搜索 收起
您的位置 首页 > 数码极客

【终端服务器】自动接收IP地址的终端如何限制对服务器特定服务的访问?

luda 发布于 2022-10-20 阅读()

1、实验背景。

企业中办公室用户终端的IP地址大部分通过DHCP动态分发。由于IP地址不固定,无法解析终端的IP地址,因此如何限制终端设备访问服务器上的指定端口是一个难题。现在让我解释一下如何通过实验解决这些问题。

2、实验拓扑结构和IP地址规划

如下图所示,两个办公PC1和PC2属于同一个LAN,如果在交换机SW1上打开DHCP,则会为PC分配地址。R1是路由器用来隔离办公区和服务器区的双层广播,即办公电脑和服务器位于不同网段的广播。

实验结果:PC1和PC2通过DHCP获取地址后可以ping服务器的IP地址,但只有PC2可以访问服务器的telnet服务,PC1不能访问服务器的telnet服务。

实验拓扑

IP地址计划

IP地址计划

3、设备IP相关配置信息。

PC1:

//配置接口自动获取IP地址和手动指定MAC地址,从0001-0001-0001开始便于基于MAC的访问控制

接口千兆以太网0/0

Ip address dhcp-alloc

Mac-address 0001-0001-0001

PC2:

//自动获取配置接口IP地址并手动将MAC地址指定为0002-0002-0002

接口千兆以太网0/0

Ip address dhcp-alloc

Mac-address 0002-0002-0002

服务器:

//接口IP地址和网关配置

接口千兆以太网0/1

IP address 192 . 168 . 2 . 100 255 . 255 . 255 . 0

I proute-static 0 . 0 . 0 . 0 0 . 0 . 0 . 0 192 . 168 . 2 . 1

SW1:

//VLAN接口配置IP地址

接口Vlan-接口1

IP address 192 . 168 . 1 . 254 255 . 255 . 255 . 0

//配置DHCP服务并分配192.168.1.0/24节的地址

Dhcp enable

Dhcp服务器ip-pool office

网关-列表192.168.1.1

network 192 . 168 . 1 . 0 mask 255 . 255 . 255 . 0

//配置网关R1的默认路径

I proute-static 0 . 0 . 0 . 0 0 . 0 . 0 . 0 192 . 168 . 1 . 1

R1:

//配置接口IP地址

接口千兆以太网0/0

IP address 192 . 168 . 1 . 1 255 . 255 . 255 . 0

接口千兆以太网0/1

IP address 192 . 168 . 2 . 1 255 . 255 . 255 . 0

//打开telnet功能,将登录密码配置为123,以测试后续访问限制

Telnet server enable

明细行vty 0 63

Authentication-mode password

set authentic ation password simple 123

互操作性测试:

PC1可以与Server ping通信

PC1 ping Server

PC1可以访问服务器上的telnet服务

PC1服务器telnet服务访问

PC2可以与Server ping通信

pc2 ping服务器

PC2可以访问服务器上的telnet服务

PC2服务器telnet服务访问

4、PC1访问限制

PC1的MAC地址已设置为0001-0001-0001。PC1终端通过DHCP自动获取IP地址,因此PC1的IP地址未知,只能知道终端的网卡MAC地址。

R1:

//创建与大象地址为Server地址端口号为telnet的tcp23端口相匹配的访问控制列表3000

Acl高级3000

rule 0 permit TCP destination 192 . 168 . 2 . 100 0 destination-port eq telnet

//生成与访问控制列表3000和PC1的源MAC地址(0001-0001-0001)相匹配的流量分类PC1

traffic classifier pc1 operator and

if-match source-MAC 0001-0001-0001

If-match ACL 3000

//创建执行任务access-deny,拒绝任务

Traffic behavior access-deny

Filter deny

//流量分类创建与PC1上的流量相匹配的QOS策略R1qos,以执行access-deny拒绝行为

Qos策略r1qos

classifier pc1 behavior access-deny

//接口调用QOS策略R1qos

接口千兆以太网0/0

Qos apply policy R1qos inbound

互操作性测试:

此时,PC1仍可以与Server ping通信

PC1 ping Server

但是,PC1不能再访问服务器上的telnet服务

PC1服务器telnet服务访问

访问PC2 ping服务器和服务器的telnet服务不受影响。

pc2 ping服务器

PC2服务器telnet服务访问

此时,终端使用DHCP自动获取地址,并完成对非固定IP地址终端的访问控制实验。

以上内容总结了本人掌握的知识,创作的原创文章,希望对大家的学习过程有帮助。如果有技术上的理解错误,希望能得到大家的纠正。希望大家一起学习,共同发展。(大卫亚设,北方专家)

第一条,欢迎私信交流,学习更多网络技术!

标签: 终端服务器
点赞( ())

关于作者: luda

无忧经验小编鲁达,内容侵删请Email至wohenlihai#qq.com(#改为@)

热门推荐

1怎么聊不显得主动,又能拨动对方的心?

点赞( 0 ) 阅读(336)

2【amd核显性能排行】全球显卡排名:AMD第一、英特尔第二、NV第三

点赞( 0 ) 阅读(163)

3【重玩放大缩小最佳全屏】windows小技巧,系统玩游戏不能全屏解决办法!

点赞( 0 ) 阅读(30)

4[手机ip地址是固定的吗]手机ip地址可以改吗

点赞( 0 ) 阅读(26)

5【lol官方解说名单】2019LPL全明星:Cat获奖2019最佳新晋解说,国号最佳新秀。

点赞( 0 ) 阅读(16)

6【6700显卡】AMD 6700 XT显卡首发评测:性能炸裂,2K游戏无压力

点赞( 0 ) 阅读(15)