H3C通过配置ACL实现单向访问示例

数通

需求

image-20250227171822155

  • 办公区主机172.16.100.1,可以访问监控区域设备192.168.10.1,反向访问不允许。
  • 办公区SW上已有较多ACL策略,要求在监控区域SW上配置。

解决办法

1.在监控区域SW,vlanif10上调用ACL,拒绝目的地址为172.16.100.0/24的流量

acl adv 3001
 rule 15 deny ip destination 172.16.100.0 0.0.0.255
 #
int vlan 10
 ip address 192.168.10.254 255.255.255.0
 packet-filter 3001 inbound
#

此时存在问题,会导致双向不通,优化ACL策略

如果在ACL中只匹配源ip或目的ip,就会双向不通,需要使用ACL中的tcp的标志位来进行匹配,实现单向访问。

acl adv 3001  
 rule 5 permit icmp destination 172.16.100.0 0.0.0.255 icmp-type echo-reply    # 放行icmp回包
 rule 10 permit tcp destination 172.16.100.0 0.0.0.255 ack 1  # 使用ACL中的tcp的标志位来进行匹配
 rule 15 deny ip destination 172.16.100.0 0.0.0.255

结果验证

image-20250227172539289

  • 办公区域主机可以访问监控区域设备

image-20250227172635066

  • 监控区域设备不能访问办公区域主机

注:

  1. HCL模拟器,在vlan虚拟接口调用ACL只有inbound方向生效,outbound方向ACL不生效。
  2. HCL实验工程文件下载:https://download.csdn.net/download/i12344/90437791
本文链接:https://www.orcy.net.cn/4156.html,转载请附上原文出处链接

暂无评论

发表评论

电子邮件地址不会被公开。 必填项已用*标注