• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
  • 漏洞说明
  • 全部
  • 全部
  • 大数据引擎
  • 知了引擎
产品线
搜索
取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式
高级搜索

控制器和设备间通信在防火墙上需要放行哪些端口?

5天前提问
  • 0关注
  • 1收藏,220浏览
粉丝:0人 关注:0人

问题描述:

控制器和设备间通信在防火墙上需要放行哪些端口

3 个回答
粉丝:9人 关注:0人

核心原则是:​​控制器作为服务端,网络设备作为客户端,设备会主动向控制器发起连接。因此,防火墙策略需要允许来自网络设备的特定流量访问控制器的特定端口。​

以下是根据不同控制器类型和功能的详细端口列表。


一、通用核心端口(适用于大多数场景)

这些是绝大多数H3C控制器(如iMC、SDN控制器)与设备通信所必需的基础端口。

协议

端口号

方向

说明

​SNMP​

​UDP 161​

设备 -> 控制器

控制器​​读​​取设备的MIB信息(性能监控、接口状态等)。​​必须开放​​。

​SNMP Trap​

​UDP 162​

设备 -> 控制器

设备主动向控制器​​发送​​告警和事件。​​必须开放​​。

​SSH​

​TCP 22​

控制器 -> 设备

控制器通过SSH登录设备进行配置。​​如果控制器需要主动配置设备,则需开放​​。

​TELNET​

​TCP 23​

控制器 -> 设备

控制器通过TELNET登录设备(不安全,建议用SSH替代)。

​HTTP​

​TCP 80​

设备 -> 控制器

某些设备(如AP)可能会通过HTTP注册或下载文件。

​HTTPS​

​TCP 443​

设备 -> 控制器

控制器Web界面访问,以及设备更安全的注册通信。

​ICMP​

​N/A​

双向

用于网络连通性测试(ping)。​​建议开放​​,便于故障排查。

​基础放行策略建议:​

在防火墙上创建一条策略,允许​​源​​为所有被管理网络设备所在网段,​​目的​​为控制器IP地址,​​服务​​为上述端口(UDP 161-162, TCP 22, 80, 443)的流量通过。


二、特定功能/组件所需端口

如果您的控制器部署了特定功能模块,则需要额外放行以下端口。

1. 对于 ​​H3C iMC 智能管理中心​

组件/功能

协议

端口号

方向

说明

​NTA​​ (流量分析)

​TCP/UDP​

​2055​

设备 -> 控制器

​NetStream​​ 流量数据输出端口。

​UDP​

​9995​

设备 -> 控制器

​sFlow​​ 流量数据输出端口。

​EIA​​ (认证计费)

​RADIUS​

​UDP 1812, 1813​

设备 -> 控制器

RADIUS认证和计费端口。

​RADIUS​

​UDP 1645, 1646​

设备 -> 控制器

RADIUS旧标准端口(较少用)。

​DLP​​ (设备日志代理)

​TCP​

​9002​

设备 -> 控制器

设备将Syslog等日志发送给iMC。

​数据库​

​TCP​

​1433​

iMC服务器 -> DB服务器

如果iMC与数据库分开放置,需开放此端口。

2. 对于 ​​H3C Campus / VXLAN 控制器​

协议

端口号

方向

说明

​NETCONF​

​TCP 830​

设备 -> 控制器

​南向接口核心端口​​,控制器通过NETCONF协议下发配置(如VXLAN、业务随行策略)到设备。​​必须开放​​。

​CAPWAP​

​UDP 5246, 5247​

AP -> 控制器

如果控制器管理无线AP,需开放AP与控制器建立CAPWAP隧道的端口。

3. 对于 ​​H3C AD-Campus 控制器​​ (更高级的SDN场景)

协议

端口号

方向

说明

​OpenFlow​

​TCP 6633​

设备 -> 控制器

传统OpenFlow协议端口。

​TLS​

​TCP 6653​

设备 -> 控制器

​OVSDB​

​TCP 6640​

设备 -> 控制器

用于控制器管理设备的虚拟交换表(VXLAN VTEP)。


总结与配置建议

  1. 1.

    ​最小化原则​​:不要简单地允许所有IP的所有端口。根据您实际部署的控制器功能和被管理设备的类型,​​只开放必要的端口​​。

  2. 2.

    ​精确的地址对象​​:

    • ​目的地址​​:创建地址对象,包含您的​​控制器IP​​(如果控制器是集群,包含所有节点IP)。

    • ​源地址​​:创建地址对象,包含​​所有被管理的网络设备所在的网段​​(如 10.10.10.0/24)。

  3. 3.

    ​服务对象​​:将上述需要放行的端口创建为服务对象或服务组。

  4. 4.

    ​安全策略​​:在防火墙上创建一条或一组策略:

    • ​源区域​​:设备所在区域(如Trust)

    • ​目的区域​​:控制器所在区域(如DMZ)

    • ​源地址​​:设备网段地址对象

    • ​目的地址​​:控制器IP地址对象

    • ​服务​​:所需放行的服务对象(如 tcp_22, udp_161-162等)

    • ​动作​​:允许(Permit)

​示例策略:​

  • 规则名:Permit_Network_Devices_to_iMC

  • 源域:Trust

  • 目的域:DMZ

  • 源地址:10.10.10.0/24(设备网段)

  • 目的地址:192.168.1.100(iMC服务器IP)

  • 服务:SNMP(UDP 161-162), SSH(TCP 22), HTTPS(TCP 443)

  • 动作:允许

最后,​​强烈建议您查阅您所使用的特定H3C控制器版本的官方安装部署指南​​,其中通常会有一个名为“防火墙端口列表”的附录,这是最权威的依据。

粉丝:112人 关注:0人

addc7.1放通的也可以参考这些端口吗

zhiliao_RoRWrq 发表时间:5天前 更多>>

addc7.1放通的也可以参考这些端口吗

zhiliao_RoRWrq 发表时间:5天前
粉丝:0人 关注:0人

同步一下,addc的放通矩阵在控制器版本使用指导书中,AD-WAN的在配置指导中

编辑答案

你正在编辑答案

如果你要对问题或其他回答进行点评或询问,请使用评论功能。

分享扩散:

提出建议

    +

亲~登录后才可以操作哦!

确定

亲~检测到您登陆的账号未在http://hclhub.h3c.com进行注册

注册后可访问此模块

跳转hclhub

你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作

举报

×

侵犯我的权益 >
对根叔社区有害的内容 >
辱骂、歧视、挑衅等(不友善)

侵犯我的权益

×

泄露了我的隐私 >
侵犯了我企业的权益 >
抄袭了我的内容 >
诽谤我 >
辱骂、歧视、挑衅等(不友善)
骚扰我

泄露了我的隐私

×

您好,当您发现根叔知了上有泄漏您隐私的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您认为哪些内容泄露了您的隐私?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)

侵犯了我企业的权益

×

您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
  • 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
  • 3. 是哪家企业?(营业执照,单位登记证明等证件)
  • 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔社区有害的内容

×

垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载 >
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票

不规范转载

×

举报说明