AR替換C廠商路由器(qì),帶established關鍵字的ACL如何替換?
2014/10/31 18:48:44點擊:
問題描述
C廠商路由器(qì)access-list配置中,針對TCP協議可(kě)包含established選項關鍵字,用于實現基于TCP協議的單向訪問控制(zhì)。
R1的eth0連接外網,通(tōng)過以下配置,內(nèi)網主機可(kě)以主動訪問外網主機建立TCP連接,而外網主機不能主動訪問內(nèi)網主機建立TCP連接。
R1的eth0連接外網,通(tōng)過以下配置,內(nèi)網主機可(kě)以主動訪問外網主機建立TCP連接,而外網主機不能主動訪問內(nèi)網主機建立TCP連接。
!hostname R1
!
interface ethernet0
ip access-group 101 in
!
access-list 101 permit tcp any any established
!
現在要用AR路由器(qì)替換R1,在AR上(shàng)應如何配置ACL?
!
interface ethernet0
ip access-group 101 in
!
access-list 101 permit tcp any any established
!
處理(lǐ)過程
C廠商permit tcp any any established 命令的意思是允許TCP回應報文通(tōng)過。
TCP回應報文必須包含ACK标識位,或者包含RST标識位。
在AR路由器(qì)上(shàng),traffic-filter命令用來(lái)在接口上(shàng)配置基于ACL對報文進行(xíng)過濾:
TCP回應報文必須包含ACK标識位,或者包含RST标識位。
在AR路由器(qì)上(shàng),traffic-filter命令用來(lái)在接口上(shàng)配置基于ACL對報文進行(xíng)過濾:
- 若報文匹配的規則的動作(zuò)為deny,則直接丢掉該報文。
- 若報文匹配的規則的動作(zuò)為permit,則允許該報文通(tōng)過。
- 若報文沒有(yǒu)匹配任何一條規則,則允許該報文通(tōng)過。
<Huawei> system-view
[Huawei] acl 3000
[Huawei-acl-adv-3000] rule 5 permit tcp tcp-flag ack
[Huawei-acl-adv-3000] rule 10 permit tcp tcp-flag rst
[Huawei-acl-adv-3000] rule 15 deny
[Huawei-acl-adv-3000] quit
[Huawei] interface ethernet 2/0/0
[Huawei-Ethernet2/0/0] traffic-filter inbound acl 3000
[Huawei-Ethernet2/0/0]
[Huawei] acl 3000
[Huawei-acl-adv-3000] rule 5 permit tcp tcp-flag ack
[Huawei-acl-adv-3000] rule 10 permit tcp tcp-flag rst
[Huawei-acl-adv-3000] rule 15 deny
[Huawei-acl-adv-3000] quit
[Huawei] interface ethernet 2/0/0
[Huawei-Ethernet2/0/0] traffic-filter inbound acl 3000
[Huawei-Ethernet2/0/0]
解決方案
本案例的關鍵在于access-list中established關鍵字的含義。
隻有(yǒu)正确理(lǐ)解友(yǒu)商具體(tǐ)命令實現的功能(通(tōng)過查詢友(yǒu)商手冊),才能正确替換為等價命令。
隻有(yǒu)正确理(lǐ)解友(yǒu)商具體(tǐ)命令實現的功能(通(tōng)過查詢友(yǒu)商手冊),才能正确替換為等價命令。
- 上(shàng)一篇:S12712 外置portal頁面推送異常 2014/10/31
- 下一篇:USG系列防火(huǒ)牆如何查看下挂用戶上(shàng)網流量 2014/10/30