现场设备三层转发,通过包过滤来隔离网段时间的访问,但是目前发现访问设备本身的流量没法被包过滤限制。
PC(192.168.4.11)----(vlan-int40 192.168.4.1)S7003X(vlan-int50 192.168.5.1)----- 192.168.5.55
(1)首先检查设备上包过滤配置,访问本机的流量确实可以匹配到对应rule 60中的,并且流量从PC访问192.168.5.55时报文能够过滤,说明acl已经成功下发并生效。
#
acl advanced 3000
rule 10 deny ip source 192.168.4.0 0.0.0.255 destination 192.168.1.0 0.0.0.255
rule 20 deny ip source 192.168.4.0 0.0.0.255 destination 192.168.2.0 0.0.0.255
rule 30 deny ip source 192.168.4.0 0.0.0.255 destination 192.168.3.0 0.0.0.255
rule 40 deny ip source 192.168.4.0 0.0.0.255 destination 192.168.5.0 0.0.0.255
rule 50 deny ip source 192.168.4.0 0.0.0.255 destination 192.168.6.0 0.0.0.255
rule 60 deny ip source 192.168.4.0 0.0.0.255 destination 192.168.4.0 0.0.0.255
rule 100 permit ip
#
interface Vlan-interface40
ip address 192.168.4.1 255.255.255.0
packet-filter filter all
packet-filter 3000 inbound
packet-filter 3000 outbound
#
(2)经过内部分析确认,该设备在当前版本中,访问本机的报文可以通过协议acl直接上送CPU处理,该流程的优先级高于包过滤的优先级,因此包过滤无法过滤到访问本机地址的报文:
(3)目前硬件acl禁不了上送cpu的协议报文,已实测过。可以1.使用本地pbr(软转)禁用回程报文,该方式需要升级到R7748P01; 2.出端口非路由口时,也可以使用出方向包过滤禁用掉回程报文
本地pbnr相关参考配置如下:
#
acl number 3201
rule 0 permit ip source 192.168.4.1 0 destination 192.168.4.11 0 #<------禁用的是回程报文
#
#
policy-based-route 1 permit node 1
if-match acl 3201
apply output-interface NULL0
#
ip local policy-based-route 1
1、使用本地pbr(软转)禁用回程报文,该方式需要升级到R7748P01;
2、出端口非路由口时,也可以使用出方向包过滤禁用掉回程报文
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作