当前位置: 首页 > news >正文

华三ACL单向TCP互通组网-通过Established状态回包实现

一 组网说明

用户需求:

客户网络建设初期规划比较乱,并且经过多位运维工程师,不同区域之间服务器又没有防火墙,如果不同区域服务器之间互相通信会存在数据丢失的风险,所以需要不同区域服务器之间经过交换机的时候只能实现类似防火墙的单向访问。

如上图要实现Server1不可以主动telnet Server2,但是Server2可以主动telnet Server1,这样以保障Server2的数据不会丢失。(Server1和Server2都开启telnet服务)

二 设备配置

sysname SW

#

acl advanced 3000

description deny-tcp

rule 0 permit tcp source 192.168.1.2 0 destination 192.168.1.1 0

rule 5 permit tcp source 192.168.1.1 0 destination 192.168.1.2 0 established

rule 10 deny tcp//华三必须配置最后的拒绝acl,锐捷的不需要配置

#

interface GigabitEthernet1/0/1

port link-mode bridge

description To-Server1//在Server1的入方向接口是应用

combo enable fiber

packet-filter 3000 inbound

#

三 访问验证

3.1 SW配置ACL单向TCP访问前测试

1.Server1可以telnet Server2

<Server1>telnet 192.168.1.2

Trying 192.168.1.2 ...

Press CTRL+K to abort

Connected to 192.168.1.2 ...

******************************************************************************

* Copyright (c) 2004-2021 New H3C Technologies Co., Ltd. All rights reserved.*

* Without the owner's prior written consent, *

* no decompiling or reverse-engineering shall be allowed. *

******************************************************************************

<Server1>

2.Server2可以telnet Server1

<Server2>telnet 192.168.1.1

Trying 192.168.1.1 ...

Press CTRL+K to abort

Connected to 192.168.1.1 ...

******************************************************************************

* Copyright (c) 2004-2021 New H3C Technologies Co., Ltd. All rights reserved.*

* Without the owner's prior written consent, *

* no decompiling or reverse-engineering shall be allowed. *

******************************************************************************

<Server2>

3.2 SW配置ACL单向TCP访问后测试

1.Server1不能telnet Server2

<Server1>telnet 192.168.1.2

Trying 192.168.1.2 ...

Press CTRL+K to abort

Connected to 192.168.1.2 ...

2.但是Server2可以telnet Server1

<Server2>telnet 192.168.1.1

Trying 192.168.1.1 ...

Press CTRL+K to abort

Connected to 192.168.1.1 ...

******************************************************************************

* Copyright (c) 2004-2021 New H3C Technologies Co., Ltd. All rights reserved.*

* Without the owner's prior written consent, *

* no decompiling or reverse-engineering shall be allowed. *

******************************************************************************

<Server1>

http://www.gsyq.cn/news/1629531.html

相关文章:

  • Text-to-CAD:用语言重新定义三维设计范式
  • 如何快速配置ViGEmBus虚拟手柄驱动:5个高效技巧指南
  • Context Engineering 2026年中实战:Prompt、记忆、RAG、工具与评估五位一体
  • Go 服务优雅停机:K8s 发 SIGTERM 后不是立刻消失
  • 大模型轻量化选型避坑指南:效果与成本的真实评估方法
  • GalTransl:用AI技术彻底革新Galgame汉化体验的完整指南
  • 慢速HTTP攻击防御实战与LiqunKit工具深度解析
  • Si4732与PIC18F86J11构建高保真收音系统
  • 三步掌握WidescreenFixesPack:让经典游戏在宽屏显示器焕发新生
  • 高斯溅射渲染引擎gsplat:从零构建高性能3D重建开发环境
  • 服务治理——微服务的“交通管理“
  • palera1n越狱深度解析:解锁iOS设备的终极技术方案
  • 5分钟实现Windows毛玻璃特效:DWMBlurGlass美化指南
  • 运营不会写代码,也能用 Codex 做报表自动化和小工具吗?
  • 【lucene】codecs各格式的学习顺序
  • 零失败AI图片生成方案:Stable Diffusion实战指南
  • PCF8591与PIC18F2682的信号转换系统设计与优化
  • NoFences终极指南:免费开源桌面分区工具快速整理Windows桌面
  • AI编程不是替代程序员,而是重写职业契约(附Gartner认证能力矩阵与迁移路线图)
  • 真实场景下的机器学习Pipeline实战指南:从业务理解到模型上线
  • Jmeter压测实战:Shell脚本实现Linux服务器性能实时监控与自动化集成
  • 【信息科学与工程学】计算机科学与自动化——第五十七篇 计算性与不可计算性01
  • IDM激活脚本终极指南:永久解锁下载神器,告别30天试用限制
  • Potrace完全指南:如何将位图完美转换为矢量图形
  • ICM-42605与PIC32MZ的6DOF运动追踪系统设计
  • YOLOv8一站式实战指南:从零掌握图像分类、目标检测与实例分割
  • WidescreenFixesPack:让经典游戏在现代显示器上重获新生的技术解决方案
  • C#集成YOLOv8目标检测:30分钟实现工业视觉应用开发
  • 2026年中国自动驾驶真实图景:L2普及、L3落地与L4盈利全景实测
  • 基于Playwright的UI自动化测试平台:从架构设计到CI/CD集成