H3C單向和雙向訪問控制

單向和雙向訪問控制單向訪問控制1功能需求及組網(wǎng)說明單向訪問控制『配置環(huán)境參數(shù)』PCA、PCB和PCC通過交換機(jī)SwitchAA互連其中PCA的IP地址為10.1.1.2/24,PCB的IP地址為10.1.1.3/24，PCC的IP地址為10.1.1.4/24『組網(wǎng)需求』PCA、PCB和PCC之間完成單向訪問，即PCA可以訪問PCB、PCC，但是PCB、PCC不能訪問PCA2數(shù)據(jù)配置步驟『?jiǎn)蜗蛟L問控制流程』單向訪問控制主要是針對(duì)有方向的數(shù)據(jù)包，例如ICMP，TCP報(bào)文等，而對(duì)于沒有方向的UDP報(bào)文，交換機(jī)暫時(shí)無法進(jìn)行控制，所以如果要實(shí)現(xiàn)單向訪問控制就簡(jiǎn)單等同于對(duì)ICMP和TCP報(bào)文的控制。如果要對(duì)UDP報(bào)文進(jìn)行控制，必須知道UDP報(bào)文的端口號(hào)。目前也只有E系列交換機(jī)、8016、6506和5516能夠?qū)崿F(xiàn)這種組網(wǎng)，以下按產(chǎn)品分別舉例（S8016的配置這里略去）?！?526E配置方法】〖ICMP報(bào)文控制〗PCA與交換機(jī)的e0/1端口相連，配置如下:配置二層訪問控制規(guī)則[SwitchA]aclnumber100配置二層訪問控制子規(guī)則，禁止從任何端口的入報(bào)文出端口到e0/1[SwitchA-acl-link-100]ruledenyicmpsource1.1.1.10destination0icmp-typeecho激活該規(guī)則[SwitchA]packet-filterip-group100〖TCP報(bào)文單向訪問控制〗配置三層訪問控制規(guī)則[SwitchA]aclnumber100主機(jī)ip地址為1.1.1.1的PC無法向1.1.1.2的PC發(fā)起TCP連接建立請(qǐng)求[SwitchA-acl-adv-100]ruledenytcpestablishedsource1.1.1.10destination1.1.1.20激活該規(guī)則[SwitchA]packet-filterip-group100【6506配置方法】〖ICMP報(bào)文控制〗PCA與交換機(jī)的e4/0/1端口相連，配置如下：配置擴(kuò)展訪問控制規(guī)則[SwitchA]aclnumber100配置擴(kuò)展訪問控制子規(guī)則，禁止1.1.1.1Ping通1.1.1.2[SwitchA-acl-adv-100]rule0denyicmpsource1.1.1.10destination0進(jìn)入端口視圖[SwitchA-acl-adv-100]inte4/0/1激活該規(guī)則[SwitchA-Ethernet4/0/1]packet-filterinboundip-group100rule0〖TCP報(bào)文單向訪問控制〗PCA與交換機(jī)的e4/0/1端口相連，配置如下：配置擴(kuò)展訪問控制規(guī)則[SwitchA]aclnumber100主機(jī)ip地址為1.1.1.1的PC可以ping通1.1.1.2的PC，但是不能通過網(wǎng)上鄰居查找到1.1.1.2，反之則可以[SwitchA-acl-adv-100]rule1denytcpestablishedsource1.1.1.10destination1.1.1.20進(jìn)入端口視圖[SwitchA-acl-adv-100]inte4/0/1激活該規(guī)則[SwitchA-Ethernet4/0/1]packet-filterinboundip-group100rule1【5516配置方法】〖ICMP報(bào)文控制〗PCA與交換機(jī)的e0/1端口相連，配置如下：配置二層訪問控制規(guī)則[SwitchA]aclnumber100配置訪問控制子規(guī)則，禁止主機(jī)pcb訪問pca[SwitchA-acl-link-100]ruledenyicmpsource1.1.1.30destination0配置訪問控制子規(guī)則，禁止主機(jī)pcc訪問pca[SwitchA-acl-link-100]ruledenyicmpsource1.1.1.40destination0激活該規(guī)則[SwitchA]packet-filterip-group100〖TCP報(bào)文單向訪問控制〗配置三層訪問控制規(guī)則[SwitchA]aclnumber100主機(jī)ip地址為1.1.1.3的PC可以ping通1.1.1.2的PC，但是不能通過網(wǎng)上鄰居查找到1.1.1.2，反之則可以[SwitchA-acl-adv-100]ruledenytcpsource1.1.1.30destination1.1.1.20destination-porteq139激活該規(guī)則[SwitchA]packet-filterip-group100雙向訪問控制1功能需求及組網(wǎng)說明雙向訪問控制『配置環(huán)境參數(shù)』說明：通過配置三層交換機(jī)的acl來實(shí)現(xiàn)vlan之間的訪問控制『組網(wǎng)需求』需求：組網(wǎng)和vlan分配如圖所示，要求vlan10、20、30均可以訪問server1，但是只有vlan10和vlan20可以訪問server2，同時(shí)vlan10、20、30之間不能互訪。