仅允许由指定网络发起TCP连接典型配置举例
1.6.1 适用产品和版本
表5 配置适用的产品与软件版本关系
产品软件版本
S5830V2&S5820V2系列以太网交换机Release 2208P01,Release 2210
1.6.2 组网需求
图5 仅允许由指定网络发起TCP 连接
要求通过配置ACL,实现:
?在10.1.1.0/24 网段的主机与服务器之间进行通信时,仅允许由主机向服务器发起和建立TCP
连接,不允许由服务器向主机发起TCP 连接。
?在10.1.2.0/24 网段的主机与服务器之间进行通信时,不对TCP 连接发起方进行限制。
1-9
1.6.3 配置思路
在高级ACL 的规则中,提供了established 参数,用于匹配TCP 报文头中ACK 和RST 置位的报
文,即在已建立的TCP 连接上传输的报文。
由于TCP 连接发起方一般使用大于1023 的TCP 端口号,因此,由服务器向目的网段主机发送的
端口号大于1023、且ACK 和RST 位置位的报文,应视作已经存在的TCP 连接,应该允许通过。
其余的由服务器向目的网段发送的TCP 报文都应拒绝通过。
1.6.4 配置注意事项
对于未匹配ACL 规则的报文,包过滤功能采取允许通过的动作。
1.6.5 配置步骤
# 创建IPv4 高级ACL 3000,配置下面三条规则:
?配置允许源地址为100.1.1.0/24、目的地址为10.1.1.0/24 网段、TCP 端口号大于1023、且
ACK 和RST 位置位的报文通过的规则。
?配置拒绝源地址为100.1.1.0/24、目的地址为10.1.1.0/24 网段的TCP 报文通过的规则。 ?配置允许其它IP 报文通过的规则。
[Switch-acl-adv-3000] rule permit tcp established source 100.1.1.0 0.0.0.255 destination
10.1.1.0 0.0.0.255 destination-port gt 1023
[Switch-acl-adv-3000] rule deny tcp source 100.1.1.0 0.0.0.255 destination 10.1.1.0 0.0.0.255
[Switch-acl-adv-3000] quit
# 配置包过滤功能,应用IPv4 高级ACL 3000 对端口Ten-GigabitEthernet1/0/2 收到的IP 报文进行 过滤。
[Switch] interface ten-gigabitethernet 1/0/2
[Switch-Ten-GigabitEthernet1/0/2] packet-filter 3000 inbound
1.6.6 验证配置
# 执行display packet-filter 命令查看包过滤功能的应用状态。
[Switch] display packet-filter interface ten-gigabitethernet 1/0/2 Interface: Ten-GigabitEthernet1/0/2 In-bound Policy: ACL 3000
上述信息显示Ten-GigabitEthernet1/0/2 端口上已经正确应用了包过滤功能。
# 在10.1.1.0/24 网段的主机上向100.1.1.0/24 网段内的服务器发起TCP 连接(例如访问网络共享 文件夹),可以成功访问;而在服务器上访问10.1.1.0/24 网段主机的共享则返回失败信息; 10.1.2.0/24 网段和服务器之间可以互相访问网络共享文件夹。
1-10
1.6.7 配置文件
#
acl number 3000
rule 0 permit tcp source 100.1.1.0 0.0.0.255 destination 10.1.1.0 0.0.0.255 destination-port gt 1023 established
rule 5 deny tcp source 100.1.1.0 0.0.0.255 destination 10.1.1.0 0.0.0.255 #
interface Ten-GigabitEthernet1/0/2 packet-filter 3000 inbound #