H3C S5500V2-54S-EI 两个VLAN内PC机的单向访问问题

换一种方法实现吧：

实现tcp的单向访问

 组网及说明

 如图，想要实现msr1不可以telnet访问msr3 msr3能够telnet msr1 （这里以telnet举例）

 问题描述 

Ping包有直观上的type分别为8和0的 icmp 和 icmp-echo 报文类，通过匹配来实现ping的单向访问，tcp服务可以吗？ 

如图所示 msr1和msr3设备上都开启了telnet服务，现在想实现msr3可以访问msr1，msr1不能够访问msr3 

包过滤调用高级acl可以实现针对于源目ip 源目端口进行匹配，匹配上之后执行动作，高级acl的匹配有什么说法吗？

匹配固定的可以读取的值之后就可以执行动作，permit为放行，deny为禁止！ 

先看下配置及实现结果，再做详细解释 配置包过滤之前都可以实现telnet 

过程分析

 配置包过滤之后实现需求 

 可以看出msr1不可以telnet访问msr3 msr3能够telnet msr1 

 解决方法

 配置包过滤实现需求 

 解释 

高级acl针对于数据进行匹配的时候根据固定的值进行匹配的，比如固定的端口号固定的ip地址，只要不是随机的就可以进行匹配，所以针对于tcp的单向访问是可以实现的，因为tcp有3次握手建立连接，三次握手里面有固定的值如：SYN ACK URG RST PSH FIN，理顺了三次握手会发的报文就可以实现精确的匹配然后执行动作实现过滤！这里的rule 0 per tcp ack 1 

就意味着始发者是不能够主动进行访问的，后续在交互报文的时候ACK始终是置1的，都会被放行。 

抓包分析能够看出tcp的三次握手步骤，三次握手之后便直接传输数据

 Ack置1