故障描述
華為交換機如何配置TCP單向訪問。即A可以訪問B,B不可以訪問A。
故障分析
無
處理過程
配置如下:
#允許192.168.9.1訪問192.168.9.2,不允許192.168.9.2訪問192.168.9.1
acl number 3001
rule 5 permit tcp source 192.168.9.2 0 destination 192.168.9.1 0 tcp-flag ack
rule 10 deny tcp source 192.168.9.2 0 destination 192.168.9.1 0 tcp-flag syn
/先允許192.168.9.2返回帶ack標志位的報文。然后禁止所有syn報文。
#
interface Ethernet0/0/2
traffic-filter inbound acl 3001
建議/總結(jié)
在華為上配置ACL rule時,tcp-flag ack匹配的是帶有ack標志位的tcp連接報文,而tcp syn匹配的是所有tcp連接報文。在配置ACL策略時,匹配流分類和流行為要注意順序,先匹配permit的,再匹配deny的。這樣的結(jié)果是deny了不帶有ack標志位的tcp連接報文,即建立TCP連接過程的第一個不帶ack標志位的請求報文。因此192.168.9.2發(fā)起tcp連接時第一個請求報文被deny而無法建立連接,192.168.9.1發(fā)起tcp連接時,192.168.9.2發(fā)送tcp連接報文全部帶有ack標志位,連接可以順利建立。