我们假设有VLAN A和B,需要做到A可以访问B,而B不可以访问A
A的地址段为 X.X.X.X/24
B的地址段为 Y.Y.Y.Y/24
对于单向流量的控制,一般来说是属于防火墙的功能。但实际上,交换机也是可以通过ACL的灵活配置,来实现最基本的单向流量控制。具体配置如下:
对于ICMP协议,需要允许B->A的icmp echo-reply报文:
1 | acl 3001 |
对于TCP协议,需要允许B->A,报文头中SYN Flag的类型为ack(010000)或rst(000100)的TCP报文:
———-V2R2版本及以前的配置————
1 | rule 9 permit tcp source Y.Y.Y.Y 0.0.0.255 destination X.X.X.X 0.0.0.255 tcp-flag ack |
———-V2R3版本及以后的配置————
1 | rule 10 permit tcp source Y.Y.Y.Y 0.0.0.255 destination X.X.X.X 0.0.0.255 tcp-flag established |
对于UDP协议,由于其为无状态的特性,无法实现单通,基于业务优先原则,放开所有UDP协议文:
1 | rule 15 permit udp source Y.Y.Y.Y 0.0.0.255 destination X.X.X.X 0.0.0.255 |
最后,deny其他B->A的IP流量,并基于业务优先原则,放开其他所有未知流量:
1 | rule 20 deny ip source Y.Y.Y.Y 0.0.0.255 destination X.X.X.X 0.0.0.255 |
将该ACL通过traffic-filter应用于VLAN之上
1 | traffic-filter vlan B inbound acl 3001 |