欢迎来到天天文库
浏览记录
ID:40554461
大小:56.50 KB
页数:9页
时间:2019-08-04
《H3C-ACL单向访问》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库。
1、S5500-EI交换机利用ACL实现TCP单向访问的配置 一、组网需求:2个网段通过一台S5500-EI互联,要求网段A可以访问网段B,网段B不能访问网段A。二、组网图:S5500-EI交换机G1/0/23端口连接Vlan100,G1/0/24端口连接Vlan200。S5500-EI交换机版本必须为R2202P05以上。三、配置步骤:#配置端口、虚接口[H3C]vlan100[H3C-vlan100]portGigabitEthernet1/0/23[H3C-vlan100]quit[H3C]interfaceVlan-interface
2、100[H3C-Vlan-interface100]ipaddress1.1.1.124[H3C-Vlan-interface100]quit[H3C]vlan200[H3C-vlan200]portGigabitEthernet1/0/24[H3C-vlan200]quit[H3C]interfaceVlan-interface200[H3C-Vlan-interface200]ipaddress2.2.2.124#创建ACL,其中第1条匹配TCP连接请求报文,第2条匹配TCP连接建立报文[H3C]aclnumber3001[H3C-a
3、cl-adv-3001]rule0permittcpestablishedsource2.2.2.00.0.0.255destination1.1.1.00.0.0.255[H3C-acl-adv-3001]quit[H3C]aclnumber3002[H3C-acl-adv-3002]rule0permittcpsource2.2.2.00.0.0.255destination1.1.1.00.0.0.255#创建流分类,匹配相应的ACL[H3C]trafficclassifier3001[H3C-classifier-3001]if-
4、matchacl3001[H3C-classifier-3001]quit[H3C]trafficclassifier3002[H3C-classifier-3002]if-matchacl3002#创建流行为,permitTCP连接建立报文,deny从Vlan200发送的TCP连接建立请求报文[H3C]trafficbehavior3001[H3C-behavior-3001]filterpermit[H3C-behavior-3001]quit[H3C]trafficbehavior3002[H3C-behavior-3002]fil
5、terdeny#创建Qos策略,关联流分类和流行为[H3C]qospolicy3000[H3C-qospolicy-3000]classifier3001behavior3001[H3C-qospolicy-3000]classifier3002behavior3002#在Vlan200端口入方向下发Qos策略[H3C]interfaceGigabitEthernet1/0/24[H3C-GigabitEthernet1/0/24]qosapplypolicy3000inbound四、配置关键点:1. 在配置ACL和Qos策略前必须全网路
6、由可达。如果S5500-EI两端连接的是交换机,则需要配置路由协议或在两端交换机上配置到对方网段的静态路由。2. 在S5500-EI上配置ACLrule时,tcpestablished匹配的是带有ack标志位的tcp连接报文,而tcp匹配的是所有tcp连接报文。在配置Qos策略时,匹配流分类和流行为要注意顺序,先匹配permit的,再匹配deny的。这样的结果是在入方向deny了不带有ack标志位的tcp连接报文,其它tcp连接报文均能正常通过。因此Vlan200所在网段发起tcp连接时第一个请求报文被deny而无法建立连接,Vlan10
7、0所在网段发起tcp连接时,Vlan200所在网段发送的都是带有ack标志位的tcp连接报文,连接可以顺利建立。3. S5500-EI从R2202P05版本开始,在ACL中添加了Established字段,之前的版本无法实现TCP单向访问功能。 trafficclassifier3001operatorand建立流分类if-matchacl3001引入ACLtrafficclassifier3002operatorandif-ma
8、tchacl3002#trafficbehavior3001建立流行为filterpermittrafficbehavior3002filterdeny#qospolicy3000建立qos策
此文档下载收益归作者所有