亚洲精品无播放器在线播放网站,欧美激情国产在线,久久久精品免费看少妇精品视频,久久久av久av久片一区二区,国产成人鲁鲁免费视频,一级毛片在线看在线播放,久久国产一线天精品,亚洲五码中文字幕

AR替換C廠商路由器，帶established關(guān)鍵字的ACL如何替換？

2014/10/31 18:48:44點(diǎn)擊：

問題描述

C廠商路由器access-list配置中，針對TCP協(xié)議可包含established選項(xiàng)關(guān)鍵字，用于實(shí)現(xiàn)基于TCP協(xié)議的單向訪問控制。
R1的eth0連接外網(wǎng)，通過以下配置，內(nèi)網(wǎng)主機(jī)可以主動訪問外網(wǎng)主機(jī)建立TCP連接，而外網(wǎng)主機(jī)不能主動訪問內(nèi)網(wǎng)主機(jī)建立TCP連接。

!hostname R1
!
interface ethernet0
ip access-group 101 in
!
access-list 101 permit tcp any any established
!

現(xiàn)在要用AR路由器替換R1，在AR上應(yīng)如何配置ACL？

處理過程

C廠商permit tcp any any established 命令的意思是允許TCP回應(yīng)報文通過。
TCP回應(yīng)報文必須包含ACK標(biāo)識位，或者包含RST標(biāo)識位。

在AR路由器上，traffic-filter命令用來在接口上配置基于ACL對報文進(jìn)行過濾：

若報文匹配的規(guī)則的動作為deny，則直接丟掉該報文。
若報文匹配的規(guī)則的動作為permit，則允許該報文通過。
若報文沒有匹配任何一條規(guī)則，則允許該報文通過。

對應(yīng)AR路由器配置如下：

<Huawei> system-view
[Huawei] acl 3000
[Huawei-acl-adv-3000] rule 5 permit tcp tcp-flag ack
[Huawei-acl-adv-3000] rule 10 permit tcp tcp-flag rst
[Huawei-acl-adv-3000] rule 15 deny
[Huawei-acl-adv-3000] quit
[Huawei] interface ethernet 2/0/0
[Huawei-Ethernet2/0/0] traffic-filter inbound acl 3000
[Huawei-Ethernet2/0/0]

解決方案

本案例的關(guān)鍵在于access-list中established關(guān)鍵字的含義。
只有正確理解友商具體命令實(shí)現(xiàn)的功能（通過查詢友商手冊），才能正確替換為等價命令。

上一篇：S12712 外置portal頁面推送異常 2014/10/31
下一篇：USG系列防火墻如何查看下掛用戶上網(wǎng)流量 2014/10/30

AR替換C廠商路由器，帶established關(guān)鍵字的ACL如何替換？

AR替換C廠商路由器，帶established關(guān)鍵字的ACL如何替換？