H3C ER5200G3 路由器跨网段如何配置单向访问?
- 0关注
- 0收藏,115浏览
要实现这个单向访问的需求,可以通过 Web界面防火墙功能进行配置。
配置前请确保:
VLAN 10和VLAN 2已经创建好,并且各自的网关(如
192.168.10.1和192.168.2.1)已经配置生效。各网段下的终端都能正确获取到IP地址,并且能
ping通各自的网关。
然后,按照下面的步骤操作:
登录设备:打开浏览器,登录你ER5200G3的Web管理页面(默认地址是
http://192.168.1.1)。进入防火墙配置:在左侧导航栏里,找到 “网络安全” 菜单,点击下面的 “防火墙”。
开启防火墙:
勾选 “开启防火墙” 前面的复选框。
在 “缺省过滤规则” 那里,选择 “允许”。这个设置的意思是,除了你明确禁止的流量,其他所有的访问都是放行的。设置完后,记得点击 “应用” 按钮保存。
添加阻断规则:
点击 “添加” 按钮,新建一条安全规则。
接口:选择你的内网接口,一般是
LAN或VLAN接口。规则方向:选择 “出站”,因为我们是要控制从
VLAN 10发出去的流量。源IP地址:选择
VLAN 10(或者自定义地址组,填写192.168.10.0/24)。目的IP地址:选择
VLAN 2(或者自定义地址组,填写192.168.2.0/24)。动作:选择 “拒绝”。
描述:可以填“禁止VLAN 10访问VLAN 2”,方便以后管理。然后点击 “应用” 保存这条规则。
添加允许SSH的规则:这一步不是必需的,因为“缺省过滤规则”是“允许”,所以SSH流量默认就是通的。但如果你想把这个规则也明确写出来,可以再添加一条:
接口:选择内网接口(LAN或VLAN接口)。
规则方向:选择 “入站”,因为SSH请求是从
VLAN 2发往VLAN 10的。源IP地址:选择
VLAN 2(或填写192.168.2.0/24)。目的IP地址:选择
VLAN 10(或填写192.168.10.0/24)。服务类型:选择
TCP,并在端口处填写22。动作:选择 “允许”。
点击 “应用” 保存。
配置完成后,最好重启一下路由器,确保所有设置都生效。
关键配置步骤:
1. 创建高级ACL:
acl advanced 3000
rule 5 deny ip source 192.168.10.0 0.0.0.255 destination 192.168.2.0 0.0.0.255
rule 10 permit ip
2. 在VLAN2接口的入方向应用ACL:
interface Vlan-interface2
packet-filter 3000 inbound
原理:
ACL 3000在VLAN2接口的入方向生效。当10网段主机主动访问2网段时,数据包到达VLAN2接口,匹配`rule 5`被拒绝。当2网段主机SSH访问10网段时,其返回报文从10网段发往2网段,同样会在VLAN2接口入方向被`rule 5`拒绝,导致连接无法建立。
修正方案:
需要放行TCP连接的回包(已建立连接的报文)。修改ACL如下:
acl advanced 3000
rule 5 deny ip source 192.168.10.0 0.0.0.255 destination 192.168.2.0 0.0.0.255
rule 10 permit tcp source 192.168.2.0 0.0.0.255 destination 192.168.10.0 0.0.0.255 destination-port eq 22
rule 15 permit tcp source 192.168.10.0 0.0.0.255 destination 192.168.2.0 0.0.0.255 source-port eq 22
rule 20 permit ip
`rule 10`:允许2网段主动发起SSH访问10网段。
`rule 15`:关键,允许SSH连接的返回报文(源端口22)通过,确保TCP连接能正常建立。
配置前请备份配置。
暂无评论
H3C ER5200G3 跨网段单向访问配置(2 段能 SSH 进 1 段,1 段不能访问 2 段)
需求梳理
- VLAN2:192.168.2.0/24
- VLAN10:192.168.10.0/24
- 禁止:10.0 → 2.0 所有访问
- 允许:2.0 → 10.0 SSH(TCP 22),其余可禁可不限
一、Web 界面配置步骤(新手推荐)
1. 新建高级 ACL
- 进入 安全配置 → ACL 管理 → 高级 ACL
- 创建 ACL 3000
- 添加规则:
- 规则 1:允许 192.168.2.0 访问 192.168.10.0 目的端口 22(SSH)
- 规则 2:拒绝 192.168.10.0 访问 192.168.2.0
- 规则 3:允许所有其他流量(保证正常上网)
2. 在 VLAN 接口应用包过滤
- 对 Vlan-interface2 应用:
- 入方向包过滤 → ACL 3000
- 对 Vlan-interface10 应用:
- 入方向包过滤 → ACL 3000
二、命令行完整配置(直接复制粘贴)
system-view
# 1. 允许2段SSH到10段,禁止10段访问2段
acl advanced 3000
rule 5 permit tcp source 192.168.2.0 0.0.0.255 destination 192.168.10.0 0.0.0.255 destination-port eq 22
rule 10 deny ip source 192.168.10.0 0.0.0.255 destination 192.168.2.0 0.0.0.255
rule 100 permit ip
# 2. 在两个VLAN接口入方向应用
interface Vlan-interface2
packet-filter 3000 inbound
interface Vlan-interface10
packet-filter 3000 inbound
# 保存
save
三、效果说明
- 192.168.10.xxx → 192.168.2.xxx完全不通,ping、网页、共享全部拒绝。
- 192.168.2.xxx → 192.168.10.xxx
- 仅 SSH(22 端口) 可通
- 其他访问(ping、HTTP 等)默认被禁止(如需全开,可加一条 permit)
- 两个网段上网不受任何影响
四、如果你想 2.0 能完全访问 10.0,只禁止 10.0→2.0
acl advanced 3000
rule 10 deny ip source 192.168.10.0 0.0.0.255 destination 192.168.2.0 0.0.0.255
rule 100 permit ip暂无评论
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论