S7500交换机某些ACL下发后不生效的解决方法
S7500交换机某些ACL下发后不生效,如下面的ACL。
例如,定义了两条如下的ACL。
Advanced ACL 3000, 1 rule,
rule 0 permit ip (0 times matched)
Advanced ACL 3002, 5 rules,
rule 0 permit ip destination 1.1.1.0 0.0.0.31 (0 times matched)
rule 1 permit tcp source 1.1.1.0 0.0.0.31 source-port eq www (0 times matched)
rule 2 permit tcp destination 2.2.2.2 0 destination-port eq domain (0 times matched)
rule 3 permit udp destination 2.2.2.2 0 destination-port eq dns (0 times matched)
rule 4 deny ip (0 times matched)
下发后发现,rule4没有生效。
[S7506-qosb-GigabitEthernet3/0/1]dis th
#
qos
packet-filter inbound ip-group 3002 rule 0 system-index 11
packet-filter inbound ip-group 3002 rule 1 system-index 12
packet-filter inbound ip-group 3002 rule 2 system-index 13
packet-filter inbound ip-group 3002 rule 3 system-index 14
packet-filter inbound ip-group 3002 rule 4 system-index 15
traffic-limit inbound ip-group 3000 rule 0 system-index 15 100
#
仔细观察发现,在G3/0/1的ACL配置最后下发了一条流限速的ACL,而且流限速的ACL引用的是ACL 3000,正好是permit any, 和ACL 3002的rule4正好相反。通过查看底层命令下发情况,问题正好是这两条acl冲突导致。
解决办法:
将ACL 3000进行修改,该为ACL 4000,rule permit ingress any engress any,然后在流限速的时候引用ACL 4000便能解决问题。
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作