- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
12-ACL控制路由模式配置举例
本章节下载: 12-ACL控制路由模式配置举例 (1.23 MB)
本文档介绍了H3C SecPath G9000-X-G系列多级安全互联交换平台(以下简称为平台)的路由模式配置举例,并通过ACL策略对访问进行控制。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
本文假设您已了解平台特性。
如图1所示,客户端代表内网允许访问的终端。服务器属于外网对内开放的服务器。部署平台后,在路由模式下配置ACL控制策略,使得仅允许内网客户端可以访问到外网的服务器。
图1 ACL控制配置举例组网图
· 平台前后置配置IP地址(分别作为客户端与服务器的网关地址)
· 平台前后置配置路由
· 平台前后置配置ACL规则
· 客户端配置到服务器的路由,下一跳指向平台前置
· 服务器配置到客户端的路由,下一跳指向平台后置
本举例是在ESS 6702P01版本上进行配置和验证的。
|
客户端 |
平台 |
服务器 |
|
|
192.168.80.63 |
前置机GE0/0 192.168.80.110 |
后置机GE0/0 192.168.70.120 |
192.168.70.64 |
|
网关 192.168.80.110 |
目的子网: 192.168.70.0 子网掩码: 255.255.255.0 网卡名称:Tun |
目的子网: 192.168.80.0 子网掩码: 255.255.255.0 网卡名称:Tun |
网关 192.168.70.120 |
通过平台前置机MAN管理口登录平台,打开浏览器输入https://192.168.0.1,(MAN口为前置机专用管理口)
系统管理员默认账号:admin;默认密码:adminh3c
安全管理员默认账号:secrecy;默认密码:secrecyh3c
图2 前置机登录页面
点击<网络管理>-<IP地址管理>,GE0/0网卡上配置IP地址192.168.80.110,作为客户端192.168.80.63/32的网关地址。
图3 设置前置系统IP
设置完后点“保存”退出。
图4 添加、保存前置IP设置
点击“网络管理”>“路由配置”设置前置机的路由,如下图。
图5 路由管理
点击<网络管理>-<路由配置>,前置机添加目的子网为服务器所在网络的路由,其中网卡选为Tun口。
图6 添加、保存前置路由
通过平台后置机MAN管理口登录平台,打开浏览器输入https://192.168.0.2,(MAN口为后置机专用管理口)
系统管理员默认账号:admin;默认密码:adminh3c
安全管理员默认账号:secrecy;默认密码:secrecyh3c
图7 后置机登录页面
点击<网络管理><IP地址管理>,后置机GE0/0网卡上配置IP地址192.168.70.120,作为服务器192.168.70.64/32的网关地址。
图8 设置后置系统IP
设置完后点“保存”退出。
图9 添加、保存后置IP设置
点击“网络管理”>“路由配置”设置后置机的路由,如下图。
图10 路由管理
后置机添加目的子网为客户端所在网络的路由,其中网卡选为Tun口。
图11 添加、保存后置路由
该配置在安全管理员secrecy下操作
点击<ACL控制>-<拒绝>,将全局控制设置为拒绝状态(前、后置机均设置全局拒绝)。
图12 全局设置
点击<添加策略>
图13 配置前置机路由模式ACL策略控制
表1 ACL策略控制参数说明
|
参数 |
说明 |
|
名称 |
ACL控制策略的名称定义 |
|
模式选择 |
支持监控模式和路由模式两种选择 |
|
监控网卡 |
选择需要使用的网卡 |
|
协议类型 |
支持TCP、UDP、HTTP、POP3、SMTP、OPC、ICMP、IMAP七种协议类型,HTTP协议和邮件协议(POP3、SMTP、IMAP)仅在路由模式下可用 |
|
地址输入方式切换 |
地址对象:地址对象管理添加的客户端地址集 地址:直接在下方输入客户端IP和掩码 |
|
动作 |
设置策略的动作为允许或者拒绝 |
|
客户端地址 |
策略内控制访问的客户端地址 |
|
客户端端口段 |
策略内控制访问的客户端端口或者端口段 |
|
目的地址 |
策略内控制访问的目的端地址 |
|
目的端口段 |
策略内控制访问的目的端口或者端口段 |
|
记录日志 |
可选是否记录ACL策略命中的日志 |
|
策略集 |
仅支持路由模式下OPC、HTTP、邮件协议(POP3、SMTP、IMAP)的策略显示和选中 |
图14 勾选配置好的策略,点击启动按钮
图15 启用成功
HTTP、POP3、SMTP 协议仅支持ACL的路由模式,监控模式不支持;
普通应用只需要配置入口端ACL规则,不需要在出口侧配置反向ACL策略;
OPC应用需要两端分别配置ACL控制策略;
手动添加的ACL策略的优先级高于ACL全局策略的优先级;
手动添加的多条ACL策略,位置越靠前的优先级越高;
客户端(192.168.80.63):route add default gw 192.168.80.110 enp10s0
服务器(192.168.70.64):route add default gw 192.168.70.120 enp10s0
route -n 查看路由是否均已配置完成
(注意:不论是客户端还是服务器,都不能存在对端网段的路由!同时需要辨别路由的优先级,Metric越小优先级越高)
图16 客户端
图17 服务器
1. 服务端开启iperf3服务和端口
2. 客户端访问服务端数据并获得回包
图18 验证结果截图
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
