鲁达 1、实验背景。
企业中办公室用户终端的IP地址大部分通过DHCP动态分发。
由于IP地址不固定,无法确定终端的IP地址,如何限制某台终端设备不能访问某台服务器的指定端口就成为一个难题。下面我们通过一个实验来讲述如何解决此类问题。2、 实验拓扑及IP地址规划
如下图所示,有两台办公电脑PC1和PC2属于同一个局域网,在交换机SW1上开启DHCP,PC均由其分配地址。R1为路由器用来隔离办公区域和服务器区域的二层广播,即办公电脑与服务器在不同网段。
实验效果:PC1与PC2通过DHCP获取地址后均能够ping通Server的IP地址,但只有PC2能够访问Server上的telnet服务,PC1不可访问Server的telnet服务。
实验拓扑
IP地址规划
IP地址规划
3、 设备IP相关配置信息
PC1:
//配置接口IP地址自动获取和mac地址手动指定为0001-0001-0001方便后续做基于mac的访问控制
interface GigabitEthernet0/0
ip address dhcp-alloc
mac-address 0001-0001-0001
PC2:
//配置接口IP地址自动获取和mac地址手动指定为0002-0002-0002
interface GigabitEthernet0/0
ip address dhcp-alloc
mac-address 0002-0002-0002
Server:
//配置接口IP地址及网关
interface GigabitEthernet0/1
ip address 192.168.2.100 255.255.255.0
ip route-static 0.0.0.0 0.0.0.0 192.168.2.1
SW1:
//VLAN接口配置IP地址
interface Vlan-interface1
ip address 192.168.1.254 255.255.255.0
//配置DHCP服务,分配192.168.1.0/24段的地址
dhcp enable
dhcp server ip-pool office
gateway-list 192.168.1.1
network 192.168.1.0 mask 255.255.255.0
//配置到网关R1的默认路由
ip route-static 0.0.0.0 0.0.0.0 192.168.1.1
R1:
//配置接口IP地址
interface GigabitEthernet0/0
ip address 192.168.1.1 255.255.255.0
interface GigabitEthernet0/1
ip address 192.168.2.1 255.255.255.0
//开启telnet功能,用于后续访问限制测试,配置登录密码为123
telnet server enable
line vty 0 63
authentication-mode password
set authentication password simple 123
互通性测试:
PC1能够与Server ping通
PC1 ping Server
PC1能够访问Server的telnet服务
PC1访问Server telnet服务
PC2能够与Server ping通
PC2 ping Server
PC2能够访问Server的telnet服务
PC2访问Server telnet服务
4、 对PC1进行访问限制
PC1的MAC地址已经设置为0001-0001-0001,由于PC1终端通过DHCP自动获取IP地址,所以并不知晓PC1的IP地址,仅知晓终端的网卡MAC地址。
R1:
//创建访问控制列表3000,匹配目标地址为Server地址端口号为telnet的tcp23号端口
acl advanced 3000
rule 0 permit tcp destination 192.168.2.100 0 destination-port eq telnet
//创建流量分类PC1,匹配访问控制列表3000和PC1的源MAC地址(0001-0001-0001)
traffic classifier PC1 operator and
if-match source-mac 0001-0001-0001
if-match acl 3000
//创建执行动作access-deny,动作为拒绝
traffic behavior access-deny
filter deny
//创建QOS策略R1qos,匹配流量分类PC1的流量执行access-deny的拒绝动作
qos policy R1qos
classifier PC1 behavior access-deny
//接口调用QOS策略R1qos
interface GigabitEthernet0/0
qos apply policy R1qos inbound
互通性测试:
此时,PC1依旧能够与Server ping通
PC1 ping Server
但PC1已经无法访问Server的telnet服务
PC1访问Server telnet服务
而PC2 ping Server和访问Server的telnet服务则不受影响。
PC2 ping Server
PC2访问Server telnet服务
至此,终端使用DHCP自动获取地址,对无固定IP地址终端进行访问控制的实验完成。
以上内容均为本人对所掌握知识总结归纳所创作的原创文章,希望能给大家的学习过程带来帮助,如有技术理解错误希望能够得到大家的指正,大家共同学习,共同进步。
欢迎关注我的头条号,私信交流,学习更多网络技术!