原创力文档- 10
- 0
- 约3.12千字
- 约 4页
- 2020-10-09 发布于河南
- 举报
在S7500E上禁止特定IP地址进入网络的案例:
H3Csystem-view
System View: return to User View with Ctrl+Z.
[H3C]acl number 2000
#创建匹配源地址是的IP报文。
[H3C-acl-basic-2000]rule deny source 0
[H3C-acl-basic-2000]quit
[H3C]interface Vlan-interface 1
#禁止ACL2000匹配的报文进入设备。(在靠近上行的接口下发)
[H3C-Vlan-interface1]packet-filter 2000 inbound
[H3C-Vlan-interface1]quit
反向跟踪法查询IP:
PC收到一个源地址,会回包,回包就会经过相同的路径。
1、 查看PC的网关地址,找到作为PC网关的设备。
C:\Users\CallCenteripconfig
Windows IP 配置
以太网适配器 本地连接:
连接特定的 DNS 后缀 . . . . . . . :
IPv4 地址 . . . . . . . . . . . . : 10.XXX.XXX.XXX
子网掩码 . . . . . . . . . . . . :
默认网关. . . . . . . . . . . . . : 10.XXX.XXX.XXX
2、 查看该设备的路由表,判定该数据报回程的时候的路径。
3、 在路径的下一跳设备上继续查找路由表项。
H3Cdisplay ip routing-table
Routing Tables: Public
Destinations : 11 Routes : 12
Destination/Mask Proto Pre Cost NextHop Interface
/0 Static 60 0 10.153.XX.1 M-E1/0/0/0
10.153.XX.0/24 Direct 0 0 10.153.XX.11 M-E1/0/0/0
10.153.XX.11/32 Direct 0 0 InLoop0
/8 Direct 0 0 InLoop0
/32 Direct 0 0 InLoop0
4、 依次排查中间的每台设备,发现下一跳是本机()的时候查看ARP表。
H3Cdisplay ip routing-table
Routing Tables: Public
Destinations : 11 Routes : 12
Destination/Mask Proto Pre Cost NextHop Interface
Direct 0 0 InLoop0
10.153.XX.0/21 Static 60 0 10.153.XX.1 M-E1/0/0/0
/26 Direct 0 0 M-E1/0/0/0
/32 Direct 0 0 InLoop0
/8 Direct 0 0 InLoop0
/32 Direct 0 0 InLoop0
5、 通过ARP表项找到对应的出接口。
H3Cdisplay arp all
Type: S-Static D-Dynamic M-Multiport
IP Address MAC Address VLAN ID Interface Aging Type
0011-2233-4455 N/A GE0/0 18 D
……
6、 根据接口查找到二层交换机。
7、 根据MAC地址表找到接该PC的接口。
H3Cdisplay mac-address
MAC ADDR VLAN ID STAT
文档评论(0)