限制某網段IP訪問
有時工作需要,需要限制某些網段的IP訪問。
以下操作在telnet上進行,基於hc交換機。
-
需要被限制範文的設備是連接在203.2.1.1的交換機上,首先需要連接交換機,
telnet 連接 203.2.1.1 或者 203.1.1.1 密碼 xxxxxxPassword: <L3> <L3>system-view System View: return to User View with Ctrl+Z. [L3]
-
查看ACL,當前測試使用的是203.1.2網段,對應的acl規則號是3512
[L3]acl number 3512 [L3-acl-adv-3512]
-
查看3512下的所有rule規則
[L3-acl-adv-3512]di this # acl number 3512 rule 1 permit ip source 203.2.1.66 0 rule 2 permit ip source 203.2.1.48 0 rule 3 permit ip source 203.2.1.18 0 rule 4 permit ip source 203.2.1.36 0 rule 5 permit ip source 203.2.1.46 0 rule 6 permit ip source 203.2.1.50 0 rule 7 permit ip source 203.2.1.47 0 rule 100 deny ip source 209.0.0.0 0.255.255.255 rule 101 deny ip source 203.2.0.0 0.0.255.255 rule 102 deny ip source 203.1.1.0 0.0.0.255 rule 103 deny ip source 203.1.7.0 0.0.0.255
rule後面的數字表示優先級,數字越小優先級越高。所以如果需要在某被限制的網段中添加白名單,需要將白名單IP的rule優先級,設置地比當前限制網段的rule優先級高。
拿
rule 1 permit ip source 203.2.1.66 0
來看,這裏的IP地址後面的0是通配符掩碼,0代表,0.0.0.0,意味着這隻允許一個IP地址 203.2.1.66 訪問,換成其他如 203.2.1.67 就不可以了;假如需要1-254 都可以訪問,那麼後面的通配符就要變成,0.0.0.255,即比如rule 1 permit ip source 203.2.1.47 0.0.0.255
,0代表精確匹配,255代表模糊匹配。 -
退出當前狀態
[L3-acl-adv-3501]qu [L3]qu <L3>
-
添加限制規則
rule 100 deny ip source 209.0.0.0 0.255.255.255 # 限制209網段的所有設備訪問203.2.1.x rule 101 deny ip source 203.2.0.0 0.0.255.255 # 限制203.2.x.x網段設備訪問203.2.1.x rule 102 deny ip source 203.1.1.0 0.0.0.255 # 限制203.1.1.x網段設備訪問203.2.1.x
-
添加白名單
rule 1 permit ip source 203.2.1.66 0 # 允許203.2.1.66地址訪問203.2.1.x
-
刪除規則
undo rule 1 # 刪除規則1 undo rule 100 # 刪除規則100
使用
undo rule n
來刪除配置的規則,n爲優先級數字。
以下操作很少用:
-
查看當前交換機中wlan的所有acl:
di cur
[L3]di cur # version 5.20, Release 1211P03 # sysname L3 # clock timezone GTS-8 add 08:00:00 # ftp server enable # irf mac-address persistent timer irf auto-update enable undo irf link-delay # domain default enable system # ipv6 ipv6 unreachables enable # telnet server enable # acl logging frequence 1440 # multicast routing-enable # acl number 2501 # 這些就是想要查看的acl number # acl number 3000 acl number 3001 acl number 3014 acl number 3015 acl number 3500 description For_Vlan3011 rule 1 permit ip source 203.2.1.101 0 rule 2 permit ip source 203.5.1.239 0 rule 3 permit ip source 203.2.1.245 0
-
配置acl
# 接着上一步,選取di cur後的打印信息中的部分 interface Vlan-interface3014 description PktFlt outb for Filtering packets from outside Vlan3014 ipv6 address 2001:0:0:104::1/64 ip address 203.1.4.1 255.255.255.0 igmp enable pim sm packet-filter 3501 outbound # 可以看到這個網段已經配置了acl規則,number爲3501 # interface Vlan-interface3015 ip address 203.1.5.1 255.255.255.0 # 可以看到這個網段沒有配置acl規則 pim sm # # 準備給 203.1.5.1 255.255.255.0 配置acl [L3]interface Vlan-interface3015 [L3-Vlan-interface3015]packet-filter 3515 outbound # 選擇一個不存在的acl數字,這裏面number=3515 [L3-Vlan-interface3015]di this # interface Vlan-interface3015 ip address 203.1.5.1 255.255.255.0 pim sm packet-filter 3515 outbound # return [L3-Vlan-interface3015]