客户需求:内网特定地址可以被访问,其他地址禁止访问。
问题现象: 终端上线后permit的地址无法正常访问。
(1) 查看acl是否下发给终端
通过display wlan client verbose 查看acl参数,如红色部分所示,服务器已下发acl到终端。
2、display acl 3003 并复现问题,查看acl 匹配次数是否增加
从匹配次数上看,复现问题后acl被击中的次数还是在增加的,说明acl生效了。
2、查看acl配置:
ACL配置放通了目的为10.151.6.17,10.151.1.230,10.151.75.254的地址;deny了该网段的其他地址,直观看着并似乎没有啥问题。
但是,我们分析一下流量走向,ping包路径是有去有回的,acl只放通了目的为10.151.6.17的地址,但是对于计划放通的地址,只放通了该地址作为目的的规则,没有放通该地址作为源的规则,回程的报文不通。所以还需要放通源地址。
所有计划permit的地址既要允许作为目的放通,又要允许作为源放通
Rule 10 permit ip destination x.x.x.x 0
Rule 15 permit ip source x.x.x.x 0
……
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作