• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
  • 漏洞说明
  • 全部
  • 全部
  • 大数据引擎
  • 知了引擎
产品线
搜索
取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式
高级搜索

华三交换机acl问题,请华三工程师回复,其他人不要回复,谢谢你们了

2023-07-12提问
  • 0关注
  • 0收藏,916浏览
粉丝:0人 关注:0人

问题描述:

华三5120,5560交换机我都测试了,结果都是以端口上的acl策略为准,我就想知道是早期版本问题吗?请华三工程师回复,其余人找不回复,谢谢你们了。 1.acl 1允许所有IP通行,在端口中调用outbound方向。端口下只有pcB 2.acl 2拒绝跨网段的pcA访问pcB,在vlan中outbound调用。 3.结果,跨网段的pcA能访问pcB。把端口下的acl 1 undo掉,pcA就无法访问pcB了。再把端口下acl 1应用,pcA又能访问pcB了。请不用怀疑策略的问题,已经验证了好几台交换机了,就一条语句,没什么错的,也不用怀疑什么出入方向双向都调用问题。我用锐捷的交换机验证了,锐捷是根据数据流方向来的,跨网段经过vlan就匹配对应策略,到了端口再匹配对应策略,两者是与的状态。 问题:为什么会是上面那样的结果。如果只能以端口上的策略为准,那还需要vlan中的策略做什么。请厂家专业人事回答,其他人的话,手头上有设备,先试试再发言吧,谢谢了

最佳答案

粉丝:1人 关注:47人

真机可以复现该问题。


1、分别在vlan虚接口和物理接口下deny和permit all的包过滤,现象和楼主一样;

# interface Vlan-interface14 

 ip address 14.1.1.1 255.255.255.0 

 packet-filter 3331 outbound 

#


# interface HundredGigE1/0/0/5 

 port link-mode bridge 

port link-type trunk 

 port trunk permit vlan 1 14 

 packet-filter 3330 outbound 


2、查看底层,两个包过滤被分配到同一个Group中,所以当匹配到同一条流时,只有一个会生效;

 ------------------------------- Acl Hw Resource: EFP, Pipe:0 ----------------------------- 

Pri 1, Group 12,usedEntries 4 ,mode Single, physlice 3/ 

 =================================================== 

 acl type usedEntries[4] 

 =================================================== 

 [108]PktFilter IP on PORT 1 

 [109]PktFilter IP on VRF 3 

 ================================================


3、进一步查看两条规则的优先级,发现下发在物理端口的包过滤优先级更高(数值越大越优先),所以物理端口下的包过滤生效,即楼主观察到的现象。

[2117-S12504G-AF-2-probe]debug qacl show chassis 1 slot 0 chip 0 verbose 0 acl-type 108

 ======== 

Acl-Type PktFilter IP on PORT, Stage EFP, Pipe 0, SinglePort, Installed, Active 

Prio Mjr/Sub 268/1308622847, Group 12 [12], Slice/Idx 3/0, Entry 1820, Single: 1536 

 ACL GroupNo : 3330, RuleID : 0 Rule Match -------- 

 Out Port: 50 

 IP Type: Any IPv4 packet 

Actions -------- 

 Permit 

 [2117-S12504G-AF-2-probe]debug qacl show chassis 1 slot 0 chip 0 verbose 0 acl-type 109 

 ======== 

Acl-Type PktFilter IP on VRF, Stage EFP, Pipe 0, OuterPort, Installed, Active 

Prio Mjr/Sub 268/503316479, Group 12 [12], Slice/Idx 3/1, Entry 1817, Single: 1537 

 ACL GroupNo : 3331, RuleID : 0 

Rule Match -------- 

 Port Class: 0x1, 0xffffff03 | stPbmp=0x0000000000000000000000004444444400000000, stPbmpMask=0x00000000000000000000000344444446000007ff 

 Source IP: 13.1.1.2, 255.255.255.255 

 Dest IP: 14.1.1.2, 255.255.255.255 

 IP Type: Any IPv4 packet 

 L3 Routable: 0x1, Mask: 0x1 

 Outer Vlan: 0xe, 0xfff 

 Actions -------- 

 Deny 

======== 

1 个回答
zhiliao_Ea6n4Y 知了小白
粉丝:0人 关注:0人

感谢 “禾呈立曰心”帮忙解答了,两个acl分别应用在端口下和svi下,会被划归到同一个组,同一个流量只能选择其中一个,并且端口的那个acl优先级高,所以只有端口的acl生效。请问如何能实现两个acl都生效呢?数据流经过svi的时候使用svi的acl,经过端口的时候使用端口的acl,两者都生效,是与的状态。(那些热情回答的人谢谢了,不过建议实际操作一下,不然理论说辞大家都懂的说,但是实际根本对不上)

可以在端口下将包过滤改成MQC,MQC和包过滤在底层不在一个group里。

禾呈立曰心 发表时间:2023-07-13 更多>>

可以在端口下将包过滤改成MQC,MQC和包过滤在底层不在一个group里。

禾呈立曰心 发表时间:2023-07-13

编辑答案

你正在编辑答案

如果你要对问题或其他回答进行点评或询问,请使用评论功能。

分享扩散:

提出建议

    +

亲~登录后才可以操作哦!

确定

亲~检测到您登陆的账号未在http://hclhub.h3c.com进行注册

注册后可访问此模块

跳转hclhub

你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作

举报

×

侵犯我的权益 >
对根叔社区有害的内容 >
辱骂、歧视、挑衅等(不友善)

侵犯我的权益

×

泄露了我的隐私 >
侵犯了我企业的权益 >
抄袭了我的内容 >
诽谤我 >
辱骂、歧视、挑衅等(不友善)
骚扰我

泄露了我的隐私

×

您好,当您发现根叔知了上有泄漏您隐私的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您认为哪些内容泄露了您的隐私?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)

侵犯了我企业的权益

×

您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
  • 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
  • 3. 是哪家企业?(营业执照,单位登记证明等证件)
  • 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔社区有害的内容

×

垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载 >
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票

不规范转载

×

举报说明