限制某网段IP访问

有时工作需要，需要限制某些网段的IP访问。

以下操作在telnet上进行，基于hc交换机。

1. 需要被限制范文的设备是连接在203.2.1.1的交换机上，首先需要连接交换机，
   telnet 连接 203.2.1.1 或者 203.1.1.1 密码 xxxxxx

   Password:
   <L3>
   <L3>system-view
   System View: return to User View with Ctrl+Z.
   [L3]
   

2. 查看ACL，当前测试使用的是203.1.2网段，对应的acl规则号是3512

   [L3]acl number 3512
   [L3-acl-adv-3512]
   

3. 查看3512下的所有rule规则

   [L3-acl-adv-3512]di this
   #
   acl number 3512rule 1 permit ip source 203.2.1.66 0rule 2 permit ip source 203.2.1.48 0rule 3 permit ip source 203.2.1.18 0rule 4 permit ip source 203.2.1.36 0rule 5 permit ip source 203.2.1.46 0rule 6 permit ip source 203.2.1.50 0rule 7 permit ip source 203.2.1.47 0rule 100 deny ip source 209.0.0.0 0.255.255.255rule 101 deny ip source 203.2.0.0 0.0.255.255rule 102 deny ip source 203.1.1.0 0.0.0.255rule 103 deny ip source 203.1.7.0 0.0.0.255
   

   rule后面的数字表示优先级，数字越小优先级越高。所以如果需要在某被限制的网段中添加白名单，需要将白名单IP的rule优先级，设置地比当前限制网段的rule优先级高。

   拿 rule 1 permit ip source 203.2.1.66 0 来看，这里的IP地址后面的0是通配符掩码，0代表，0.0.0.0，意味着这只允许一个IP地址 203.2.1.66 访问，换成其他如 203.2.1.67 就不可以了；假如需要1-254 都可以访问，那么后面的通配符就要变成，0.0.0.255，即比如 rule 1 permit ip source 203.2.1.47 0.0.0.255，0代表精确匹配，255代表模糊匹配。

4. 退出当前状态

   [L3-acl-adv-3501]qu
   [L3]qu
   <L3>
   

5. 添加限制规则

   rule 100 deny ip source 209.0.0.0 0.255.255.255  # 限制209网段的所有设备访问203.2.1.x
   rule 101 deny ip source 203.2.0.0 0.0.255.255  # 限制203.2.x.x网段设备访问203.2.1.x
   rule 102 deny ip source 203.1.1.0 0.0.0.255  # 限制203.1.1.x网段设备访问203.2.1.x
   

6. 添加白名单

    rule 1 permit ip source 203.2.1.66 0  # 允许203.2.1.66地址访问203.2.1.x
   

7. 删除规则

   undo rule 1 # 删除规则1
   undo rule 100 # 删除规则100
   

   使用 undo rule n 来删除配置的规则，n为优先级数字。

   ---

   以下操作很少用：

8. 查看当前交换机中wlan的所有acl： di cur

   [L3]di cur
   #version 5.20, Release 1211P03
   #sysname L3
   #clock timezone GTS-8 add 08:00:00
   #ftp server enable
   #irf mac-address persistent timerirf auto-update enableundo irf link-delay
   #domain default enable system
   #ipv6ipv6 unreachables enable
   #telnet server enable
   #acl logging frequence 1440
   #multicast routing-enable
   #
   acl number 2501   # 这些就是想要查看的acl number
   #
   acl number 3000
   acl number 3001
   acl number 3014
   acl number 3015
   acl number 3500description For_Vlan3011rule 1 permit ip source 203.2.1.101 0rule 2 permit ip source 203.5.1.239 0rule 3 permit ip source 203.2.1.245 0
   

9. 配置acl

   # 接着上一步，选取di cur后的打印信息中的部分
   interface Vlan-interface3014description PktFlt outb for Filtering packets from outside Vlan3014ipv6 address 2001:0:0:104::1/64ip address 203.1.4.1 255.255.255.0igmp enablepim smpacket-filter 3501 outbound   # 可以看到这个网段已经配置了acl规则，number为3501
   #
   interface Vlan-interface3015ip address 203.1.5.1 255.255.255.0  # 可以看到这个网段没有配置acl规则 pim sm
   #            # 准备给 203.1.5.1 255.255.255.0 配置acl
   [L3]interface Vlan-interface3015
   [L3-Vlan-interface3015]packet-filter 3515 outbound  # 选择一个不存在的acl数字，这里面number=3515
   [L3-Vlan-interface3015]di this
   #
   interface Vlan-interface3015ip address 203.1.5.1 255.255.255.0pim smpacket-filter 3515 outbound
   #
   return
   [L3-Vlan-interface3015]
   

基于华三交换机，限制其他网段的IP访问相关推荐

1. 广播风暴之华三交换机默认VLAN IP冲突

   事件概述 因最初配置时,留下了一个小隐患,致使后面出现本次事件,事件经过如下: 内网突发丢包率极为严重,应该当即排查交换机是否环路,导致广播风暴,排查后发现有台交换机确实存在环路,先处理环路问题,完了 ...

