S3328EI V100R006C03 限制网关互通

发布时间:  2015-06-21 浏览次数:  227 下载次数:  0
问题描述

如图:实现PC1不能ping通PC2,且PC1不能ping通VLANIF2



处理过程

1.查看策略配置

acl number 3000
rule 10 permit ip source 192.168.2.0 0.0.0.255 destination 192.168.3.0 0.0.0.255

traffic classifier abc operator and
if-match acl 3001
traffic behavior abc
dney

traffic policy abc
classifier abc  behavior abc

interface Ethernet0/0/1
traffic-policy abc inbound

流策略配置正确,PC1不能ping通PC2,但是PC1仍能ping通VLANIF2

根因
PC1ping VLANIF2时,有ARP直接相应,不需要上送CPU处理
解决方案

使用防攻击策略实现

acl number 3000
rule 10 permit ip source 192.168.2.0 0.0.0.255 destination 192.168.3.0 0.0.0.255

cpu-defend policy test
blacklist 1 acl 3000

cpu-defend-policy test global

测试PC1不能ping通VLANIF2

END