限制某IP或用户在访问特定其他主机或服务器 | 您所在的位置:网站首页 › g0与g00 › 限制某IP或用户在访问特定其他主机或服务器 |
网络环境互联采用ISIS 示例, 目标效果:1、PC2(192.168.21.2)无法访问PC4(172.16.34.4).访问其他正常 路由器互联接口配置AR1:接口直接贴出配置结果 interface GigabitEthernet0/0/0 ip address 192.168.12.1 255.255.255.0 # interface GigabitEthernet0/0/1 ip address 192.168.11.2 255.255.255.0 # interface GigabitEthernet0/0/2 ip address 192.168.21.1 255.255.255.0AR2:接口直接贴出配置结果 interface GigabitEthernet0/0/0 ip address 192.168.12.2 255.255.255.0 # interface GigabitEthernet0/0/1 ip address 10.1.23.2 255.255.255.0 #AR3:接口直接贴出配置结果 interface GigabitEthernet0/0/0 ip address 172.16.33.1 255.255.255.0 # interface GigabitEthernet0/0/1 ip address 10.1.23.3 255.255.255.0 # interface GigabitEthernet0/0/2 ip address 172.16.34.1 255.255.255.0 配置ISIS协议,各接口互联互通AR1: [ar1]isis 10 [ar1-isis-10]network-entity 49.0001.0000.0000.0001.00 [ar1-isis-10]int g0/0/0 [ar1-GigabitEthernet0/0/0]isis enable 10 [ar1-GigabitEthernet0/0/0]int g0/0/1 [ar1-GigabitEthernet0/0/1]isis enable 10 [ar1-GigabitEthernet0/0/1]int g0/0/2 [ar1-GigabitEthernet0/0/2]isis enable 10 AR2: [ar2]ISIS 10 [ar2-isis-10]network-entity 49.0001.0000.0000.0002.00 [ar2-isis-10]INT G0/0/0 [ar2-GigabitEthernet0/0/0]isis enable 10 [ar2-GigabitEthernet0/0/0]int g0/0/1 [ar2-GigabitEthernet0/0/1]isis enable 10 ar3: [ar3]isis 10 [ar3-isis-10]network-entity 49.0001.0000.0000.0003.00 [ar3-isis-10]int g0/0/0 [ar3-GigabitEthernet0/0/0]isis enable 10 [ar3-GigabitEthernet0/0/0]int g0/0/1 [ar3-GigabitEthernet0/0/1]isis enable 10 [ar3-GigabitEthernet0/0/1]int g0/0/2 [ar3-GigabitEthernet0/0/2]isis enable 10 网络通断测试如下图:PC2能Pping通PC4 创建流策略创建ACL匹配流 [ar1]acl 3001 #创建高级ACL [ar1-acl-adv-3001]rule 5 deny ip source 192.168.21.2 0 destination 172.16.34.4 0 #匹配从PC2到PC4 的主机流量。 创建流分类 [ar1]traffic classifier zhuzige-ceshi #创建流分类模板 [ar1-classifier-zhuzige-ceshi]if-match acl 3001 #定义符合ACL3001的流 [ar1-classifier-zhuzige-ceshi]quit 创建流行为 [ar1]traffic behavior zhuzige-ceshi-deny #创建流行为模板 [ar1-behavior-zhuzige-ceshi-deny]deny #创建流行文动作 [ar1-behavior-zhuzige-ceshi-deny]quit 创建流策略 [ar1]traffic policy ceshi-deny #创建流策略模板 [ar1-trafficpolicy-ceshi-deny]classifier zhuzige-ceshi behavior zhuzige-ceshi-deny #引用流分类和流行为模板 [ar1-trafficpolicy-ceshi-deny]quit 接口下引用流策略[ar1]interface GigabitEthernet 0/0/2 #进入PC2对应连接接口 [ar1-GigabitEthernet0/0/2]traffic-policy ceshi-deny inbound #在入方向引用流策略。 测试通断情况PC2ping PC4截图 PC2ping PC3正常。 检查流量策略匹配情况做完发现没进行流量统计。因此在流行为添加了流行为统计。 具体添加方法: [ar1]traffic behavior zhuzige-ceshi-deny [ar1-behavior-zhuzige-ceshi-deny]statistic enable #使能流统计功能 流统计验证结果如下: 验证命令: [ar1]display traffic policy statistics interface GigabitEthernet 0/0/2 inbound verbose rule-base 验证截图: 我总共PING了2次,统计拒绝10次包。 扩展功能ACL 还可以添加限制时间。有兴趣的可以试试。这个我没验证结果 [ar1]time-range ceshi from 11:30 2024/5/10 to 16:30 2024/5/17 [ar1]acl 3001 [ar1-acl-adv-3001] [ar1-acl-adv-3001]rule 10 deny ip source 192.168.21.2 0 destination 172.16.34.4 0 time-range ceshi |
CopyRight 2018-2019 实验室设备网 版权所有 |