PBR的node为permit,acl rule 为deny,流量会执行apply动作吗,我在文档看到过,只要PBR的node为permit,无论acl的rule为permit,都会执行PBR的node的动作
我记得有文档专门介绍acl在策略路由和路由策略中的匹配差异的,可以帮忙发一下链接嘛
(0)
最佳答案
当PBR的node配置为permit时,需同时满足以下条件才会执行apply动作:
在H3C设备中,PBR的匹配流程如下:
示例参考
Policy name: SDN_SC_87
node 0 permit:
if-match acl name SDN_SC_F_AC_57_57feeecb-bb5b-4d43-b8cb-20b8ab8ca609
apply next-hop vpn-instance SDN_SC_1 50.0.245.6
apply service-chain path-id 1 path-index 1
在此配置中,仅当ACL规则为permit时,流量才会命中该node并执行服务链重定向动作。
总结:PBR的node为permit时,必须ACL规则也为permit才会执行apply动作。若ACL规则为deny,流量不会被策略路由处理。
(0)
答复有问题,别被误导了,手册明确说了,if-match子句中使用ACL时,将忽略ACL规则的permit/deny动作以及time-range指定的规则生效时间段等的处理机制,只使用ACL中的匹配规则来匹配报文。如果使用的ACL不存在,则不匹配任何报文。 具体见1.4.2节https://www.h3c.com/cn/d_202507/2586749_30005_0.htm#_Toc202972885
#
acl advanced 3997
rule 9 deny ip source 10.240.1.250 0 destination 10.229.146.37 0
#
policy-based-route outdate permit node 10
if-match acl 3997
apply next-hop 10.229.146.6
#
如上述配置,10.240.1.250访问10.229.146.37会走apply next-hot 嘛
(0)
不会,你把那条抓取出来
不会,你把那条抓取出来
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
抄袭了我的内容
×
原文链接或出处
诽谤我
×
对根叔社区有害的内容
×
不规范转载
×
举报说明
答复有问题,别被误导了,手册明确说了,if-match子句中使用ACL时,将忽略ACL规则的permit/deny动作以及time-range指定的规则生效时间段等的处理机制,只使用ACL中的匹配规则来匹配报文。如果使用的ACL不存在,则不匹配任何报文。 具体见1.4.2节https://www.h3c.com/cn/d_202507/2586749_30005_0.htm#_Toc202972885