ME60版本升级后,UCL配置问题,导致ICMP报文没有正确放行。

发布时间:  2016-02-20 浏览次数:  194 下载次数:  0
问题描述

ME60升级前版本:V100R006C05SPC600。

ME60升级后版本:V600R008C10SPC300。

升级前后配置无变化情况下,升级前user-group 12345可以ping通所有资源,升级后user-group 12345无法ping通任何资源。

acl number 6010

 rule 5 permit icmp

 rule 10 permit ip source user-group 12345 destination ip-address 172.16.0.0 0.0.0.255

 rule 15 permit ip source user-group 12345 destination ip-address 10.0.0.0 0.255.255.255

 acl number 6030

 rule 5 permit ip source user-group 12345 destination ip-address any

 

traffic classifier permit operator or

 if-match acl 6010

traffic classifier deny operator or

 if-match acl 6030

 

traffic behavior permit

traffic behavior deny

 deny

 

traffic policy test                

 share-mode

 classifier permit behavior permit

classifier deny behavior deny

告警信息
处理过程

1.取消UCL在全局调用后,可以ping通所有资源。说明是UCL导致ICMP报文不能通过。

2.查询产品文档V600R008C10SPC300对UCL做了修改,UCL的规则中必须包含user-group,如果不存在user-group,则该条规则不生效。增加如下粗体部分配置。

acl number 6010

 rule 5 permit icmp source user-group 12345

 rule 10 permit ip source user-group 12345 destination ip-address 172.16.0.0 0.0.0.255

 rule 15 permit ip source user-group 12345 destination ip-address 10.0.0.0 0.255.255.255

 acl number 6030

 rule 5 permit ip source user-group 12345 destination ip-address any

 

traffic classifier permit operator or

 if-match acl 6010

traffic classifier deny operator or

 if-match acl 6030

 

traffic behavior permit

traffic behavior deny

 deny

 

traffic policy test                

 share-mode

 classifier permit behavior permit

classifier deny behavior deny

 

 

根因

V600R008C10SPC300修改了UCL关键字配置,增加了配置的灵活性和可读性。

解决方案
修改UCL部分配置。
建议与总结
ME60 V600R008C10SPC300 配置UCL时需要携带user-group信息。

END