当前位置: 首页 > news >正文

华三ACL单向TCP互通组网-通过Established状态回包实现

一 组网说明

用户需求:

客户网络建设初期规划比较乱,并且经过多位运维工程师,不同区域之间服务器又没有防火墙,如果不同区域服务器之间互相通信会存在数据丢失的风险,所以需要不同区域服务器之间经过交换机的时候只能实现类似防火墙的单向访问。

如上图要实现Server1不可以主动telnet Server2,但是Server2可以主动telnet Server1,这样以保障Server2的数据不会丢失。(Server1和Server2都开启telnet服务)

二 设备配置

sysname SW

#

acl advanced 3000

description deny-tcp

rule 0 permit tcp source 192.168.1.2 0 destination 192.168.1.1 0

rule 5 permit tcp source 192.168.1.1 0 destination 192.168.1.2 0 established

rule 10 deny tcp//华三必须配置最后的拒绝acl,锐捷的不需要配置

#

interface GigabitEthernet1/0/1

port link-mode bridge

description To-Server1//在Server1的入方向接口是应用

combo enable fiber

packet-filter 3000 inbound

#

三 访问验证

3.1 SW配置ACL单向TCP访问前测试

1.Server1可以telnet Server2

<Server1>telnet 192.168.1.2

Trying 192.168.1.2 ...

Press CTRL+K to abort

Connected to 192.168.1.2 ...

******************************************************************************

* Copyright (c) 2004-2021 New H3C Technologies Co., Ltd. All rights reserved.*

* Without the owner's prior written consent, *

* no decompiling or reverse-engineering shall be allowed. *

******************************************************************************

<Server1>

2.Server2可以telnet Server1

<Server2>telnet 192.168.1.1

Trying 192.168.1.1 ...

Press CTRL+K to abort

Connected to 192.168.1.1 ...

******************************************************************************

* Copyright (c) 2004-2021 New H3C Technologies Co., Ltd. All rights reserved.*

* Without the owner's prior written consent, *

* no decompiling or reverse-engineering shall be allowed. *

******************************************************************************

<Server2>

3.2 SW配置ACL单向TCP访问后测试

1.Server1不能telnet Server2

<Server1>telnet 192.168.1.2

Trying 192.168.1.2 ...

Press CTRL+K to abort

Connected to 192.168.1.2 ...

2.但是Server2可以telnet Server1

<Server2>telnet 192.168.1.1

Trying 192.168.1.1 ...

Press CTRL+K to abort

Connected to 192.168.1.1 ...

******************************************************************************

* Copyright (c) 2004-2021 New H3C Technologies Co., Ltd. All rights reserved.*

* Without the owner's prior written consent, *

* no decompiling or reverse-engineering shall be allowed. *

******************************************************************************

<Server1>

http://www.jsqmd.com/news/1117552/

相关文章:

  • Text-to-CAD:用语言重新定义三维设计范式
  • ICM-42688-P与PIC18LF4620在机器人控制与工业监测中的应用
  • 如何免费永久使用IDM:开源激活脚本的完整解决方案
  • 备战Java面试:从基础到框架的完整复习路线
  • Passwordstate高危认证绕过漏洞深度剖析与修复加固实战
  • IIM-42652与PIC18F86K90实现6DoF运动追踪方案
  • 如何快速配置ViGEmBus虚拟手柄驱动:5个高效技巧指南
  • Go 服务优雅停机:K8s 发 SIGTERM 后不是立刻消失
  • 第二章Netty,入门版HelloWorld
  • Context Engineering 2026年中实战:Prompt、记忆、RAG、工具与评估五位一体
  • 3步掌握ComfyUI-WanVideoWrapper:让AI视频生成变得简单[特殊字符]
  • 数字控制DC-DC降压转换器设计与PIC32MZ实现
  • Play Integrity Fix解决方案:Android设备认证修复技术路径
  • 企业级分布式监控系统部署实战:构建高可用网络监控架构
  • 大模型轻量化选型避坑指南:效果与成本的真实评估方法
  • GalTransl:用AI技术彻底革新Galgame汉化体验的完整指南
  • 【AI编程实战避坑指南】:20年技术老兵亲述3大血泪教训与5个立竿见影优化策略
  • 如何快速解决Windows软件运行问题:一站式Visual C++运行库终极方案
  • git rebase到底是什么意思?
  • AI对话系统中的JSON结构化记忆设计与实践
  • 戴森球计划终极蓝图指南:从新手到大师的工厂设计革命
  • 思源宋体中文版:7种字重免费商用字体完全指南
  • ModelOps实战指南:破解模型上线后的七大致命断点
  • AI护航五层实时架构:从输入净化到人工接管的工程实践
  • 为什么你的Custom Instructions总被覆盖?揭秘模型推理链中第4层token-level指令拦截机制(附可复现调试工具包)
  • 三步掌握WidescreenFixesPack:让经典游戏在宽屏显示器焕发新生
  • 通往AGI的具身之路——TVA自适应协同进化系统(4)
  • 2026年最新实用英语教学软件推荐 帮你避开选品的常见误区
  • 怎样免费实现百度网盘高速下载:5分钟部署直链解析工具终极指南
  • 5步快速上手:XUnity Auto Translator终极Unity游戏翻译指南