日期:2014-05-16  浏览次数:21022 次

现有2条外网接入:分别运行着2个不同的网络平台,现需实现2个网络平台的访问?
求帮帮啊! 公司现有2条外网接入:联通和电信,分别运行着2个不同的平台;现需实现2个网络平台的访问?

联通网络接入到防火墙再到华为5700交换机,交换机下面连接了pc server、web server、DB server,使用的是172.16.100.X / 255.255.255.0网段的IP;电信网络接入到华为9303核心交换机,9303交换机下面又挂2个华为的2300交换机(a交换机是连到a服务器和a网络的,网段192.168.0.X / 255.255.0.0;b交换机是连到b服务器和b网络的,网段192.168.0.X / 255.255.255.0)

要求:联通网络下面的pc server、web server 需要访问 电信网络的a网络的a服务器和b网络的b服务器,而电信网络是不能访问联通网络的。开通ICMP、1433端口

问题:请问需要在联通网络上的交换机做什么配置?ACL如何做?请说详细点!最好有配置文件~!谢谢!!!

------解决方案--------------------
看看你防火墙有没有端口,把9303核心也接一条线到防火墙上,防火墙上两台核心做一个透明域,再做访问策略

这样比你在交换机上设置ACL方便多了
------解决方案--------------------
物理上是把电信网络的9303和联通网络的防火墙用网线连接,然后再  在防火墙上做一个透明域?
 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
1、是的,前提是你防火墙有没有接口(最好咨询下厂家,说明你的需求)

核心交换机9303不用做配置吗
 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
2、一般是两端核心新增一个管理VLAN,然后两边核心添加路由到对方,

能不能这样实行,还要看你目前5700核心与防火墙的配置,如果目前的防火墙与5700配置已经不能更改,那就回到原点,考虑9303与5700的连接用直接,不经过防火墙了,然后如前面1一样,再做ACL


做高级ACL

假设:
pc server:172.16.100.10
web server:172.16.100.11

a服务器:192.168.0.30
b服务器:192.168.0.31

在5700上
[5700] acl number 3000
[5700-acl-adv-3000]
rule 1 permit tcp source 172.16.100.10 0.0.0.0 destination 192.168.0.30 0.0.0.0 destination-port eq 1433
rule 2 permit tcp source 172.16.100.10 0.0.0.0 destination 192.168.0.31 0.0.0.0 destination-port eq 1433
rule 3 permit tcp source 172.16.100.11 0.0.0.0 destination 192.168.0.30 0.0.0.0 destination-port eq 1433
rule 4 permit tcp source 172.16.100.11 0.0.0.0 destination 192.168.0.31 0.0.0.0 destination-port eq 1433

rule 5 permit icmp destination 192.168.0.30 0.0.0.0
rule 6 permit icmp destination 192.168.0.31 0.0.0.0

rule 7 deny ip source 172.16.100.0 0.0.0.255 destination 192.168.0.0 0.0.255.255

然后在新增的管理VLAN下应用这个ACL3000

而9303上就做一条,禁止所有192.168.0.0往172.16.0.0的ACL就好了,参考5700的第7条


ACL的语法,具体的楼主自己看看各核心的命令案例