因为交换机实现不了单通。所以只能限制源地址和目的地址的tcp 三次握手建立 这样A 去访问B,tcp可以建立。 B去访问A,tcp建立不了。通过这种方式实现单通 组网需求 如图1所示,某公司通过SwitchC实现各部门之间的互连。为方便管理网络,管理员为公司的总裁办公室和员工办公室规划了两个网段的IP地址。同时为了隔离广播域,又将两个部门划分在不同VLAN之中。现要求总裁办公室能够访问员工办公室,但员工办公室不能访问总裁办公室,防止公司机密泄露。
配置ACL
# 创建高级ACL 3001并配置ACL规则。
[SwitchC] acl 3001
rule permit ip source 192.168.200.150 0 destination 172.168.10.0 0.0.0.255 如果要求这个网段的特定IP访问加上。
[SwitchC-acl-adv-3001] rule permit tcp source 10.1.2.0 0.0.0.255 destination 10.1.1.0 0.0.0.255 tcp-flag syn ack
[SwitchC-acl-adv-3001] rule deny tcp source 10.1.2.0 0.0.0.255 destination 10.1.1.0 0.0.0.255 tcp-flag syn
[SwitchC-acl-adv-3001] rule deny icmp source 10.1.2.0 0.0.0.255 destination 10.1.1.0 0.0.0.255 icmp-type echo
[SwitchC-acl-adv-3001] quit
配置基于高级ACL的流分类
# 配置流分类tc1,对匹配ACL 3001进行分类。
[SwitchC] traffic classifier tc1
[SwitchC-classifier-tc1] if-match acl 3001
[SwitchC-classifier-tc1] quit
配置流行为
# 配置流行为tb1。
[SwitchC] traffic behavior tb1
[SwitchC-behavior-tb1] permit
[SwitchC-behavior-tb1] quit
配置流策略
# 定义流策略,将流分类与流行为关联。
[SwitchC] traffic policy tp1
[SwitchC-trafficpolicy-tp1] classifier tc1 behavior tb1
[SwitchC-trafficpolicy-tp1] quit
在接口下应用流策略
# 在接口GE0/0/2的入方向应用流策略。
[SwitchC] interface gigabitethernet 0/0/2
[SwitchC-GigabitEthernet0/0/2] traffic-policy tp1 inbound
[SwitchC-GigabitEthernet0/0/2] quit