终端服务器（自动获取IP地址的终端如何限制访问服务器的特定服务）

1、 实验背景在企业中办公用户终端的IP地址大多数都是通过DHCP动态分发。由于IP地址不固定，无法确定终端的IP地址，如何限制某台终端设备不能访问某台服务器的指定端口就成为一个难题。下面我们通过一个实验来讲述如何解决此类问题。2、 实验拓扑及IP地址规划如下图所示，有两台办公电脑PC1和PC2属于同一个局域网，在交换机SW1上开启DHCP，PC均由其分配地址。R1为路由器用来隔离办公区域和服务器区域的二层广播，即办公电脑与服务器在不同网段。实验效果：PC1与PC2通过DHCP获取地址后均能够ping通Server的IP地址，但只有PC2能够访问Server上的telnet服务，PC1不可访问Server的telnet服务。实验拓扑IP地址规划IP地址规划3、 设备IP相关配置信息PC1：//配置接口IP地址自动获取和mac地址手动指定为0001-0001-0001方便后续做基于mac的访问控制interface GigabitEthernet0/0ip address dhcp-allocmac-address 0001-0001-0001PC2：//配置接口IP地址自动获取和mac地址手动指定为0002-0002-0002interface GigabitEthernet0/0ip address dhcp-allocmac-address 0002-0002-0002Server：//配置接口IP地址及网关interface GigabitEthernet0/1ip address 192.168.2.100 255.255.255.0ip route-static 0.0.0.0 0.0.0.0 192.168.2.1SW1：//VLAN接口配置IP地址interface Vlan-interface1ip address 192.168.1.254 255.255.255.0//配置DHCP服务，分配192.168.1.0/24段的地址dhcp enabledhcp server ip-pool officegateway-list 192.168.1.1network 192.168.1.0 mask 255.255.255.0//配置到网关R1的默认路由ip route-static 0.0.0.0 0.0.0.0 192.168.1.1R1：//配置接口IP地址interface GigabitEthernet0/0ip address 192.168.1.1 255.255.255.0interface GigabitEthernet0/1ip address 192.168.2.1 255.255.255.0//开启telnet功能，用于后续访问限制测试，配置登录密码为123telnet server enableline vty 0 63authentication-mode passwordset authentication password simple 123互通性测试：PC1能够与Server ping通PC1 ping ServerPC1能够访问Server的telnet服务PC1访问Server telnet服务PC2能够与Server ping通PC2 ping ServerPC2能够访问Server的telnet服务PC2访问Server telnet服务4、 对PC1进行访问限制PC1的MAC地址已经设置为0001-0001-0001，由于PC1终端通过DHCP自动获取IP地址，所以并不知晓PC1的IP地址，仅知晓终端的网卡MAC地址。R1：//创建访问控制列表3000，匹配目标地址为Server地址端口号为telnet的tcp23号端口acl advanced 3000rule 0 permit tcp destination 192.168.2.100 0 destination-port eq telnet//创建流量分类PC1，匹配访问控制列表3000和PC1的源MAC地址（0001-0001-0001）traffic classifier PC1 operator andif-match source-mac 0001-0001-0001if-match acl 3000//创建执行动作access-deny，动作为拒绝traffic behavior access-denyfilter deny//创建QOS策略R1qos，匹配流量分类PC1的流量执行access-deny的拒绝动作qos policy R1qosclassifier PC1 behavior access-deny//接口调用QOS策略R1qosinterface GigabitEthernet0/0qos apply policy R1qos inbound互通性测试：此时，PC1依旧能够与Server ping通PC1 ping Server但PC1已经无法访问Server的telnet服务PC1访问Server telnet服务而PC2 ping Server和访问Server的telnet服务则不受影响。PC2 ping ServerPC2访问Server telnet服务至此，终端使用DHCP自动获取地址，对无固定IP地址终端进行访问控制的实验完成。以上内容均为本人对所掌握知识总结归纳所创作的原创文章，希望能给大家的学习过程带来帮助，如有技术理解错误希望能够得到大家的指正，大家共同学习，共同进步。欢迎关注我的头条号，私信交流，学习更多网络技术！