博威---云架构决胜云计算

 找回密码
 注册

QQ登录

只需一步,快速开始

搜索
查看: 1963|回复: 3

为3928P-EI-VLAN划分

[复制链接]
发表于 2008-1-9 14:58:36 | 显示全部楼层 |阅读模式
--------------------------------------------------------------------------------
下面是3928p上VLAN的需求:
Vlan 11      10.1.109.0/26     1--62        192   63
Vlan 2        10.1.109.64/26    65--126      192   63
Vlan 3        10.1.109.128/27   129--158     224   31
Vlan 4        10.1.109.160/27   161--190     224   31
Vlan 5        10.1.109.192/27   193--222     224   31
Vlan 6        10.1.109.224/27   225--254     224   31
Vlan 7        10.1.110.0/24     1--254       0     255
Vlan 8        10.1.111.0/25     1--126       128   127
Vlan 9        10.1.111.128/26   129--190     192   63
Vlan 10       10.1.111.192/26   193--254     192   63

vlan11 只能被vlan4访问
vlan2 除vlan4可以访问整个vlan2以外,其他vlan只能访问其中的10.1.109.126
vlan3 可以被vlan4---vlan9访问,但vlan10只能访问其中的10.1.109.130
vlan4 所有vlan都不能访问此vlan,但vlan4可以访问所有vlan(vlan1---vlan10)
vlan5 可以被vlan4和vlan9访问,但其他vlan不能访问次vlan
vlan6 只能访问vlan2中的10.1.109.126和vlan3
vlan7 vlan4可以访问此vlan,vlan5只能访问其中的10.1.110.12,此vlan可以访问vlan2中的10.1.109.126和vlan3
vlan8 只能访问vlan2中的10.1.109.126和vlan3
vlan9 只能访问vlan2中的10.1.109.126和vlan3、vlan5、vlan7中的10.1.110.12、vlan8
vlan10 只能访问vlan2中的10.1.109.126和vlan3中的10.1.109.130提供的DHCP服务
 楼主| 发表于 2008-1-9 14:59:14 | 显示全部楼层
下面是我根据上面的需求写的规则,仅供参考.
VLAN1:只能被VLAN4访问
Rule 0 deny tcp est source 10.1.109.0 0.0.0.63 destination 10.1.109.160 0.0.0.31
Rule 1 deny icmp source 10.1.109.0 0.0.0.63 destination 10.1.109.160 0.0.0.31 icmp-type echo
Rule 2 deny ip
Rule 3 permit ip source 10.1.109.160 0.0.0.31 destination 10.1.109.0 0.0.0.63
Rule 4 permit ip source 10.1.109.0 0.0.0.63 destination 10.1.109.120 0
Rule 5 permit ip source 10.1.109.0 0.0.0.63 destination 10.1.109.0 0.0.0.63
VLAN2除VLAN4可以访问外,其他的VLAN只能访问其中的10.1.109.126
Rule 0 deny tcp established source 10.1.109.64 0.0.0.63 destination 10.1.109.160 0.0.0.31
Rule 1 deny icmp source 10.1.109.64 0.0.0.63 destination 10.1.109.160 0.0.0.31 icmp-type echo
Rule 2 deny ip
Rule 3 permit ip source 10.1.109.160 0.0.0.31 destination 10.1.109.64 0.0.0.63
Rule 4 permit ip source any destination 10.1.109.126 0
Rule 5 permit ip source 10.1.109.64 0.0.0.63 destination 10.1.109.64 0.0.0.63
VLAN3:可以被VLAN(4―9)访问,但VLAN10只能访问其中的10.1.109.130
Rule 0 deny tcp established source 10.1.109.128 0.0.0.31 destination 10.1.109.160 0.0.0.31
Rule 1 deny icmp source 10.1.109.128 0.0.0.31 destination 10.1.109.160 0.0.0.31 icmp-type echo
Rule 2 deny tcp est source 10.1.109.128 0.0.0.31 destination 10.1.109.192 0.0.0.31
Rule 3 deny icmp source 10.1.109.128 0.0.0.31 destination 10.1.109.192 0.0.0.31 icmp-type echo
Rule 4 deny tcp est source 10.1.109.128 0.0.0.31 destination 10.1.109.224 0.0.0.31
Rule 5 deny icmp source 10.1.109.128 0.0.0.31 destination 10.1.109.224 0.0.0.31 icmp-type echo
Rule 6 deny tcp est source 10.1.109.128 0.0.0.31 destination 10.1.110.0 0.0.0.255
Rule 7 deny icmp source 10.1.109.128 0.0.0.31 destination 10.1.110.0 0.0.0.255 icmp-type echo
Rule 8 deny tcp est source 10.1.109.128 0.0.0.31 destination 10.1.111.0 0.0.0.127
Rule 9 deny icmp source 10.1.109.128 0.0.0.31 destination 10.1.111.0 0.0.0.127 icmp-type echo
Rule 10 deny tcp est source 10.1.109.128 0.0.0.31 destination 10.1.111.192 0.0.0.63
Rule 11 deny icmp source 10.1.109.128 0.0.0.31 destination 10.1.111.192 0.0.0.63 icmp-type echo
VLAN4:所有VLAN都不可以访问,但它可以访问其他的所有VLAN.
规则都在其他的VLAN上定义啦.
VLAN5:可以被VLAN4和VLAN9访问,但其他VLAN不能访问此VLAN.
Rule 0 deny tcp est source 10.1.109.192 0.0.0.31 destination 10.1.109.160 0.0.031
Rule 1 deny icmp source 10.1.109.192 0.0.0.31 destination 10.1.109.160 0.0.0.31 icmp-type echo
Rule 2 deny tcp est source 10.1.109.192 0.0.0.31 destination 10.1.111.128 0.0.0.63
Rule 3 deny icmp source 10.1.109.192 0.0.0.31 destination 10.1.111.128 0.0.0.63 icmp-type echo
Rule 4 deny ip
Rule 5 permit ip source 10.1.109.160 0.0.0.31 destination 10.1.109.192 0.0.0.31
Rule 6 permit ip source 10.1.111.128 0.0.0.63 destination 10.1.109.192 0.0.0.31
Rule 7 permit ip source 10.1.109.192 0.0.0.31 destination 10.1.109.120 0
Rule 8 permit ip source 10.1.109.192 0.0.0.31 destination 10.1.110.12 0
Rule 9 permit ip source 10.1.109.192 0.0.0.31 destination 10.1.109.192 0.0.0.31
VLAN6:只能访问VLAN2中的10.1.109.126和VLAN3
Rule 0 tcp est source 10.1.109.224 0.0.0.31 destination 10.1.109.160 0.0.0.31
Rule 1 icmp source 10.1.109.224 0.0.0.31 destination 10.1.109.160 0.0.0.31 icmp-type echo
Rule 2 deny ip
Rule 3 permit ip source 10.1.109.160 0.0.0.31 destination 10.1.109.224 0.0.0.31
Rule 4 permit ip source 10.1.109.224 0.0.0.31 destination 10.1.109.128 0.0.031
Rule 5 permit ip source 10.1.109.224 0.0.0.31 destination 10.1.109.126 0
Rule 6 permit ip source 10.1.109.224 0.0.0.31 destination 10.1.109.224 0.0.0.31



