某局点 S10506X-G ACL包过滤到交换机本机报文deny不生效

S10506X-G，Version 7.1.070, Release 7756P06

现场做了ACL包过滤，调用在vlan接口上，交换机本身的地址包含在ACL的地址范围里，发现终端Ping交换机能通，SSH交换机能通，但ACL中rule已经拒绝了私网地址段，想实现即使包过滤目的地址是交换机本机地址也能生效

interface Vlan interface100
packet-filter 3101 inbound

acl advanced 3101
rule 1 deny ip source 10.1.64.0 0.0.31.255 destination 10.0.0.0 0.255.255.25

到本机的报文会上送cpu处理，交换机一般对上cpu的报文，会优先匹配高优先级的系统报文上cpu规则，不会再受用户deny规则的影响，所以包过滤无法过滤访问访问本机地址的ICMP报文

一、现场可以用local pbr禁用回包。acl rule的源、目的需要做相应修改。配置上之后协议报文仍会上cpu，但是不会发回包给终端。为纯软实现的，不占用acl资源。

交换机到终端的通信，匹配上就不发出去了，所以要精确匹配，那个ssh的deny可以用ssh server acl来限制，icmp的deny可以精确匹配一下

示例：

#

acl number 3000

rule 0 permit ip source 50.0.0.1 0 destination 50.0.0.2 0     #<------禁用的是回程报文

#

policy-based-route 1 permit node 1

if-match acl 3201

apply output-interface NULL0

#

ip local policy-based-route 1

#

二、目前的版本不支持copp（控制平面QOS）下过滤，R7760P03版本才支持，升级版本之后可以配置copp过滤上cpu报文