基于华三交换机,限制其他网段的IP访问
限制某网段IP访问
有时工作需要,需要限制某些网段的IP访问。
以下操作在telnet上进行,基于hc交换机。
需要被限制范文的设备是连接在203.2.1.1的交换机上,首先需要连接交换机,
telnet 连接 203.2.1.1 或者 203.1.1.1 密码 xxxxxxPassword: <L3> <L3>system-view System View: return to User View with Ctrl+Z. [L3]
查看ACL,当前测试使用的是203.1.2网段,对应的acl规则号是3512
[L3]acl number 3512 [L3-acl-adv-3512]
查看3512下的所有rule规则
[L3-acl-adv-3512]di this # acl number 3512rule 1 permit ip source 203.2.1.66 0rule 2 permit ip source 203.2.1.48 0rule 3 permit ip source 203.2.1.18 0rule 4 permit ip source 203.2.1.36 0rule 5 permit ip source 203.2.1.46 0rule 6 permit ip source 203.2.1.50 0rule 7 permit ip source 203.2.1.47 0rule 100 deny ip source 209.0.0.0 0.255.255.255rule 101 deny ip source 203.2.0.0 0.0.255.255rule 102 deny ip source 203.1.1.0 0.0.0.255rule 103 deny ip source 203.1.7.0 0.0.0.255
rule后面的数字表示优先级,数字越小优先级越高。所以如果需要在某被限制的网段中添加白名单,需要将白名单IP的rule优先级,设置地比当前限制网段的rule优先级高。
拿
rule 1 permit ip source 203.2.1.66 0
来看,这里的IP地址后面的0是通配符掩码,0代表,0.0.0.0,意味着这只允许一个IP地址 203.2.1.66 访问,换成其他如 203.2.1.67 就不可以了;假如需要1-254 都可以访问,那么后面的通配符就要变成,0.0.0.255,即比如rule 1 permit ip source 203.2.1.47 0.0.0.255
,0代表精确匹配,255代表模糊匹配。退出当前状态
[L3-acl-adv-3501]qu [L3]qu <L3>
添加限制规则
rule 100 deny ip source 209.0.0.0 0.255.255.255 # 限制209网段的所有设备访问203.2.1.x rule 101 deny ip source 203.2.0.0 0.0.255.255 # 限制203.2.x.x网段设备访问203.2.1.x rule 102 deny ip source 203.1.1.0 0.0.0.255 # 限制203.1.1.x网段设备访问203.2.1.x
添加白名单
rule 1 permit ip source 203.2.1.66 0 # 允许203.2.1.66地址访问203.2.1.x
删除规则
undo rule 1 # 删除规则1 undo rule 100 # 删除规则100
使用
undo rule n
来删除配置的规则,n为优先级数字。
以下操作很少用:
查看当前交换机中wlan的所有acl:
di cur
[L3]di cur #version 5.20, Release 1211P03 #sysname L3 #clock timezone GTS-8 add 08:00:00 #ftp server enable #irf mac-address persistent timerirf auto-update enableundo irf link-delay #domain default enable system #ipv6ipv6 unreachables enable #telnet server enable #acl logging frequence 1440 #multicast routing-enable # acl number 2501 # 这些就是想要查看的acl number # acl number 3000 acl number 3001 acl number 3014 acl number 3015 acl number 3500description For_Vlan3011rule 1 permit ip source 203.2.1.101 0rule 2 permit ip source 203.5.1.239 0rule 3 permit ip source 203.2.1.245 0
配置acl
# 接着上一步,选取di cur后的打印信息中的部分 interface Vlan-interface3014description PktFlt outb for Filtering packets from outside Vlan3014ipv6 address 2001:0:0:104::1/64ip address 203.1.4.1 255.255.255.0igmp enablepim smpacket-filter 3501 outbound # 可以看到这个网段已经配置了acl规则,number为3501 # interface Vlan-interface3015ip address 203.1.5.1 255.255.255.0 # 可以看到这个网段没有配置acl规则 pim sm # # 准备给 203.1.5.1 255.255.255.0 配置acl [L3]interface Vlan-interface3015 [L3-Vlan-interface3015]packet-filter 3515 outbound # 选择一个不存在的acl数字,这里面number=3515 [L3-Vlan-interface3015]di this # interface Vlan-interface3015ip address 203.1.5.1 255.255.255.0pim smpacket-filter 3515 outbound # return [L3-Vlan-interface3015]
基于华三交换机,限制其他网段的IP访问相关推荐
- 广播风暴之华三交换机默认VLAN IP冲突
事件概述 因最初配置时,留下了一个小隐患,致使后面出现本次事件,事件经过如下: 内网突发丢包率极为严重,应该当即排查交换机是否环路,导致广播风暴,排查后发现有台交换机确实存在环路,先处理环路问题,完了 ...
