H3C单向和双向访问控制

1、单向和双向访问控制I. 单向访问控制1功能需求及组网说明单向访问控制配置环境参数PCA PCB和PCCS过交换机SwitchAA互连其中 PCA的 IP 地址为 10.1.1.2/24,PCB 的 IP 地址为 10.1.1.3/24 ，PCC的 IP 地址为 10.1.1.4/24组网需求PCA PCB和PCC之间完成单向访问，即 PCA可以访问PCB PCC但是PCB PCC不能访问PCA2数据配置步骤单向访问控制流程单向访问控制主要是针对有方向的数据包， 例如ICMF，TCP报文等，而对于没有 方向的UDP报文，交换机暂时无法进行控制，所以如果要实现单向访 问控制就 简单等同于对ICMP

2、和TCP报文的控制。如果要对 UDP报文进行控制，必须知道 UDP报文的端口号。目前也只有E系列交换机、8016、6506和5516能够实现这 种组网，以下按产品分别举例（S8016的配置这里略去）。【3526E配置方法】1 ICMP报文控制PCA与交换机的eO/1端口相连，配置如下：1. 配置二层访问控制规则SwitchAacl number 1OO2. 配置二层访问控制子规则，禁止从任何端口的入报文出端口到eO/1SwitchA-acl-link-1OOrule deny icmp source 1.1.1.1 O destination1.1.1.2 O icmp-type echo3.

3、 激活该规则SwitchApacket-filter ip-group 1OOTCPM文单向访问控制1. 配置三层访问控制规则SwitchAacl number 1OO2. 主机ip地址为1.1.1.1的PC无法向1.1.1.2 的PC发起TCP连接建立请求SwitchA-acl-adv-1OOrule deny tcp established source 1.1.1.1 Odestination 1.1.1.2 O3. 激活该规则SwitchApacket-filter ip-group 1OO【 65O6 配置方法】ICMP报文控制PCA与交换机的e4/0/1端口相连，配置如下：1. 配

4、置扩展访问控制规则SwitchAacl number 1002. 配置扩展访问控制子规则，禁止 1.1.1.1 Ping 通1.1.1.23. 进入端口视图SwitchA-acl-adv-100int e4/0/14. 激活该规则SwitchA-Ethernet4/0/1 packet-filter inbound ip-group 100 rule 0Tcprn文单向访问控制PCA与交换机的e4/0/1端口相连，配置如下：1. 配置扩展访问控制规则SwitchAacl number 1002. 主机ip地址为1.1.1.1 的PC可以pi ng通1.1.1.2 的PC但是不能通过网上 邻居查

5、找到 1.1.1.2 ，反之则可以SwitchA-acl-adv-100 rule 1 deny tcp established source 1.1.1.1 0destination 1.1.1.2 03. 进入端口视图 SwitchA-acl-adv-100int e4/0/14. 激活该规则SwitchA-Ethernet4/0/1 packet-filter inbound ip-group 100 rule 1【 5516 配置方法】ICMP报文控制PCA与交换机的e0/1端口相连，配置如下：1. 配置二层访问控制规则SwitchAacl number 100配置访问控制子规则，禁止

6、主机 pcb 访问 pcaSwitchA-acl-link-100rule deny icmp source 1.1.1.3 0 destination1.1.1.3 0Se rver 1-i .-Port 23Port 242. 配置访问控制子规则，禁止主机 pcc访问pea SwitchA-acl-li nk-100rule deny icmp source 1.1.1.4 0 dest in ati on1.1.1.2 03. 激活该规则SwitchApacket-filter ip-group 100TCPrn文单向访问控制1. 配置三层访问控制规则SwitchAacl number

7、1002. 主机ip地址为1.1.1.3 的PC可以pi ng通1.1.1.2 的PC但是不能通过网上 邻居查找到1.1.1.2，反之则可以SwitchA-acl-adv-100ruledeny tcp source 1.1.1.3 0 destination1.1.1.20 destination-port eq 1393. 激活该规则SwitchApacket-filter ip-group 1002. 双向访问控制1功能需求及组网说明Server 2、SwitchA-Vlan-interface20ip address 10.20.1.1 255.255.0.0SwitchA-Vlan-

8、interface20ip address 10.20.1.1 255.255.0.0、Vian 1Cj_JIV Vian 20 JPortsPort1ort2 PSwitchA-Vlan-interface20ip address 10.20.1.1 255.255.0.0SwitchA-Vlan-interface20ip address 10.20.1.1 255.255.0.0双向访问控制SwitchA-Vlan-interface20ip address 10.20.1.1 255.255.0.0配置环境参数 说明：通过配置三层交换机的 acl 来实现 vlan 之间的访问控制组网需

