FAQ-为什么s9300 v2r1配置acl控制两个网段互访成功后,还是可以ping通对方的vlanif网关地址

发布时间:  2014-12-15 浏览次数:  111 下载次数:  0
问题描述
按照如下配置后,pc与pc之间的互访已经生效,不能互访,但是vlan50的用户去ping vlanif51的接口ip还是可以通信。
acl number 3000
rule 5 deny ip destination 10.11.50.0 0.0.0.255
rule 10 deny ip destination 10.11.51.0 0.0.0.255

traffic classifier a operator or precedence 5
if-match acl 3000
#
traffic behavior a
permit
#
traffic policy a
classifier a behavior a

interface Vlanif50
ip address 10.11.50.1 255.255.255.0
#
interface Vlanif51
ip address 10.11.51.1 255.255.255.0
vlan 50
traffic-policy a inbound
解决方案
最后确认,去ping设备本地地址是由cpu在处理,框式的交换机的cpu处理流程在流策略流程之前,所以本地的vlanif接口是不受acl控制的。
盒式交换机除了5720HI和框式一样外,cpu处理流程在流策略流程之后。

END