AR2240的mpls vpn报文包过滤不生效

发布时间:  2016-04-06 浏览次数:  190 下载次数:  0
问题描述

AR2240通过acl过滤报文,应用到绑定vpn的接口下,但测试时报文未被过滤,过滤不生效,具体配置如下:

#
acl number 3001 
 rule 5 permit tcp source-port eq telnet
 rule 10 permit tcp destination-port eq telnet
#
traffic classifier 1 operator or
 if-match acl 3001
#
traffic behavior 1
 deny
#
traffic policy 1
 classifier 1 behavior 1
#
interface GigabitEthernet0/0/0.100
 description R-S1-RT
 dot1q termination vid 100
 ip binding vpn-instance vpn-rt
 ip address 36.100.16.126 255.255.255.128
 traffic-policy 1 inbound

从AR2240上telnet 36.100.16.125能正常telnet,报文过滤不生效。

处理过程

1、从配置上看包过滤的策略应用的接口绑定的vpn实例,是否包过滤acl规则中的rule需要带vpn实例?将acl修改如下:

#
acl number 3001 
rule 5 permit tcp source-port eq telnet
rule 10 permit tcp destination-port eq telnet
rule 15 permit tcp vpn-instance vpn-rt source-port eq telnet
rule 20 permit tcp vpn-instance vpn-rt destination-port eq telnet

2、修改后测试还是无法过滤,并且查看acl发现匹配是不带vpn的规则

<JX-KMJB.R1>dis acl 3001
Advanced ACL 3001, 4 rules
Acl's step is 4
rule 5 permit tcp source-port eq telnet (2 matches)
rule 10 permit tcp destination-port eq telnet (157 matches)
rule 15 permit tcp vpn-instance vpn-rt source-port eq telnet
rule 20 permit tcp vpn-instance vpn-rt destination-port eq telnet

3、是AR2240路由器不支持本地发起的报文过滤?在acl中增加icmp的规则,应用策略后无法ping通,说明icmp报文是能正常过滤,为何telnet报文无法过滤?

4、是否AR2240无法过滤本地发起的某些协议报文?

在系统视图下配置 undo control-packet telnet output filter bypass   后telnet报文过滤生效

根因
undo control-packet output filter bypass命令用来配置设备产生的控制报文在流策略和基于ACL的简化流策略中动作为deny时被丢弃。缺省情况下,设备产生的控制报文在流策略和基于ACL的简化流策略中动作为deny时不被丢弃。
解决方案
AR设备控制面的报文做deny需要增加undo control-packet icmp telnet output filter bypass 才生效。

END