S5700交换机替换cisco设备时直接翻译vlanif接口的流策略后导致业务不通的故障

发布时间:  2016-12-21 浏览次数:  295 下载次数:  0
问题描述

如组网所示,替换cisco交换机,要求PC1和PC2在vlan 30内二层互通,允许两台PC访问外网网段10.1.0.0/16,不允许访问其他网址,PC1和PC2的网段10.2.1.0/24。Cisco交换机在vlanif下配置允许10.2.1.0/24访问10.1.0.0/16,其他丢弃。ACL配置如下,在华为交换机进行同样配置后两台PC无法访问。
acl number 3001
rule 10 permit ip source 10.2.1.0 0.0.0.255 destination 10.1.0.0 0.0.255.255
rule 15 deny ip
traffic classifier test
if-match acl 3001
traffic behavior test
permit
traffic policy test
classifier test behavior test
vlan 30
traffic-policy test inbound

处理过程

1、根据业务需求及查看翻译后的配置,发现同网段的PC互访,没有在ACL规则中允许,导致同网段内的PC无法互访

2、修改S5700交换机的ACL 3001,新增一条规则: rule 15 permit ip source 10.2.1.0 0.0.0.255 destination 10.2.1.0 0.0.0.255

根因
1、Cisco交换机在vlanif下配置的acl过滤,是对三层转发(查找三层路由转发)的报文过滤,对二层转发(查MAC表转发)的报文不过滤;

2、华为交换机不支持vlanif下配置acl过滤,支持vlan下过滤,华为交换机在vlan下配置的过滤是对二三层转发报文都过滤,所以没有permit的报文都会被过滤掉。配置中没有permit同网段的互访报文所以出现vlan 30内用户无法互访。
解决方案
在ACL3001中新增一条允许同网段互访的规则解决。
建议与总结
在替换友商设备时,由于友商设备的某些特性与华为设备的实现机制不同,在进行配置翻译时需要观注这些不同点,根据组网及业务需求来编辑华为设备的配置脚本。

END