最佳答案
您好,参考
5500系列交换机配置单向访问案例
一:网络需求
实现S5500-winet交换机下面终端单向访问。
二:网络拓扑
三:配置步骤
1.
<H3C>sys
[H3C]vlan 100
[H3C-vlan10]port GigabitEthernet 1/0/10
[H3C-vlan100]qu
[H3C]vlan 200
[H3C-vlan200]port GigabitEthernet 1/0/20
[H3C-vlan200]qu
2.
[H3C]interface Vlan-interface 100
[H3C-Vlan-interface100]ip address 192.168.100.1 24
[H3C-Vlan-interface100]qu
[H3C]interface Vlan-interface 200
[H3C-Vlan-interface200]ip address 192.168.200.1 24
[H3C-Vlan-interface200] qu
3.
[H3C]acl number 3000
[H3C-acl-adv-3000]rule 0 deny tcp syn 1 ack 1 source 192.168.100.0 0.0.0.255 destination 192.168.200.0 0.0.0.255
[H3C-acl-adv-3000]rule 5 deny icmp source 192.168.100.0 0.0.0.255 destination 192.168.200.0 0.0.0.255 icmp-type echo-reply
[H3C-acl-adv-3000]qu
4.
[H3C]interface GigabitEthernet 1/0/10
[H3C-GigabitEthernet1/0/10]packet-filter 3000 inbound
[H3C-GigabitEthernet1/0/10]qu
5.
[H3C]save
四:注意事项
交换机只能实现tcp的单向访问,并不实现UDP的单向访问。并且单向访问只能是命令行下配置,无法在web界面上配置。
在 办公核心 或者监控核心 配置即可 acl
核心上是可以做,但核心的主要功能是高质量数据交换,加ACL是否合适,在防火墙上做是否更优
在防火墙上做实现不了,一般都是在核心上做
监控核心和网络核心之间加防火墙呢?
加防火墙可以在防火墙上做
或者监控核心接到出口防火墙上能实现不
这样也能实现,修改静态路由即可
能发些参考案例或者参考命令(监控核心直连出口防火墙做包过滤)
核心交换机到防火墙走三层,默认路由到防火墙,防火墙给监控核心写回包路由。这样就能互访。 在防火墙上创建acl 根据我们想要的访问的规则创建acl 应用到接口。
数据交互都是双向的,用包过滤基本没法做到单向访问,除非像ping包那样,来回的icmp报文类型不一致可以被acl匹配过滤
要做到单向访问一般可以通过防火墙实现,中间加台防火墙,两边接口加不同安全域,通过安全策略控制单向访问
在监控核心和网络核心之间加防火墙是最好的解决方案,但会增加成本,在不增加成本的前提下,在网络核心VLAN接口应用ACL策略,是否是最好的解决方案
你做包过滤实现不了你要的单向访问需求,除非你能把单向访问的所有流量涉及的协议和端口都列出来,并且来回流量的涉及的端口还都不一样才可以,但这基本不可能
把监控核心不接网络核心,直接接到出口防火墙上,把出口防火墙当成是中间隔离的防火墙,这样能实现不?
这样可以,只要出口防火墙连到两台核心的接口属于不同安全域就行,比如监控核心属于安全域A,网络核心属于安全域B,这样只新增安全策略放通安全域B到安全域A的流量,反向的流量不做策略放通,就可以实现单向访问
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明