ACL做两vlan间三层隔离不生效

发布时间:  2014-12-04 浏览次数:  336 下载次数:  0
问题描述
汇聚交换机S7706上有两个vlan:vlan552:192.168.52.0/24  、vlan591:192.168.91.0/24
S7706的两个vlanif接口:vlanif552、vlanif591作为两个vlan的网关。两vlan之间在没做任何策略之前可以通过三层路由实现互访。
为了安全起见需要做隔离,用ACL做相应策略使这两个vlan之间流量不能互访。
 配置如下:
acl number 3002
rule 5 deny ip source 192.168.52.0 0.0.0.255 destination 192.168.91.0 0.0.0.255     //deny掉192.168.52.0->192.168.91.0的流量
rule 10000 permit ip                                                                                                                                                                  

traffic classifier C3002 operator and
if-match acl 3002                                                          //创建流分类C3002(匹配ACL 3002)

traffic behavior B3002                                                  //创建流行为B3002
permit

traffic policy P3002                                                      //创建流策略,将流分类C3002与流行为B3002关联
classifier C3002 behavior B3002     

vlan 552
traffic-policy P3002 outbound                                     //将流策略应用到vlan552下
       
用vlan552下的主机去ping vlan591下的主机依然能ping通。                
处理过程
1、display acl 3002,查看ACL源目IP有无错误
2、display traffic classifier user-defined,查看流分类是否匹配的相应acl
3、display traffic behavior user-defined,查看traffic behavior B3002下的动作:permit/deny 与acl是否对应
          若acl是deny   ip source 192.168.52.0 0.0.0.255 destination 192.168.91.0 0.0.0.255      behavior 应是permit
          若acl是permit  ip source 192.168.52.0 0.0.0.255 destination 192.168.91.0 0.0.0.255      behavior 应是deny
4、display traffic policy user-defined,查看流策略是否关联正确的流分类和流行为
5、display traffic-policy applied-record,查看流策略是否已应用


第1条——第4条,发现acl策略配置都没有问题
是不是策略应用的inbound/outbound方向的问题?

vlan 552
undo traffic-policy P3002 outbound 
traffic-policy P3002 inbound      

此时,用vlan552下的主机去ping vlan591下的主机发现不能ping通。 

当然也可以在vlan591下应用:
vlan 591
 traffic-policy P3002 outbound 
                              
根因
traffic-policy 应用的方向(inbound/outbound)不正确。

END