欢迎访问南京建策科技股份有限公司! 分支机构: 南京 | 广州 | 合肥 | 长沙 | 上海 | 扬州 | 常州
 最新动态 NEWS     More...
恭喜我司获得江苏省计算机学会...
【喜报】恭喜建策学员张强、卞...
建策锦鲤中奖公布|万众瞩目,...
【喜讯】祝贺我司学员刘元、陈...
2019年H3C认证考试的证...
来来来,我们一起围观TE机架...

 

  网站位置:首页 > 学习交流 > 技术文档下载
CAS系统ACL包过滤防火墙功能
[2019-1-9]

H3C的云平台虚拟机支持ACL包过滤防火墙功能,其实就是对云平台上虚拟机相互访问做限制,如下图所示:

H3C的云平台ACL包过滤的设置与路由交换设备的ACL包过滤的设置是类似的,设置步骤中也包含设置默认规则(默认规则也是不匹配所有规则之后,最后才执行默认规则);针对具体的需求设置明细规则,明细规则的匹配顺序按照创建的规则顺序匹配,每一条规则之间的关系是或的关系;最后把规则在虚拟机连接虚拟交换机的vnet接口生效,而且是有方向的(这里的方向是两个:进和出,注意:进和出方向都是针对虚拟交换机而言的,进指的是进入虚拟机进入虚拟交换机的流量,出这的是出虚拟交换机的流量)。配置示例如下图所示:

选择虚拟机,在虚拟机上选择“修改虚拟机”,会看到网络策略模板,默认是“default”,“default”代表虚拟机的虚拟网口默认是属于vlan1,并且该网络没有做任何访问。


进入“网络策略模板”,可以选择修改“default”策略,或者增加新的策略,如下图所示:


如选择增加策略,把名叫“VM2”的虚拟机的虚拟网口设置成VLAN2,让其只能与相同VLAN的虚拟机通信。

修改成功之后,“VM2”的虚拟机属于VLAN2,“VM1”的虚拟机属于默认的VLAN1,那么两个虚拟机之间不能通信,如下图所示:

同样,还可以在虚拟机的“修改虚拟机”选项中,选择增加“网络策略模板”,添加ACL包过滤防火墙功能,让原来可以相互ping通的虚拟机不能相互ping通,如下图所示:


默认规则在“出”和“入”方向使用默认规则“允许”,在此基础上增加新的规则,在虚拟机“VM1”上不允许ping通“VM2”的虚拟机,并且方向使用在“VM1”的虚拟网卡进入虚拟交换机的进方向上。如下图所示:

配置成功之后,“VM1”不能ping通“VM2”的虚拟机,如下图所示:


因为我们配置的只是限制“VM1”ping通“VM2”,不属于这条规则的那么匹配默认规则,默认规则是允许,那么其他的访问不受限制,所以“VM1”可以远程登录“VM2”,如下图所示:

如果您对技术帖内容有任何疑问,请联系官方邮箱:jcit@jiancenj.com,也欢迎广大学员踊跃投稿,一经录用,有稿费酬谢

友情链接
 
瞻博网络
华三
红帽
华三
瞻博网络
 Copyright @ 2016-2019 www.jiancenj.com All Rights Reserved. 版权所有 建策科技 苏ICP备11058165号
 总 部地 址:南京市玄武区洪武北路55号斯亚•置地广场23楼 联系电话: 025-84804339;84804652
 广州办事处:广州市天河区天河北路906号高科大厦A座11楼 联系电话:020-22233596、020-22233426
 长沙办事处:长沙市韶山北路139号湖南文化大厦2103室    联系电话:0731-82812056 82812057
 合肥办事处:合肥市南二环路与马鞍山路交口加侨国际广场A栋2111-2112室 联系电话:0551-65670518
 上海办事处:上海普陀区真南路1008号上海信息技术学院8号楼114室
 常州办事处:常州市武进区科教城创研港3A804 18662714115
 扬州办事处:扬州市邗江区润扬南路33号南京邮电大学通达学院2号实验楼2203-2206室