H3CACL单向访问

S5500-EI 交换机利用ACL 实现TCP 单向访问的配置 一、 组网需求： 2 个网段通过一台 S5500-EI 互联，要求网段 A 可以访问网段 B，网段 B 不能访问网段 A。 二、 组网图： S5500-EI 交换机G1/0/23 端口连接 Vlan 100，G1/0/24 端口连接 Vlan 200。 S5500-EI 交换机版本必须为 R2202P05 以上。 三、 配置步骤： #配置端口、虚接口 [H3C]vlan 100 [H3C-vlan100]port GigabitEthernet 1/0/23 [H3C-vlan100]quit [H3C]interface Vlan-interface 100 [H3C-Vlan-interface100]ip address 1.1.1.1 24 [H3C-Vlan-interface100]quit [H3C]vlan 200 [H3C-vlan200]port GigabitEthernet 1/0/24 [H3C-vlan200]quit [H3C]interface Vlan-interface 200 [H3C-Vlan-interface200]ip address 2.2.2.1 24 #创建 ACL，其中第 1 条匹配TCP 连接请求报文，第 2 条匹配TCP 连接建立报文 [H3C]acl number 3001 [H3C-acl-adv-3001]rule 0 permit tcp established source 2.2.2.0 0.0.0.255 destination 1.1.1.0 0.0.0.255 [H3C-acl-adv-3001]quit [H3C]acl number 3002 [H3C-acl-adv-3002]rule 0 permit tcp source 2.2.2.0 0.0.0.255 destination 1.1.1.0 0.0.0.255 #创建流分类，匹配相应的ACL [H3C]traffic classifier 3001 [H3C-classifier-3001]if-match acl 3001 [H3C-classifier-3001]quit [H3C]traffic classifier 3002 [H3C-classifier-3002]if-match acl 3002 #创建流行为，permit TCP 连接建立报文，deny 从 Vlan 200 发送的TCP 连接建立请求报文 [H3C]traffic behavior 3001 [H3C-behavior-3001]filter permit [H3C-behavior-3001]quit [H3C]traffic behavior 3002 [H3C-behavior-3002]filter deny #创建Qos 策略，关联流分类和流行为 [H3C]qos policy 3000 [H3C-qospolicy-3000]classifier 3001 behavior 3001 [H3C-qospolicy-3000]classifier 3002 behavior 3002 #在Vlan 200 端口入方向下发Qos 策略 [H3C]interface GigabitEthernet 1/0/24 [H3C-GigabitEthernet1/0/24]qos apply policy 3000 inbound 四、 配置关键点： 1. 在配置 ACL 和 Qos 策略前必须全网路由可达。如果 S5500-EI 两端连接的是交换机，则需要配置路由协议或在两端交换机上配置到对方网段的静态路由。 2. 在 S...