VLAN7:VLAN4可以访问此VLAN,VLAN5只可以访问其中的10.1.110.12,此VLAN可以访问VLAN2中的10.1.109.126和VLAN3
Rule 0 deny tcp est source 10.1.110.0 0.0.0.255 destination 10.1.109.160 0.0.0.31
Rule 1 deny icmp source 10.1.110.0 0.0.0.255 destination 10.1.109.160 0.0.0.31 icmp-type echo
VLAN8:只能访问VLAN2中的10.1.109.126和VLAN3
Rule 0 deny tcp est source 10.1.111.0 0.0.0.127 destination 10.1.109.160 0.0.0.31
Rule 1 deny icmp source 10.1.111.0 0.0.0.127 destination 10.1.109.160 0.0.0.31 icmp-type echo
Rule 2 deny tcp est source 10.1.111.0 0.0.0.127 destination 10.1.111.128 0.0.0.63
Rule 3 deny icmp source 10.1.111.0 0.0.0.127 destination 10.1.111.128 0.0.0.63 icmp-type echo
Rule 4 deny ip
Rule 5 permit ip source 10.1.109.160 0.0.0.31 deatination 10.1.111.0 0.0.0.127
Rule 5 permit ip source 10.1.111.0 0.0.0.127 destination 10.1.109.128 0.0.0.31
Rule 6 permit ip source 10.1.111.0 0.0.0.127 destination 10.1.109.126 0
Rule 7 permit ip source 10.1.111.0 0.0.0.127 destination 10.1.111.0 0.0.0.127
VLAN9:只能访问VLAN2中的10.1.109.126和VLAN3,VLAN5,VLAN7中的10.1.110.12,还有VLAN8
Rule 0 deny tcp est source 10.1.111.128 0.0.0.63 destination 10.1.109.160 0.0.0.31
Rule 1 deny icmp source 10.1.111.128 0.0.0.63 destination 10.1.109.160 0.0.0.31 icmp-type echo
Rule 2 deny ip
Rule 3 permit ip source 10.1.109.160 0.0.0.31 destination 10.1.111.128 0.0.0.63
Rule 4 permit ip source 10.1.111.128 0.0.0.63 destination 10.1.109.128 0.0.0.31
Rule 5 permit ip source 10.1.111.128 0.0.0.63 destination 10.1.109.192 0.0.0.31
Rule 6 permit ip source 10.1.111.128 0.0.0.63 destination 10.1.111.0 0.0.0.127
Rule 7 permit ip source 10.1.111.128 0.0.0.63 destination 10.1.109.126 0
Rule 8 permit ip source 10.1.111.128 0.0.0.63 destination 10.1.110.12 0
Rule 9 permit ip source 10.1.111.128 0.0.0.63 destination 10.1.111.128 0.0.0.63
VLAN10:只能访问VLAN2中的10.1.109.126和VLAN3中的10.1.109.130提供的DHCP服务
Rule 0 deny tcp est source 10.1.111.192 0.0.0.63 destination 10.1.109.160 0.0.0.31
Rule 1 deny icmp source 10.1.111.192 0.0.0.63 destination 10.1.109.160 0.0.0.31 icmp-type echo
Rule 2 deny ip
Rule 3 permit ip source 10.1.109.160 0.0.0.31 destination 10.1.111.192 0.0.0.63
Rule 4 permit ip source 10.1.111.192 0.0.0.63 destination 10.1.109.126 0
Rule 5 permit ip source 10.1.111.192 0.0.0.63 destination 10.1.109.130 0
Rule 6 permit ip source 10.1.111.192 0.0.0.63 destination 10.1.111.192 0.0.0.63
 楼主| 发表于 2008-1-10 08:05:08 | 显示全部楼层




