H3C的云平台虚拟机支持ACL包过滤防火墙功能,其实就是对云平台上虚拟机相互访问做限制 ,如下图所示:
H3C的云平台ACL包过滤的设置与路由交换设备的ACL包过滤的设置是类似的,设置步骤中也包含设置默认规则(默认规则也是不匹配所有规则之后,最后才执行默认规则);针对具体的需求设置明细规则,明细规则的匹配顺序按照创建的规则顺序匹配,每一条规则之间的关系是或的关系;最后把规则在虚拟机连接虚拟交换机的vnet接口生效,而且是有方向的(这里的方向是两个:进和出,注意:进和出方向都是针对虚拟交换机而言的,进指的是进入虚拟机进入虚拟交换机的流量,出这的是出虚拟交换机的流量)。配置示例如下图所示:
选择虚拟机,在虚拟机上选择“修改虚拟机”,会看到网络策略模板,默认是“default”,“default”代表虚拟机的虚拟网口默认是属于vlan1,并且该网络没有做任何访问。
进入“网络策略模板”,可以选择修改“default”策略,或者增加新的策略,如下图所示:
如选择增加策略,把名叫“VM2”的虚拟机的虚拟网口设置成VLAN2,让其只能与相同VLAN的虚拟机通信。
修改成功之后,“VM2”的虚拟机属于VLAN2,“VM1”的虚拟机属于默认的VLAN1,那么两个虚拟机之间不能通信,如下图所示:
同样,还可以在虚拟机的“修改虚拟机”选项中,选择增加“网络策略模板”,添加ACL包过滤防火墙功能,让原来可以相互ping通的虚拟机不能相互ping通,如下图所示:
默认规则在“出”和“入”方向使用默认规则“允许”,在此基础上增加新的规则,在虚拟机“VM1”上不允许ping通“VM2”的虚拟机,并且方向使用在“VM1”的虚拟网卡进入虚拟交换机的进方向上。如下图所示:
配置成功之后,“VM1”不能ping通“VM2”的虚拟机,如下图所示:
因为我们配置的只是限制“VM1”ping通“VM2”,不属于这条规则的那么匹配默认规则,默认规则是允许,那么其他的访问不受限制,所以“VM1”可以远程登录“VM2”,如下图所示:
閱讀更多 王海軍老師 的文章
