華為(wèi)交換機(jī)如(rú)何配置TCP ¶單向訪問(wèn)。即A可(kě)以訪問( '€wèn)B,B不(bù)可(kě)以訪問(wèn)A。
無
配置如(rú)下(xià):
#允許192.168.9.1訪問(wèn)192.168.9.2,不< •≠(bù)允許192.168.9.2訪問(wèn)19♠₩γφ2.168.9.1
acl number 3001
rule 5 permit tcp source 192.16$>8.9.2 0 destination 192.168.9.1 0 ×☆tcp-flag ack
rule 10 deny tcp source 192.168.9.">★ 2 0 destination 192.168.9.1 0 t∑∑cp-flag syn
/先允許192.168.9.2返回帶ack标志(zhì)位的(d∏§e)報(bào)文(wén)。然後禁止所有(y≤σ₽ǒu)syn報(bào)文(wén)。
#
interface Ethernet0/0/2
traffic-filter inbound acl 30¶$∑01
在華為(wèi)上(shàng)配置A≈€±CL rule時(shí),tcp-flag ack匹配的(de)是(shìφ↔✔)帶有(yǒu)ack标志(zhì)位的(de)tcp連接報(β¶Ωbào)文(wén),而tcp syn匹配的(de)是(shì)所有(yǒu•®β≈)tcp連接報(bào)文(wén)。在配置ACL策略時(shí),匹配流∞☆♠₩分(fēn)類和(hé)流行(xíng)為(wèi)要(yào)注意順♥™序,先匹配permit的(de),再匹配deny的(de)。這©σ(zhè)樣的(de)結果是(shì)deny了(le)不(bù)帶有∏∑♦(yǒu)ack标志(zhì)位的(de)tcp連接報(bào)文(w®→≥αén),即建立TCP連接過程的(de)第一(yī)個(gè)不×↑λ'(bù)帶ack标志(zhì)位的(de)請(qǐng)求報(bào)文(wé♦±n)。因此192.168.9.2發起tcp連接時(shí)第一&δ±✘(yī)個(gè)請(qǐng)求報(bào)文(÷₹®→wén)被deny而無法建立連接,192.168.9₽ .1發起tcp連接時(shí),192.168.9.2發送tcp♥≤連接報(bào)文(wén)全部帶有(yǒu)ack标志(zhì)位,& 連接可(kě)以順利建立。