你好:

     感谢你访问我的 Blog ,本博客只提供博主的技术经验分享,你可以在此做简单的留言和评论,我会抽空回复你;若是要深入交流探讨,请联系QQ:47853253或者加QQ群:12012081


 

金燕子网吧和天意网吧合并网络施工技术文档以及ipsec服务启动报:1747

取消端口保护:no switchport protected

天意与金燕子网吧合并最后无误的操作:
路由有两个内网网卡:192.168.1.254    192.168.2.1
外网1金燕子:222.219.183.a    外网2:192.168.3.254       外网2 的下一跳是个普通路由:192.168.3.1   天意网吧IP:222.219.183.b
金燕子收银:192.168.1.253     192.168.2.253    网关:192.168.2.1:双IP配置,与两台核心的网关不在一个段,实现三层隔离。
删除IPX协议,但保留Microsoft网络客户端 。用ARP或IP安全策略阻止其与其它两个收银和天意核心机通信。
天意网吧收银:192.168.1.144   192.168.2.144    网关:192.168.2.1:双IP配置,与两台核心的网关不在一个段,实现三层隔离。
删除IPX协议,但保留Microsoft网络客户端,用ARP或IP安全策略阻止其与其它两个收银和金燕子核心机通信。
临时卡收银:192.168.1.177
删除IPX协议,但保留Microsoft网络客户端 。用ARP或IP安全策略阻止其与其它两个收银和核心机通信。  
金燕子网吧核心:192.168.1.250    192.168.1.200    网关:192.168.1.254    接交换机9号端口
将9号端口加入端口保护:Ruijie(config-if-GigabitEthernet 0/9)#switchport protected
天意网吧核心:192.168.1.198    192.168.1.199  网关:192.168.1.254      接交换机7号端口
将7号端口加入端口保护:Ruijie(config-if-GigabitEthernet 0/7)#switchport protected
配置ACL-20:
配置标准IP列表,规则:禁止   列表ID:20  指定IP地址:192.168.1.200
配置标准IP列表,规则:禁止   列表ID:20  指定IP地址:192.168.1.250
配置标准IP列表,规则:允许   列表ID:20  指定IP地址:任意
将ACL  ID:20   应用于端口7   过滤方向:in  
配置ACL-30:
配置标准IP列表,规则:禁止   列表ID:30  指定IP地址:192.168.1.199
配置标准IP列表,规则:禁止   列表ID:30  指定IP地址:192.168.1.198
配置标准IP列表,规则:允许   列表ID:30  指定IP地址:任意
将ACL    ID:30应用于端口9   过滤方向:in


端口隔离:

目的就是1   2 号接口不能与47   48号接口通信,但1   2   47   48  端口必须都能与3-46端口互通。
锐捷下的3种方法实现端口1  2与端口47  48隔离:
1.划分vlan离二层广播域:
如果您划分了vlan,内网是三层环境,需要设置相应的路由,vlan要配置ip作为用户的网关。
一个access口只能属于一个vlan,但trunk口,可以允许多个vlan的报文通过。也就是:
1    2 号接口属于ACCESS接口划分给vlan10
47  48 号接口属于ACCESS接口划分给vlan20
3---46 号接口属于trunk口   公共接口。

2.同一个vlan,可以可以设置端口保护来实现二层隔离:
Ruijie(config-if-GigabitEthernet 0/7)#switchport protected           ------>接口开启端口保护
Ruijie(config-if-GigabitEthernet 0/9)#switchport protected


3.如果要隔离三层,可以使用acl过滤禁止网段互访.
配置IP  的ACL  然后,应用于某端口。如:
假设:核心1:192.168.1.250   接交换机端口1
      核心2:192.168.1.199   接交换机端口2
那配置ACL-10: 规则:禁止   IP:192.168.1.250    规则:允许  IP:任意
      ACL-11: 规则:禁止   IP:192.168.1.199     规则:允许  IP:任意
然后将ACL-10应用于端口2   过滤方向In和out同时
    将ACL-11应用于端口1     过滤方向In和out同时


即:禁止端口1上的核心1与IP:192.168.1.199通信
    禁止端口2上的核心2与IP:192.168.1.250通信.
以上配置不行。参考以下:
您设置一个acl deny host 192。168.1.199  host 192.168.1.250 然后在接口7或是9下调用,in方向.
最后要设置permit ip any nay 。不然会阻断所有的.
您使用端口保护的:protected-ports route-deny 这个可以使用么
是不是199的那条应用于接口9下,250那条应用于接口7下
在一个接口调用就可以了
我刚才199的那条应用于接口9下,250那条应用于接口7下 就不通了
数据是有去有回的,来回的源和目的就会变动,所以您在一个接口调用就可以了
一条acl 然后设置两IP192.168.1.199   192.168.1.250  只在接口7调用就好了?
是的
acl的最后一条一定要是permit any any 不然正常的数据也会被阻断的.
好的,我观察一下。。。现在在用端口保护,不行就用acl
端口保护可以使用protected-ports route-deny  这个命令。
最后:
配置ACL-20:
IP:192.168.1.250  192.168.1.200
禁止
后面接一条:
IP:任意
允许
不然所有数据都无法通过。

