在控制器的服务模板下调用了针对终端MAC地址ACL的策略,当前写了800多条规则,发现后续所有新的终端没有在permit里面还是能上线。
无线接入控制只匹配source mac,如果只配置了dest-mac,source mac相当于any导致任何终端都可以匹配上。
检查ACL配置发现有几条只配置了dest-mac。
rule 542 permit dest-mac 7c50-XXXX-XXXX ffff-ffff-ffff
rule 542 comment test1
rule 586 permit dest-mac b068-XXXX-XXXX ffff-ffff-ffff
rule 586 comment test2
rule 587 permit dest-mac 105b-XXXX-XXXX ffff-ffff-ffff
rule 587 comment test3
将配置目的配置改为源后,测试业务正常。
rule 542 permit source-mac 7c50-XXXX-XXXX ffff-ffff-ffff
rule 542 comment test1
rule 586 permit source-mac b068-XXXX-XXXX ffff-ffff-ffff
rule 586 comment test2
rule 587 permit source-mac 105b-XXXX-XXXX ffff-ffff-fff
rule 587 comment test3