traffic behavior中filter permit,为什么会将acl 中deny的数据包也放行?
- 0关注
- 0收藏,154浏览
问题描述:
想通过qos vlan-policy实现数据包的过滤,acl里如果permit A ip, deny ip的情况,当traffic-
behavior参数为filter permit时,我发现无论acl permit还是deny的数据包都可以通过,难道不应该是acl deny的不能过吗
组网及组网描述:
- 2024-11-26提问
- 举报
-
(0)
最佳答案
这个我测试了,filter permit就是放通,只配置filter permit肯定所有数据包都能通过的。
我觉得filter permit主要是用来配合filter deny一起使用的,类似于acl包过滤的rule,从上到下顺序匹配。比如:
traffic behavior deny
filter deny
traffic behavior permit
filter permit
qos policy test
classifier 3001 behavior permit
classifier 3002 behavior deny
3001匹配源ip是192.168.0.1/32的流,3002匹配源地址是192.168.0.0/24网段的流,
那么设备会按配置顺序从上往下匹配,实现把源ip是192.168.0.1的流放通的同时,把其他源ip属于192.168.0.0/24的流全部拦截。
说实话,这功能确实鸡肋。
- 2024-11-28回答
- 评论(0)
- 举报
-
(0)
filter permit是抓取流量,不看ACL中的规则是允许还是拒绝
- 2024-11-26回答
- 评论(1)
- 举报
-
(0)
我看手册对permit的描述为允许命中规则的数据包通过,这么来理解,命中acl permit的不就应该属于命中规则么…反之deny为未命中
我看手册对permit的描述为允许命中规则的数据包通过,这么来理解,命中acl permit的不就应该属于命中规则么…反之deny为未命中
您好,看下acl前面的permit是不是已经添加对应的地址了,还有就是看你配置的是inbound还是outbound
- 2024-11-26回答
- 评论(1)
- 举报
-
(0)
这个肯定是验证了,不存在配置错误情况
这个肯定是验证了,不存在配置错误情况
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明