华三交换机ACL单向TCP互通组网

huainingning2026-06-28 20:03

一 组网说明

用户需求:

客户网络建设初期规划比较乱,并且经过多位运维工程师,不同区域之间服务器又没有防火墙,如果不同区域服务器之间互相通信会存在数据丢失的风险,所以需要不同区域服务器之间经过交换机的时候只能实现类似防火墙的单向访问。

如上图要实现Server1不可以主动telnet Server2,但是Server2可以主动telnet Server1,这样以保障Server2的数据不会丢失。(Server1和Server2都开启telnet服务)

二 设备配置

sysname SW

acl advanced 3000

description deny-tcp

rule 0 deny tcp source 192.168.1.1 0 destination 192.168.1.2 0 destination-port eq telnet syn 1

rule 5 permit ip

//限制Server1访问Server2的tcp syn包,1代表syn包置位,这里通过telnet tcp协议模拟

interface GigabitEthernet1/0/1

port link-mode bridge

description To-Server1 //在Server1的入方向接口是应用

combo enable fiber

packet-filter 3000 inbound

三 访问验证

3.1 SW配置ACL单向TCP访问前测试

1.Server1可以telnet Server2

<Server1>telnet 192.168.1.2

Trying 192.168.1.2 ...

Press CTRL+K to abort

Connected to 192.168.1.2 ...

******************************************************************************

* Copyright (c) 2004-2021 New H3C Technologies Co., Ltd. All rights reserved.*

* Without the owner's prior written consent, *

* no decompiling or reverse-engineering shall be allowed. *

******************************************************************************

<Server1>

2.Server2可以telnet Server1

<Server2>telnet 192.168.1.1

Trying 192.168.1.1 ...

Press CTRL+K to abort

Connected to 192.168.1.1 ...

******************************************************************************

* Copyright (c) 2004-2021 New H3C Technologies Co., Ltd. All rights reserved.*

* Without the owner's prior written consent, *

* no decompiling or reverse-engineering shall be allowed. *

******************************************************************************

<Server2>

3.2 SW配置ACL单向TCP访问后测试

1.Server1不能telnet Server2

<Server1>telnet 192.168.1.2

Trying 192.168.1.2 ...

Press CTRL+K to abort

Connected to 192.168.1.2 ...

2.但是Server2可以telnet Server1

<Server2>telnet 192.168.1.1

Trying 192.168.1.1 ...

Press CTRL+K to abort

Connected to 192.168.1.1 ...

******************************************************************************

* Copyright (c) 2004-2021 New H3C Technologies Co., Ltd. All rights reserved.*

* Without the owner's prior written consent, *

* no decompiling or reverse-engineering shall be allowed. *

******************************************************************************

<Server1>

热门推荐
012026年6月AI大模型全景报告:GPT-5.6、Claude Opus 4.8、Gemini 3.5,中美AI三足鼎立谁主沉浮?022026年6月AI行业全景:从百模大战到Agent元年,这30天发生了什么?032026 年 AI 编程工具终极横评:Cursor vs Claude Code vs Copilot vs Windsurf04飞书长连接_事件订阅(接收消息,审批任务状态变更)05Trae国际版与国内版深度测评:AI原生IDE的双生花06【AI】2026 年具身智能模型和世界模型总结07GitHub 镜像站点08Claude Code、Codex、Cursor三分天下:2026年AI编程Agent生态全景剖析092026年AI架构实战:彻底解决OpenAI接口超时与封号,Python调用GPT-5.2/Sora2企业级架构详解(附源码+压测报告)102026 AI 编程工具终极实战指南:Cursor vs Claude Code vs Copilot,开发者该怎么选?