Chinaunix首页 | 论坛 | 博客
  • 博客访问: 3517061
  • 博文数量: 349
  • 博客积分: 5771
  • 博客等级: 大校
  • 技术积分: 4191
  • 用 户 组: 普通用户
  • 注册时间: 2009-07-06 11:52
个人简介

it

文章分类

全部博文(349)

文章存档

2019年(2)

2018年(2)

2017年(1)

2016年(2)

2015年(18)

2014年(36)

2013年(69)

2012年(100)

2011年(62)

2010年(57)

分类:

2010-05-10 11:32:55

今天接到任务:
医院电脑部一员工,需要控制他的电脑(192.168.27.236)访问具体的服务器,而工作无关服务器都不开放。
具体ip为:192.168.27.236(安装了一个虚拟机,桥接192.168.27.242)
只开放:192.168.27.11  192.168.1.30  192.168.99.118 192.168.99.136。
步骤如下:
第一步:
为解决问题,先了解网络结构:
医院电脑部
192.168.99.0(集团总部)
|(光纤)
172.18.22.1(三层交换机h3c 5648p)-----172.18.22.2(汇聚三层h3c7506 172.18.22.2)-g1/0/7--192.168.1.241(接入层h3c2126-ei)--e0/7-192.168.99.236
第二步:基本上环境明白了,解决方案就出来了。
1、在二层192.168.1.241的7端口上去掉mac地址学习数为0,并绑定mac,为192.168.27.236的mac地址。
作用:这样他的虚拟机192.168.27.242就用不了拉。。
2、在核心三层172.18.22.1做mac+ip绑定,
作用:这样修改ip也没有用了。。。
3、在汇聚上做acl控制。
先,,定义acl
#
acl number 3236
 rule 10 deny ip source 192.168.27.236 0
 rule 21 permit ip source 192.168.27.236 0 destination 192.168.27.11 0
 rule 22 permit ip source 192.168.27.236 0 destination 192.168.27.12 0
 rule 23 permit ip source 192.168.27.236 0 destination 192.168.1.30 0
 rule 24 permit ip source 192.168.27.236 0 destination 192.168.99.118 0
 rule 25 permit ip source 192.168.27.236 0 destination 192.168.99.99 0
 rule 26 permit ip source 192.168.27.236 0 destination 192.168.99.136 0
 rule 27 permit ip source 192.168.27.236 0 destination 192.168.99.216 0
 rule 28 permit ip source 192.168.27.236 0 destination 192.168.99.25 0

再在端口下应用acl
#
interface GigabitEthernet1/0/7
 port link-type trunk
 port trunk permit vlan all
 flow-control
 qos
 packet-filter inbound ip-group 3236 rule 10 system-index 1
 packet-filter inbound ip-group 3236 rule 21 system-index 2
 packet-filter inbound ip-group 3236 rule 22 system-index 3
 packet-filter inbound ip-group 3236 rule 23 system-index 4
 packet-filter inbound ip-group 3236 rule 24 system-index 5
 packet-filter inbound ip-group 3236 rule 25 system-index 6
 packet-filter inbound ip-group 3236 rule 26 system-index 7
 packet-filter inbound ip-group 3236 rule 27 system-index 8
 packet-filter inbound ip-group 3236 rule 28 system-index 9

这里切记,两天acl匹配顺序问题。。。
经过测试,ok。。。

另外一个方案是用基于mac地址的访问控制列表来做。
其实大同小异。
acl number 4001
 rule 0 permit source 00e0-910b-e5af ffff-ffff-ffff dest 0016-d4b8-3eda ffff-ffff-ffff
 rule 1 deny source 00e0-910b-e5af ffff-ffff-ffff
 rule 2 permit source 00e0-4cc0-d46c ffff-ffff-ffff dest 0040-0511-25dc ffff-ffff-ffff
 rule 3 deny source 00e0-4cc0-d46c ffff-ffff-ffff
 rule 4 deny source 0016-d4b8-3eda ffff-ffff-ffff
 rule 5 permit source 0016-d4b8-3eda ffff-ffff-ffff dest 000f-e227-47b6 ffff-ffff-ffff
 rule 6 permit source 0016-d4b8-3eda ffff-ffff-ffff dest 00e0-910b-e5af ffff-ffff-ffff

写在这这里只是,说明一点,12个f表示一台主机。



   


阅读(3328) | 评论(0) | 转发(0) |
给主人留下些什么吧!~~