现场需求,其他vlan下地址不能访问vlan11,以vlan2为例;配置了acl包过滤,ping不通,但是可以telnet成功,如下:
检查相关配置:
#
interface Vlan-interface2
ip address 10.2.2.1 255.255.255.0
packet-filter 3000 inbound
#
interface Vlan-interface11
ip address 10.2.11.1 255.255.255.0
packet-filter 3001 inbound
#
acl number 3000
rule 5 deny ip destination 10.2.6.0 0.0.0.255
rule 10 deny ip destination 10.2.7.0 0.0.0.255
rule 15 deny ip destination 10.2.11.0 0.0.0.255
#
acl advanced 3001
rule 5 deny ip destination 10.0.0.0 0.255.255.255
#
另外查看ACL资源也是足够的;
测试终端:10.2.2.17,未配置ACL,包过滤之前是可以通的,配置之后ping不通,但是可以telnet上去;
流统信息收集:
1.ping测试的流统正常,但是telnet时在物理接口下做流统没有看到报文;
ssh默认端口号22,telnet默认端口号23,设备根据入方向tcp报文的L4端口号匹配报文上送cpu,动作为copy+redirect,即上送CPU一份也硬转一份。当前telnet流量为tcp目的端口号22的报文,匹配规则上送cpu且硬转的优先级高,所以流统不到
2。配置包过滤之后ping不通,但是telnet能通
Ping不通是正常现象;
之所以telnet能通,正如1解释,该telnet流量除了上送cpu一份,也会硬转一份,导致包过滤不生效。
规避手段:
该问题的触发是由于设备对入方向目的端口号为22/23的tcp报文上送cpu+硬转处理,所以可以修改目的端口号为其他非协议默认端口号规避,比如24;
也可以在vlan-int11出方向下发包过滤,端口出方向报文不会上送cpu+硬转
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作