S7500交换机某些ACL无法下发的解决方法
在7500交换机下发ACL时,发现有些ACL无法下发。检查相关ACL资源也很充足。
例如,定义了一条下面的ACL。
acl number 3000
rule 0 permit icmp destination 1.1.1.1 0
rule 1 permit tcp source 1.1.1.1 0 source-port eq www
rule 2 permit tcp destination 2.2.2.2. 0 destination-port eq domain
rule 3 permit udp destination 1.1.1.1 0 destination-port eq dns
rule 4 permit tcp source 2.2.2.2 0 source-port range ftp-data ftp destination 3.3.3.0 0.0.0.63
rule 5 permit tcp source 1.1.1.1 0 source-port range ftp-data ftp destination 3.3.3.0 0.0.0.63
rule deny ip
在下发时,提示rule4、rule5无法下发。
[S7506-qosb-GigabitEthernet5/0/4]packet-filter in ip-group 3014
Applying Acl 3014 rule 4 failed! Reason: Not support!
Applying Acl 3014 rule 5 failed! Reason: Not support!
仔细观察ACL number 3000发现,rule4、rule5中的ACL定义的端口号为source-port range ftp-data ftp对于这种ACL,75的单板是不支持的。只能支持端口号等于多少的ACL。因此,将上面的ACL修改如下便可解决问题:
acl number 3000
rule 0 permit icmp destination 1.1.1.1 0
rule 1 permit tcp source 1.1.1.1 0 source-port eq www
rule 2 permit tcp destination 2.2.2.2. 0 destination-port eq domain
rule 3 permit udp destination 1.1.1.1 0 destination-port eq dns
rule 4 permit tcp source 2.2.2.2 0 source-port eq ftp-data destination 3.3.3.0 0.0.0.63
rule 5 permit tcp source 2.2.2.2 0 source-port eq ftp destination 3.3.3.0 0.0.0.63
rule 6 permit tcp source 1.1.1.1 0 source-port eq ftp-data ftp destination 3.3.3.0 0.0.0.63
rule 7 permit tcp source 1.1.1.1 0 source-port eq ftp destination 3.3.3.0 0.0.0.63
rule deny ip
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作