路由器或交换机单方向访问
- 1关注
- 1收藏,1219浏览
问题描述:
我希望财务部可以访问 市场部。市场部不可以访问财务 。第一个问题,我看到思科有ACP自反访问列表。H3C有这方面的知识吗?另外,我在模拟时,财务部上行的端口acl允许访问市场。市场部上行端口放行icmp echo reply报文,这样子,市场没法访问财务了。第二个问题,在实际生产环境中,我通过这方法禁用icmp包,是不是不可以访问。或者通过禁用icmp包,市场部是不可以访问互联网?单独从这角度思考。
组网及组网描述:
- 2022-01-18提问
- 举报
-
(0)
最佳答案
您好,就是单向acl,参考
#创建ACL,其中第1条匹配TCP连接请求报文,第2条匹配TCP连接建立报文
[H3C] acl advanced 3100
[H3C-acl-ipv4-adv-3100]rule 0 permit tcp established source 192.168.20.0 0.0.0.255 destination 192.168.10.0 0.0.0.255
[H3C-acl-ipv4-adv-3100]quit
[H3C]acl advanced 3200
[H3C-acl-ipv4-adv-3200]rule 0 permit tcp source 192.168.20.0 0.0.0.255 destination 192.168.10.0 0.0.0.255
[H3C-acl-ipv4-adv-3200]quit
#创建流分类,匹配相应的ACL
[H3C]traffic classifier 1
[H3C-classifier-1]if-match acl 3100
[H3C-classifier-1]quit
[H3C]traffic classifier 2
[H3C-classifier-2]if-match acl 3200
#创建流行为,permit TCP连接建立报文,deny从 Vlan 20发送到vlan10的TCP连接建立请求报文
[H3C]traffic behavior 11
[H3C-behavior-11]filter permit
[H3C-behavior-3]quit
[H3C]traffic behavior 22
[H3C-behavior-22]filter deny
#创建Qos策略,关联流分类和流行为
[H3C]qos policy 3
[H3C-qospolicy-3]classifier 1 behavior 11
[H3C-qospolicy-3]classifier 2 behavior 22
#在Vlan 20端口入方向下发Qos策略
[H3C]interface GigabitEthernet 1/0/20
[H3C-GigabitEthernet1/0/20]qos apply policy 3 inbound
#保存配置
[H3C]save force
- 2022-01-18回答
- 评论(0)
- 举报
-
(0)
1.就是你模拟的那套操作,不过只能让icmp和tcp单通。udp不行。
2.icmp只影响ping、tracert这类操作,基本不影响正常访问互联网。如果想阻断互联网访问,可以把icmp改成ip。
- 2022-01-18回答
- 评论(1)
- 举报
-
(0)
明白了。互联网是按IP来走数据包的
明白了。互联网是按IP来走数据包的
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明