今天接到任务:
医院电脑部一员工,需要控制他的电脑(192.168.27.236)访问具体的服务器,而工作无关服务器都不开放。
具体ip为:192.168.27.236(安装了一个虚拟机,桥接192.168.27.242)
只开放:192.168.27.11 192.168.1.30 192.168.99.118 192.168.99.136。
步骤如下:
第一步:
为解决问题,先了解网络结构:
医院电脑部
192.168.99.0(集团总部)
|(光纤)
172.18.22.1(三层交换机h3c 5648p)-----172.18.22.2(汇聚三层h3c7506 172.18.22.2)-g1/0/7--192.168.1.241(接入层h3c2126-ei)--e0/7-192.168.99.236
第二步:基本上环境明白了,解决方案就出来了。
1、在二层192.168.1.241的7端口上去掉mac地址学习数为0,并绑定mac,为192.168.27.236的mac地址。
作用:这样他的虚拟机192.168.27.242就用不了拉。。
2、在核心三层172.18.22.1做mac+ip绑定,
作用:这样修改ip也没有用了。。。
3、在汇聚上做acl控制。
先,,定义acl
#
acl number 3236
rule 10 deny ip source 192.168.27.236 0
rule 21 permit ip source 192.168.27.236 0 destination 192.168.27.11 0
rule 22 permit ip source 192.168.27.236 0 destination 192.168.27.12 0
rule 23 permit ip source 192.168.27.236 0 destination 192.168.1.30 0
rule 24 permit ip source 192.168.27.236 0 destination 192.168.99.118 0
rule 25 permit ip source 192.168.27.236 0 destination 192.168.99.99 0
rule 26 permit ip source 192.168.27.236 0 destination 192.168.99.136 0
rule 27 permit ip source 192.168.27.236 0 destination 192.168.99.216 0
rule 28 permit ip source 192.168.27.236 0 destination 192.168.99.25 0
再在端口下应用acl
#
interface GigabitEthernet1/0/7
port link-type trunk
port trunk permit vlan all
flow-control
qos
packet-filter inbound ip-group 3236 rule 10 system-index 1
packet-filter inbound ip-group 3236 rule 21 system-index 2
packet-filter inbound ip-group 3236 rule 22 system-index 3
packet-filter inbound ip-group 3236 rule 23 system-index 4
packet-filter inbound ip-group 3236 rule 24 system-index 5
packet-filter inbound ip-group 3236 rule 25 system-index 6
packet-filter inbound ip-group 3236 rule 26 system-index 7
packet-filter inbound ip-group 3236 rule 27 system-index 8
packet-filter inbound ip-group 3236 rule 28 system-index 9
这里切记,两天acl匹配顺序问题。。。
经过测试,ok。。。
另外一个方案是用基于mac地址的访问控制列表来做。
其实大同小异。
acl number 4001
rule 0 permit source 00e0-910b-e5af ffff-ffff-ffff dest 0016-d4b8-3eda ffff-ffff-ffff
rule 1 deny source 00e0-910b-e5af ffff-ffff-ffff
rule 2 permit source 00e0-4cc0-d46c ffff-ffff-ffff dest 0040-0511-25dc ffff-ffff-ffff
rule 3 deny source 00e0-4cc0-d46c ffff-ffff-ffff
rule 4 deny source 0016-d4b8-3eda ffff-ffff-ffff
rule 5 permit source 0016-d4b8-3eda ffff-ffff-ffff dest 000f-e227-47b6 ffff-ffff-ffff
rule 6 permit source 0016-d4b8-3eda ffff-ffff-ffff dest 00e0-910b-e5af ffff-ffff-ffff
写在这这里只是,说明一点,12个f表示一台主机。
阅读(3328) | 评论(0) | 转发(0) |