交換機V100R005以后版本可以通過下面的方法配置針對TCP和ICMP報文的單向訪問。
下面是交換機實現從A不能訪問B,但能從B訪問A需求的示例
假設192.168.10.0是A的地址段(屬於VLAN10),192.168.20.0是B的地址段(屬於VLAN20)
1、創建ACL,制定訪問控制規則(默認是permit)
acl 3000
rule 5 permit tcp source 192.168.10.0 0.0.0.255 destination 192.168.20.0 0.0.0.255 tcp-flag syn ack //允許A響應B的TCP連接
rule 10 deny tcp source 192.168.10.0 0.0.0.255 destination 192.168.20.0 0.0.0.255 tcp-flag syn //拒絕A向B發起的TCP連接
rule 15 deny icmp source 192.168.10.0 0.0.0.255 destination 192.168.20.0 0.0.0.255 icmp-type echo //拒絕A向B發起的ping請求
quit
2、配置流分類,匹配ACL
traffic classifier c1
if-match acl 3000
quit
3、配置流行為(默認是permit)
traffic behavior b1
quit
4、配置流策略,關聯流分類和流行為
traffic policy p1
classifier c1 behavior b1
quit
5、應用流策略
應用到接口上(連接A的網段的接口)
interface gigabitethernet 1/0/1
traffic-policy p1 inbound
或者應用到vlan上
vlan 10
traffic-policy p1 inbound
或者在全局應用
traffic-policy p1 global inbound
說明:支持traffic-filter命令的設備,也可以使用該命令簡化流策略的配置