7003为啥无法使用ACL单向

您好，参考这个

#创建ACL，其中第1条匹配带有ack标志位的TCP连接报文，第2条匹配TCP连接syn报文

[H3C]acl number 3001

[H3C-acl-adv-3001]rule 0 permit tcp ack 1 source 2.2.2.0 0.0.0.255 destination 1.1.1.0 0.0.0.255

[H3C-acl-adv-3001]quit

[H3C]acl number 3002

[H3C-acl-adv-3002]rule 0 permit tcp syn 1 source 2.2.2.0 0.0.0.255 destination 1.1.1.0 0.0.0.255

#创建流分类，匹配相应的ACL

[H3C]traffic classifier 3001

[H3C-classifier-3001]if-match acl 3001

[H3C-classifier-3001]quit

[H3C]traffic classifier 3002

[H3C-classifier-3002]if-match acl 3002

#创建流行为，permit 带有ack标志位的TCP连接报文，deny TCP连接syn报文。

[H3C]traffic behavior 3001

[H3C-behavior-3001]filter permit

[H3C-behavior-3001]quit

[H3C]traffic behavior 3002

[H3C-behavior-3002]filter deny

#创建Qos策略，关联流分类和流行为。

[H3C]qos policy 3000

[H3C-qospolicy-3000]classifier 3001 behavior 3001

[H3C-qospolicy-3000]classifier 3002 behavior 3002

#在端口入方向下发Qos策略

[H3C]interface GigabitEthernet 1/0/24

[H3C-GigabitEthernet1/0/24]qos apply policy 3000 inbound

2的规则是想拒绝TCP上任意的端口单向访问。。是不是这样就可以了 rule 2 deny tcp syn 2 source 192.168.20.0 0.0.0.255 destination 192.168.11.0 0.0.0.255 ，这句话写不进去。。。3的规则是屏蔽PING