返回
H3C-ACL单向访问

H3C-ACL单向访问

ID:40554461

大小:56.50 KB

页数:9页

时间:2019-08-04

H3C-ACL单向访问_第1页
H3C-ACL单向访问_第2页
H3C-ACL单向访问_第3页
H3C-ACL单向访问_第4页
H3C-ACL单向访问_第5页
资源描述:

《H3C-ACL单向访问》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、S5500-EI交换机利用ACL实现TCP单向访问的配置 一、组网需求:2个网段通过一台S5500-EI互联,要求网段A可以访问网段B,网段B不能访问网段A。二、组网图:S5500-EI交换机G1/0/23端口连接Vlan100,G1/0/24端口连接Vlan200。S5500-EI交换机版本必须为R2202P05以上。三、配置步骤:#配置端口、虚接口[H3C]vlan100[H3C-vlan100]portGigabitEthernet1/0/23[H3C-vlan100]quit[H3C]interfaceVlan-interface

2、100[H3C-Vlan-interface100]ipaddress1.1.1.124[H3C-Vlan-interface100]quit[H3C]vlan200[H3C-vlan200]portGigabitEthernet1/0/24[H3C-vlan200]quit[H3C]interfaceVlan-interface200[H3C-Vlan-interface200]ipaddress2.2.2.124#创建ACL,其中第1条匹配TCP连接请求报文,第2条匹配TCP连接建立报文[H3C]aclnumber3001[H3C-a

3、cl-adv-3001]rule0permittcpestablishedsource2.2.2.00.0.0.255destination1.1.1.00.0.0.255[H3C-acl-adv-3001]quit[H3C]aclnumber3002[H3C-acl-adv-3002]rule0permittcpsource2.2.2.00.0.0.255destination1.1.1.00.0.0.255#创建流分类,匹配相应的ACL[H3C]trafficclassifier3001[H3C-classifier-3001]if-

4、matchacl3001[H3C-classifier-3001]quit[H3C]trafficclassifier3002[H3C-classifier-3002]if-matchacl3002#创建流行为,permitTCP连接建立报文,deny从Vlan200发送的TCP连接建立请求报文[H3C]trafficbehavior3001[H3C-behavior-3001]filterpermit[H3C-behavior-3001]quit[H3C]trafficbehavior3002[H3C-behavior-3002]fil

5、terdeny#创建Qos策略,关联流分类和流行为[H3C]qospolicy3000[H3C-qospolicy-3000]classifier3001behavior3001[H3C-qospolicy-3000]classifier3002behavior3002#在Vlan200端口入方向下发Qos策略[H3C]interfaceGigabitEthernet1/0/24[H3C-GigabitEthernet1/0/24]qosapplypolicy3000inbound四、配置关键点:1. 在配置ACL和Qos策略前必须全网路

6、由可达。如果S5500-EI两端连接的是交换机,则需要配置路由协议或在两端交换机上配置到对方网段的静态路由。2. 在S5500-EI上配置ACLrule时,tcpestablished匹配的是带有ack标志位的tcp连接报文,而tcp匹配的是所有tcp连接报文。在配置Qos策略时,匹配流分类和流行为要注意顺序,先匹配permit的,再匹配deny的。这样的结果是在入方向deny了不带有ack标志位的tcp连接报文,其它tcp连接报文均能正常通过。因此Vlan200所在网段发起tcp连接时第一个请求报文被deny而无法建立连接,Vlan10

7、0所在网段发起tcp连接时,Vlan200所在网段发送的都是带有ack标志位的tcp连接报文,连接可以顺利建立。3. S5500-EI从R2202P05版本开始,在ACL中添加了Established字段,之前的版本无法实现TCP单向访问功能。                                                        trafficclassifier3001operatorand建立流分类if-matchacl3001引入ACLtrafficclassifier3002operatorandif-ma

8、tchacl3002#trafficbehavior3001建立流行为filterpermittrafficbehavior3002filterdeny#qospolicy3000建立qos策

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。