9、求需求：组网和 vlan 分配如图所示，要求 vlan 10、20、30 均可以访问 server 1， 但是只有 vlan 10 和 vlan 20 可以访问 server 2 ，同时 vlan 10 、20、30 之间 不能互访。2数据配置步骤交换机双向访问控制流程如果是低端交换机同一网段内的双向访问控制，也可以通过端口的 hybrid 属性 来实现，具体的内容可以参考关于端口 bybrid 属性的配置部分。【3526E配置方法】基础配置1. 创建（进入） vlan10SwitchA vlan 102. 创建（进入） vlan10 的虚接口SwitchA interface Vlan-in

10、terface 103. 给 vlan20 的虚接口配置 IP 地址SwitchA-Vlan-interface10ip address 10.10.1.1 255.255.0.04. 创建（进入） vlan20SwitchA vlan 205. 创建（进入） vlan20 的虚接口SwitchA interface Vlan-interface 206. 给 vlan20 的虚接口配置 IP 地址7. 创建（进入） vlan30SwitchA vlan 308. 创建（进入） vlan30 的虚接口SwitchA interface Vlan-interface 309. 给 vlan30

11、的虚接口配置 IP 地址SwitchA-Vlan-interface30ip address 10.30.1.1 255.255.0.010. 创建（进入） vlan100SwitchA vlan 10011. 创建（进入） vlan100 的虚接口SwitchA interface Vlan-interface 10012. 给 vlan100 的虚接口配置 IP 地址SwitchA-Vlan-interface100ip address 10.100.1.1 255.255.0.013. 创建（进入） vlan200SwitchA vlan 20014. 创建（进入） vlan200 的虚

12、接口SwitchA interface Vlan-interface 20015. 给 vlan200 的虚接口配置 IP 地址SwitchA-Vlan-interface200ip address 10.200.1.1 255.255.0.0访问控制配置1. 配置 ACLSwitchA acl num 100配置 acl 访问控制列表禁止网段 10.10.0.0 访问网段 10.20.0.0SwitchA-Vlan-interface20ip address 10.20.1.1 255.255.0.00.0.255.2550.0.255.2550.0.255.2550.0.255.2550.

13、0.255.2550.0.255.2550.0.255.255SwitchA-acl-adv-100rule deny ip source 10.10.1. destination 10.20.1.1 0.0.255.2552. 禁止网段 10.10.0.0 访问网段 10.30.0.0SwitchA-acl-adv-100rule deny ip source 10.10.1. destination 10.30.1.1 0.0.255.2553. 禁止网段 10.20.0.0 访问网段 10.10.0.0SwitchA-acl-adv-100rule deny ip source 10.2

14、0.1. destination 10.10.1.1 0.0.255.2554. 禁止网段 10.20.0.0 访问网段 10.30.0.0SwitchA-acl-adv-100rule deny ip source 10.20.1. destination 10.30.1.1 0.0.255.2555. 禁止网段 10.30.0.0 访问网段 10.10.0.0SwitchA-acl-adv-100rule deny ip source 10.30.1. destination 10.10.1.1 0.0.255.2556. 禁止网段 10.30.0.0 访问网段 10.20.0.0Swit

15、chA-acl-adv-100rule deny ip source 10.30.1. destination 10.20.1.1 0.0.255.2557. 禁止网段 10.30.0.0 访问网段 10.200.0.0SwitchA-acl-adv-100rule deny ip source 10.30.1. destination 10.200.1.1 0.0.255.2558. 下发访问控制列表SwitchApacket-filter ip 100【 6506 配置方法】基础配置1. 创建（进入） vlan10SwitchA vlan 102. 创建（进入） vlan10 的虚接口Sw

16、itchA interface Vlan-interface 103. 给 vlan20 的虚接口配置 IP 地址SwitchA-Vlan-interface10ip address 10.10.1.1 255.255.0.04. 创建（进入） vlan20SwitchA vlan 205. 创建（进入） vlan20 的虚接口SwitchA interface Vlan-interface 206. 给 vlan20 的虚接口配置 IP 地址SwitchA-Vlan-interface20ip address 10.20.1.1 255.255.0.07. 创建（进入） vlan30Swit

