H3C访问控制列表答疑

henry0576

大家首先看一下以下的几行关键配置：
acl number 3020
rule 0 permit icmp source 192.168.0.0 0.0.255.255 destination 192.168.0.0 0.0.255.255 icmp-type echo
rule 1 permit ip source 192.168.2.0 0.0.0.255 destination 192.168.2.0 0.0.0.255
rule 2 permit ip source 192.168.9.0 0.0.0.255 destination 192.168.2.0 0.0.0.255
rule 3 permit tcp source 192.168.0.0 0.0.255.255 destination 192.168.2.0 0.0.0.255 destination-port eq www
rule 4 permit ip source 192.168.0.0 0.0.255.255 destination 192.168.2.88 0
rule 5 permit tcp source 192.168.0.0 0.0.255.255 destination 192.168.2.8 0 destination-port eq 1433
rule 20 permit tcp source 192.168.0.0 0.0.255.255 destination 192.168.2.150 0
rule 21 permit tcp source 192.168.0.0 0.0.255.255 destination 192.168.2.92 0
rule 22 permit tcp source 192.168.0.0 0.0.255.255 destination 192.168.2.94 0
rule 23 permit tcp source 192.168.0.0 0.0.255.255 destination 192.168.2.9 0
rule 90 deny ip source 192.168.0.0 0.0.255.255 destination 192.168.2.0 0.0.0.255


interface Vlan-interface6
ip address 192.168.6.1 255.255.255.0
packet-filter 3020 inbound


该配置是一台H3C 7560的部分ACL配置，我只截取了部分相关的，7560三层交换机根据各个网段配置了多个VLAN，同时没有通过trunk口级联其它交换机，都是配置某个端口为某个VLAN得一个access端口，该配置的ACL目的是限制VLAN 6也就是192.168.6.0/24网段的机器只能访问特定的192.168.9.0/24以及192.168.2.0/24的某几个特定的主机/端口，调用的时候是使用了Inbound参数

配置上肯定有不合理的地方，先不讨论配置的合理地方，这样的一个配置表，正常情况下应该会有哪些作用呢？就拿最简单的远程桌面来说吧，按照配置上的A CL表我一台192.168.9.0/24网段的机器应该是无法远程上VLAN 6上的任何一台机器吧，甚至访问共享都不能，但事实上是可以的，这是我的疑惑一！

因为调用的时候是用了inbound参数而不是outbound，那么该ACL控制功能应该都不对的，那么是否说明对于VLAN 虚拟端口来说，inbound和outbound效果是一样的，没有区别的呢？这是疑惑2！

望大大们来解答讨论一下，谢谢！

henry0576

不是吧，没人回答？

王明皓

http://mail.qq.com/cgi-bin/frame ... 51ab7f18906605a478a
这是我弄得7706设备的，给你参考一下吧

王明皓

华为设备，看的是你最后的动作，你最后那块写的有点问题

henry0576

王明皓 发表于 2014-8-20 14:37
华为设备，看的是你最后的动作，你最后那块写的有点问题

这个我知道，最后这句packet-filter 3020 inbound 其实按照我的需求应该是packet-filter 3020 outbound的，这些配置是以前的同事写的，我现在要确认的就是两条语句是否能达到同样的效果，因为实际上是有效果的，所以才很疑惑

henry0576

呃。。。。没人再来解答一下了么

沉默寡言的唐僧

inboud 是本VLAN内的PC通过网关出去的方向
outbound 是其他VLAN访问本VLAN的方向