核心原则是:控制器作为服务端,网络设备作为客户端,设备会主动向控制器发起连接。因此,防火墙策略需要允许来自网络设备的特定流量访问控制器的特定端口。
以下是根据不同控制器类型和功能的详细端口列表。
这些是绝大多数H3C控制器(如iMC、SDN控制器)与设备通信所必需的基础端口。
协议 | 端口号 | 方向 | 说明 |
---|---|---|---|
SNMP | UDP 161 | 设备 -> 控制器 | 控制器读取设备的MIB信息(性能监控、接口状态等)。必须开放。 |
SNMP Trap | UDP 162 | 设备 -> 控制器 | 设备主动向控制器发送告警和事件。必须开放。 |
SSH | TCP 22 | 控制器 -> 设备 | 控制器通过SSH登录设备进行配置。如果控制器需要主动配置设备,则需开放。 |
TELNET | TCP 23 | 控制器 -> 设备 | 控制器通过TELNET登录设备(不安全,建议用SSH替代)。 |
HTTP | TCP 80 | 设备 -> 控制器 | 某些设备(如AP)可能会通过HTTP注册或下载文件。 |
HTTPS | TCP 443 | 设备 -> 控制器 | 控制器Web界面访问,以及设备更安全的注册通信。 |
ICMP | N/A | 双向 | 用于网络连通性测试(ping)。建议开放,便于故障排查。 |
基础放行策略建议:
在防火墙上创建一条策略,允许源为所有被管理网络设备所在网段,目的为控制器IP地址,服务为上述端口(UDP 161-162, TCP 22, 80, 443)的流量通过。
如果您的控制器部署了特定功能模块,则需要额外放行以下端口。
组件/功能 | 协议 | 端口号 | 方向 | 说明 |
---|---|---|---|---|
NTA (流量分析) | TCP/UDP | 2055 | 设备 -> 控制器 | NetStream 流量数据输出端口。 |
UDP | 9995 | 设备 -> 控制器 | sFlow 流量数据输出端口。 | |
EIA (认证计费) | RADIUS | UDP 1812, 1813 | 设备 -> 控制器 | RADIUS认证和计费端口。 |
RADIUS | UDP 1645, 1646 | 设备 -> 控制器 | RADIUS旧标准端口(较少用)。 | |
DLP (设备日志代理) | TCP | 9002 | 设备 -> 控制器 | 设备将Syslog等日志发送给iMC。 |
数据库 | TCP | 1433 | iMC服务器 -> DB服务器 | 如果iMC与数据库分开放置,需开放此端口。 |
协议 | 端口号 | 方向 | 说明 |
---|---|---|---|
NETCONF | TCP 830 | 设备 -> 控制器 | 南向接口核心端口,控制器通过NETCONF协议下发配置(如VXLAN、业务随行策略)到设备。必须开放。 |
CAPWAP | UDP 5246, 5247 | AP -> 控制器 | 如果控制器管理无线AP,需开放AP与控制器建立CAPWAP隧道的端口。 |
协议 | 端口号 | 方向 | 说明 |
---|---|---|---|
OpenFlow | TCP 6633 | 设备 -> 控制器 | 传统OpenFlow协议端口。 |
TLS | TCP 6653 | 设备 -> 控制器 | |
OVSDB | TCP 6640 | 设备 -> 控制器 | 用于控制器管理设备的虚拟交换表(VXLAN VTEP)。 |
最小化原则:不要简单地允许所有IP的所有端口。根据您实际部署的控制器功能和被管理设备的类型,只开放必要的端口。
精确的地址对象:
目的地址:创建地址对象,包含您的控制器IP(如果控制器是集群,包含所有节点IP)。
源地址:创建地址对象,包含所有被管理的网络设备所在的网段(如 10.10.10.0/24
)。
服务对象:将上述需要放行的端口创建为服务对象或服务组。
安全策略:在防火墙上创建一条或一组策略:
源区域:设备所在区域(如Trust)
目的区域:控制器所在区域(如DMZ)
源地址:设备网段地址对象
目的地址:控制器IP地址对象
服务:所需放行的服务对象(如 tcp_22, udp_161-162
等)
动作:允许(Permit)
示例策略:
规则名:Permit_Network_Devices_to_iMC
源域:Trust
目的域:DMZ
源地址:10.10.10.0/24
(设备网段)
目的地址:192.168.1.100
(iMC服务器IP)
服务:SNMP
(UDP 161-162), SSH
(TCP 22), HTTPS
(TCP 443)
动作:允许
最后,强烈建议您查阅您所使用的特定H3C控制器版本的官方安装部署指南,其中通常会有一个名为“防火墙端口列表”的附录,这是最权威的依据。
您好,参考2.4章
addc7.1放通的也可以参考这些端口吗
addc7.1放通的也可以参考这些端口吗
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
抄袭了我的内容
×
原文链接或出处
诽谤我
×
对根叔社区有害的内容
×
不规范转载
×
举报说明