AR替换C厂商路由器,带established关键字的ACL如何替换?

发布时间:  2014-10-31 浏览次数:  641 下载次数:  0
问题描述
C厂商路由器access-list配置中,针对TCP协议可包含established选项关键字,用于实现基于TCP协议的单向访问控制。
R1的eth0连接外网,通过以下配置,内网主机可以主动访问外网主机建立TCP连接,而外网主机不能主动访问内网主机建立TCP连接。
!hostname R1
!
interface ethernet0
ip access-group 101 in
!
access-list 101 permit tcp any any established
!
现在要用AR路由器替换R1,在AR上应如何配置ACL?
处理过程
C厂商permit tcp any any established 命令的意思是允许TCP回应报文通过。
TCP回应报文必须包含ACK标识位,或者包含RST标识位。

在AR路由器上,traffic-filter命令用来在接口上配置基于ACL对报文进行过滤:
  • 若报文匹配的规则的动作为deny,则直接丢掉该报文。
  • 若报文匹配的规则的动作为permit,则允许该报文通过。
  • 若报文没有匹配任何一条规则,则允许该报文通过。
对应AR路由器配置如下:
<Huawei> system-view
[Huawei] acl 3000
[Huawei-acl-adv-3000] rule 5 permit tcp tcp-flag ack
[Huawei-acl-adv-3000] rule 10 permit tcp tcp-flag rst
[Huawei-acl-adv-3000] rule 15 deny
[Huawei-acl-adv-3000] quit
[Huawei] interface ethernet 2/0/0
[Huawei-Ethernet2/0/0] traffic-filter inbound acl 3000
[Huawei-Ethernet2/0/0]
解决方案
本案例的关键在于access-list中established关键字的含义。
只有正确理解友商具体命令实现的功能(通过查询友商手册),才能正确替换为等价命令。

END