2數(shù)據(jù)配置步驟『交換機(jī)雙向訪問控制流程』如果是低端交換機(jī)同一網(wǎng)段內(nèi)的雙向訪問控制，也可以通過端口的hybrid屬性來實(shí)現(xiàn)，具體的內(nèi)容可以參考關(guān)于端口bybrid屬性的配置部分?！?526E配置方法】基礎(chǔ)配置創(chuàng)建（進(jìn)入）vlan10[SwitchA]vlan10創(chuàng)建（進(jìn)入）vlan10的虛接口[SwitchA]interfaceVlan-interface10給vlan20的虛接口配置IP地址[SwitchA-Vlan-interface10]ipaddress10.10.1.1255.255.0.0創(chuàng)建（進(jìn)入）vlan20[SwitchA]vlan20創(chuàng)建（進(jìn)入）vlan20的虛接口[SwitchA]interfaceVlan-interface20給vlan20的虛接口配置IP地址[SwitchA-Vlan-interface20]ipaddress10.20.1.1255.255.0.0創(chuàng)建（進(jìn)入）vlan30[SwitchA]vlan30創(chuàng)建（進(jìn)入）vlan30的虛接口[SwitchA]interfaceVlan-interface30給vlan30的虛接口配置IP地址[SwitchA-Vlan-interface30]ipaddress10.30.1.1255.255.0.0創(chuàng)建（進(jìn)入）vlan100[SwitchA]vlan100創(chuàng)建（進(jìn)入）vlan100的虛接口[SwitchA]interfaceVlan-interface100給vlan100的虛接口配置IP地址[SwitchA-Vlan-interface100]ipaddress10.100.1.1255.255.0.0創(chuàng)建（進(jìn)入）vlan200[SwitchA]vlan200創(chuàng)建（進(jìn)入）vlan200的虛接口[SwitchA]interfaceVlan-interface200給vlan200的虛接口配置IP地址[SwitchA-Vlan-interface200]ipaddress10.200.1.1255.255.0.0訪問控制配置配置ACL[SwitchA]aclnum100配置acl訪問控制列表禁止網(wǎng)段10.10.0.0訪問網(wǎng)段10.20.0.0[SwitchA-acl-adv-100]ruledenyipsource10.10.1.10.0.255.255destination10.20.1.10.0.255.255禁止網(wǎng)段10.10.0.0訪問網(wǎng)段10.30.0.0[SwitchA-acl-adv-100]ruledenyipsource10.10.1.10.0.255.255destination10.30.1.10.0.255.255禁止網(wǎng)段10.20.0.0訪問網(wǎng)段10.10.0.0[SwitchA-acl-adv-100]ruledenyipsource10.20.1.10.0.255.255destination10.10.1.10.0.255.255禁止網(wǎng)段10.20.0.0訪問網(wǎng)段10.30.0.0[SwitchA-acl-adv-100]ruledenyipsource10.20.1.10.0.255.255destination10.30.1.10.0.255.255禁止網(wǎng)段10.30.0.0訪問網(wǎng)段10.10.0.0[SwitchA-acl-adv-100]ruledenyipsource10.30.1.10.0.255.255destination10.10.1.10.0.255.255禁止網(wǎng)段10.30.0.0訪問網(wǎng)段10.20.0.0[SwitchA-acl-adv-100]ruledenyipsource10.30.1.10.0.255.255destination10.20.1.10.0.255.255禁止網(wǎng)段10.30.0.0訪問網(wǎng)段10.200.0.0[SwitchA-acl-adv-100]ruledenyipsource10.30.1.10.0.255.255destination10.200.1.10.0.255.255下發(fā)訪問控制列表[SwitchA]packet-filterip100【6506配置方法】基礎(chǔ)配置創(chuàng)建（進(jìn)入）vlan10創(chuàng)建（進(jìn)入）vlan10的虛接口[SwitchA]interfaceVlan-interface10給vlan20的虛接口配置IP地址[SwitchA-Vlan-interface10]ipaddress10.10.1.1255.255.0.0創(chuàng)建（進(jìn)入）vlan20[SwitchA]vlan20創(chuàng)建（進(jìn)入）vlan20的虛接口[SwitchA]interfaceVlan-interface20給vlan20的虛接口配置IP地址[SwitchA-Vlan-interface20]ipaddress10.20.1.1255.255.0.0創(chuàng)建（進(jìn)入）vlan30[SwitchA]vlan30創(chuàng)建（進(jìn)入）vlan30的虛接口[SwitchA]interfaceVlan-interface30給vlan30的虛接口配置IP地址[SwitchA-Vlan-interface30]ipaddress10.30.1.1255.255.0.0創(chuàng)建（進(jìn)入）vlan100[SwitchA]vlan100創(chuàng)建（進(jìn)入）vlan100