Print

被acl拒绝的报文还能获取到地址

2020-05-22发表

问题描述

设备作为网关加dhcp server,做二层acl禁用一些mac地址,但是发现这些地址还能获取到ip

解决方法

测试发现这些地址是无法ping通网关的,证明acl生效,而dhcp报文属于协议报文,直接上送设备cpu,不经过acl处理,所以终端可以获取到dhcp地址,如果不想让终端获取dhcp地址,有两种方式:


1、第一种是在接入层下发过滤策略,


2、第二种是配置白名单功能,允许指定的终端获取地址