s5500交换机怎么利用acl实现TCP单向访问

拒绝掉tcp的第二个包就行，吧syn=1 ack=1的包去掉即可

三：配置步骤

1.       创建vlan100和vlan200，并把接口g1/0/10添加入到vlan100，g1/0/20添加到vlan200中去

<H3C>sys

[H3C]vlan 100

[H3C-vlan10]port GigabitEthernet 1/0/10

[H3C-vlan100]qu

[H3C]vlan 200

[H3C-vlan200]port GigabitEthernet 1/0/20

[H3C-vlan200]qu

2.       创建vlan虚接口

[H3C]interface Vlan-interface 100

[H3C-Vlan-interface100]ip address 192.168.100.1 24

[H3C-Vlan-interface100]qu

[H3C]interface Vlan-interface 200

[H3C-Vlan-interface200]ip address 192.168.200.1 24

[H3C-Vlan-interface200] qu

3.       创建ACL3000

[H3C]acl number 3000

[H3C-acl-adv-3000]rule 0 deny tcp syn 1 ack 1 source 192.168.100.0 0.0.0.255 destination 192.168.200.0 0.0.0.255

[H3C-acl-adv-3000]rule 5 deny icmp source 192.168.100.0 0.0.0.255 destination 192.168.200.0 0.0.0.255 icmp-type echo-reply

[H3C-acl-adv-3000]qu

4.       在g1/0/10上调用进方向的包过滤

[H3C]interface GigabitEthernet 1/0/10

[H3C-GigabitEthernet1/0/10]packet-filter 3000 inbound

[H3C-GigabitEthernet1/0/10]qu

5.       保存配置

   [H3C]save

四：注意事项

交换机只能实现tcp的单向访问，并不实现UDP的单向访问。并且单向访问只能是命令行下配置，无法在web界面上配置。

需要建类、行为、和策略，然后将策略应用到vlan的入方向，例如：

1，配置acl

acl ad 3000   （如果是v5版本的，此处是 acl num 3000）

rule 0 permit ip source  172.16.1. 0  0.0.0.255 destination 172.16.2.0 0.0.0.255  (匹配的数据流)

qu

2，设置类：

traffic classifier 1

 if-match acl 3000

3，设置行为：

traffic behavior 1

filter permit

4，设置策略：

qos policy 1

 classifier 1 behavior 1

5，应用策略（假设1网段属于vlan 1）：

qos vlan-policy 1 vlan 1 inbound