交换机V100R005以后版本可以通过下面的方法配置针对TCP和ICMP报文的单向访问。
下面是交换机实现从A不能访问B,但能从B访问A需求的示例
假设192.168.10.0是A的地址段(属于VLAN10),192.168.20.0是B的地址段(属于VLAN20)
1、创建ACL,制定访问控制规则(默认是permit)
acl 3000
rule 5 permit tcp source 192.168.10.0 0.0.0.255 destination 192.168.20.0 0.0.0.255 tcp-flag syn ack //允许A响应B的TCP连接
rule 10 deny tcp source 192.168.10.0 0.0.0.255 destination
192.168.20.0 0.0.0.255 tcp-flag syn //拒绝A向B发起的TCP连接
rule 15 deny icmp source 192.168.10.0 0.0.0.255 destination 192.168.20.0 0.0.0.255 icmp-type echo //拒绝A向B发起的ping请求
quit
2、配置流分类,匹配ACL
traffic classifier c1
if-match acl 3000
quit
3、配置流行为(默认是permit)
traffic behavior b1
quit
4、配置流策略,关联流分类和流行为
traffic policy p1
classifier c1 behavior b1
quit
5、应用流策略
应用到接口上(连接A的网段的接口)
interface gigabitethernet 1/0/1
traffic-policy p1 inbound
或者应用到vlan上
vlan 10
traffic-policy p1 inbound
或者在全局应用
traffic-policy p1 global inbound
说明:支持traffic-filter命令的设备,也可以使用该命令简化流策略的配置