数通产品S12700插FW板卡引流后交换机同一网段互访问题

发布时间:  2015-08-25 浏览次数:  215 下载次数:  0
问题描述
S12700插了NGFW防火墙模块,业务流需要引流到防火墙再返回交换机流出,业务网关设置交换机上,结果发现同一网段的流量也被引流到了防火墙,客户要求同一网段内部互访不需要引流。
处理过程

1、在ACL中配置deny同一网段,再把策略应用到端口inbound方向,经过引流后,结果同一网段都禁止互访了。

acl number 3001
rule 5 deny ip source 10.8.16.0 0.0.3.255 destination 10.8.16.0 0.0.3.255
rule 10 permit ip source 10.8.16.0 0.0.3.255
acl number 3002
rule 5 permit ip destination 10.8.16.0 0.0.3.255

traffic classifier classifier1 operator or precedence 5
if-match acl 3001
traffic classifier classifier2 operator or precedence 10
if-match acl 3002
traffic classifier classifier3 operator or precedence 10

traffic policy policy1 match-order config
classifier classifier1 behavior behavior1
traffic policy policy2 match-order config
classifier classifier2 behavior behavior2
2、如果把ACL中目的网段10.8.0.0/16写成详细的地址段,把需要互访的同一网段去除掉,也可以实现,但是这种方法太复杂了,把网段划分的太乱了,客户不想用这种办法,最后求助400技术支持。

解决方案

再定义一个ACL, 把需要互访的同一网段根据原目的地址段deny,然后再在策略中调用。

配置如下:

#
acl number 3001
rule 5 permit ip source 10.8.16.0 0.0.3.255
acl number 3002
rule 5 permit ip destination 10.8.16.0 0.0.3.255
acl number 3003
rule 5 deny ip source 10.8.16.0 0.0.3.255 destination 10.8.16.0 0.0.3.255
#
traffic classifier classifier1 operator or precedence 5
if-match acl 3001
traffic classifier classifier2 operator or precedence 10
if-match acl 3002
traffic classifier classifier3 operator or precedence 10
if-match acl 3003
#
traffic behavior behavior1
permit
redirect ip-nexthop 192.168.100.1
traffic behavior behavior2
permit                                  
redirect ip-nexthop 192.168.200.1
traffic behavior behavior3
permit
#
traffic policy policy1 match-order config
classifier classifier3 behavior behavior3
classifier classifier1 behavior behavior1
traffic policy policy2 match-order config
classifier classifier2 behavior behavior2

END