S5700应用到vlan的访问控制允许流量被拒绝

发布时间:  2015-09-20 浏览次数:  183 下载次数:  0
问题描述

1、客户需求

  大概用二十台pc与交换机直连,都属于vlan 192,除了192.168.1.2能访问所有其他用户外,其它pc之间不能互访

2、故障现象

  将acl 3000应用到vlan 192下面后,所有pc之间都不能互通。

3、相关配置

 acl number 3000

    rule 5 permit ip source 192.168.1.2 0

    rule 20 deny ip source 172.16.1.0 0.0.0.255 destination 192.168.1.0 0.0.0.255

 traffic-filter vlan 192 inbound acl 3000

接口配置

interface GigabitEthernet0/0/12

 port link-type access

 port default vlan 192

interface GigabitEthernet0/0/13

 port link-type access

 port default vlan 192


告警信息

处理过程

1、配置存在问题,acl 3000 需要在添加一条rule 规则

 rule 5 permit ip destination 192.168.1.2 0  //添加一条允许目的地址192.168.1.2的流量 

2、将acl应用到vlan下面后,回来的报文也是属于vlan 192的入方向,所以也会去匹配acl规则

根因
回来的报文被没有配置上acl规则被丢弃
解决方案

修改acl规则,添加一条允许到目的地址192.168.1.2的流量

建议与总结

在acl应用到接口inbound方向的时候,只会去匹配数据流进入接口的报文,但是应用vlan的时候,inbound方向可能来回的报文都会去匹配acl规则,需仔细规划下acl如何写。

END