FAQ-CE交换机接口不同方向的ACL过滤策略的区别

发布时间:  2014-09-11 浏览次数:  265 下载次数:  0
问题描述
Q:CE交换机接口的ACL过滤策略,针对组播、广播等协议报文是否会默认deny?不同方向是否有所不同?
告警信息
处理过程
根因
A:CE交换机在接口上应用traffic policy,策略可以与ACL配合实现报文过滤功能,使得permit指定报文,deny指定报文。该策略应用是有方向性的,有Inbound和outbound两个方向。在不同方向上,CE交换机对协议报文的默认deny动作是不一样的:
(1)入方向:针对组播、广播的协议报文(如DHCP组播报文)默认是不会deny的,不需要ACL中单独对该报文做PERMIT操作
(2)出方向:针对组播、广播的协议报文(如DHCP组播报文)默认是会deny的。
例如:同一条ACL,如下所示:
acl number 3002
   rule 5 permit ip destination 192.168.31.1 0
   rule 15 deny ip
(1)应用在接口入方向时,DHCP组播报文可以从接口进入,不会被deny掉;
(2)应用在接口出方向是,DHCP组播报文无法从接口发出,因为ACL中没有放开对应的组播端口。
建议与总结

END