2. 华三交换机端口镜像抓包实战

   目录 1.端口镜像的使用场景 2.华三交换机配置端口镜像(web + 命令行) 3.wireshark分析配置端口镜像前后抓包的数据区别 1.端口镜像的使用场景 端口镜像(Mirror Port)功能 ...

3. 华三交换机vlan配置和telnet配置

   华三交换机vlan配置和telnet配置 一.华三交换机vlan配置 (一).组网需求: 需要创建 Super VLAN 10和Sub VLAN:VLAN2.VLAN3,端口1和端口2属于VLAN2, ...

4. 华三交换机配置access命令_华三交换机配置vlan命令教程

   华三交换机配置vlan命令教程 [H3C]vlan 2 [H3C]undo vlan all 删除除缺省VLAN外的所有VLAN,缺省VLAN不能被删除 [H3C-vlan2]port Etherne ...

5. 华为/华三交换机配置SSH免密登录

   数据通信 - 建设篇 第二章 华为/华三交换机配置SSH免密登录 数据通信 - 建设篇 系列文章回顾 下章内容 华为/华三交换机配置SSH免密登录 背景介绍 实施步骤 堡垒机Linux后台使用ssh- ...

6. 查看华三交换机设备信息命令

   查看华三交换机设备信息命令 查看设备命令帮助 display device manuinfo命令用来显示设备的电子标签信息<H3C>dis device manuinfoSlot 1 CP ...

7. 华三交换机IRF堆叠配置及MAD配置

   华三交换机IRF堆叠配置及MAD配置 1.主机 2.备机 3.MAD检测(使用BFD方式) 1.主机 irf member 1 priority 32 //将主机IRF优先级调高,指定该台设备为主机 ...

8. 华三交换机irf 堆叠配置_交换机的堆叠配置

   交换机堆叠技术 交换机堆叠,通俗讲就是将多台交换机"合体",堆叠后的交换机从逻辑上可视作一台交换机.目前各大网络厂商分别拥有各自的交换机堆叠技术,比如华为的iStack(Intel ...

9. 华三交换机检查命令行

   华三交换机检查命令行 1.华三交换机检查命令行 1.华三交换机检查命令行 user-interface vty 0 4 screen-length 0 quit display version dis ...

10. 华三交换机开启telnet ssh https登陆方式

    华三交换机开启telnet ssh https登陆方式 1.开启telnet,ssh,https登陆方式 [H3C]telent service enable [H3C]ssh service ena ...

最新文章

1. 使用Python中的卷积神经网络进行恶意软件检测
2. 书单 | 春日必读书，少看一本都是遗憾
3. java udp 服务器_Java UDP 服务器与客户端的问题
4. gitattributes手册
5. oracle 与sql serve 获取随机行数的数据
6. 计算机存储器可分两类,计算机存储器可分为几类？它们的主要区别是什么？
7. HTTP 200 OK和HTTP 304 Not modified的由来
8. 整合营销推广该如何做？
9. 马云：用 10% 大脑创造出来的机器不可能毁灭人类
10. [Ubuntu18.04]美化
11. 东方木分享：如何快速的安装网吧系统
12. openwrt安装aliddns使用阿里云ddns
13. QQ微派狼人杀经典秘籍进阶篇
14. 如何将一个HTML页面嵌套在另一个页面中
15. Markdownpad2下载
16. bootstrap-table实现表格编辑
17. Win11用户名和密码备份方法
18. 实用又救急！快速恢复误删文件！
19. 新版本MySQL的安装教程，非免安装版本。超详细！！！
20. mysql font for linux_Navicat for MySQL与MySQL-Front比较 [图文]

热门文章

1. 深度学习-梯度爆炸原因分析、调试记录与解决方案（loss突然变为nan）
2. 19|雨季来临，聊些轻松的吧
3. 【虚拟机装黑苹果(第一弹)】DiskMaker X制作macOS Mojave 10.14.x的U盘启动盘
4. 学习嵌入式怎么入门和提高？嵌入式开发教程pdf
5. vim 配置(ma6174 + YCM)
6. Gitlab配置ssh key
7. linux tcp调优
8. T156基于51单片机LCD12864指针时钟Proteus设计、keil程序、c语言、源码、ds1302，电子时钟,62256
9. 企业微信 手机 接收的文件 存放路径
10. android apk u盘升级_android升级安装包--包解析错误