故障描述
华为交换机如何配置TCP单向访问。即A可以访问B,B不可以访问A。
故障分析
无
处理过程
配置如下:
#允许192.168.9.1访问192.168.9.2,不允许192.168.9.2访问192.168.9.1
acl number 3001
rule 5 permit tcp source 192.168.9.2 0 destination 192.168.9.1 0 tcp-flag ack
rule 10 deny tcp source 192.168.9.2 0 destination 192.168.9.1 0 tcp-flag syn
/先允许192.168.9.2返回带ack标志位的报文。然后禁止所有syn报文。
#
interface Ethernet0/0/2
traffic-filter inbound acl 3001
建议/总结
在华为上配置ACL rule时,tcp-flag ack匹配的是带有ack标志位的tcp连接报文,而tcp syn匹配的是所有tcp连接报文。在配置ACL策略时,匹配流分类和流行为要注意顺序,先匹配permit的,再匹配deny的。这样的结果是deny了不带有ack标志位的tcp连接报文,即建立TCP连接过程的第一个不带ack标志位的请求报文。因此192.168.9.2发起tcp连接时第一个请求报文被deny而无法建立连接,192.168.9.1发起tcp连接时,192.168.9.2发送tcp连接报文全部带有ack标志位,连接可以顺利建立。