产品参数:
Quidway S3928P-EI以太网交换机主机,24个10/100Base-T,4个千兆SFP上行口,交直流双路供电

功能介绍:
产品概述

Quidway S3900系列智能弹性以太网交换机(以下简称S3900)是华为公司为设计和构建高弹性、高智能网络需求而推出的新一代以太网交换机产品。系统采用华为公司创新的IRF(Intelligent Resilient Framework,智能弹性架构)技术,将多台分散的设备组成统一的交换矩阵,非常适合作为关注扩展性、可靠性、安全性和易管理性的办公网、业务网和驻地网的汇聚和接入层交换机。

S3900系列智能弹性交换机目前包含型号为:S3928P-SI 、S3928TP-SI、、S3928P-EI、S3928F-EI、S3928P-PWR-EI、S3952P-SI、S3952P-EI、S3952P-PWR-EI。

S3900系列交换机提供标准型(SI)和增强型(EI)两种产品版本,标准型支持二层和基本的三层功能、提供部分的IRF功能(分布设备管理和基本的分布冗余路由)。增强型支持复杂的路由协议和丰富的业务特性,支持全部的IRF功能(分布设备管理、分布冗余路由和分布链路聚合)。

产品特点

IRF智能弹性架构技术
S3900系列交换机支持华为创新的IRF(Intelligent Resilient Framework)技术,能够实现用户网络的高度弹性智能扩展。利用IRF技术,用户可以将多台设备连接起来组成一个联合设备(Fabric),并将这些设备看作单一设备进行管理和使用,降低了管理成本,同时实现按需购买、平滑扩容,在网络升级时最大限度地保护已有投资。

IRF(Intelligent Resilient Framework)技术包括三个方面:DDM、DRR和DLA。

DDM(分布设备管理):在外界看来,整个Fabric是一台整体设备。用户可以通过Console、SNMP、Telnet、WEB等多种方式来管理整个Fabric。
DRR(分布冗余路由):Fabric的多个设备在外界看来是一台单独的三层交换机。整个Fabric将作为一台设备进行路由功能和二三层转发功能。单播路由协议和组播路由协议分布式运行并完全支持热备份,在某一个设备发生故障时,路由协议和数据转发都不会中断。
DLA(分布链路聚合):支持跨设备的链路聚合,可以在设备之间进行链路的负载分担和互为备份。
POE(Power over Ethernet)远程供电特性
S3900系列交换机(PWR型号)支持PoE(Power Over Ethernet),即可通过双绞线向远端下挂PD设备(如IP Phone、WLAN AP、Security、Bluetooth AP等)提供-48V直流电源,实现对下挂PD设备远端供电。作为供电方PSE(Power Sourcing Equipment)设备,支持IEEE802.3af线路供电标准,同时也可以兼容不符合802.3af标准的PD(Powered Device)设备。交换机远端供电时每个以太网口向下挂设备提供的最大功率分别为12.5W(使用交流电源)和15.4W(使用直流电源)。

