No relevant resource is found in the selected language.

This site uses cookies. By continuing to browse the site you are agreeing to our use of cookies. Read our privacy policy>

Reminder

To have a better experience, please upgrade your IE browser.

upgrade

EACL didn't have effect (didn't perform packet filter) if soure and desitnation in packet are in the same subnet

Publication Date:  2012-07-27 Views:  34 Downloads:  0
Issue Description
NE40 Version 3.10, RELEASE 2222 with CR01EGFE LPU installed. By having portswitch (L2) configuration on physical port cannot perform packet filtering when apply EACL if source address and destination address in packet are in the same subnet.
Alarm Information
No alarm. But service failed to provide due to eacl didn't take effect.
Handling Process
Equipments that connected to NE40 has the ACL capability. Therefore, packet filtering is done by equipment that is connected to NE40.
Root Cause
By configuring portswitch command on interface, it makes L3 port turn to work in L2 mode. And if two or more equipment connected to these L2 port on NE40 having address in the same subnet. When these equipment communicate to one another, NE40 will not perform L3 lookup because these equipment are in the same subnet, so NE40 will just do L2 lookup by searching destination address in ARP table.  After NE40 found that detination addess exists in ARP table then it forward packet right away by using MAC address.
Therefore, if some EACL are applied on to interfaces; by having detail in EACL to deny the destination that have address in the same subnet as the source address of packet, EACL will not effect as reason described above.
Suggestions
Customer needs to change in network design if there is a need to perform packet filtering by using EACL on L2 port by put other LAN switch between host equipment and NE40 to perform ACL.  Another way is to use L3 function.

END