禁止用户远程直接登录服务器(定时禁止指定主机访问网络)
我们在现网中有这样的需求,需要限制内网某些网段在指定的工作时间,禁止访问外网。
下面通过acl加流过滤简易配置实现这个需求。
拓扑说明 AR1模拟出口路由器 SW1模拟核心交换机 pc1模拟内网PC
基础配置 pc 192.168.1.1 /24
Ar 1 192.168.1.254
AR1配置
sysname AR1
interface GigabitEthernet0/0/0
ip address 192.168.1.254 255.255.255.0
interface LoopBack0
ip address 1.1.1.1 255.255.255.255
//模拟外网
SW1上的配置
sysname SW1
time-range work 08:00 to 18:00 working-day
//指定工作时间段
acl number 3000
rule 5 deny ip source 192.168.1.0 0.0.0.255 time-range work
//阻止192.168.1.0/24网段数据流
interface GigabitEthernet0/0/1
traffic-filter inbound acl 3000
//交换机接口的入方向进行数据过滤
配置完成后可以看到,未在交换机上做流限制的时候,PC访问外网正常,加上限制之后,无法访问外网了
配置思路总结:
采用包含禁止动作的流策略方式实现报文过滤,具体配置思路如下:
配置各接口,实现用户能通过Switch访问外部网络。
配置时间范围,用于在ACL中引用。
配置ACL,在工作时间段禁止报文通过。
在接口GE0/0/1的入方向配置报文过滤。
此方法简单易行。
,免责声明:本文仅代表文章作者的个人观点,与本站无关。其原创性、真实性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容文字的真实性、完整性和原创性本站不作任何保证或承诺,请读者仅作参考,并自行核实相关内容。文章投诉邮箱:anhduc.ph@yahoo.com