前言:
我们通过在ACL里面限制ICMP的方式,实现客户端禁止ping网关的目的。
ICMP介绍
ICMP 协议应用在许多网络管理命令中,下面以 ping 和 tracert 命令为例详细介绍 ICMP 协议的应用。
(1) ping 命令使用 ICMP 回送请求和应答报文
在网络可达性测试中使用的分组网间探测命令 ping 能产生 ICMP 回送请求和应答报文。目的主机收到 ICMP 回送请求报文后立刻回送应答报文,若源主机能收到 ICMP 回送应答报文,则说明到达该主机的网络正常。
(2)路由分析诊断程序 tracert 使用了 ICMP时间超过报文
tracert 命令主要用来显示数据包到达目的主机所经过的路径。通过执行一个 tracert 到对方主机的命令,返回数据包到达目的主机所经历的路径详细信息,并显示每个路径所消耗的时间。
实验拓补
实验过程
<Huawei>system-view
Enter system view, return user view with Ctrl+Z.
[Huawei]undo info-center enable
Info: Information center is disabled.
[Huawei]sysname CORE1
[CORE1]dhcp enable
Info: The operation may take a few seconds. Please wait for a moment.done.
[CORE1]interface Vlanif 1
[CORE1-Vlanif1]ip address 192.168.1.254 24
[CORE1-Vlanif1]dhcp select interface
[CORE1-Vlanif1]dhcp server dns-list 114.114.114.114
[CORE1-Vlanif1]quit
[CORE1]acl 3000
[CORE1-acl-adv-3000]rule deny icmp source 192.168.1.0 0.0.0.255 destination 192.
168.1.254 0.0.0.0
[CORE1-acl-adv-3000]rule permit icmp source 192.168.1.0 0.0.0.0
[CORE1-acl-adv-3000]quit
[CORE1]traffic classifier 1
[CORE1-classifier-1]if-match acl 3000
[CORE1-classifier-1]quit
[CORE1]traffic behavior 2
[CORE1-behavior-2]deny
[CORE1-behavior-2]quit
[CORE1]traffic policy 3
[CORE1-trafficpolicy-3]classifier 1 behavior 2
[CORE1-trafficpolicy-3]quit
[CORE1]vlan 1
[CORE1-vlan1]traffic-policy 3 inbound
然后我们开始测试:
使用PC1pingPC2的地址 192.168.1.252,结果是通的
然后我们使用PC1ping VLANIF1虚拟网关192.168.1.254,结果是不通的
从而实现了实验目的