由于配置错误导致过滤TCP 80端口的策略不生效

发布时间:  2012-07-27 浏览次数:  89 下载次数:  0
问题描述
组网:
外网---------(GE3/0/0)NE80E(GE3/0/1)--------WebServer
GE3/0/0为上行口,接互联网;GE3/0/1为下行口,接WebServer。
问题描述:
用户反馈在NE80E GE3/0/1下发了限制80端口的策略,但是策略不生效
告警信息
无。
处理过程
1、通过如下命令查看报文匹配情况发现没有发现匹配;
[NE80E-8-GigabitEthernet3/0/1]disp traffic policy statistics interface GigabitEthernet 3/1/0 vlan 100 inbound verbose rule-based  
Info: The statistics is shared because the policy is shared.
Interface: GigabitEthernet3/0/1 , Vlan: 100
Traffic policy inbound: p1
Traffic policy applied at 2010-03-02 22:17:27
Statistics enabled at 2010-03-02 22:17:27
Statistics last cleared: Never
Rule number: 5 IPv4, 0 IPv6
Current status: OK!
Classifier: c1 operator or
 if-match ACL 3000 
  rule 5 deny tcp source-port eq www 
    0 bytes, 0 packets
    Last 30 seconds rate 0 pps, 0 bps
2、检查配置发现GE3/0/1是被配置成二层口,具体如下:
interface GigabitEthernet3/0/1
 undo shutdown
 portswitch
 port default vlan 100
 traffic-policy p1 inbound 
3、由于配置成二层口后该接口可以属于多个vlan,如果下发策略的时候不指定vlan信息,那么策略无法对接口上送的报文中的vlan信息进行识别,所以策略就不能生效。
4、在接口重新下发策略并制定vlan后问题解决,配置如下:
interface GigabitEthernet3/0/1
 undo shutdown
 portswitch
 port default vlan 100
 traffic-policy p1 inbound vlan 100
根因
可能是配置有误。
建议与总结
无。

END