今天我們來講一下路由器下面的網段如何禁止(或者允許)互訪
路由器下面三個網段,10.1.10.0/24網段、10.1.20.0/24網段和1.1.1.0/24網段的網關。通過配置ACL,不僅允許1.1.1.0/24網段的用戶訪問10.1.10.0/24網段的服務器。網關地址分別為interface Vlan-interface1 1.1.1.1/24,interface Vlan-interface10 10.1.10.1/24,interface Vlan-interface20 10.1.20.1/24。
路由器拒絕指定範圍內的主機互相訪問
# 創建IPv4高級ACL 3000,配置兩條規則,分別為允許源地址為1.1.10/24網段,目的地址為10.1.10.0/24網段的IP報文通過,以及拒絕其它IP報文通過。
system-view
[H3C] acl advanced 3000
[H3C-acl-ipv4-adv-3000] rule deny ip destination 10.1.10.0 0.0.0.255
[H3C-acl-ipv4-adv-3000] rule permit ip
[H3C-acl-ipv4-adv-3000] quit
# 配置包過濾功能,應用IPv4高級ACL 3000,對網關接口收到的IP報文進行過濾。
[H3C] interface Vlan-interface1
[H3C-Vlan-interface1] packet-filter 3000 inbound
這個時候我們可以在1.1.1.0/24網段的主機上以10.1.10.0/24網段內的服務器為目的進行ping操作,返回請求超時信息;ping其它網段的主機,此操作返回正常應答信息。
這個時候如果達到這個要求表示我們已經配置成功
最後[H3C]save force,保存退出即可。
路由器允許指定範圍內的主機互相訪問
有拒絕就有允許,我們現在就來講一下如何允許指定範圍內的主機互相訪問:
# 創建IPv4高級ACL 3000,配置兩條規則,分別為允許源地址為1.1.10/24網段,目的地址為10.1.10.0/24網段的IP報文通過,以及拒絕其它IP報文通過。
system-view
[H3C] acl advanced 3000
[H3C-acl-ipv4-adv-3000] rule permit ip source 1.1.1.0 0.0.0.255 destination 10.1.10.0 0.0.0.255
[H3C-acl-ipv4-adv-3000] rule deny ip
[H3C-acl-ipv4-adv-3000] quit
# 配置包過濾功能,應用IPv4高級ACL 3000,對網關接口收到的IP報文進行過濾。
[H3C] interface Vlan-interface1
[H3C-Vlan-interface1] packet-filter 3000 inbound
檢查配置效果
# 執行display packet-filter命令查看包過濾功能的應用狀態。
[H3C]display packet-filter interface vlan 1
Interface: Vlan-interface1
Inbound policy:
IPv4 ACL 3000
上述信息顯示Vlan-interface1接口上已經正確應用了包過濾功能。
在1.1.1.0/24網段的主機上以10.1.10.0/24網段內的服務器為目的進行ping操作,返回正常應答信息;ping其它網段的主機,此操作返回請求超時信息。
保存退出
[H3C]save force
關鍵字: interface1 H3C Vlan