通过支持POE和Voice VLAN技术,S3900系列交换机能够提供完美的数据和语音融合解决方案。

大容量全线速的多层交换
S3900系列交换机具有19.2G的交换容量,支持所有端口线速转发。系统能够提供4个GE,有效解决了在单台设备上多条千兆链路上行,同时接入千兆服务器的需求,极大的节省了用户对设备的投资。硬件支持二/三层线速交换,能够识别、处理四到七层的应用业务流,所有端口都具有单独的数据包过滤、区分不同应用流,并根据不同的流进行不同的管理和控制。

支持丰富的接入形式,百兆可以提供24电口/24光口/48电口三种方式。满足各种形式接入组网的需求。

完备的安全控制策略
S3900系列交换机基于最长匹配的路由策略。系统采用逐包转发方式,保证了所有报文均获得相同的转发性能,对“红码病毒”和“冲击波病毒”的攻击具有天生的防御能力,有效保证了设备安全。

支持集中式MAC地址认证和802.1x认证。在用户接入网络时完成必要的身份认证,还可以通过灵活的MAC、IP、VLAN、PORT任意组合绑定,有效的防止非法用户访问网络。

支持DUD(Disconnect Unauthorised Device)认证,通过MAC地址学习数目限制和MAC地址与端口绑定实现。支持用户分级管理和口令保护,支持MAC地址学习数目限制、MAC地址与端口绑定、端口隔离、MAC地址黑洞;支持防止DoS攻击功能。

支持QoS Profile功能。和802.1x认证功能相结合,可以动态的为通过认证的用户提供预先配置的一套QoS功能。用户在经过802.1x认证后,交换机根据AAA服务器上配置的用户名和Profile的对应关系,将相应的Profile动态的下发到用户登录的端口上,为该用户提供量身定做的一系列服务质量保证。

支持SSH特性。用户通过一个不能保证安全的网络环境远程登录到以太网交换机时,可以提供安全的信息保障和强大的认证功能,以保护交换机不受诸如IP地址欺诈、明文密码截取等等攻击。

高可靠性
S3900系列交换机采用IRF技术组网后,能够在整个堆叠组内实现控制平面和数据平面所有信息的冗余备份,极大的增强了设备和网络的可靠性,消除了单点故障,避免了业务中断。

同时S3900系列交换机不仅支持STP/RSTP生成树协议,还提供了基于多VLAN的生成树MSTP,极大提高了链路的冗余备份,提高容错能力,保证网络的稳定运行。  

支持VRRP虚拟路由冗余协议,与其他三层交换机构建VRRP备份组。构建故障时的冗余路由拓朴结构,保持通讯的连续性和可靠性,有效保障网络稳定。

支持在设备上配置多条等价路由的方式实现上行路由的冗余备份,当主上行路由发生故障时自动切换到下一条备份路由,实现上行路由的多级备份。

首次实现交流/直流双输入,设备既可以采用交流电源输入,也可以直流电源输入,二者之间热备份。

丰富的QOS策略
S3900系列交换机支持基于源MAC地址、目的MAC地址、源IP地址、目的IP地址、端口、协议的L2~L7复杂流分类;支持1K个流规则。

提供灵活的队列调度算法,可以同时基于端口和队列进行设置,支持SP(Strict Priority)、WRR(Weighted Round Robin)、WFQ(Weighted Fair Queue)、SP+WRR、SP+WFQ五种模式;支持8个优先级队列,2个丢弃优先级;支持WRED拥塞避免算法。

支持CAR(Committed Access Rate)功能,可以实现基于端口和基于流的速率限制,限制的粒度可以精确至64Kbps,为网络带宽的精细化管理提供了手段。

多样的管理方式
S3900系列交换机支持SNMP V1/V2/V3,可支持Open View等通用网管平台,以及iManager® 网管系统。支持CLI命令行,Web网管,TELNET,HGMP集群管理,使设备管理更方便。通过各种开放的标准MIB和扩展MIB的支持可以提供完善的基于SNMP的第三方管理能力。
 楼主| 发表于 2008-1-10 18:58:03 | 显示全部楼层
您需要登录后才可以回帖 登录 | 注册

本版积分规则

小黑屋|手机版|Archiver|boway Inc. ( 冀ICP备10011147号 )

GMT+8, 2024-11-28 01:32 , Processed in 0.088500 second(s), 17 queries .

Powered by Discuz! X3.4

Copyright © 2001-2021, Tencent Cloud.

快速回复 返回顶部 返回列表