- 华三交换机端口镜像抓包实战
目录 1.端口镜像的使用场景 2.华三交换机配置端口镜像(web + 命令行) 3.wireshark分析配置端口镜像前后抓包的数据区别 1.端口镜像的使用场景 端口镜像(Mirror Port)功能 ...
- 华三交换机vlan配置和telnet配置
华三交换机vlan配置和telnet配置 一.华三交换机vlan配置 (一).组网需求: 需要创建 Super VLAN 10和Sub VLAN:VLAN2.VLAN3,端口1和端口2属于VLAN2, ...
- 华三交换机配置access命令_华三交换机配置vlan命令教程
华三交换机配置vlan命令教程 [H3C]vlan 2 [H3C]undo vlan all 删除除缺省VLAN外的所有VLAN,缺省VLAN不能被删除 [H3C-vlan2]port Etherne ...
- 华为/华三交换机配置SSH免密登录
数据通信 - 建设篇 第二章 华为/华三交换机配置SSH免密登录 数据通信 - 建设篇 系列文章回顾 下章内容 华为/华三交换机配置SSH免密登录 背景介绍 实施步骤 堡垒机Linux后台使用ssh- ...
- 查看华三交换机设备信息命令
查看华三交换机设备信息命令 查看设备命令帮助 display device manuinfo命令用来显示设备的电子标签信息<H3C>dis device manuinfoSlot 1 CP ...
- 华三交换机IRF堆叠配置及MAD配置
华三交换机IRF堆叠配置及MAD配置 1.主机 2.备机 3.MAD检测(使用BFD方式) 1.主机 irf member 1 priority 32 //将主机IRF优先级调高,指定该台设备为主机 ...
- 华三交换机irf 堆叠配置_交换机的堆叠配置
交换机堆叠技术 交换机堆叠,通俗讲就是将多台交换机"合体",堆叠后的交换机从逻辑上可视作一台交换机.目前各大网络厂商分别拥有各自的交换机堆叠技术,比如华为的iStack(Intel ...
- 华三交换机检查命令行
华三交换机检查命令行 1.华三交换机检查命令行 1.华三交换机检查命令行 user-interface vty 0 4 screen-length 0 quit display version dis ...
- 华三交换机开启telnet ssh https登陆方式
华三交换机开启telnet ssh https登陆方式 1.开启telnet,ssh,https登陆方式 [H3C]telent service enable [H3C]ssh service ena ...
最新文章
- 使用Python中的卷积神经网络进行恶意软件检测
- 书单 | 春日必读书,少看一本都是遗憾
- java udp 服务器_Java UDP 服务器与客户端的问题
- gitattributes手册
- oracle 与sql serve 获取随机行数的数据
- 计算机存储器可分两类,计算机存储器可分为几类?它们的主要区别是什么?
- HTTP 200 OK和HTTP 304 Not modified的由来
- 整合营销推广该如何做?
- 马云:用 10% 大脑创造出来的机器不可能毁灭人类
- [Ubuntu18.04]美化
- 东方木分享:如何快速的安装网吧系统
- openwrt安装aliddns使用阿里云ddns
- QQ微派狼人杀经典秘籍进阶篇
- 如何将一个HTML页面嵌套在另一个页面中
- Markdownpad2下载
- bootstrap-table实现表格编辑
- Win11用户名和密码备份方法
- 实用又救急!快速恢复误删文件!
- 新版本MySQL的安装教程,非免安装版本。超详细!!!
- mysql font for linux_Navicat for MySQL与MySQL-Front比较 [图文]
热门文章
- 深度学习-梯度爆炸原因分析、调试记录与解决方案(loss突然变为nan)
- 19|雨季来临,聊些轻松的吧
- 【虚拟机装黑苹果(第一弹)】DiskMaker X制作macOS Mojave 10.14.x的U盘启动盘
- 学习嵌入式怎么入门和提高?嵌入式开发教程pdf
- vim 配置(ma6174 + YCM)
- Gitlab配置ssh key
- linux tcp调优
- T156基于51单片机LCD12864指针时钟Proteus设计、keil程序、c语言、源码、ds1302,电子时钟,62256
- 企业微信 手机 接收的文件 存放路径
- android apk u盘升级_android升级安装包--包解析错误