实现TCP单向访问配置命令
- 0关注
- 1收藏,2092浏览
问题描述:
H3C S5500-28C-EI version 5.20,Release 2202 想用ACL实现TCP单向访问的配置,有用到如下规则命令时, 提示“established"出错,好像没有这个指令,请问我这个设备版本支持这个命令吗还是有别的命令 rule 0 permit tcp established source 2.2.2.0
0.0.0.255 destination 1.1.1.0 0.0.0.255
- 2019-01-17提问
- 举报
-
(0)
最佳答案
established 命令是支持的,您可以先敲?看下能配置什么,看手册里是tcp和established中间缺少命令。
rule [ rule-id ] { deny | permit } protocol [ { { ack
ack-value | fin fin-value | psh psh-value | rst
rst-value | syn syn-value | urg urg-value } * |
established } | destination { dest-addr
dest-wildcard | any } | destination-port operator
port1 [ port2 ] | dscp dscp | fragment | icmp-type
{ icmp-type icmp-code | icmp-message } |
logging | precedence precedence | reflective |
source { sour-addr sour-wildcard | any } |
source-port operator port1 [ port2 ] | time-range
time-range-name | tos tos | vpn-instance
vpn-instance-name ]
详细查看http://www.h3c.com/cn/Service/Document_Software/Document_Center/Switches/Catalog/S5500/S5500-EI/Configure/Operation_Manual/H3C_S5500-EI_CG-Release_2202-V1.04/07/
- 2019-01-17回答
- 评论(12)
- 举报
-
(0)
tcp访问是双向的,得经过三次握手后才能建立会话连接,但可实现单向访问,即,一方可以主动发起访问请求,而另一端不可以,这个需要建立流、行为、策略,例如如下案例:
1,建立acl,策略中引用的数据流:
acl number 3000
rule 0 permit ip source 1.1.1.0 0.0.0.255 destination 2.2.2.0 0.0.0.255
2,建立类,引用acl:
traffic classifier 1
if-match acl 3000
3,建立行为:
traffic behavior 1 filter deny
4,建立策略,将行为和类关联起来:
qos policy 1
classifier 1 behavior 1
5,引用策略:
qos vlan-policy 1 vlan 2 inbound
- 2019-01-17回答
- 评论(0)
- 举报
-
(1)
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
还是不行,也不知道漏用什么参数,是否有这方面简单案例发一个参考吗
如vlan1可以访问vlan2, 但vlan2不能访问vlan1
在rule permit tcp下面也没查到有established这个参数,只有相关联的ack\ syn等。这两个参数没用过不知是否可实现
您好,可以参考下这个案例,和您的需求一模一样http://kms2.h3c.com/View.aspx?id=35659
请参考这个,其中S5500-EI交换机版本必须为R2202P05以上。http://kms2.h3c.com/View.aspx?id=35657
请参考这个,其中S5500-EI交换机版本必须为R2202P05以上。http://kms2.h3c.com/View.aspx?id=35657
可以实现A单向访问B数据,B禁止访问A的数据了,但B还是可以ping得通A的。请问这种TCP单向访问策略并不会阻止Ping对方是吧??
可以实现了谢谢!(A单向访问B数据,B禁止访问A的数据了),但B还是可以ping得通A的。请问这种TCP单向访问策略并不会阻止掉Ping功能是吧??
是的,因为ping是icmp报文,配置里是tcp,所以ping是不受限制的
是的,因为ping是icmp报文,配置里是tcp,所以ping是不受限制的
了解谢谢。再请教一问题,就是打开dhcp后,为什么没法执行动态绑定命令(dhcp snooping enable),是这个版本不支持吗,还是其它什么命令呢?
这个版本直接敲dhcp snooping就好,不需要加enable,详细介绍请参考http://www.h3c.com/cn/d_201607/941358_30005_0.htm#_Toc357157061