的访问?
联通网络接入到防火墙再到华为5700交换机,交换机下面连接了pc server、web server、DB server,使用的是172.16.100.X / 255.255.255.0网段的IP;电信网络接入到华为9303核心交换机,9303交换机下面又挂2个华为的2300交换机(a交换机是连到a服务器和a网络的,网段192.168.0.X / 255.255.0.0;b交换机是连到b服务器和b网络的,网段192.168.0.X / 255.255.255.0)
要求:联通网络下面的pc server、web server 需要访问 电信网络的a网络的a服务器和b网络的b服务器,而电信网络是不能访问联通网络的。开通ICMP、1433端口
问题:请问需要在联通网络上的交换机做什么配置?ACL如何做?请说详细点!最好有配置文件~!谢谢!!!
------解决方案--------------------
看看你防火墙有没有端口,把9303核心也接一条线到防火墙上,防火墙上两台核心做一个透明域,再做访问策略
这样比你在交换机上设置ACL方便多了
------解决方案--------------------
物理上是把电信网络的9303和联通网络的防火墙用网线连接,然后再 在防火墙上做一个透明域?
 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
1、是的,前提是你防火墙有没有接口(最好咨询下厂家,说明你的需求)
核心交换机9303不用做配置吗
 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
2、一般是两端核心新增一个管理VLAN,然后两边核心添加路由到对方,
能不能这样实行,还要看你目前5700核心与防火墙的配置,如果目前的防火墙与5700配置已经不能更改,那就回到原点,考虑9303与5700的连接用直接,不经过防火墙了,然后如前面1一样,再做ACL
做高级ACL
假设:
pc server:172.16.100.10
web server:172.16.100.11
a服务器:192.168.0.30
b服务器:192.168.0.31
在5700上
[5700] acl number 3000
[5700-acl-adv-3000]
rule 1 permit tcp source 172.16.100.10 0.0.0.0 destination 192.168.0.30 0.0.0.0 destination-port eq 1433
rule 2 permit tcp source 172.16.100.10 0.0.0.0 destination 192.168.0.31 0.0.0.0 destination-port eq 1433
rule 3 permit tcp source 172.16.100.11 0.0.0.0 destination 192.168.0.30 0.0.0.0 destination-port eq 1433
rule 4 permit tcp source 172.16.100.11 0.0.0.0 destination 192.168.0.31 0.0.0.0 destination-port eq 1433
rule 5 permit icmp destination 192.168.0.30 0.0.0.0
rule 6 permit icmp destination 192.168.0.31 0.0.0.0
rule 7 deny ip source 172.16.100.0 0.0.0.255 destination 192.168.0.0 0.0.255.255
然后在新增的管理VLAN下应用这个ACL3000
而9303上就做一条,禁止所有192.168.0.0往172.16.0.0的ACL就好了,参考5700的第7条
ACL的语法,具体的楼主自己看看各核心的命令案例
求帮帮啊! 公司现有2条外网接入:联通和电信,分别运行着2个不同的平台;现需实现2个网络平台的访问?
联通网络接入到防火墙再到华为5700交换机,交换机下面连接了pc server、web server、DB server,使用的是172.16.100.X / 255.255.255.0网段的IP;电信网络接入到华为9303核心交换机,9303交换机下面又挂2个华为的2300交换机(a交换机是连到a服务器和a网络的,网段192.168.0.X / 255.255.0.0;b交换机是连到b服务器和b网络的,网段192.168.0.X / 255.255.255.0)
要求:联通网络下面的pc server、web server 需要访问 电信网络的a网络的a服务器和b网络的b服务器,而电信网络是不能访问联通网络的。开通ICMP、1433端口
问题:请问需要在联通网络上的交换机做什么配置?ACL如何做?请说详细点!最好有配置文件~!谢谢!!!
------解决方案--------------------
看看你防火墙有没有端口,把9303核心也接一条线到防火墙上,防火墙上两台核心做一个透明域,再做访问策略
这样比你在交换机上设置ACL方便多了
------解决方案--------------------
物理上是把电信网络的9303和联通网络的防火墙用网线连接,然后再 在防火墙上做一个透明域?
 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
1、是的,前提是你防火墙有没有接口(最好咨询下厂家,说明你的需求)
核心交换机9303不用做配置吗
 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
2、一般是两端核心新增一个管理VLAN,然后两边核心添加路由到对方,
能不能这样实行,还要看你目前5700核心与防火墙的配置,如果目前的防火墙与5700配置已经不能更改,那就回到原点,考虑9303与5700的连接用直接,不经过防火墙了,然后如前面1一样,再做ACL
做高级ACL
假设:
pc server:172.16.100.10
web server:172.16.100.11
a服务器:192.168.0.30
b服务器:192.168.0.31
在5700上
[5700] acl number 3000
[5700-acl-adv-3000]
rule 1 permit tcp source 172.16.100.10 0.0.0.0 destination 192.168.0.30 0.0.0.0 destination-port eq 1433
rule 2 permit tcp source 172.16.100.10 0.0.0.0 destination 192.168.0.31 0.0.0.0 destination-port eq 1433
rule 3 permit tcp source 172.16.100.11 0.0.0.0 destination 192.168.0.30 0.0.0.0 destination-port eq 1433
rule 4 permit tcp source 172.16.100.11 0.0.0.0 destination 192.168.0.31 0.0.0.0 destination-port eq 1433
rule 5 permit icmp destination 192.168.0.30 0.0.0.0
rule 6 permit icmp destination 192.168.0.31 0.0.0.0
rule 7 deny ip source 172.16.100.0 0.0.0.255 destination 192.168.0.0 0.0.255.255
然后在新增的管理VLAN下应用这个ACL3000
而9303上就做一条,禁止所有192.168.0.0往172.16.0.0的ACL就好了,参考5700的第7条
ACL的语法,具体的楼主自己看看各核心的命令案例
免责声明: 本文仅代表作者个人观点,与爱易网无关。其原创性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
