AR直接Ping外网,Traffic-filter报文过滤功能不生效

发布时间:  2015-03-31 浏览次数:  458 下载次数:  0
问题描述
组网情况:

图1 AR作为网关的组网图




AR设备的关键配置:

#
acl number 3301
rule 5 deny icmp destination 8.8.8.8 0
rule 10 permit ip
#
interface GigabitEthernet0/0/1
traffic-filter outbound acl 3301
#


现象描述:

在设备的接口下配置traffic-filter outbound acl 3301,阻塞目的地址为8.8.8.8的Ping报文。但是在设备上执行目的地址为8.8.8.8的Ping时,Traffic-filter报文过滤功能没有生效,仍然可以Ping通。

处理过程
在PC上执行ping 8.8.8.8是不通的,但是在设备上执行ping 8.8.8.8是可以Ping通。

在设备上ping 8.8.8.8,是直接由协议栈下发到出接口,不会进入转发层面,Traffic-filter是在转发层面做的策略,不会进入相关QoS流程,故不能过滤掉相关报文。所以在设备上能Ping 通8.8.8.8地址是正常的。

建议与总结
设备软件分为控制层面和转发层面,具体区分如下:
  • 转发层面负责过路报文的正常转发。一般情况下,只有入口和出口都是设备的实际物理接口,才能称为过路报文。
  • 控制层面下发的报文一般都不会走转发层面,这些报文多数不会实现部署在转发层面的业务。

END