华为交换机如何实现单向访问控制

交换机V100R005以后版本可以通过下面的方法配置针对TCP和ICMP报文的单向访问。

下面是交换机实现从A不能访问B，但能从B访问A需求的示例
假设192.168.10.0是A的地址段（属于VLAN10），192.168.20.0是B的地址段（属于VLAN20）

1、创建ACL，制定访问控制规则（默认是permit）
acl 3000
rule 5 permit tcp source 192.168.10.0 0.0.0.255 destination 192.168.20.0 0.0.0.255 tcp-flag syn ack      //允许A响应B的TCP连接
rule 10 deny tcp source 192.168.10.0 0.0.0.255 destination 192.168.20.0 0.0.0.255 tcp-flag syn             //拒绝A向B发起的TCP连接
rule 15 deny icmp source 192.168.10.0 0.0.0.255 destination 192.168.20.0 0.0.0.255 icmp-type echo    //拒绝A向B发起的ping请求
quit

2、配置流分类，匹配ACL
traffic classifier c1
if-match acl 3000
quit

3、配置流行为（默认是permit）
traffic behavior b1
quit

4、配置流策略，关联流分类和流行为
traffic policy p1
classifier c1 behavior b1
quit

5、应用流策略
应用到接口上（连接A的网段的接口）
interface gigabitethernet 1/0/1
traffic-policy p1 inbound
或者应用到vlan上
vlan 10
traffic-policy p1 inbound
或者在全局应用
traffic-policy p1 global inbound

说明：支持traffic-filter命令的设备，也可以使用该命令简化流策略的配置