华三交换机rule 0 permit tcpacl establishedd sourcce 是什么意思

来源:蜘蛛抓取(WebSpider) 时间:2018-07-18 14:03 标签: study permit 续签
acl number 3000 rule 0 permit tcp destination 10.91.2.1 0 destination-port eq 1521 rule 1 permit tc_百度知道
acl number 3000 rule 0 permit tcp destination 10.91.2.1 0 destination-port eq 1521 rule 1 permit tc
就烦各位解释下什么意思
答题抽奖
首次认真答题后
即可获得3次抽奖机会,100%中奖。
我也不是很懂呵~你参考下吧~这个貌似华为的配置配置acl,编号为3000,允许源为任意IP的主机访问10.91.2.1 0主机,目标端口为1521一句话是这样的‘ACL编号3000的规则0许可证TCP目的地10.91.2.1 0目标端口式1521,1条许可证TC’
为您推荐:
其他类似问题
换一换
回答问题,赢新手礼包
个人、企业类
违法有害信息,请在下方选择后提交
色情、暴力
我们会通过消息、邮箱等方式尽快将举报结果通知您。华三交换机访问控制列表_百度知道
华三交换机访问控制列表
我要使192.168.50.1段和192.168.1.1段不能互通我写了acl控制如下图所示但是两个网段之间还是互通的不知道问题出在哪里。求帮助
答题抽奖
首次认真答题后
即可获得3次抽奖机会,100%中奖。
方向反了,改outbound。3200列表再加一条rule 1 permit ip any any。下面那个物理接口不用挂ACL,只在SVI接口挂就行了。
帮我写个acl出来好不刚刚接触还不太懂什么是方向。嘿嘿
acl number 3002 rule 0 deny ip source 192.168.50.0 0.0.0.255 dest 192.168.1.0 0.0.0.255 rule 1 permit ipinterface vlan 50packet-filter 3200 outbound
采纳率:46%
来自团队:
为您推荐:
其他类似问题
换一换
回答问题,赢新手礼包
个人、企业类
违法有害信息,请在下方选择后提交
色情、暴力
我们会通过消息、邮箱等方式尽快将举报结果通知您。h3c acl 的一道题_百度知道
h3c acl 的一道题
360. 客户的路由器MSR-1的GE0/0接口下连接了一台三层交换机,而此三层交换机是其所连接的客户办公网络的多个网段的默认网关所在。MSR-1通过串口S1/0连接到Internet。全网已经正常互通,办公网用户可以访问Internet。在该路由器上添加如下ACL配置:
firewalle...
答案 AC rule0denyipsource192.168.1.00.0.0.255是拒绝所有IP的访问 所以对FTP没限制 rule5permittcpsource192.168.0.00.0.255.255 是放行所有TCP服务 FTP是TCP服务C是正确的 因为rule0denyipsource192.168.1.00.0.0.255拒绝了所有IP服务
采纳率:24%
答案 AC rule0denyipsource192.168.1.00.0.0.255是拒绝所有IP的访问 所以对FTP没限制 rule5permittcpsource192.168.0.00.0.255.255 是放行所有TCP服务 FTP是TCP服务C是正确的 因为rule0denyipsource192.168.1.00.0.0.255拒绝了所有IP服务
aclnumber3004 rule0denyipsource192.168.1.00.0.0.255 rule5permittcpsource192.168.0.00.0.255.255 rule10permiticmp三条下发到G0/0的in方向。也就是禁止192.168.1.0到所有目的地址的访问允许192.168.0.0/16但除192.168.1.0的tcp数据通过允许icmp报文通过。A.正确的。2.0段的tcp和icmp被放行,匹配rule5B。对的。匹配rule10C。错。icmp协议可通过。匹配入了10D。错。192.168.1.0与192.168.0.0的反掩码比较。越小越优先,也就是如果地址重合匹配子网掩码小的。也就是rule0
1.对,因为2.0网络的tcp是被rule5允许的,而ftp用的就是tcp。2.错,icmp是要封装到ip里的,而1.0的网络在rule0被拒绝了,1.0的icmp也是拒绝的。3.对
原因同上,1.0被拒绝了,只要一检查到ip是1.0内的,就拒绝,不再往下检查。4.错,原因同上。
其他1条回答
为您推荐:
其他类似问题
acl的相关知识
换一换
回答问题,赢新手礼包
个人、企业类
违法有害信息,请在下方选择后提交
色情、暴力
我们会通过消息、邮箱等方式尽快将举报结果通知您。查看:5715|回复:6
