FAQ-ACL及流行为里面都配置了允许或拒绝动作,此时匹配规则是怎样的

发布时间:  2015-02-15 浏览次数:  256 下载次数:  0
问题描述

ACL及流行为里面都配置了允许或拒绝动作,此时匹配规则是怎样的?

解决方案

ACL与traffic policy经常组合使用。traffic policy定义符合ACL的流分类,然后再定义符合流分类的行为,即动作,例如允许通过,拒绝通过等等。

ACL里面的permit/deny与traffic policy中的behavior的permit/deny组合有如下四种情况:

 

ACL

Traffic policy中的behavior

匹配报文的最终处理结果

permit

permit

permit

permit

deny

deny

deny

permit

deny

deny

deny

deny


 
 说明:
       
交换机目前默认报文都是permit的,如果只是要求网段之间不能访问的话,ACl里只要配置想要deny的报文就可以了。如果最后多添加一条rule permit命令,此时所有报文都会命中此规则,如果在流形为behavior中配置deny,将会过滤所有报文,导致全部业务中断。

END