No relevant resource is found in the selected language.

This site uses cookies. By continuing to browse the site you are agreeing to our use of cookies. Read our privacy policy>

Reminder

To have a better experience, please upgrade your IE browser.

upgrade

Important Problem When NE80 Configures MPLS EACL at VPN

Publication Date:  2012-07-27 Views:  35 Downloads:  0
Issue Description
Topology:
   For some MPLS VPN network, S8505-1 acts as PE device and S3528G CE device and attach many users’ PC. S8505-2 acts as another PE device and connects C6XXX and servers. NE80 acts as P device of MPLS VPN.    
   User PC---S3528G---S8505-1(PE)---NE80(P)---S8505-2(PE)---C6XXX(CE)----server
  There are too many S3528G attached PC and there is the risk of virus. In order to prevent the server from inflecting, use EACL at interfaces of two S8505 and deny the packets of destination port as some virus spread. Start ACL at inbound interface of S8505-2 at C6XXX and forbid virus pass and open log. After a period, check log file of C6XXX and it is found that the device refuses many virus packets. It indicates that EACL configuration of NE80 does not filter and  virus packets pass.
Alarm Information
Null
Handling Process
1. Check EACL configuration and it is normal. 
2. Introduce EACL at inbound interface of two S8505 connected with NE80 and it is normal. 3. Analyze the network and NE80 acts as P device of MPLS VPN. The packets of PE and P device are forwarded by MPLS. The data of PC host of VPN passes server through NE80 and the data is MPLS packet. EACL at NE80 can only match for IP packet, not MPLS packet. Configure EACL at NE80 and it cannot filter virus packets of VPN users. 
4. In order not to spread virus, configure ACL or EACL at inbound interface between the connection of PE and CE because packets are forwarded by IP at that interface. ACL or EACL take effect for IP forwarded packet. (The relation of C6XXX and S8505 is the same as that of CE and PE. Packets are forwarded by IP, so ACL of C6XXX takes effect.)
5. Configure corresponding ACL at inbound interface of S8505-1 and S3528G. There is no refused virus packets in the log at C6XXX and it indicates that virus is not spread.
Root Cause
1. EACL configuration of NE80 is false and valid.
2. EACL introduction of NE80 is not proper and does not have filter effect.
3. EACL of NE80 canot filter MPLS packet.
Suggestions
MPLS is rapid label forwarding and establishes channel through exchange label. MPLS packet passes through the channel and match EACL or ACL rule.
When using our device to establish MPLS network, deploy ACL or EACL at entrance or egress of MPLS. When the packet is forwarded by IP route, ACL or EACL will take effect.

END