的虛接口[SwitchA]interfaceVlan-interface100給vlan100的虛接口配置IP地址[SwitchA-Vlan-interface100]ipaddress10.100.1.1255.255.0.0創(chuàng)建（進(jìn)入）vlan200創(chuàng)建（進(jìn)入）vlan200的虛接口[SwitchA]interfaceVlan-interface200給vlan200的虛接口配置IP地址[SwitchA-Vlan-interface200]ipaddress10.200.1.1255.255.0.0訪問控制配置配置ACL[SwitchA]aclnum100配置acl訪問控制列表禁止網(wǎng)段10.10.0.0訪問網(wǎng)段10.20.0.0[SwitchA-acl-adv-100]rule0denyipsource10.10.1.10.0.255.255destination10.20.1.10.0.255.255配置acl訪問控制列表禁止網(wǎng)段10.10.0.0訪問網(wǎng)段10.30.0.0[SwitchA-acl-adv-100]rule1denyipsource10.10.1.10.0.255.255destination10.30.1.10.0.255.255配置acl訪問控制列表禁止網(wǎng)段10.20.0.0訪問網(wǎng)段10.10.0.0[SwitchA-acl-adv-100]rule2denyipsource10.20.1.10.0.255.255destination10.10.1.10.0.255.255配置acl訪問控制列表禁止網(wǎng)段10.20.0.0訪問網(wǎng)段10.30.0.0[SwitchA-acl-adv-100]rule3denyipsource10.20.1.10.0.255.255destination10.30.1.10.0.255.255配置acl訪問控制列表禁止網(wǎng)段10.30.0.0訪問網(wǎng)段10.10.0.0[SwitchA-acl-adv-100]rule4denyipsource10.30.1.10.0.255.255destination10.10.1.10.0.255.255配置acl訪問控制列表禁止網(wǎng)段10.30.0.0訪問網(wǎng)段10.20.0.0[SwitchA-acl-adv-100]rule5denyipsource10.30.1.10.0.255.255destination10.20.1.10.0.255.255配置acl訪問控制列表禁止網(wǎng)段10.30.0.0訪問網(wǎng)段10.200.0.0[SwitchA-acl-adv-100]rule6denyipsource10.30.1.10.0.255.255destination10.200.1.10.0.255.255進(jìn)入端口視圖[SwitchA]inte4/0/1下發(fā)訪問控制列表[SwitchA]packet-filterinboundip100not-care-for-interface【5516配置方法】基礎(chǔ)配置創(chuàng)建（進(jìn)入）vlan10[SwitchA]vlan10創(chuàng)建（進(jìn)入）vlan10的虛接口[SwitchA]interfaceVlan-interface10給vlan20的虛接口配置IP地址[SwitchA-Vlan-interface10]ipaddress10.10.1.1255.255.0.0創(chuàng)建（進(jìn)入）vlan20[SwitchA]vlan20創(chuàng)建（進(jìn)入）vlan20的虛接口[SwitchA]interfaceVlan-interface20給vlan20的虛接口配置IP地址[SwitchA-Vlan-interface20]ipaddress10.20.1.1255.255.0.0創(chuàng)建（進(jìn)入）vlan30[SwitchA]vlan30創(chuàng)建（進(jìn)入）vlan30的虛接口[SwitchA]interfaceVlan-interface30給vlan30的虛接口配置IP地址[SwitchA-Vlan-interface30]ipaddress10.30.1.1255.255.0.0創(chuàng)建（進(jìn)入）vlan100[SwitchA]vlan100創(chuàng)建（進(jìn)入）vlan100的虛接口[SwitchA]interfaceVlan-interface100給vlan100的虛接口配置IP地址[SwitchA-Vlan-interface100]ipaddress10.100.1.1255.255.0.0創(chuàng)建（進(jìn)入）vlan200[SwitchA]vlan200創(chuàng)建（進(jìn)入）vlan200的虛接口[SwitchA]interfaceVlan-interface200給vlan200的虛接口配置IP地址[SwitchA-Vlan-interface200]ipaddress10.200.1.1255.255.0.0訪問控制配置配置ACL[SwitchA]aclnum100配置acl訪問控制列表禁止網(wǎng)段10.10.0.0訪問網(wǎng)段10.20.0.0[SwitchA-acl-adv-100]ruledenyipsource10.10.1.10.0.255.255destination10.20.1.10.0.255.255配置acl訪問控制列表禁止網(wǎng)段10.10.0.0訪問網(wǎng)段10.30.0.0[SwitchA-acl-adv-100]ruledenyipsourc