需求

• 办公区主机172.16.100.1，可以访问监控区域设备192.168.10.1，反向访问不允许。
• 办公区SW上已有较多ACL策略，要求在监控区域SW上配置。

解决办法

1.在监控区域SW，vlanif10上调用ACL，拒绝目的地址为172.16.100.0/24的流量

acl adv 3001
 rule 15 deny ip destination 172.16.100.0 0.0.0.255
 #
int vlan 10
 ip address 192.168.10.254 255.255.255.0
 packet-filter 3001 inbound
#

此时存在问题，会导致双向不通，优化ACL策略

如果在ACL中只匹配源ip或目的ip，就会双向不通，需要使用ACL中的tcp的标志位来进行匹配，实现单向访问。

acl adv 3001  
 rule 5 permit icmp destination 172.16.100.0 0.0.0.255 icmp-type echo-reply    # 放行icmp回包
 rule 10 permit tcp destination 172.16.100.0 0.0.0.255 ack 1  # 使用ACL中的tcp的标志位来进行匹配
 rule 15 deny ip destination 172.16.100.0 0.0.0.255

结果验证

• 办公区域主机可以访问监控区域设备

• 监控区域设备不能访问办公区域主机

–

注：

1. HCL模拟器，在vlan虚拟接口调用ACL只有inbound方向生效，outbound方向ACL不生效。
2. HCL实验工程文件下载：https://download.csdn.net/download/i12344/90437791