S10506X-G,Version 7.1.070, Release 7756P06
现场做了ACL包过滤,调用在vlan接口上,交换机本身的地址包含在ACL的地址范围里,发现终端Ping交换机能通,SSH交换机能通,但ACL中rule已经拒绝了私网地址段,想实现即使包过滤目的地址是交换机本机地址也能生效
interface Vlan interface100
packet-filter 3101 inbound
acl advanced 3101
rule 1 deny ip source 10.1.64.0 0.0.31.255 destination 10.0.0.0 0.255.255.25
到本机的报文会上送cpu处理,交换机一般对上cpu的报文,会优先匹配高优先级的系统报文上cpu规则,不会再受用户deny规则的影响,所以包过滤无法过滤访问访问本机地址的ICMP报文
一、现场可以用local pbr禁用回包。acl rule的源、目的需要做相应修改。配置上之后协议报文仍会上cpu,但是不会发回包给终端。为纯软实现的,不占用acl资源。
交换机到终端的通信,匹配上就不发出去了,所以要精确匹配,那个ssh的deny可以用ssh server acl来限制,icmp的deny可以精确匹配一下
示例:
#
acl number 3000
rule 0 permit ip source 50.0.0.1 0 destination 50.0.0.2 0 #<------禁用的是回程报文
#
policy-based-route 1 permit node 1
if-match acl 3201
apply output-interface NULL0
#
ip local policy-based-route 1
#
二、目前的版本不支持copp(控制平面QOS)下过滤,R7760P03版本才支持,升级版本之后可以配置copp过滤上cpu报文
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作