S12700配置简化流策略来拒绝终端通过TCP之外的协议访问网络,但是不生效

发布时间:  2015-08-14 浏览次数:  144 下载次数:  0
问题描述

S12700配置简化流策略来拒绝终端通过TCP之外的协议访问网络,但是不生效,该网段的所有访问都不通了。

关键配置:

#

acl number 3001

rule 5 permit tcp source 192.168.10.0 0.0.0.255 tcp-flag urg ack psh rst syn fin established

rule 10 deny ip

#

interface gigabitethernet 1/0/1            //下联接口
port link-type trunk
port trunk allow-pass vlan 10
traffic-filter inbound acl 3001

#


处理过程

ACL中匹配TCP的标志位是“与“关系,如果同时匹配所有标志位,将匹配不到正常的TCP报文,将ACL中的标志位参数剔除后解决:

关键配置:

#

acl number 3001

rule 5 permit tcp source 192.168.10.0 0.0.0.255

rule 10 deny ip

#

interface gigabitethernet 1/0/1            //下联接口
port link-type trunk
port trunk allow-pass vlan 10
traffic-filter inbound acl 3001

#


根因
ACL中匹配TCP的标志位是“与“关系,如果同时匹配所有标志位,将匹配不到正常的TCP报文,因此不能同时匹配所有标志位。
解决方案
将ACL中的标志位参数剔除后,匹配所有的TCP协议报文后解决。

END