S交换机利用ACL实现TCP单向访问的配置
组网需求:
2个网段通过一台S互联,要求网段A可以访问网段B,网段B不能访问网段A。
S交换机G1/0/23端口连接Vlan 100,G1/0/24端口连接Vlan 200。
S交换机版本必须为R5306以上。
配置步骤:
#配置端口、虚接口
[H3C]vlan 100
[H3C-vlan100]port GigabitEthernet 1/0/23
[H3C-vlan100]quit
[H3C]interface Vlan-interface 100
[H3C-Vlan-interface100]ip address 1.1.1.1 24
[H3C-Vlan-interface100]quit
[H3C]vlan 200
[H3C-vlan200]port GigabitEthernet 1/0/24
[H3C-vlan200]quit
[H3C]interface Vlan-interface 200
[H3C-Vlan-interface200]ip address 2.2.2.1 24
#创建ACL,其中第1条匹配带有ack标志位的TCP连接报文,第2条匹配TCP连接syn报文
[H3C]acl number 3001
[H3C-acl-adv-3001]rule 0 permit tcp ack 1 source 2.2.2.0 0.0.0.255 destination 1.1.1.0 0.0.0.255
[H3C-acl-adv-3001]quit
[H3C]acl number 3002
[H3C-acl-adv-3002]rule 0 permit tcp syn 1 source 2.2.2.0 0.0.0.255 destination 1.1.1.0 0.0.0.255
#创建流分类,匹配相应的ACL
[H3C]traffic classifier 3001
[H3C-classifier-3001]if-match acl 3001
[H3C-classifier-3001]quit
[H3C]traffic classifier 3002
[H3C-classifier-3002]if-match acl 3002
#创建流行为,permit 带有ack标志位的TCP连接报文,deny TCP连接syn报文。
[H3C]traffic behavior 3001
[H3C-behavior-3001]filter permit
[H3C-behavior-3001]quit
[H3C]traffic behavior 3002
[H3C-behavior-3002]filter deny
#创建Qos策略,关联流分类和流行为。
[H3C]qos policy 3000
[H3C-qospolicy-3000]classifier 3001 behavior 3001
[H3C-qospolicy-3000]classifier 3002 behavior 3002
#在Vlan 200端口入方向下发Qos策略
[H3C]interface GigabitEthernet 1/0/24
[H3C-GigabitEthernet1/0/24]qos apply policy 3000 inbound
配置关键点:
在配置ACL和Qos策略前必须全网路由可达。如果S两端连接的是交换机,则需要配置路由协议或在两端交换机上配置到对方网段的静态路由。
在S上配置ACL rule时,tcp ack匹配的是带有ack标志位的tcp连接报文,而tcp syn匹配的是所有tcp连接报文。在配置Qos策略时,匹配流分类和流行为要注意顺序,先匹配permit的,再匹配deny的。这样的结果是deny了不带有ack标志位的tcp连接报文,即建立TCP连接过程的第一个不带ack标志位的请求报文。因此Vlan 200所在网段发起tcp连接时第一个请求报文被deny而无法建立连接,Vlan 100所在网段发起tcp连接时,Vlan 200所在网段发送tcp连接报文全部带有ack标志位,连接可以顺利建立。
S从R5306版本开始,将ACL 范围的规则TCP后面的关键字“established”修改为各个TCP flag:ack、fin、psh、rst、syn、urg,使得匹配更为精确,配置更为灵活。
高级工程师
不错的文章,多谢楼主分享
少思虑以养心气,寡色欲以养肾气,
常运动以养骨气,戒嗔怒以养肝气,
薄滋味以养胃气,省言语以养神气,
多读书以养胆气,顺时令以养元气
初级工程师
可以参考一下!
本帖最后由 pimg2005 于
16:31 编辑
中级工程师
我记得。。如果只是需要控制网段之间访问的话。。直接用一般的ACL就可以了。不需要用到QOS做匹配·····直接做好后下发到虚接口上就是。。应该支持VACL···QOS我更多的是用在时、区、梯队、优先级这方面- -····
这个方法好啊,以后试试看。
提示: 作者被禁止或删除 内容自动屏蔽
赞一个:lol

我要回帖

更多关于 study permit 续签 的文章

 

随机推荐