華為交換機(jī)如何配置TCP單向訪(fǎng)問(wèn)。即A可以訪(fǎng)問(wèn)B,B不可以訪(fǎng)問(wèn)A。
無(wú)
配置如下:
#允許192.168.9.1訪(fǎng)問(wèn)192.168.9.2,不允許192.168.9.2訪(fǎng)問(wèn)192.168.9.1
acl number 3001
rule 5 permit tcp source 192.168.9.2 0 destination 192.168.9.1 0 tcp-flag ack
rule 10 deny tcp source 192.168.9.2 0 destination 192.168.9.1 0 tcp-flag syn
/先允許192.168.9.2返回帶ack標(biāo)志位的報(bào)文。然后禁止所有syn報(bào)文。
#
interface Ethernet0/0/2
traffic-filter inbound acl 3001
在華為上配置ACL rule時(shí),tcp-flag ack匹配的是帶有ack標(biāo)志位的tcp連接報(bào)文,而tcp syn匹配的是所有tcp連接報(bào)文。在配置ACL策略時(shí),匹配流分類(lèi)和流行為要注意順序,先匹配permit的,再匹配deny的。這樣的結(jié)果是deny了不帶有ack標(biāo)志位的tcp連接報(bào)文,即建立TCP連接過(guò)程的第一個(gè)不帶ack標(biāo)志位的請(qǐng)求報(bào)文。因此192.168.9.2發(fā)起tcp連接時(shí)第一個(gè)請(qǐng)求報(bào)文被deny而無(wú)法建立連接,192.168.9.1發(fā)起tcp連接時(shí),192.168.9.2發(fā)送tcp連接報(bào)文全部帶有ack標(biāo)志位,連接可以順利建立。