一个技术

防火墙安全策略可以实现；

交换机实现单向互访：

配置举例：

1 配置需求或说明

1.1适用产品系列

本案例适用于如S5130S-28S-SI、S5500V2-24P-WiNet等V7交换机，V5、V7交换机具体分类及型号可以参考“1.1 Comvare V5、V7平台交换机分类说明”。

1.2配置需求及实现的效果

内网两个网段通过一台交换机互联，出于公司信息安全要求，需要实现主机A可以访问主机B，主机B不能访问主机A。本案例以实现单向访问远程桌面为例。

1.3配置关键点

  在交换机上配置ACL rule时，tcp established匹配的是带有ack标志位的tcp连接报文，而tcp匹配的是所有tcp连接报文。在配置Qos策略时，匹配流分类和流行为要注意顺序，先匹配permit的，再匹配deny的。这样的结果是在入方向deny了不带有ack标志位的tcp连接报文，其它tcp连接报文均能正常通过。因此主机B所在网段发起tcp连接时第一个请求报文被deny而无法建立连接，主机A所在网段发起tcp连接时，主机B所在网段发送的都是带有ack标志位的tcp连接报文，连接可以顺利建立。

2 组网图

3 配置步骤

3.1配置步骤

#配置接口地址（此处省略）

#创建ACL，其中第1条匹配TCP连接请求报文，第2条匹配TCP连接建立报文

[H3C] acl advanced 3100   //创建acl 3000

[H3C-acl-ipv4-adv-3100]rule 0 permit tcp established source 192.168.20.0 0.0.0.255 destination 192.168.10.0 0.0.0.255   //匹配源是192.168.20.0/24段到目的192.168.10.0/24段tcp连接请求的报文

[H3C-acl-ipv4-adv-3100]quit   //退出当前视图

[H3C]acl  advanced 3200   //创建acl 3200

[H3C-acl-ipv4-adv-3200]rule 0 permit tcp source 192.168.20.0 0.0.0.255 destination 192.168.10.0 0.0.0.255   //匹配源是192.168.20.0/24段到目的192.168.10.0/24段tcp连接建立的报文

[H3C-acl-ipv4-adv-3200]quit   //退出当前视图

#创建流分类，匹配相应的ACL

[H3C]traffic classifier 1   //创建流分类1

[H3C-classifier-1]if-match acl 3100   //匹配acl 3100

[H3C-classifier-1]quit   //退出当前视图

[H3C]traffic classifier 2   //创建流分类2

[H3C-classifier-2]if-match acl 3200   //匹配acl 3200

#创建流行为，permit TCP连接建立报文，deny从 Vlan 20发送到vlan10的TCP连接建立请求报文

[H3C]traffic behavior 11   //创建流行为11

[H3C-behavior-11]filter permit   //为流行为配置允许数据包通过的过滤动作

[H3C-behavior-3]quit   //退出当前视图

[H3C]traffic behavior 22   //创建流行为22

[H3C-behavior-22]filter deny   //为流行为配置丢弃数据包的过滤动作

#创建Qos策略，关联流分类和流行为

[H3C]qos policy 3   //创建qos策略3

[H3C-qospolicy-3]classifier 1 behavior 11   //关联流分类1和流行为11

[H3C-qospolicy-3]classifier 2 behavior 22   //关联流分类2和流行为22

#在Vlan 20端口入方向下发Qos策略

[H3C]interface GigabitEthernet 1/0/20   //进入g1/0/20接口

[H3C-GigabitEthernet1/0/20]qos apply policy 3 inbound   //在g1/0/20接口入方向下发qos3策略

#保存配置

[H3C]save force   //保存配置

3.2 配置验证

略