精品久久福利-中文乱码免费一区二区三区下载-HD免费看,国产一区二区免费看,欧美激情一级精品国产,侵犯丰满女教师蒲藤惠

跳轉(zhuǎn)到主要內(nèi)容

華為交換機(jī)TCP單向訪問的ACL配置

故障描述

  華為交換機(jī)如何配置TCP單向訪問。即A可以訪問B,B不可以訪問A。

故障分析

  無

處理過程

配置如下:
#允許192.168.9.1訪問192.168.9.2,不允許192.168.9.2訪問192.168.9.1
acl number 3001
rule 5 permit tcp source 192.168.9.2 0 destination 192.168.9.1 0 tcp-flag ack
rule 10 deny tcp source 192.168.9.2 0 destination 192.168.9.1 0 tcp-flag syn
/先允許192.168.9.2返回帶ack標(biāo)志位的報(bào)文。然后禁止所有syn報(bào)文。
#
interface Ethernet0/0/2
traffic-filter inbound acl 3001

建議/總結(jié)

  在華為上配置ACL rule時(shí),tcp-flag ack匹配的是帶有ack標(biāo)志位的tcp連接報(bào)文,而tcp syn匹配的是所有tcp連接報(bào)文。在配置ACL策略時(shí),匹配流分類和流行為要注意順序,先匹配permit的,再匹配deny的。這樣的結(jié)果是deny了不帶有ack標(biāo)志位的tcp連接報(bào)文,即建立TCP連接過程的第一個(gè)不帶ack標(biāo)志位的請求報(bào)文。因此192.168.9.2發(fā)起tcp連接時(shí)第一個(gè)請求報(bào)文被deny而無法建立連接,192.168.9.1發(fā)起tcp連接時(shí),192.168.9.2發(fā)送tcp連接報(bào)文全部帶有ack標(biāo)志位,連接可以順利建立。