精华内容
下载资源
问答
  • 原标题:H3C交换机限制局域网端口网限方法配置思路流量监管功能是通过QoS命令行实现。本案例中,用户采用固定IP,因此可以通过匹配用户IP地址的方法匹配用户流量,并对其做流量监管。配置步骤# 配置ACL规则匹配源IP...

    原标题:H3C交换机限制局域网端口网限方法

    配置思路

    流量监管功能是通过QoS命令行实现。本案例中,用户采用固定IP,因此可以通过匹配用户IP地址的方法匹配用户流量,并对其做流量监管。

    配置步骤

    # 配置ACL规则匹配源IP为10.0.0.2的流量

    system-view

    [H3C] acl number 3001

    [H3C-acl-adv-3001] rule permit ip source 10.0.0.2 0

    [H3C-acl-adv-3001] quit

    # 配置ACL规则匹配目的IP为10.0.0.2的流量

    [H3C] acl number 3002

    [H3C-acl-adv-3002] rule permit ip destination 10.0.0.2 0

    [H3C-acl-adv-3002] quit

    # 配置流分类,匹配ACL规则3001,即匹配源IP为10.0.0.2的流量

    [H3C] traffic classifier source_hostA

    [H3C-classifier-source_hostA] if-match acl 3001

    [H3C-classifier-source_hostA] quit

    # 配置流分类,匹配ACL规则3002,即匹配目的IP为10.0.0.2的流量

    [H3C] traffic classifier destination_hostA

    [H3C-classifier-destination_hostA] if-match acl 3002

    [H3C-classifier-destination_hostA] quit

    # 配置流行为,用于对上行流量进行流量监管,速率为1000kbps

    [H3C] traffic behavior uplink

    [H3C-behavior-uplink] car cir 1000

    [H3C-behavior-uplink] quit

    # 配置流行为,用于对下行流量进行流量监管,速率为2000kbps

    [H3C] traffic behavior downlink

    [H3C-behavior-downlink] car cir 2000

    [H3C-behavior-downlink] quit

    # 配置QoS策略,用于端口入方向,即用户的上行方向

    [H3C] qos policy uplink

    [H3C-qospolicy-uplink] classifier source_hostA behavior uplink

    [H3C-qospolicy-uplink] quit

    # 配置QoS策略,用于端口出方向,即用户的下行方向

    [H3C] qos policy downlink

    [H3C-qospolicy-downlink] classifier destination_hostA behavior downlink

    [H3C-qospolicy-downlink] quit

    # 在端口上下发QoS策略,匹配出入方向的流量

    [H3C] interface GigabitEthernet 3/0/1

    [H3C-GigabitEthernet3/0/1] qos apply policy uplink inbound

    [H3C-GigabitEthernet3/0/1] qos apply policy downlink outbound

    责任编辑:

    展开全文
  • h3c交换机设置限制公司员工访问外网使用的环境,把不能访问80端口跟qq服务器的用户划入vlan 50。acl number 3001设置访问控制列表rule 100 deny tcp destination-port eq www 设置规则关掉80端口rule 110 deny ip ...

    h3c交换机设置限制公司员工访问外网

    使用的环境,把不能访问80端口跟qq服务器的用户划入vlan 50。

    acl number 3001设置访问控制列表

    rule 100 deny tcp destination-port eq www  设置规则关掉80端口

    rule 110 deny ip source 192.168.50.0 0.0.0.255 destination 112.90.0.0 0.0.255.255从规则110-210开始是限制特定网段访问qq服务器.

    rule 120 deny ip source 192.168.50.0 0.0.0.255 destination 219.133.0.0 0.0.255.255

    rule 130 deny ip source 192.168.50.0 0.0.0.255 destination 58.60.0.0 0.0.255.255

    rule 140 deny ip source 192.168.50.0 0.0.0.255 destination 119.147.0.0 0.0.255.255

    rule 150 deny ip source 192.168.50.0 0.0.0.255 destination 112.95.0.0 0.0.255.255

    rule 160 deny ip source 192.168.50.0 0.0.0.255 destination 222.202.0.0 0.0.255.255

    rule 170 deny ip source 192.168.50.0 0.0.0.255 destination 113.108.0.0 0.0.255.255

    rule 180 deny ip source 192.168.50.0 0.0.0.255 destination 202.104.0.0 0.0.255.255

    rule 190 deny ip source 192.168.50.0 0.0.0.255 destination 58.251.0.0 0.0.255.255

    rule 200 deny ip source 192.168.50.0 0.0.0.255 destination 121.90.0.0 0.0.255.255

    rule 210 deny ip source 192.168.50.0 0.0.0.255 destination 183.60.0.0 0.0.255.255

    rule 220 deny udp destination-port eq 8000 规则220限制用户访问UDP端口8000

    interface Vlan-interface50              进入vlan50端口

    ip address 192.168.50.1 255.255.255.0

    packet-filter 3001 inbound             应用访问控制列表3001

    展开全文
  • 2.要求配置高级访问控制列表,禁止研发部门与技术支援部门之间互访,并限制研发部门在上班时间8:00至18:00访问工资查询服务器;3.通过二层访问控制列表,实现在每天8:00~18:00时间段内对源MAC为00e0-fc01-0101的...

