S9712 免认证策略导致策略下发不生效

发布时间:  2015-04-07 浏览次数:  117 下载次数:  0
问题描述
客户S9712为网络核心交换机,所有的业务互访流量都经过交换机,之前所有的业务网段都需要能正常访问服务器地址10.120.9.3,现新增业务网段10.120.55.0/24,要求此业务网段不能访问10.120.9.3这个地址,通过配置acl定义deny动作,在vlan中应用策略,但不生效,应用后还是能访问10.120.9.3
处理过程

1、是否traffic-policy的策略配置错误?检查配置发现策略配置正常

 acl number 3106

 rule 1 permit ip source 10.120.55.0 0.0.0.255 destination 10.20.7.2 0

 rule 2 permit ip source 10.120.55.0 0.0.0.255 destination 10.20.7.3 0

 rule 800 deny ip source 10.120.55.0 0.0.0.255 destination 10.120.9.3 0

#

traffic classifier 7 operator or precedence 23

 if-match acl 3106

traffic behavior 7

traffic policy 7

 classifier 7 behavior 7

vlan 55

 description OA-0104B0

 traffic-policy 7 inbound

 

2、是否acl资源超限导致无法调用?通过disp acl resource 查看acl资源还有大量空闲;

 

3、是否有其他策略导致traffic-policy策略不生效?进一步检查发现设备配置中启用了portal认证同时存在免认证配置,而免认证配置中恰好有目的为10.120.9.3的规则

portal free-rule 52 destination ip 10.120.9.3 mask 255.255.255.255
portal free-rule 53 source ip 10.120.9.3 mask 255.255.255.255

 

根据交换机的策略调用规则,在同等配置下,traffic-policy的优先级要低于免认证规则,当10.120.55.0/24网段访问10.120.9.3时先匹配免认证规则,从而导致traffic-policy策略不生效

根因
在同等配置下,traffic-policy的优先级要低于免认证规则
解决方案
细化免认证规则,在免认证规则中同时匹配源地址和目的地址,将不能访问10.120.9.3地址的业务网段排除在免认证规则之外

END