S5500-EI交換機利用ACL實現TCP單向訪問的配置

一、 組網需求：

2個網段通過一臺S5500-EI互聯，要求網段A可以訪問網段B，網段B不能訪問網段A。

二、 組網圖：

S5500-EI交換機G1/0/23埠連線Vlan 100，G1/0/24埠連線Vlan 200。

S5500-EI交換機版本必須為R2202P05以上。

三、 配置步驟：

#配置埠、虛介面

[H3C]vlan 100

[H3C-vlan100]port GigabitEthernet 1/0/23

[H3C-vlan100]quit

[H3C]interface Vlan-interface 100

[H3C-Vlan-interface100]ip address 1.1.1.1 24

[H3C-Vlan-interface100]quit

[H3C]vlan 200

[H3C-vlan200]port GigabitEthernet 1/0/24

[H3C-vlan200]quit

[H3C]interface Vlan-interface 200

[H3C-Vlan-interface200]ip address 2.2.2.1 24

#建立ACL，其中第1條匹配TCP連線請求報文，第2條匹配TCP連線建立報文

[H3C]acl number 3001

[H3C-acl-adv-3001]rule 0 permit tcp established source 2.2.2.0 0.0.0.255 destination 1.1.1.0 0.0.0.255

[H3C-acl-adv-3001]quit

[H3C]acl number 3002

[H3C-acl-adv-3002]rule 0 permit tcp source 2.2.2.0 0.0.0.255 destination 1.1.1.0 0.0.0.255

#建立流分類，匹配相應的ACL

[H3C]traffic classifier 3001

[H3C-classifier-3001]if-match acl 3001

[H3C-classifier-3001]quit

[H3C]traffic classifier 3002

[H3C-classifier-3002]if-match acl 3002

#建立流行為，permit TCP連線建立報文，deny從 Vlan 200傳送的TCP連線建立請求報文

[H3C]traffic behavior 3001

[H3C-behavior-3001]filter permit

[H3C-behavior-3001]quit

[H3C]traffic behavior 3002

[H3C-behavior-3002]filter deny

#建立Qos策略，關聯流分類和流行為

[H3C]qos policy 3000

[H3C-qospolicy-3000]classifier 3001 behavior 3001

[H3C-qospolicy-3000]classifier 3002 behavior 3002

#在Vlan 200埠入方向下發Qos策略

[H3C]interface GigabitEthernet 1/0/24

[H3C-GigabitEthernet1/0/24]qos apply policy 3000 inbound

四、 配置關鍵點：

1.  在配置ACL和Qos策略前必須全網路由可達。如果S5500-EI兩端連線的是交換機，則需要配置路由協議或在兩端交換機上配置到對方網段的靜態路由。

2.  在S5500-EI上配置ACL rule時，tcp established匹配的是帶有ack標誌位的tcp連線報文，而tcp匹配的是所有tcp連線報文。在配置Qos策略時，匹配流分類和流行為要注意順序，先匹配permit的，再匹配deny的。這樣的結果是在入方向deny了不帶有ack標誌位的tcp連線報文，其它tcp連線報文均能正常通過。因此Vlan 200所在網段發起tcp連線時第一個請求報文被deny而無法建立連線，Vlan 100所在網段發起tcp連線時，Vlan 200所在網段傳送的都是帶有ack標誌位的tcp連線報文，連線可以順利建立。

3.  S5500-EI從R2202P05版本開始，在ACL中添加了Established欄位，之前的版本無法實現TCP單向訪問功能。