单向访问--类似自反ACL功能

1.6.1 适用产品和版本

表5 配置适用的产品与软件版本关系

产品软件版本

S5830V2&S5820V2系列以太网交换机Release 2208P01，Release 2210

1.6.2 组网需求

图5 仅允许由指定网络发起TCP 连接

要求通过配置ACL，实现：

•在10.1.1.0/24 网段的主机与服务器之间进行通信时，仅允许由主机向服务器发起和建立TCP

连接，不允许由服务器向主机发起TCP 连接。

•在10.1.2.0/24 网段的主机与服务器之间进行通信时，不对TCP 连接发起方进行。

1-9

1.6.3 配置思路

在高级ACL 的规则中，提供了established 参数，用于匹配TCP 报文头中ACK 和RST 置位的报

文，即在已建立的TCP 连接上传输的报文。

由于TCP 连接发起方一般使用大于1023 的TCP 端口号，因此，由服务器向目的网段主机发送的

端口号大于1023、且ACK 和RST 位置位的报文，应视作已经存在的TCP 连接，应该允许通过。

其余的由服务器向目的网段发送的TCP 报文都应拒绝通过。

1.6.4 配置注意事项

对于未匹配ACL 规则的报文，包过滤功能采取允许通过的动作。

1.6.5 配置步骤

# 创建IPv4 高级ACL 3000，配置下面三条规则：

•配置允许源地址为100.1.1.0/24、目的地址为10.1.1.0/24 网段、TCP 端口号大于1023、且

ACK 和RST 位置位的报文通过的规则。

•配置拒绝源地址为100.1.1.0/24、目的地址为10.1.1.0/24 网段的TCP 报文通过的规则。 •配置允许其它IP 报文通过的规则。

system-view [Switch] acl number 3000

[Switch-acl-adv-3000] rule permit tcp established source 100.1.1.0 0.0.0.255 destination

10.1.1.0 0.0.0.255 destination-port gt 1023

[Switch-acl-adv-3000] rule deny tcp source 100.1.1.0 0.0.0.255 destination 10.1.1.0 0.0.0.255

[Switch-acl-adv-3000] quit

# 配置包过滤功能，应用IPv4 高级ACL 3000 对端口Ten-GigabitEthernet1/0/2 收到的IP 报文进行 过滤。

[Switch] interface ten-gigabitethernet 1/0/2

[Switch-Ten-GigabitEthernet1/0/2] packet-filter 3000 inbound

1.6.6 验证配置

# 执行display packet-filter 命令查看包过滤功能的应用状态。

[Switch] display packet-filter interface ten-gigabitethernet 1/0/2 Interface: Ten-GigabitEthernet1/0/2 In-bound Policy: ACL 3000

上述信息显示Ten-GigabitEthernet1/0/2 端口上已经正确应用了包过滤功能。

# 在10.1.1.0/24 网段的主机上向100.1.1.0/24 网段内的服务器发起TCP 连接（例如访问网络共享 文件夹），可以成功访问；而在服务器上访问10.1.1.0/24 网段主机的共享则返回失败信息； 10.1.2.0/24 网段和服务器之间可以互相访问网络共享文件夹。

1-10

1.6.7 配置文件

#

acl number 3000

rule 0 permit tcp source 100.1.1.0 0.0.0.255 destination 10.1.1.0 0.0.0.255 destination-port gt 1023 established

rule 5 deny tcp source 100.1.1.0 0.0.0.255 destination 10.1.1.0 0.0.0.255 #

interface Ten-GigabitEthernet1/0/2 packet-filter 3000 inbound #