    组网需求:

    1

    .通过配置基本访问控制列表,实现在每天

    8:00

    18:00

    时间段内对源

    IP

    10.1.1.2

    主机发出报文的过滤;

    2

    .要求配置高级访问控制列表,禁止研发部门与技术支援部门之间互访,并限

    制研发部门在上班时间

    8:00

    18:00

    访问工资查询服务器;

    3

    .通过二层访问控制列表,实现在每天

    8:00

    18:00

    时间段内对源

    MAC

    00e0-fc01-0101

    的报文进行过滤。

    组网图:

    配置步骤:

    1 H3C 3600 5600 5100

    系列交换机典型访问控制列表配置

    共用配置

    1

    .根据组网图,创建四个

    vlan

    ,对应加入各个端口

    system-view

    [H3C]vlan 10

    [H3C-vlan10]port GigabitEthernet 1/0/1

    [H3C-vlan10]vlan 20

    [H3C-vlan20]port GigabitEthernet 1/0/2

    [H3C-vlan20]vlan 30

    [H3C-vlan30]port GigabitEthernet 1/0/3

    [H3C-vlan30]vlan 40

    [H3C-vlan40]port GigabitEthernet 1/0/4

    [H3C-vlan40]quit

    2

    .配置各

    VLAN

    虚接口地址

    [H3C]interface vlan 10

    [H3C-Vlan-interface10]ip address 10.1.1.1 24

    [H3C-Vlan-interface10]quit

    [H3C]interface vlan 20

    展开全文
  • 1、限制某个特定IP允许访问Web 2、默认修改80端口访问 那么针对上面的设置可以有效杜绝而已Web密码暴力破解,增强交换机安全等。 实现: 1、限制特定IP登录Web,实现原理是使用ACL进行控制 [Huawei] acl 2000...

    针对Web管理可能有如下需求:

    1、限制某个特定IP允许访问Web

    2、默认修改80端口访问

    那么针对上面的设置可以有效杜绝而已Web密码暴力破解,增强交换机安全等。

    实现:

    1、限制特定IP登录Web,实现原理是使用ACL进行控制

    [Huawei] acl 2000 // 配置ACL编号为2000。 
    [Huawei-acl-basic-2000] rule 5 permit source 10.1.1.1 0  //(配置只允许10.1.1.1这个IP登陆设备的web界面) 
    [Huawei-acl-basic-2000] quit 
    [Huawei] http acl 2000 //配置http登录限制 

    2、修改默认端口

    [Huawei] http server port 9000

    3、保存配置

    [Huawei] save

     4、针对一些交换机提供了https服务,只需在上述命令增加多一个https即可。

     

    参考:

    http://support.huawei.com/enterprise/docinforeader!loadDocument1.action?contentId=DOC1000112146&partNo=10052#dc_cfg_acl_1008(华为ACL官方教程)

    https://forum.huawei.com/enterprise/zh/thread-243269.html

     

     

    转载于:https://www.cnblogs.com/EasonJim/p/9502128.html

    展开全文
  • system-view[Switch] interface GigabitEthernet 1/0/3[Switch-GigabitEthernet1/0/3] qos lr outbound cir 640 [Switch-GigabitEthernet1/0/3] quit针对 Host A 配置流量监管# 定义基本 ACL 2000,对源 IP 地址为 ...
  • 工作中常需要对某些网段的用户进行管理,需要对部分ip地址进行保护,只有开放了权限的用户才能访问受保护的ip
  • acl number 3000 rule 1 permit ip source 10.0.5.0 0.0.0.255 destination 172.16.1.100 0 #允许10.0.5.0/24访问172.16.1.100.0这个ip,允许访问单个ip,格式为rule 数字 permit ip source ip 子网掩码反码 ...
  • 问题描述某客户支队下辖3个单位需要做IP地址绑定1大队:xx.xx.xx.101-121 绑定1口 2大队:xx.xx.xx.122-142 绑定2口 3大队:xx.xx.xx.143-163 绑定3口要求每个单位只能使用分配的地址,如果1大队使用101-121以外的...
  • 通常限制ip访问服务器可以使用交换机限制,除此之外,windows通过访问安全策略限制,而linux则通过iptables配置工具进行设置。 语法: iptables [-t table] command [match] [-j target/jump]
  • 公司可能为了安全考虑,只允许IT管理员的IP地址登录到此交换机。那么该怎么实现呢? 实现步骤 1:设置ACL 2:在虚拟接口telnet下调用基本ACL。 ACL可以这样写。 #acl 2000//2000基本ACL,匹配源地址 #step 5 ...
  • 华为S5720交换机通过ACL限制VLAN之间的访问

    万次阅读 多人点赞 2018-05-23 17:53:22
    华为S5720上实际配置过 不过iP是10.0.151.0 0.0.0.255不能访问其他vlan通过traffic-filter调用<Huawei>sys[Huawei]acl 3000 //创建高级ACL(3000~3999)[Huawei-acl-adv-3000][Huawei-acl-adv-3000]...
  • 交换机IP-MAC地址绑定

    2013-12-06 22:01:43
    前段时间朋友问我在交换机下面怎么同时绑定IP地址和MAC之前没怎么注意这方面,最近在客户这边改造DHCP,发现客户在6509上面... 大家都知道,用户可使用端口特性来限制并标识允许访问端口的MAC地址,这样的特性是在端...
  • 文章目录**组网拓扑****具体需求****步骤一:IP配置****步骤二:高级ACL策略配置** 组网拓扑 具体需求 1、192.168.1.10作为保密服务器,要求只能给指定网段(1.1.1.0/24)访问。 2、192.168.1.20是普通服务器,要求...
  • 实现网站对IP地址的限制访问

    千次阅读 2020-05-14 12:44:42
    再回到我们今天的主题,通常现在ip访问有3种做法:1.机房的网络设备限制(通过交换机,路由器,防火墙进行现在).2.通过程序进行限制.3.通过部署的web容器进行限制(tomcat,jboss,nginx,apache等). 通过程序进行...

空空如也

空空如也

1 2 3 4 5 ... 9
收藏数 177
精华内容 70
关键字:

交换机限制ip访问