|如何讓老板能訪問員工的電腦，而員工卻不能訪問老板的電腦

網絡一向不只是能通就好，很多場景里面，都會有特殊的需求，比如說，有時候需要配置VLAN之間TCP的單向訪問——在下圖中，要求只允許PC1主動與PC2建立TCP連接，而不允許PC2主動發起與PC1的TCP連接。
針對客戶的要求，打算配置高級ACL和基于ACL的流分類，通過限制ICMP和TCP連接的方式實現PC1到PC2的單向訪問。

【|如何讓老板能訪問員工的電腦，而員工卻不能訪問老板的電腦】實際上的網絡架構當然不可能這么簡單，本文只為展示TCP單向發起通訊的配置方法，所以其他因素暫不考慮，也就暫時不需要引入其他的設備了。
配置步驟如下：

配置VLAN參數

<HUAWEI> system-view
[HUAWEI
sysname Sw1
[Sw1
vlan batch 10 20 # 創建VLAN10和VLAN20
[Sw1
interface vlanif 10
[Sw1-Vlanif10
ip address 10.1.1.1 24
[Sw1-Vlanif10
quit
[Sw1
interface vlanif 20
[Sw1-Vlanif20
ip address 10.1.2.1 24
[Sw1-Vlanif20
quit
2、配置物理接口
[Sw1
interface gigabitethernet 0/0/1
[Sw1-GigabitEthernet0/0/1
port link-type trunk
[Sw1-GigabitEthernet0/0/1
port trunk allow-pass vlan 10
[Sw1-GigabitEthernet0/0/1
quit
[Sw1
interface gigabitethernet 0/0/2
[Sw1-GigabitEthernet0/0/2
port link-type trunk
[Sw1-GigabitEthernet0/0/2
port trunk allow-pass vlan 20
[Sw1-GigabitEthernet0/0/2
quit
3、配置高級ACL
[Sw1
acl 3001
[Sw1-acl-adv-3001
rule permit tcp source 10.1.2.0 0.0.0.255 destination 10.1.1.0 0.0.0.255 tcp-flag syn ack
[Sw1-acl-adv-3001
rule deny tcp source 10.1.2.0 0.0.0.255 destination 10.1.1.0 0.0.0.255 tcp-flag syn
[Sw1-acl-adv-3001
rule deny icmp source 10.1.2.0 0.0.0.255 destination 10.1.1.0 0.0.0.255 icmp-type echo
[Sw1-acl-adv-3001
quit

配置匹配于高級ACL的流分類

[Sw1
traffic classifier c1
[Sw1-classifier-c1
if-match acl 3001
[Sw1-classifier-c1
quit

配置流行為

[Sw1
traffic behavior b1
[Sw1-behavior-b1
permit
[Sw1-behavior-b1
quit

配置流策略，將流分類與流行為關聯

[Sw1
traffic policy p1
[Sw1-trafficpolicy-p1
classifier c1 behavior b1
[Sw1-trafficpolicy-p1
quit

在接口下應用流策略

[Sw1
interface gigabitethernet 0/0/2
[Sw1-GigabitEthernet0/0/2
traffic-policy p1 inbound
[Sw1-GigabitEthernet0/0/2
quit
最后提醒一下，不要在模擬器里面實驗這個配置，因為完全沒有效果，此時，如果把流行為修改為deny ，那就雙向都不通了，可能是模擬器的BUG ，也可能是我水平問題，就算是用traffic-filter vlan 20 inbound acl 3001也還是不行。
誰能在模擬器里面配置成VLAN單向通訊的，還請不吝賜教，謝謝。