SDN场景,context配置对象策略。突发业务不通问题,虚墙到管理网关直连不通。
debug显示ASPF丢包,无法命中对象策略,但是实际策略是放行的。
对应策略:
#
object-policy ip SEC_POLICY_DEFAULT
rule 0 pass
rule 1 pass vrf management_vpn counting
#
zone-pair security source Any destination Any
object-policy apply ip SEC_POLICY_DEFAULT
#
看起来像是软件bug,首包没有匹配到对象策略显示被丢包。
实际检查配置发现,设备配置了安全策略。由于debug的时候只收集了debugging aspf packet和debugging object-policy packet ip的信息,因此出现上述打印。实际业务被安全策略阻断。
后续查看操作记录发现系客户误操作。
需要注意,使用对象策略的情况下,进入安全策略视图属于高危操作!!
安全策略功能与对象策略功能在设备上不能同时使用,首次进入安全策略视图后,对象策略功能立即失效。
对于此类可能误操作的情况,可以配置security-policy disable命令用来关闭安全策略功能。防止客户误操作导致业务异常。
包过滤策略可能出现类似的问题,可以参考:某局点新增安全策略导致业务中断问题分析
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作