H3C利用ACL实现VLAN单向访问

18 五月, 2017

企业网络中,因为安全问题可能需要做单向访问控制,既A网络可以访问B网络,但反过来B网络不能访问A网络,针对这个需求,可以采用ACL单向访问控制来实现。

实现原理:大家都知道TCP有三次握手来建立连接,交换机侦测tcp标志位就可以知道TCP连接是已经建立过的还是即将新建,当TCP连接建立后,B发送往A的TCP报文均带有ACK标志位。原理弄清楚后这样我们只需要过滤掉B到A方向上TCP报文中仅有SYN标志位的报文就能实现单向访问。

本示例采用H3C S5500网管型交换机

场景: Vlan2能访问Vlan3,但Vlan3不能访问Vlan2.
关键: H3C交换机在ACL命令中提供established 参数,established代表一种状态,表示已经建立的连接。

[H3C]vlan 2 [H3C-vlan2]port GigabitEthernet 1/0/1 [H3C-vlan2]quit
[H3C]interface Vlan-interface 2 [H3C-Vlan-interface2]ip address 192.168.1.254 24 [H3C-Vlan-interface2]quit [H3C]vlan 3
[H3C-vlan3]port GigabitEthernet 1/0/2 [H3C-vlan3]quit
[H3C]interface Vlan-interface 3
[H3C-Vlan-interface3]ip address 192.168.2.254 24 [H3C]acl number 3000 [H3C-acl-adv-3000]rule 0 permit tcp established source 192.168.2.0 0.0.0.255 destination 192.168.1.0 0.0.0.255 [H3C-acl-adv-3000]quit [H3C]acl number 3001
[H3C-acl-adv-3001]rule 0 permit tcp source 192.168.2.0 0.0.0.255 destination 192.168.1.0 0.0.0.255 [H3C]traffic classifier 3000
[H3C-classifier-3000]if-match acl 3000 [H3C-classifier-3000]quit
[H3C]traffic classifier 3001
[H3C-classifier-3001]if-match acl 3001
[H3C]traffic behavior 3000 [H3C-behavior-3000]filter permit [H3C-behavior-3000]quit [H3C]traffic behavior 3001 [H3C-behavior-3001]filter deny [H3C]qos policy 3000-1
[H3C-qospolicy-3000-1]classifier 3000 behavior 3000 [H3C-qospolicy-3000-1]classifier 3001 behavior 3001 [H3C-qospolicy-3000-1]quit [H3C]interface GigabitEthernet 1/0/2
[H3C-GigabitEthernet1/0/2]qos apply policy 3000-1 inbound

H3C新版本的固件增加了更加详细的TCP标志位控制(TCP flag:ack、fin、psh、rst、syn、urg),使得匹配更为精确,配置更为灵活。将以上配置中的acl上做修改,即可应用在新版固件中。

[H3C-acl-adv-3000]rule 0 permit tcp ACK 1 source 192.168.2.0 0.0.0.255 destination 192.168.1.0 0.0.0.255 [H3C-acl-adv-3001]rule 0 permit tcp SYN 1 source 192.168.2.0 0.0.0.255 destination 192.168.1.0 0.0.0.255