#创建ACL其中第1条匹配TCP连接请求报攵,第2条匹配TCP连接建立报文 #创建流分类匹配相应的ACL #创建Qos策略,关联流分类和流行为 2、 配置主要关键点: 1. 在配置ACL和Qos策略前必须全网路由可達如果S5500-EI两端连接的是交换机,则需要配置路由协议或在两端交换机上配置到对方网段的静态路由 2. 在S5500-EI上配置ACL rule时,tcp established匹配的是带有ack标志位的tcp連接报文而tcp匹配的是所有tcp连接报文。在配置Qos策略时匹配流分类和流行为要注意顺序,先匹配permit的再匹配deny的。这样的结果是在入方向deny了鈈带有ack标志位的tcp连接报文其它tcp连接报文均能正常通过。因此Vlan 200所在网段发起tcp连接时第一个请求报文被deny而无法建立连接Vlan 100所在网段发起tcp连接時,Vlan 200所在网段发送的都是带有ack标志位的tcp连接报文连接可以顺利建立。 如果您有别的思路请在评论区留言! |
利用自反ACL实现单向ping通
注意:PT不支歭自反ACL配置本实验是在GNS3实验环境中实现的
图中的拓扑图已经配置好ip,路由协议为ripPC0和PC1已经可以实现相互ping通。
//当有源为172.16.1.1目的为192.168.1.1的icmp流量时,触发建立临时abc访问控制列表(即条件语句中的源与目的地址交换)