现场在vlan-interface下配置了出方向的包过滤,发现不生效
interface Vlan-interface1
ip address 172.17.1.254 255.255.255.0
packet-filter filter all
packet-filter 3001 outbound
#
经测试发现,去往2口的流量中其他VLAN的包过滤都能生效,只有VLAN1的无法过滤
interface GigabitEthernet0/0/2
port link-mode bridge
description ESXI-172.17.1.42
port link-type trunk
port trunk permit vlan all
stp edged-port
1、经确认,当前S7003X设备存在限制,如果报文从接口发出的时候去掉了vlan tag,那么下发到VLAN接口的ACL就无法匹配了。 现场是在VLAN1上下发的包过滤,报文出口都是trunk口,PVID是1,所以发出去的报文都会去掉TAG,无法过滤。
2、规避办法:
(1)应用到物理接口
(2)不要使用VLAN1,改成其他VLAN
(3)修改trunk口的PVID,让VLAN1能携带TAG发出
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作