——————————————————————————————
最后正确的ACL配置如下:
7号端口接天意网吧核心,天意网吧核心为:192.168.1.199    192.168.1.198
9号端口接金燕子网吧核心,金燕子网吧核心为:192.168.1.200    192.168.1.250
配置ACL-20:
配置标准IP列表,规则:禁止   列表ID:20  指定IP地址:192.168.1.200
配置标准IP列表,规则:禁止   列表ID:20  指定IP地址:192.168.1.250
配置标准IP列表,规则:允许   列表ID:20  指定IP地址:任意
将ACL  ID:20   应用于端口7   过滤方向:in  
配置ACL-30:
配置标准IP列表,规则:禁止   列表ID:30  指定IP地址:192.168.1.199
配置标准IP列表,规则:禁止   列表ID:30  指定IP地址:192.168.1.198
配置标准IP列表,规则:允许   列表ID:30  指定IP地址:任意
将ACL    ID:30应用于端口9   过滤方向:in
还可以再加上:
配置ACL-40:
配置扩展IP访问列表,规则:禁止   列表ID:40  源IP地址:192.168.1.199    192.168.1.198    目标IP地址:192.168.1.200  192.168.1.250
配置扩展IP访问列表,规则:允许   列表ID:40  源IP地址:任意  目标IP地址:任意
将ACL  ID:40   应用于端口7   过滤方向:out  
配置ACL-50:
配置扩展IP访问列表,规则:禁止   列表ID:50  源IP地址:192.168.1.250    192.168.1.200    目标IP地址:192.168.1.199  192.168.1.198
配置扩展IP访问列表,规则:允许   列表ID:50  源IP地址:任意  目标IP地址:任意
将ACL  ID:50   应用于端口9   过滤方向:out  

—————————————————————————————————————

TG-NET:
因为按照国际理论来说,一个端口不能属于多个vlan''  您要划分vlan'的话,只能通过广播域来通信 ,会对内网速度造成影响。
建议你使用端口隔离的功能,吧12和47.48勾上  这样4个口之间都隔离了
高级配置-端口隔离


以下是介绍本公司S2100全千兆环路监测安全型这款交换机端口隔离功能的灵活配置

端口隔离是为了实现报文之间的二层隔离,可以将不同的端口加入不同的VLAN,但会浪费有限的VLAN资源。采用端口隔离特性,可以实现同一VLAN内端口之间的隔离。用户只需要将端口加入到隔离组中,就可以实现隔离组内端口之间二层数据的隔离。端口隔离功能为用户提供了更安全、更灵活的组网方案。

进入交换机Web界面(默认IP:192.168.255.1  用户名密码admin/admin)依次点击左侧功能菜单【高级配置】-->【端口隔离】
具体造作如下:设置2个环境,已S2100-24G交换机为例,24为上行端口;
        环境1:所有非上行端口(1-23端口)相互间隔离,每个端口只和上行端口通讯;
        环境2:端口3只和端口5、端口6以及上行端口24通讯;端口4只和端口5、端口6以及上行端口24通讯;


优酷链接:http://v.youku.com/v_show/id_XNDc4NDAzODUy.html


内网双万象OL监测到另一台服务器:
1.万象OL可以 不仅可以通过IP进行检测另一台万象OL服务端,还可以通过计算机名检测到另一台。
2.而计算机名检测使用的ipx【NetBIOS】协议。
3.所以,我们可以将网卡协议中只保留Microsoft 网络客户端和TCP/IP协议,其它删除。保留Microsoft 网络客户端是为了能使ipsec服务能正常使用。
4.如果ipsec服务失效请重新安装Microsoft 网络客户端。还是不行报:错误1747:未知的验证服务---修复Winsock:开始>运行 输入:CMD 在窗口中输入:netsh winsock reset
5.如果IPSEC还是启动不了,那就做arp绑定一个空地址来达到效果吧:
  @echo off
  cd /d d:
  arp -s 核心机1IP 00-00-00-00-00-00
  arp -s 收银机1IP 00-00-00-00-00-00
  arp -s 收银机3IP 00-00-00-00-00-00
  exit
6.双电信光纤固定IP【同一个下一跳地址】接入一个锐捷路由设置IP时提示冲突,只能再加一个路由,然后如下:
锐捷路由:lan0:192.168.1.254  wan4:222.219.183.a----光纤收发器1
          lan1:192.168.2.1    wan3:192.168.3.254-----另一个路由:192.168.3.1----222.219.183.b——光纤收发器2
核心机2:192.168.2.199  网关:192.168.2.1    锐捷路由中做策略:192.168.2.199走wan3,下一跳:192.168.3.1
收银机2:192.168.2.145  网关:192.168.2.1    锐捷路由中做策略:192.168.2.199走wan3,下一跳:192.168.3.1     添加双IP:另一IP:192.168.1.144  负责与客户机通信【客户机在1.x段】
         做策略与核心机1和收银机1不能通信。
核心机1:不变 。
收银机1:不变。做策略与核心机2和收银机2不能通信。
7.这样一来,本来以为两台核心不在同一网段,不会监测到双核心了,但不幸的是,还是监测双核心了,难道核心没有工作在IP层?通过中心交换机上划分vlan能解决?要通过物理隔绝?最终如下:
锐捷路由:lan0:192.168.1.254  wan4:222.219.183.a----光纤收发器1
                              wan3:192.168.3.254-----另一个路由:192.168.3.1----222.219.183.b——光纤收发器2
核心机2:192.168.3.199——另一个路由:192.168.3.1 让核心机直接接到另一个路由上。达到物理隔离。控制台上添加管理机:192.168.3.254和192.168.1.144.
收银机2:192.168.1.144  网关:192.168.1.254    锐捷路由中做策略:192.168.1.144走wan3,下一跳:192.168.3.1  做策略与核心机1和收银机1不能通信。
核心机1:不变 。
收银机1:不变。做策略与核心机2和收银机2不能通信。

[本日志由 lq3447 于 2016-03-09 03:46 PM 编辑]
文章来自: 本站原创
引用通告: 查看所有引用 | 我要引用此文章
Tags:
评论: 0 | 引用: 0 | 查看次数: 364
发表评论
你没有权限发表留言!