H3C三层交换网络环境优化之控制访问服务器-ylky

洞庭飞虹---信息化yanglin.blog.chinaunix.net

首页　| 　博文目录　| 　关于我

ylky_2000

博客访问： 3505128
博文数量： 349
博客积分： 5771
博客等级：大校
技术积分： 4193
用户组：普通用户
注册时间： 2009-07-06 11:52

个人简介

文章分类

全部博文（349）

18营销信息化（0）

微信（0）
17benet3.0（3）

linux系统管理（3）
16软件开发（30）

PYTHON学习（2）

简明python教程（8）

安卓开发（1）

零基础学JAVA（1）

php（18）
15管理学习（5）
14英语学习（2）
13技术支持总结（12）
12轻松一刻（3）
11心灵鸡汤（50）

小故事大智慧（4）

他山之石（43）

警示窗（2）
10系统集成（4）
00数据安全（10）
09应用开发（1）
08虚拟化（7）
07windows系统与（19）

酒店管理系统（0）

系统管理（11）

传真服务器（1）

sql数据库（5）

打印服务（2）
06Linux系统和服（38）

mysql数据库（4）

iptables（5）

邮件服务器（1）

web服务器（6）

备份相关（0）

Linux使用技巧和（16）

kingate代理应用（0）

开源软路由器（0）

sarg日志分析（0）

squid代理服务器（2）

NTP时间服务器（0）

samba文件服务器（3）
05网络原理（13）

协议（11）

冗余（1）

nat（0）

voip（1）

vpn（0）
04网络技能（66）

智能手机（7）

网络实战（42）

网络监控与扫描（3）

防火墙（4）

网络电话（0）

vpn组网（4）

路由交换（5）
03网络设备（15）

其他设备（2）

语音设备（1）

居易路由器（1）

华为路由器（6）

华为交换机（4）

cisco防火墙（1）

cisco路由器（0）

cisco交换机（0）
02软件推荐（15）
01机房设计（7）

防静电地板（0）

ups（6）
未分配的博文（49）

文章存档

2019年（2）

2018年（2）

2017年（1）

2016年（2）

2015年（18）

2014年（36）

2013年（69）

2012年（100）

2011年（62）

2010年（57）

我的朋友

最近访客

推荐博文

H3C三层交换网络环境优化之控制访问服务器

分类：

2010-05-10 11:32:55

今天接到任务：
医院电脑部一员工，需要控制他的电脑（192.168.27.236）访问具体的服务器，而工作无关服务器都不开放。
具体ip为：192.168.27.236（安装了一个虚拟机，桥接192.168.27.242）
只开放：192.168.27.11 192.168.1.30 192.168.99.118 192.168.99.136。
步骤如下：
第一步：
为解决问题，先了解网络结构：
医院电脑部
192.168.99.0(集团总部)
|（光纤）
172.18.22.1（三层交换机h3c 5648p）-----172.18.22.2（汇聚三层h3c7506 172.18.22.2）-g1/0/7--192.168.1.241（接入层h3c2126-ei）--e0/7-192.168.99.236
第二步：基本上环境明白了，解决方案就出来了。
1、在二层192.168.1.241的7端口上去掉mac地址学习数为0，并绑定mac，为192.168.27.236的mac地址。
作用：这样他的虚拟机192.168.27.242就用不了拉。。
2、在核心三层172.18.22.1做mac+ip绑定，
作用：这样修改ip也没有用了。。。
3、在汇聚上做acl控制。
先，，定义acl
#
acl number 3236
rule 10 deny ip source 192.168.27.236 0
rule 21 permit ip source 192.168.27.236 0 destination 192.168.27.11 0
rule 22 permit ip source 192.168.27.236 0 destination 192.168.27.12 0
rule 23 permit ip source 192.168.27.236 0 destination 192.168.1.30 0
rule 24 permit ip source 192.168.27.236 0 destination 192.168.99.118 0
rule 25 permit ip source 192.168.27.236 0 destination 192.168.99.99 0
rule 26 permit ip source 192.168.27.236 0 destination 192.168.99.136 0
rule 27 permit ip source 192.168.27.236 0 destination 192.168.99.216 0
rule 28 permit ip source 192.168.27.236 0 destination 192.168.99.25 0

再在端口下应用acl
#
interface GigabitEthernet1/0/7
port link-type trunk
port trunk permit vlan all
flow-control
qos
packet-filter inbound ip-group 3236 rule 10 system-index 1
packet-filter inbound ip-group 3236 rule 21 system-index 2
packet-filter inbound ip-group 3236 rule 22 system-index 3
packet-filter inbound ip-group 3236 rule 23 system-index 4
packet-filter inbound ip-group 3236 rule 24 system-index 5
packet-filter inbound ip-group 3236 rule 25 system-index 6
packet-filter inbound ip-group 3236 rule 26 system-index 7
packet-filter inbound ip-group 3236 rule 27 system-index 8
packet-filter inbound ip-group 3236 rule 28 system-index 9

这里切记，两天acl匹配顺序问题。。。
经过测试，ok。。。

另外一个方案是用基于mac地址的访问控制列表来做。
其实大同小异。
acl number 4001
rule 0 permit source 00e0-910b-e5af ffff-ffff-ffff dest 0016-d4b8-3eda ffff-ffff-ffff
rule 1 deny source 00e0-910b-e5af ffff-ffff-ffff
rule 2 permit source 00e0-4cc0-d46c ffff-ffff-ffff dest 0040-0511-25dc ffff-ffff-ffff
rule 3 deny source 00e0-4cc0-d46c ffff-ffff-ffff
rule 4 deny source 0016-d4b8-3eda ffff-ffff-ffff
rule 5 permit source 0016-d4b8-3eda ffff-ffff-ffff dest 000f-e227-47b6 ffff-ffff-ffff
rule 6 permit source 0016-d4b8-3eda ffff-ffff-ffff dest 00e0-910b-e5af ffff-ffff-ffff

写在这这里只是，说明一点，12个f表示一台主机。

阅读(3319) | 评论(0) | 转发(0) |

上一篇：网络命令net之net use应用

下一篇：基于Linux的中小企业应用解决方案

给主人留下些什么吧！~~

感谢所有关心和支持过ChinaUnix的朋友们

16024965号-6