FAQ-为什么MA5200G配置了any到any的ACL后不生效

发布时间:  2012-07-26 浏览次数:  62 下载次数:  0
问题描述
Q:
为什么MA5200G配置了any到any的ACL后不生效?




告警信息





处理过程
A:
网络侧,指直接通过路由方式接入MA5200G。
MA5200G在配置ACL的时候源和目的都为any,应当对所有用户-网络侧、网络-网络侧、用户-用户侧的报文都生效,但是在测试中发现从网络侧还能收到用户通过ACL禁止的报文,为什么呢?
在MA5200G中,当一条rule-ma源和目的是any到any时,的确这条规则对所有网络-网络侧、任何Ucl-Group用户到网络侧、任何InterGroup组用户到任何InterGroup组的用户都会生效,但在默认情况下,用户上线后不属于任何组(包括Ucl-Group或InterGroup),所以在默认情况下,any到any的ACL对用户发出的报文不生效。
解决方法:可以在用户所在的域下任何配置一个组号,这样any到any的rule就可以生效了。同样,如果只需要用户-网络侧生效可以只配置Ucl-Group;如果要用户-用户侧生效可以只配置InterGroup;如果要两个都生效,则两个组号都需要配置。
说明:以上Ucl-Group和InterGroup的配置对VRP3.30-21xx、VRP3.30-22xx而言的,对VRP3.30-23xx,只有UserGroup,不再区分Ucl-Group和InterGroup。
根因





END