NE40E Traffic policy配置有误导致接口下应用无法生效

发布时间:  2014-09-15 浏览次数:  613 下载次数:  0
问题描述
客户现网需要在接口下使能ACL,实现流量的过滤功能。NE上无法直接将ACL应用到接口上来实现此功能,只能通过traffic policy的方式来应用到接口上,并且启用统计功能来确认是否有流量命中该策略。
初始配置如下:
#
acl name test number 42000
rule 5 permit tcp destination-port range 22 telnet
rule 10 permit ip source 10.48.0.0 0.7.255.255 destination 10.50.0.0 0.0.3.255
……
#
traffic classifier test operator or
if-match acl name test
#
traffic behavior test
traffic-statistic
permit
#
traffic policy test
share-mode
classifier test behavior test
#
#
interface GigabitEthernet1/0/1
 traffic policy test inbound
#

完成配置后,进行打流测试。发现ACL对流量的控制并不生效,并且统计数据显示全部为0:

Classifier: test operator or
if-match ACL test
  rule 5 permit ip
    0 bytes, 0 packets
    Last 30 seconds rate 0 pps, 0 bps
  rule 10 permit ip
    0 bytes, 0 packets
    Last 30 seconds rate 0 pps, 0 bps
  rule 15 deny icmp
    0 bytes, 0 packets
    Last 30 seconds rate 0 pps, 0 bps
  rule 20 deny icmp
    0 bytes, 0 packets
    Last 30 seconds rate 0 pps, 0 bps
……

告警信息
处理过程
按照上面的分析修改配置,经测试,策略生效。
根因
经过故障排查,发现问题存在traffic的behavior配置上:
#
traffic behavior test
traffic-statistic
permit
#

1,由于ACL中已经配置了对流量的deny或permit操作,所以在traffic behavior test下面的动作应为空,而不是使用permit动作来匹配ACL。
2,traffic behavior test下面的traffic-statistic参数并不是用来统计所有命中该策略的流量情况。而是仅仅用来使能DAA业务的流量统计功能。如果想要统计命中该策略的流量情况,配置如下:
#
traffic policy test
 statistics enable
#
建议与总结
1,由于ACL本身已经包含deny或permit操作,所以当需要通过traffic policy策略在接口上应用ACL时,本身策略中的behavior下则不再需要deny或permit。
2,配置自己不是很熟悉的功能命令时,最好通过命令手册作确认。仅只通过“?”联想出来的命令,有可能存在与预想效果不一样的情况。

END