AD-compus如何限制某一个vlan 的2台PC只允许访问某一台服务器，其他PC正常访问。

核心结论：强烈建议在AD-Campus上通过策略自动化实现

为什么不建议在汇聚交换机的VSI Interface下手动配置Packet-filter？

1. 违背SDN初衷：SDN的核心是控制与转发分离，通过控制器进行集中管理和策略下发。手动在设备上配置，相当于走了“旁路”，破坏了网络的统一管理性。
2. 维护困难：未来任何策略变更（如服务器IP地址变更、增加新的受限PC），都需要工程师手动登录设备修改ACL，容易出错且效率低下。
3. 可追溯性差：策略在控制器上不可见，不利于全局监控、审计和故障排查。
4. 易被覆盖：控制器在同步策略时，可能会覆盖或与手动配置产生冲突。

在AD-Campus上做的巨大优势：

• 图形化操作：通过Web界面点点鼠标即可完成，无需记忆命令行。
• 策略与IP地址解耦：策略基于“策略组”（如“受限PC组”、“目标服务器组”），即使后续IP地址变更，只需更新策略组内的IP，策略自动生效。
• 集中管理与自动化：策略集中管理，一键下发至全网相关设备，高效准确。
• 可视化运维：可以在控制器上直观看到策略状态、匹配次数等。

---

在AD-Campus上的详细操作步骤

整个操作流程可以概括为：定义流量对象 -> 创建安全策略 -> 指定策略生效点。以下是详细步骤：

第1步：登录AD-Campus控制器并进入策略管理界面

登录iMaster NCE-Campus的Web界面，导航到“策略”或“策略管理”相关的模块。在较新版本中，这通常在“高级配置” -> “策略联动”或“安全配置” -> “安全策略”中。

第2步：创建IP地址组（流量对象）

我们需要创建两个IP地址组，将需要控制的流量“对象化”。

1. 创建“受限PC组”
   • 名称：例如 VLAN298-Restricted-PCs
   • 描述：需要被限制访问的两台PC
   • 类型：选择“IP地址”或“IPV4地址”。
   • 内容：分别添加这两台PC的IP地址。例如 10.10.98.100和 10.10.98.101。最好确保这些IP是静态绑定的或通过DHCP静态分配。
2. 创建“目标服务器组”
   • 名称：例如 Allowed-Server-Only
   • 描述：只允许受限PC访问的服务器
   • 类型：选择“IP地址”。
   • 内容：添加目标服务器的IP地址。例如 192.168.1.10。
3. （可选）创建“其他服务器组”
   • 如果你想明确禁止访问一个网段，可以创建一个包含其他服务器网段的地址组，例如 Other-Servers: 192.168.1.0/24，然后在策略中拒绝。但更简单的做法是采用“白名单”模式。

第3步：创建安全策略（关键步骤）

这里采用“白名单”原则，即只放行允许的访问，拒绝其他所有访问。

1. 新建策略
   • 策略名称：例如 Restrict-PCs-to-One-Server
   • 描述：限制指定PC只能访问特定服务器，允许其他流量
2. 配置策略规则（按顺序匹配）：
   • 规则1（放行访问目标服务器）：
     • 动作：允许
     • 源：选择之前创建的“受限PC组” (VLAN298-Restricted-PCs)
     • 目的：选择之前创建的“目标服务器组” (Allowed-Server-Only)
     • 服务：根据需求选择，如果允许所有端口访问，则选择ANY；如果只允许特定服务（如HTTP），则选择或创建对应的服务/端口组。
     • 配置完成后，将此规则上移到最顶部。策略是按从上到下的顺序匹配的。
   • 规则2（拒绝访问其他任何地址）：
     • 动作：拒绝
     • 源：选择“受限PC组” (VLAN298-Restricted-PCs)
     • 目的：选择ANY（代表除目标服务器外的所有地址）。
     • 服务：ANY
   • 规则3（放行其他所有流量 - 隐含允许）：
     • 为了不影响VLAN 298内其他PC的正常访问，需要一条允许所有流量的规则。在很多系统中，这是默认存在的隐式规则。如果没有，你需要显式创建：
     • 动作：允许
     • 源：ANY
     • 目的：ANY
     • 服务：ANY
     • 将此规则放在最底部。
   策略规则顺序总结：
   1. 允许：源（受限PC组）-> 目的（目标服务器组） 2. 拒绝：源（受限PC组）-> 目的（ANY） 3. 允许：源（ANY）-> 目的（ANY）