j'ai compris

Comment implémenter l'accès unidirectionnel TCP?

publié il y a  2020-6-8 10:24:34 26 0 0 0

Une connexion TCP implique trois poignées de main. Le message de prise de contact du récepteur contient RST ou ACK. Pour implémenter l'accès unidirectionnel TCP, configurez une ACL pour autoriser les paquets TCP avec RST ou ACK.

Dans la figure 1, un accès TCP unidirectionnel entre l'utilisateur et le serveur est requis. En d'autres termes, seul le serveur est autorisé à établir une connexion TCP avec l'utilisateur, tandis que l'utilisateur ne peut pas établir de connexion TCP avec le serveur.

Figure 1 : Accès unidirectionnel TCP

fig_dc_s_faq_093526_xs.png


Configurez les règles ACL sur le commutateur.


[Switch] acl number 3001
[Switch-acl-adv-3001] rule permit tcp destination 10.1.20.1 0.0.0.0 tcp-flag ack  //Define a rule to match the SYN Flag of ack in the TCP packet header.
[Switch-acl-adv-3001] rule permit tcp destination 10.1.20.1 0.0.0.0 tcp-flag rst  //Define a rule to match the SYN Flag of rst in the TCP packet header.
[Switch-acl-adv-3001] rule deny tcp destination 10.1.20.1 0.0.0.0
[Switch-acl-adv-3001] quit


Note : Pour les règles ACL qui correspondent aux paquets TCP, le champ établi indique que l'indicateur SYN de ack ou rst dans l'en-tête de paquet TCP est mis en correspondance. La commande rule permit tcp destination 10.1.20.1 0.0.0.0 tcp-flag established peut être utilisée pour remplacer la commande rule permit tcp destination 10.1.20.1 0.0.0.0 tcp-flag ack et la commande rule permit tcp destination 10.1.20.1 0.0.0.0 tcp-flag rst.


Configurez une stratégie de trafic et appliquez-la à GE0 / 0/2 du commutateur connecté au serveur dans le sens sortant.

[Switch] traffic classifier c1
[Switch-classifier-c1] if-match acl 3001
[Switch-classifier-c1] quit
[Switch] traffic behavior b1
[Switch-behavior-b1] permit
[Switch-behavior-b1] quit
[Switch] traffic policy p1
[Switch-trafficpolicy-p1] classifier c1 behavior b1
[Switch-trafficpolicy-p1] quit
[Switch] interface gigabitethernet 0/0/2
[Switch-GigabitEthernet0/0/2] traffic-policy p1 outbound
[Switch-GigabitEthernet0/0/2] quit




  • x
  • Standard:

Commentaire

envoyer
Connectez-vous pour répondre. Se connecter | Enregistrer

Remarque Remarque : Afin de protéger vos droits et intérêts légitimes, ceux de la communauté et des tiers, ne divulguez aucun contenu qui pourrait présenter des risques juridiques pour toutes les parties. Le contenu interdit comprend, sans toutefois s'y limiter, le contenu politiquement sensible, le contenu lié à la pornographie, aux jeux d'argent, à l'abus et au trafic de drogues, le contenu qui peut divulguer ou enfreindre la propriété intellectuelle d'autrui, y compris les secrets professionnels, les marques commerciales, les droits d'auteur et les brevets, ainsi que la vie privée personnelle. Ne partagez pas votre nom d'utilisateur ou votre mot de passe avec d'autres personnes. Toutes les opérations effectuées à partir de votre compte seront considérées comme vos propres actions, et toutes les conséquences en découlant vous seront imputées. Pour plus de détails, voir « Politique de confidentialité ».
Si le bouton de la pièce-jointe n'est pas disponible, mettez à jour Adobe Flash Player à la dernière version.

My Followers

Connectez-vous pour participer à la communication et au partage

S'identifier

Communauté de Support de Huawei Entreprise
Communauté de Support de Huawei Entreprise
Bloquer
Êtes-vous sûr de bloquer cet utilisateur?
Les utilisateurs de votre liste noire ne peuvent ni commenter votre publication,ni vous mentionner, ni vous envoyer de messages privés.