交换机包过滤功能不生效
- 0关注
- 0收藏,568浏览
问题描述:
1、应客户需求,需在子接口仅允许业务ip通过。
2、经测试发现,现网包过滤功能未拦截非业务ip,而同样的配置在模拟器上可以正常拦截非业务ip。
3、现网交换机型号为核心交换机:S12508G-AF-7624P12,接入交换机:S6860-54HF-2612P06H03,二者路由聚合口互联,启用子接口。
4、核心交换机启用vrf,vrf内加入vlanif网关,以及与接入交换机互联的子接口,配置路由。
5、核心交换机该子接口仅允许源为172.16.1.254的地址通过,配置acl,在子接口入方向使能包过滤。
6、接入交换机配置对应互联地址和网关,以及路由。
7、端口和vlanif状态均为up,现网在接入交换机测试发现ping -a 172.16.1.254 192.168.1.254,可达,ping -a 172.16.2.254 192.168.1.254,也可达。
8、相同的配置在模拟器上就能实现功能,ping -a 172.16.2.254 192.168.1.254,不可达。
9、同理,在接入交换机子接口配置出方向包过滤功能,现网不能实现功能,而模拟器可以。
10、现网交换机子接口是新建接口,没有别的配置,查阅官方相关版本文档未发现该功能有什么限制,求解谢谢。
csw S12508G-AF-7624P12
ip vpn-instance test1
#
address-family ipv4
#
interface Vlan-interface100
ip binding vpn-instance test1
ip address 192.168.1.254 255.255.255.0
#
acl basic 2000
rule 0 permit vpn-instance test1 source 172.16.1.254 0
rule 5 deny vpn-instance test1
#
interface Route-Aggregation1.10
ip binding vpn-instance test1
ip address 10.1.1.1 255.255.255.252
packet-filter 2000 inbound
#
ip route-static vpn-instance test1 172.16.1.0 24 Route-Aggregation1.10 10.1.1.2
ip route-static vpn-instance test1 172.16.2.0 24 Route-Aggregation1.10 10.1.1.2
#
srpsw S6860-54HF-2612P06H03
interface Route-Aggregation1.10
ip address 10.1.1.2 255.255.255.252
#
interface Vlan-interface100
ip address 172.16.1.254 255.255.255.0
#
interface Vlan-interface101
ip address 172.16.2.254 255.255.255.0
#
ip route-static 192.168.1.0 24 Route-Aggregation1.10 10.1.1.1
#
- 2024-05-09提问
- 举报
-
(0)
最佳答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
您好,我没理解这是什么意思?但现网确实是有vpn实例的,模拟器都可以,该怎么解决呢?