设为首页收藏本站
开启辅助访问
限制某IP或用户在访问特定其他主机或服务器 您所在的位置:网站首页 g0与g00 限制某IP或用户在访问特定其他主机或服务器

限制某IP或用户在访问特定其他主机或服务器

2023-05-22 03:46| 来源: 网络整理| 查看: 265

 网络环境互联采用ISIS 示例,

目标效果:1、PC2(192.168.21.2)无法访问PC4(172.16.34.4).访问其他正常

路由器互联接口配置

AR1:接口直接贴出配置结果

interface GigabitEthernet0/0/0 ip address 192.168.12.1 255.255.255.0 # interface GigabitEthernet0/0/1 ip address 192.168.11.2 255.255.255.0 # interface GigabitEthernet0/0/2 ip address 192.168.21.1 255.255.255.0

AR2:接口直接贴出配置结果

interface GigabitEthernet0/0/0 ip address 192.168.12.2 255.255.255.0 # interface GigabitEthernet0/0/1 ip address 10.1.23.2 255.255.255.0 #

AR3:接口直接贴出配置结果

interface GigabitEthernet0/0/0 ip address 172.16.33.1 255.255.255.0 # interface GigabitEthernet0/0/1 ip address 10.1.23.3 255.255.255.0 # interface GigabitEthernet0/0/2 ip address 172.16.34.1 255.255.255.0 配置ISIS协议,各接口互联互通

AR1:

[ar1]isis 10

[ar1-isis-10]network-entity 49.0001.0000.0000.0001.00 [ar1-isis-10]int g0/0/0 [ar1-GigabitEthernet0/0/0]isis enable 10 [ar1-GigabitEthernet0/0/0]int g0/0/1  [ar1-GigabitEthernet0/0/1]isis enable 10 [ar1-GigabitEthernet0/0/1]int g0/0/2 [ar1-GigabitEthernet0/0/2]isis enable 10

AR2:

[ar2]ISIS 10 [ar2-isis-10]network-entity 49.0001.0000.0000.0002.00 [ar2-isis-10]INT G0/0/0 [ar2-GigabitEthernet0/0/0]isis enable 10 [ar2-GigabitEthernet0/0/0]int g0/0/1 [ar2-GigabitEthernet0/0/1]isis enable 10

ar3:

[ar3]isis 10  [ar3-isis-10]network-entity 49.0001.0000.0000.0003.00 [ar3-isis-10]int g0/0/0  [ar3-GigabitEthernet0/0/0]isis enable 10 [ar3-GigabitEthernet0/0/0]int g0/0/1 [ar3-GigabitEthernet0/0/1]isis enable 10 [ar3-GigabitEthernet0/0/1]int g0/0/2 [ar3-GigabitEthernet0/0/2]isis enable 10

网络通断测试

 如下图:PC2能Pping通PC4

创建流策略

创建ACL匹配流

[ar1]acl 3001  #创建高级ACL  [ar1-acl-adv-3001]rule 5 deny ip source 192.168.21.2 0 destination 172.16.34.4 0  #匹配从PC2到PC4 的主机流量。

创建流分类 [ar1]traffic classifier zhuzige-ceshi  #创建流分类模板 [ar1-classifier-zhuzige-ceshi]if-match acl 3001 #定义符合ACL3001的流

[ar1-classifier-zhuzige-ceshi]quit

创建流行为 [ar1]traffic behavior zhuzige-ceshi-deny #创建流行为模板 [ar1-behavior-zhuzige-ceshi-deny]deny #创建流行文动作 [ar1-behavior-zhuzige-ceshi-deny]quit

创建流策略

[ar1]traffic policy ceshi-deny  #创建流策略模板 [ar1-trafficpolicy-ceshi-deny]classifier zhuzige-ceshi behavior zhuzige-ceshi-deny #引用流分类和流行为模板 [ar1-trafficpolicy-ceshi-deny]quit  

接口下引用流策略

[ar1]interface GigabitEthernet 0/0/2       #进入PC2对应连接接口 [ar1-GigabitEthernet0/0/2]traffic-policy ceshi-deny inbound    #在入方向引用流策略。

测试通断情况

PC2ping PC4截图

PC2ping PC3正常。

检查流量策略匹配情况

做完发现没进行流量统计。因此在流行为添加了流行为统计。

具体添加方法:

[ar1]traffic behavior zhuzige-ceshi-deny  [ar1-behavior-zhuzige-ceshi-deny]statistic enable  #使能流统计功能

流统计验证结果如下:

验证命令:

[ar1]display traffic policy statistics interface GigabitEthernet 0/0/2 inbound verbose rule-base

 验证截图:

我总共PING了2次,统计拒绝10次包。 

扩展功能

ACL 还可以添加限制时间。有兴趣的可以试试。这个我没验证结果

[ar1]time-range ceshi from 11:30 2024/5/10 to 16:30 2024/5/17 

[ar1]acl 3001 [ar1-acl-adv-3001]

[ar1-acl-adv-3001]rule 10 deny ip source 192.168.21.2 0 destination 172.16.34.4 0 time-range ceshi 



【本文地址】

公司简介

联系我们

今日新闻

    推荐新闻

    专题文章
      CopyRight 2018-2019 实验室设备网 版权所有