设备型号及版本:S5560-56C-HI V7 R7116P01
组网:PC1----- ( 1/0/47 )S5560-56C-HI (1/0/7)----PC2
客户想要针对某个固定终端过滤该终端的所有报文,于是在二层物理接口1/0/47做了包过滤(packet-filter),调用二层acl,在 1/0/7 口虚机上抓包发现还是能收到源MAC为7427-eab1-e750的PC发出的ARP报文;
但是实际上两台PC间无法ping通,属于同一网段;
#
interface GigabitEthernet1/0/47
port link-mode bridge
packet-filter 4000 inbound
acl number 4000
rule 20 deny source-mac 7427-eab1-e750 ffff-ffff-ffff
#
1、从测试结果并结合抓包看,在物理接口上下发包过滤实际上只过滤的icmp报文,但是没有过滤掉arp报文;
2、收集底层acl,查看包过滤acl下发情况:
先debug port mapping slot 1看下1/0/47是属于哪个芯片的(unit列如果是0就是chip 0,unit 列是1就是chip 1),
Probe
debug qacl show acl-resc slot 1 chip 0 1-->Slot number 0-->Chip number(根据上述看到的chip号对应收集。)
debug qacl show slot 1 chip 0 verbose 0 1-->Slot number 0-->Chip number
debug qacl show slot 1 chip 0 verbose 20
debug qacl show slot 1 chip 0 verbose 40
debug qacl show slot 1 chip 0 verbose 60
............................................. (每20一个步长,一直收集到没有显示内容为止)
3、设备上终端的mac表和arp表:
7427-eab1-e750 6 Learned GE1/0/47 Y
10.6.11.211 7427-eab1-e750 6 GE1/0/47 20 D
底层acl信息:
========
Acl-Type PktFilter Eth_Mac on PORT, Stage IFP, SinglePort, Installed, Active
Prio Mjr/Sub 520/18, Group 3 [3], Slice/Idx 10/4, Entry 94, Double: 5124/5636
ACL GroupNo : 4000, RuleID : 20
Rule Match --------
Ports: 0x0000800000014000; 0x3fffffffffffffff
Lookup: STP forwarding, 0x18, 0x18
Source mac: 7427-EAB1-E750, FFFF-FFFF-FFFF
Actions --------
Deny
========
Acl-Type RX IPv4 High, Stage IFP, Global, Installed, Active
Prio Mjr/Sub 523/24, Group 1 [1], Slice/Idx 12/8, Entry 31, Double: 6152/6664
Rule Match --------
Ports: 0x03fffffffffffffe; 0x3fffffffffffffff
Lookup: VLAN ID valid[y], STP forwarding, 0x1c, 0x1c
Dest mac: FFFF-FFFF-FFFF, FFFF-FFFF-FFFF
EtherType: 0x806, 0xffff
SysmRule Index : 29
Vlan Class id: 0x2 Mask: 0x2
Actions --------
CAR cir 0x100, cbs 0x800, pir 0x100, pbs 0x800, mode srTCM color blind
Account mode packets, green and non-green
Copy_to_cpu : Yes
Change CPU pkt COS 8
Permit
Red_Copy_to_cpu : No
Yel_Copy_to_cpu : No
MatchedName:29, ARP
Accounting: Hi 29, LO 0
========
4、看了下,终端是接在设备vlan 6下面的,本地也配置了vlan-interface 6且接口是up的,所以,设备会下发一个匹配arp的acl到底层,5560HI这条系统下发的acl规则比包过滤规则优先级高, 这时候执行动作copy一份到cpu,原始的报文也正常硬件转发出去了,此时不会再匹配低优先的包过滤acl,所以,配置包过滤没有过滤掉arp广播报文。
1、
用户配这个包过滤的目的如果是限制下行用户上网,那没问题,因为只有下行用户发送的广播arp请求报文能转发,其他报文都会被deny。
2、若客户确实也想过滤掉arp报文,可以在设备上undo int vlan(对应设备收到该arp报文对应的vlan tag)来解决。
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作