17、chA vlan 308. 创建（进入） vlan30 的虚接口SwitchA interface Vlan-interface 309. 给 vlan30 的虚接口配置 IP 地址SwitchA-Vlan-interface30ip address 10.30.1.1 255.255.0.010. 创建（进入） vlan100SwitchA vlan 10011. 创建（进入） vlan100 的虚接口SwitchA interface Vlan-interface 10012. 给 vlan100 的虚接口配置 IP 地址SwitchA-Vlan-interface100ip addres

18、s 10.100.1.1 255.255.0.013. 创建（进入） vlan200SwitchA vlan 20014. 创建（进入） vlan200 的虚接口SwitchA interface Vlan-interface 20015. 给 vlan200 的虚接口配置 IP 地址SwitchA-Vlan-interface200ip address 10.200.1.1 255.255.0.0访问控制配置1. 配置 ACLSwitchA acl num 1002. 配置 acl 访问控制列表禁止网段 10.10.0.0 访问网段 10.20.0.0 SwitchA-acl-adv-100

19、rule 0 deny ip source 10.10.1.1 0.0.255.255destination 10.20.1.1 0.0.255.2553. 配置 acl 访问控制列表禁止网段 10.10.0.0 访问网段 10.30.0.0 SwitchA-acl-adv-100rule 1 deny ip source 10.10.1.1 0.0.255.255destination 10.30.1.1 0.0.255.2554. 配置acl访问控制列表禁止网段10.20.0.0访问网段10.10.0.0SwitchA-acl-adv-100rule 2 deny ip source 10

20、.20.1.1 0.0.255.255destination 10.10.1.1 0.0.255.2555. 配置 acl 访问控制列表禁止网段 10.20.0.0 访问网段 10.30.0.0 SwitchA-acl-adv-100rule 3 deny ip source 10.20.1.1 0.0.255.255destination 10.30.1.1 0.0.255.2556. 配置 acl 访问控制列表禁止网段 10.30.0.0 访问网段 10.10.0.0 SwitchA-acl-adv-100rule 4 deny ip source 10.30.1.1 0.0.255.25

21、5destination 10.10.1.1 0.0.255.2557. 配置 acl 访问控制列表禁止网段 10.30.0.0 访问网段 10.20.0.0 SwitchA-acl-adv-100rule 5 deny ip source 10.30.1.1 0.0.255.255destination 10.20.1.1 0.0.255.2558. 配置 acl 访问控制列表禁止网段 10.30.0.0 访问网段 10.200.0.0SwitchA-acl-adv-100rule 6 deny ip source 10.30.1.1 0.0.255.255 destination 10.2

22、00.1.1 0.0.255.255进入端口视图SwitchAint e4/0/19. 下发访问控制列表SwitchApacket-filter inbound ip 100 not-care-for-interface【 5516 配置方法】基础配置1. 创建（进入） vlan10SwitchA vlan 102. 创建（进入） vlan10 的虚接口SwitchA interface Vlan-interface 103. 给 vlan20 的虚接口配置 IP 地址SwitchA-Vlan-interface10ip address 10.10.1.1 255.255.0.04. 创建（进

23、入） vlan20SwitchA vlan 205. 创建（进入） vlan20 的虚接口SwitchA interface Vlan-interface 206. 给 vlan20 的虚接口配置 IP 地址SwitchA-Vlan-interface20ip address 10.20.1.1 255.255.0.07. 创建（进入） vlan30SwitchA vlan 308. 创建（进入） vlan30 的虚接口SwitchA interface Vlan-interface 309. 给 vlan30 的虚接口配置 IP 地址 SwitchA-Vlan-interface30ip a

24、ddress 10.30.1.1 255.255.0.010. 创建（进入） vlan100SwitchA vlan 10011. 创建（进入） vlan100 的虚接口SwitchA interface Vlan-interface 10012. 给 vlan100 的虚接口配置 IP 地址 SwitchA-Vlan-interface100ip address 10.100.1.1 255.255.0.013. 创建（进入） vlan200SwitchA vlan 20014. 创建（进入） vlan200 的虚接口SwitchA interface Vlan-interface 20015. 给 vlan200 的虚接口配置 IP 地址 SwitchA-Vlan-interface200ip address 10.200.1.1 255.255.0.0 访问控制配置1. 配置 ACLSwitchA acl num 1002. 配置 acl 访问控制列表禁止网段 10.10.0.0 访问网段 10.20.0.0 SwitchA-acl-adv-100rule deny ip source 10.10.1.1 0.0.255.255destination 10.20.1.1 0.0.255.2553. 配置 acl 访问控制列表禁止网段 10.10.0.0 访问网段 10.30