所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级
菜单

S3328EI V100R006C03 限制网关互通

发布时间:  2015-06-21 浏览次数:  313 下载次数:  0
问题描述

如图:实现PC1不能ping通PC2,且PC1不能ping通VLANIF2



处理过程

1.查看策略配置

acl number 3000
rule 10 permit ip source 192.168.2.0 0.0.0.255 destination 192.168.3.0 0.0.0.255

traffic classifier abc operator and
if-match acl 3001
traffic behavior abc
dney

traffic policy abc
classifier abc  behavior abc

interface Ethernet0/0/1
traffic-policy abc inbound

流策略配置正确,PC1不能ping通PC2,但是PC1仍能ping通VLANIF2

根因
PC1ping VLANIF2时,有ARP直接相应,不需要上送CPU处理
解决方案

使用防攻击策略实现

acl number 3000
rule 10 permit ip source 192.168.2.0 0.0.0.255 destination 192.168.3.0 0.0.0.255

cpu-defend policy test
blacklist 1 acl 3000

cpu-defend-policy test global

测试PC1不能ping通VLANIF2

END