PBR的node为permit,acl rule 为deny,流量会执行apply动作吗
- 0关注
- 0收藏,709浏览
问题描述:
PBR的node为permit,acl rule 为deny,流量会执行apply动作吗,我在文档看到过,只要PBR的node为permit,无论acl的rule为permit,都会执行PBR的node的动作
我记得有文档专门介绍acl在策略路由和路由策略中的匹配差异的,可以帮忙发一下链接嘛
- 2025-05-09提问
- 举报
-
(0)
最佳答案
当PBR的node配置为permit时,需同时满足以下条件才会执行apply动作:
- node的permit动作表示允许执行策略路由;
- 匹配的ACL规则必须为permit(ACL规则为deny的流量会被视为不匹配,不会触发策略路由动作)。
在H3C设备中,PBR的匹配流程如下:
- 若ACL规则为permit,则流量命中该node并执行apply动作(如设置下一跳、重定向等)。
- 若ACL规则为deny,则流量不命中该node,直接跳过当前node,继续匹配后续node或走默认路由。
示例参考
Policy name: SDN_SC_87
node 0 permit:
if-match acl name SDN_SC_F_AC_57_57feeecb-bb5b-4d43-b8cb-20b8ab8ca609
apply next-hop vpn-instance SDN_SC_1 50.0.245.6
apply service-chain path-id 1 path-index 1
在此配置中,仅当ACL规则为permit时,流量才会命中该node并执行服务链重定向动作。
总结:PBR的node为permit时,必须ACL规则也为permit才会执行apply动作。若ACL规则为deny,流量不会被策略路由处理。
- 2025-05-09回答
- 评论(1)
- 举报
-
(0)
答复有问题,别被误导了,手册明确说了,if-match子句中使用ACL时,将忽略ACL规则的permit/deny动作以及time-range指定的规则生效时间段等的处理机制,只使用ACL中的匹配规则来匹配报文。如果使用的ACL不存在,则不匹配任何报文。 具体见1.4.2节https://www.h3c.com/cn/d_202507/2586749_30005_0.htm#_Toc202972885
#
acl advanced 3997
rule 9 deny ip source 10.240.1.250 0 destination 10.229.146.37 0
#
policy-based-route outdate permit node 10
if-match acl 3997
apply next-hop 10.229.146.6
#
如上述配置,10.240.1.250访问10.229.146.37会走apply next-hot 嘛
- 2025-05-09回答
- 评论(1)
- 举报
-
(0)
不会,你把那条抓取出来
不会,你把那条抓取出来
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
答复有问题,别被误导了,手册明确说了,if-match子句中使用ACL时,将忽略ACL规则的permit/deny动作以及time-range指定的规则生效时间段等的处理机制,只使用ACL中的匹配规则来匹配报文。如果使用的ACL不存在,则不匹配任何报文。 具体见1.4.2节https://www.h3c.com/cn/d_202507/2586749_30005_0.htm#_Toc202972885