交换机配置traffic-filter 报错

发布时间:  2014-11-17 浏览次数:  192 下载次数:  0
问题描述
交换机配置traffic-filter 报错
告警信息
[S5700-GigabitEthernet0/0/4]traffic-filter outbound acl 3010
Error: There is rule conflict in the traffic.
处理过程
检查交换机配置
acl number 3010
description EXTERNAL_FILTER
rule 5 permit ip source 88.215.X.165 0 destination 185.56.68.21 0 vpn-instance INTERNET
rule 6 permit ip source 88.215.X.166 0 destination 185.56.68.21 0 vpn-instance INTERNET
rule 9 permit ip source 85.56.X.0 0.0.3.255 vpn-instance INTERNET

interface GigabitEthernet0/0/4
port link-type access
port default vlan 3001

interface Vlanif3001                     
 ip binding vpn-instance INTERNET
ip address 185.56.68.22 255.255.255.252
发现ACL及需要应用ACL的端口G0/0/4都配置了vpn-instance参数,对于应用到VPN实例的ACL,无需再配置vpn-instance参数
去掉ACL中的vpn实例后再次下发成功。
根因
配置冲突
解决方案
去掉ACL中的vpn实例后再次下发成功。
建议与总结
交换机流策略不支持VPN实例配置,ACL中的VPN实例参数不能用于流策略,而主要应用于user-interface下过滤用户,因为user-interface下面有可能存在公网跟私网IP一样的场景

END