網(wǎng)絡(luò)一向不只是能通就好,很多場(chǎng)景里面,都會(huì)有特殊的需求,比如說,有時(shí)候需要配置VLAN之間TCP的單向訪問——在下圖中,要求只允許PC1主動(dòng)與PC2建立TCP連接,而不允許PC2主動(dòng)發(fā)起與PC1的TCP連接。
針對(duì)客戶的要求,打算配置高級(jí)ACL和基于ACL的流分類,通過限制ICMP和TCP連接的方式實(shí)現(xiàn)PC1到PC2的單向訪問。
實(shí)際上的網(wǎng)絡(luò)架構(gòu)當(dāng)然不可能這么簡單,本文只為展示TCP單向發(fā)起通訊的配置方法,所以其他因素暫不考慮,也就暫時(shí)不需要引入其他的設(shè)備了。
配置步驟如下:
- 配置VLAN參數(shù)
<HUAWEI> system-view
[HUAWEI] sysname Sw1
[Sw1] vlan batch 10 20 # 創(chuàng)建VLAN10和VLAN20
[Sw1] interface vlanif 10
[Sw1-Vlanif10] ip address 10.1.1.1 24
[Sw1-Vlanif10] quit
[Sw1] interface vlanif 20
[Sw1-Vlanif20] ip address 10.1.2.1 24
[Sw1-Vlanif20] quit
2、配置物理接口
[Sw1] interface gigabitethernet 0/0/1
[Sw1-GigabitEthernet0/0/1] port link-type trunk
[Sw1-GigabitEthernet0/0/1] port trunk allow-pass vlan 10
[Sw1-GigabitEthernet0/0/1] quit
[Sw1] interface gigabitethernet 0/0/2
[Sw1-GigabitEthernet0/0/2] port link-type trunk
[Sw1-GigabitEthernet0/0/2] port trunk allow-pass vlan 20
[Sw1-GigabitEthernet0/0/2] quit
3、配置高級(jí)ACL
[Sw1] acl 3001
[Sw1-acl-adv-3001] rule permit tcp source 10.1.2.0 0.0.0.255 destination 10.1.1.0 0.0.0.255 tcp-flag syn ack
[Sw1-acl-adv-3001] rule deny tcp source 10.1.2.0 0.0.0.255 destination 10.1.1.0 0.0.0.255 tcp-flag syn
[Sw1-acl-adv-3001] rule deny icmp source 10.1.2.0 0.0.0.255 destination 10.1.1.0 0.0.0.255 icmp-type echo
[Sw1-acl-adv-3001] quit
- 配置匹配于高級(jí)ACL的流分類
[Sw1] traffic classifier c1
[Sw1-classifier-c1] if-match acl 3001
[Sw1-classifier-c1] quit
- 配置流行為
[Sw1] traffic behavior b1
[Sw1-behavior-b1] permit
[Sw1-behavior-b1] quit
- 配置流策略,將流分類與流行為關(guān)聯(lián)
[Sw1] traffic policy p1
[Sw1-trafficpolicy-p1] classifier c1 behavior b1
[Sw1-trafficpolicy-p1] quit
- 在接口下應(yīng)用流策略
[Sw1] interface gigabitethernet 0/0/2
[Sw1-GigabitEthernet0/0/2] traffic-policy p1 inbound
[Sw1-GigabitEthernet0/0/2] quit
最后提醒一下,不要在模擬器里面實(shí)驗(yàn)這個(gè)配置,因?yàn)橥耆珱]有效果,此時(shí),如果把流行為修改為deny,那就雙向都不通了,可能是模擬器的BUG,也可能是我水平問題,就算是用traffic-filter vlan 20 inbound acl 3001也還是不行。
