问

S5820v2交换机配置acl失败

8小时前提问

0关注
0收藏，34浏览

zhiliao_LiEKDd

zhiliao_LiEKDd 零段

粉丝：0人关注：0人

问题描述：

使用web界面配置的，目的是不让我电脑的端口访问131网段，结果应用于端口入方向的时候失败了

3 个回答

按时间按赞数

zhiliao_Gixe

zhiliao_Gixe 三段

粉丝：2人关注：9人

配置失败可能原因及排查步骤：

1. 检查ACL规则配置：
display acl all
确认ACL规则是否正确，特别是源IP地址范围。

2. 检查应用接口：
display this
在接口视图下检查ACL应用命令，确认方向（inbound）是否正确。

3. 常见问题：
- ACL规则数量超过硬件规格限制
- 规则冲突或优先级问题
- Web界面配置未提交

4. 建议操作：
- 通过命令行配置并保存：
acl advanced 3000
rule deny ip source 192.168.1.100 0 destination 131.0.0.0 0.255.255.255
interface GigabitEthernet 1/0/1
packet-filter 3000 inbound

请补充以下信息：
- 具体错误提示信息
- ACL规则详细内容
- 交换机软件版本

暂无评论

刘浩存

刘浩存七段

粉丝：8人关注：0人

第一步：检查ACL配置本身是否正确

执行以下命令，检查你创建的ACL规则是否符合预期：

display acl all

确认ACL类型：确保你创建的是高级ACL（编号3000-3999），规则格式类似 rule deny ip source 你的电脑IP 0 destination 131.0.0.0 0.255.255.255。

确认规则存在：列表中应能看到你添加的规则。

第二步：检查ACL是否应用成功

执行以下命令，检查ACL是否已正确应用到指定接口的入方向：

display packet-filter interface <你的接口编号>

接口编号：替换为你的电脑连接的接口，比如 GigabitEthernet1/0/1。

查看状态：重点看输出信息中，IPv4包过滤状态是否为 “成功”。如果显示“失败”或“资源不足”，说明应用确实没生效。

第三步：检查端口状态和类型

执行以下命令，确认端口的基本状态：

display interface <你的接口编号>

端口状态：确认端口是 “UP” 状态。

端口类型：确认端口是 “Switchport”（二层端口）。如果显示为三层路由口，则不能应用基于MAC的二层ACL。

根据排查结果，可以尝试以下方法：

确认并修正ACL类型
- 如果发现用的是二层ACL，请删除它，重新创建一个高级ACL（3000-3999）。在Web界面上，通常在“高级ACL”或“IPv4 ACL”菜单下创建。
重新应用ACL
- 如果 display packet-filter 显示应用失败，可以在Web界面上先移除该ACL，再重新应用一次。
- 也可以尝试通过命令行应用，效果更直接：
  interface <你的接口编号>
  packet-filter 3000 inbound quit
检查并调整规则顺序
- ACL规则是从上到下匹配的。执行 display acl 3000 查看规则列表，确保你的“拒绝”规则在“允许”规则之前。
清除设备缓存（可选）
- 如果上述都正确，但依然不生效，可以尝试保存配置后重启设备。
  save
  reboot