一台多人使用的服务器,现在需要它禁止上网,并且实现局域网内多人可以远程控制。
采用方法简单而有效的是直接在出口设备中设置mac地址过滤即可。
一般情况下用到这种设置的有实验室和中小企业自己的局域网内,还有一些制作视频的公司。共用一台或者几台服务器来跑运算,做渲染等。
效果比在电脑上快很多,可以降低硬件成本。
在这种小型使用场景,所使用的路由器、交换机等大部分都是智能二层设备,就不需要在命令行配置,直接在web界面进行MAC地址过滤即可,当然也可以基于IP地址的过滤,不过前提最好是IP地址和mac静态绑定。
以下是锐捷EG205G的出口路由器,因为路由器和交换机都是锐捷的,就可以实现在路由器中统一配置路由器设备和交换机设备。
禁止上网:登陆设备——》更多配置——》安全管理——》MAC地址过滤——》开启黑名单——》在规则列表中点击添加,将想要禁用的设备MAC地址加入进去,填写好规则的备注——》保存配置
这样就可以实现,局域网内可以远程,可以进行其它操作,设备不能上网。
当然这是一般情况下,使用的是智能傻瓜式设备,如果不是智能化这种设备,就需要使用console线去登陆你的出口设备使用ACL命令去禁用你的设备,禁用的时候使用MAC地址过滤,避免出现错误导致其它设备不能上网。
下边是关于华为设备中ACL的一些命令,可以参考一下:
[Huawei] time-range workday 8:30 to 18:00 working-day
//配置时间段,周一到周五早上8:30到下午18:00
[Huawei] acl 2000 //启用编号为2000的ACL
[Huawei-acl-basic-2000] rule permit source 192.168.1.10 0 time-range workday
#只允许192.168.1.10这一个用户在工作日可以telnet交换机
[Huawei-acl-basic-2000] rule deny
//这个地方rule deny可以不用写,acl在这种场景下最后隐含有一条deny any的语句;
[Huawei] user-interface vty 0 4
[Huawei-ui-vty0-4] acl 2000 inbound
//应用ACL,只允许匹配acl数据流的的用户telent登陆交换机,没有被 permit的全部被deny了。
acl 3000
rule permit tcp destination-port eq 80 source 192.168.1.0 0.0.0.255 car cir 4096
是匹配源地址192.168.1.0这个网段的是对去访问目标端口为80的流量,这种流量显然是HTTP的流量。从car cir 4096可以知道对该流量的限制是不超过4096Kbps,也就是4Mbps。
[Switch] acl 2001
[Switch-acl-basic-2001] rule deny source 10.1.1.11 0
//禁止IP地址为10.1.1.11的主机访问外网
[Switch] time-range ftp-access from 0:0 2014/1/1 to 23:59 2014/12/31
//配置ACL生效时间段该时间段是一个绝对时间段模式的时间段
[Switch] time-range ftp-access 14:00 to 18:00 off-day
//配置ACL生效时间段,该时间段是一个周期时间段,表示每个休息日下午14:00到18:00,ftp-access最终生效的时间范围为以上两个时间段的交集
[Switch] acl number 2001
[Switch-acl-basic-2001] rule permit source 172.16.105.0 0.0.0.255
//允许172.16.105.0/24网段的所有用户在任意时间都可以访问FTP服务器
[Switch-acl-basic-2001] rule permit source 172.16.107.0 0.0.0.255 time-range ftp-access
//限制172.16.107.0/24网段的所有用户只能在ftp-access时间段定义的时间范围内访问FTP服务器
[Switch-acl-basic-2001] rule deny source any
//限制其他用户不可以访问FTP服务器
2423
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
