- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
19-ACL控制挂载策略(OPC)举例
本章节下载: 19-ACL控制挂载策略(OPC)举例 (1.41 MB)
本文档介绍了H3C SecPath GAP2000在路由模式下,ACL访问控制功能关联OPC应用层策略的配置举例。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置是否存在透明映射,即监听IP和目标IP完全一致的通道,其监听IP必然产生路由冲突。相关通道需要删除,并清除其监听IP才可进行路由模式配置。
本文假设您已了解H3C SecPath GAP2000特性。
如图1所示,终端代表内网允许访问的终端。采集服务器属于外网对内开放的服务器。部署网闸后,在路由模式下配置ACL控制规则,使得仅允许内网终端可以访问到外网的采集服务器。
图1 H3C SecPath GAP2000 ACL控制配置举例组网图
· 网闸内外端配置IP地址
· 网闸内外端配置路由
· 网闸内外端配置OPC规则
· 网闸内外端配置ACL挂载OPC通道
· OPC采集服务端及OPC终端配置
本举例是在H3C i-Ware Software, Version 3.1, ESS 6702P02版本上进行配置和验证的。
|
终端 |
网闸 |
采集服务器 |
|
|
192.168.30.86 |
内端GE0/3 192.168.30.1 |
外端GE0/3 192.168.40.1 |
192.168.40.85 |
|
网关 192.168.30.1 |
目的子网: 192.168.40.0 子网掩码: 255.255.255.0 网卡名称:Tun |
目的子网: 192.168.30.0 子网掩码: 255.255.255.0 网卡名称:Tun |
网关 192.168.40.1 |
通过网闸内端MAN管理口登录网闸,打开浏览器输入https://192.168.0.1,(MAN口为内端专用管理口)
系统管理员默认账号:admin;默认密码:adminh3c
安全管理员默认账号:secrecy;默认密码:secrecyh3c
图2 内端登录页面
点击<网络管理>-<IP地址管理>,GE0/3网卡上配置IP地址192.168.30.1,作为客户端192.168.30.86/32的网关地址。
图3 设置内端系统IP
设置完后点“保存”退出。
图4 添加、保存内端IP设置
点击“网络管理”>“路由配置”设置内端的路由,如下图。
图5 路由管理
点击<网络管理>-<路由配置>,内端添加目的子网为服务器所在网络的路由,其中网卡选为Tun口。
图6 添加、保存内端路由
通过网闸外端MAN管理口登录网闸,打开浏览器输入https://192.168.0.2,(MAN口为外端专用管理口)
系统管理员默认账号:admin;默认密码:adminh3c
安全管理员默认账号:secrecy;默认密码:secrecyh3c
图7 外端登录页面
点击<网络管理><IP地址管理>,外端GE0/3网卡上配置IP地址192.168.40.1,作为服务器192.168.40.85/32的网关地址。
图8 设置外端系统IP
设置完后点“保存”退出。
图9 添加、保存外端IP设置
点击“网络管理”>“路由配置”设置外端的路由,如下图。
图10 路由管理
外端添加目的子网为客户端所在网络的路由,其中网卡选为Tun口。
图11 添加、保存外端路由
该配置在安全管理员secrecy下操作
依次点击<策略管理>-<OPC>-<选择控制点增加>-<新建策略集>
图12 策略添加
输入名称,选择过滤类型为白名单,点击保存,自动返回<策略列表>
图14 添加OPC控制点增加策略
选择新建好的策略集,点击新建策略
图15 新建策略
图16 设置节点TAG
此处填写节点TAG。节点TAG包括“节点路径.节点名”
图17 保存策略
该配置在安全管理员secrecy下操作
点击<ACL控制>-<拒绝>,将全局控制设置为拒绝状态(内、外端均设置全局拒绝)。
图18 全局设置
点击“+”<添加规则>
图19 添加策略
图20 配置内端路由模式ACL规则控制
表1 ACL规则控制参数说明
|
参数 |
说明 |
|
名称 |
ACL控制规则的名称定义 |
|
模式选择 |
支持监控模式和路由模式两种选择 |
|
监控网卡 |
选择需要使用的网卡 |
|
协议类型 |
路由模式支持:TCP、UDP、HTTP、POP3、SMTP、OPC、ICMP、IMAP |
|
动作 |
设置规则的动作为允许或者拒绝 |
|
地址输入方式切换 |
地址对象:地址对象管理添加的客户端地址集 地址:直接在下方输入客户端IP和掩码 |
|
客户端地址 |
规则内控制访问的客户端地址 |
|
客户端端口段 |
规则内控制访问的客户端端口或者端口段 |
|
目的地址 |
规则内控制访问的目的端地址 |
|
目的端口段 |
规则内控制访问的目的端口或者端口段 |
|
记录日志 |
可选是否记录ACL规则命中的日志 |
|
策略集 |
路由模式下支持OPC、HTTP、邮件协议(POP3、SMTP、IMAP)应用策略 |
点击“保存”。
图21 勾选配置好的规则
点击启动按钮。
图22 启用成功
外端ACL挂载OPC控制策略,开启ACL规则
图23 添加规则挂载OPC控制点增加策略
点击“保存”。
图24 勾选配置好的规则
点击启动按钮。
图25 启用成功
HTTP、邮件协议(POP3、SMTP、IMAP)协议仅支持ACL的路由模式,监控模式不支持;
普通应用只需要配置入口端ACL规则,不需要在出口侧配置反向ACL规则;
OPC应用需要两端分别配置ACL控制规则;
OPC应用只支持DA数据访问接口;
手动添加的ACL规则的优先级高于ACL全局配置的优先级;
手动添加的多条ACL规则,位置越靠前的优先级越高;
OPC测试验证以现场实际测试结果为准,如采集器是否采集到数据,指令是否成功下发。若环境未部署完成,可搭建虚拟机环境进行测试。
准备两台pc分别部署XP系统虚拟机,并使用MatrikonOPC Server for Simulation工具做服务端,MatrikonOPC Explorer工具做客户端。
图26 使用工具
图27 OPC服务端配置
图28 OPC客户端配置
图29 新增OPC控制点
将所需TAG文件双击添加
确认新增TAG文件ID符合OPC策略集
图30 OPC控制点添加完成
当请求要求符合OPC策略时,OPC测试连接成功,ACL日志中显示结果状态为允许。
图31 白名单成功日志
当请求要求不符合OPC策略时,OPC测试连接失败,ACL日志中显示结果状态为拒绝。
图32 白名单外的业务访问验证
图33 白名单失败日志
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
