在H3C S12508X-AF 交换机
有一个奇怪的情况
一个VLAN的ACL配置是这样的:
acl advanced name JXTserver
rule 10 deny tcp destination-port range 135 139
rule 15 deny tcp destination-port eq 3389
rule 20 deny tcp destination-port eq 445
rule 30 deny udp destination-port range 135 netbios-ssn
rule 40 deny tcp destination-port range 22 telnet
rule 60 deny tcp destination-port eq 3306
rule 90 permit ip destination 10.156.31.202 0
rule 95 permit ip destination 10.156.31.154 0
rule 130 deny ip destination 10.156.31.0 0.0.0.255
rule 140 permit ip
#
其中rule 90和95,目的是放行到10.156.31.202和10.156.31.154这两台服务器的流量
但是,实际下来,只有到10.156.31.202是通的,到10.156.31.154不通。
把 rule 95 permit ip destination 10.156.31.154 0,扩大掩码,改成
rule 95 permit ip destination 10.156.31.154 0.0.0.31,居然通了(掩码改成0.0.0.15也不通)
实在想不明白,有高手支招吗?
首先,确认10.156.31.202是通的。
把rule 130这条删除,10.156.31.154是通的,加回去就不通,明显是匹配了rule 130这条
rule 95这条目的是单独放通10.156.31.154的,而且rule在130前,但是却没有匹配(放行)
改成rule 95 permit ip destination 10.156.31.152 0.0.0.3,10.156.31.154 不通
改成rule 95 permit ip destination 10.156.31.152 0.0.0.7,10.156.31.154 不通
改成rule 95 permit ip destination 10.156.31.144 0.0.0.15,10.156.31.154 不通
改成rule 95 permit ip destination 10.156.31.128 0.0.0.31,10.156.31.154 居然通了!!!
百思不得其解
不好意思,是我自己配置错了!我搞错了放行的目标。
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
抄袭了我的内容
×
原文链接或出处
诽谤我
×
对根叔社区有害的内容
×
不规范转载
×
举报说明
把 rule 130 删除,就通了,所以明显是跳过了rule95,匹配了rule130