华三5120,5560交换机我都测试了,结果都是以端口上的acl策略为准,我就想知道是早期版本问题吗?请华三工程师回复,其余人找不回复,谢谢你们了。 1.acl 1允许所有IP通行,在端口中调用outbound方向。端口下只有pcB 2.acl 2拒绝跨网段的pcA访问pcB,在vlan中outbound调用。 3.结果,跨网段的pcA能访问pcB。把端口下的acl 1 undo掉,pcA就无法访问pcB了。再把端口下acl 1应用,pcA又能访问pcB了。请不用怀疑策略的问题,已经验证了好几台交换机了,就一条语句,没什么错的,也不用怀疑什么出入方向双向都调用问题。我用锐捷的交换机验证了,锐捷是根据数据流方向来的,跨网段经过vlan就匹配对应策略,到了端口再匹配对应策略,两者是与的状态。 问题:为什么会是上面那样的结果。如果只能以端口上的策略为准,那还需要vlan中的策略做什么。请厂家专业人事回答,其他人的话,手头上有设备,先试试再发言吧,谢谢了
(0)
最佳答案
真机可以复现该问题。
1、分别在vlan虚接口和物理接口下deny和permit all的包过滤,现象和楼主一样;
# interface Vlan-interface14
ip address 14.1.1.1 255.255.255.0
packet-filter 3331 outbound
#
# interface HundredGigE1/0/0/5
port link-mode bridge
port link-type trunk
port trunk permit vlan 1 14
packet-filter 3330 outbound
#
2、查看底层,两个包过滤被分配到同一个Group中,所以当匹配到同一条流时,只有一个会生效;
------------------------------- Acl Hw Resource: EFP, Pipe:0 -----------------------------
Pri 1, Group 12,usedEntries 4 ,mode Single, physlice 3/
===================================================
acl type usedEntries[4]
===================================================
[108]PktFilter IP on PORT 1
[109]PktFilter IP on VRF 3
================================================
3、进一步查看两条规则的优先级,发现下发在物理端口的包过滤优先级更高(数值越大越优先),所以物理端口下的包过滤生效,即楼主观察到的现象。
[2117-S12504G-AF-2-probe]debug qacl show chassis 1 slot 0 chip 0 verbose 0 acl-type 108
========
Acl-Type PktFilter IP on PORT, Stage EFP, Pipe 0, SinglePort, Installed, Active
Prio Mjr/Sub 268/1308622847, Group 12 [12], Slice/Idx 3/0, Entry 1820, Single: 1536
ACL GroupNo : 3330, RuleID : 0 Rule Match --------
Out Port: 50
IP Type: Any IPv4 packet
Actions --------
Permit
[2117-S12504G-AF-2-probe]debug qacl show chassis 1 slot 0 chip 0 verbose 0 acl-type 109
========
Acl-Type PktFilter IP on VRF, Stage EFP, Pipe 0, OuterPort, Installed, Active
Prio Mjr/Sub 268/503316479, Group 12 [12], Slice/Idx 3/1, Entry 1817, Single: 1537
ACL GroupNo : 3331, RuleID : 0
Rule Match --------
Port Class: 0x1, 0xffffff03 | stPbmp=0x0000000000000000000000004444444400000000, stPbmpMask=0x00000000000000000000000344444446000007ff
Source IP: 13.1.1.2, 255.255.255.255
Dest IP: 14.1.1.2, 255.255.255.255
IP Type: Any IPv4 packet
L3 Routable: 0x1, Mask: 0x1
Outer Vlan: 0xe, 0xfff
Actions --------
Deny
========
(0)
感谢 “禾呈立曰心”帮忙解答了,两个acl分别应用在端口下和svi下,会被划归到同一个组,同一个流量只能选择其中一个,并且端口的那个acl优先级高,所以只有端口的acl生效。请问如何能实现两个acl都生效呢?数据流经过svi的时候使用svi的acl,经过端口的时候使用端口的acl,两者都生效,是与的状态。(那些热情回答的人谢谢了,不过建议实际操作一下,不然理论说辞大家都懂的说,但是实际根本对不上)
(0)
可以在端口下将包过滤改成MQC,MQC和包过滤在底层不在一个group里。
可以在端口下将包过滤改成MQC,MQC和包过滤在底层不在一个group里。
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
抄袭了我的内容
×
原文链接或出处
诽谤我
×
对根叔社区有害的内容
×
不规范转载
×
举报说明