NE20E-S4 二层接口下配置策略限制不同网段互访不生效

发布时间:  2016-06-07 浏览次数:  110 下载次数:  0
问题描述

产品型号:NE20E-S

软件版本:V800R007C10SPC100

问题描述:0/4/3接口改为二层模式,起vlnaif 204 作为网关,在物理接口下配置流策略禁止2个不同网段(10网段和20网段)互访未生效

0/4/3下挂主机IP 20.115.22.130,流策略应用后,远端主机IP 10.112.88.88还能ping通下挂主机

涉及主要配置:

 

acl number 3000
rule 1 permit ip source 10.0.0.0 0.255.255.255 destination 20.0.0.0 0.255.255.255
rule 2 permit ip source 20.0.0.0 0.255.255.255 destination 10.0.0.0 0.255.255.255

 

traffic classifier A&B_geli
if-match acl 3000

 

traffic behavior A&B_geli
deny

 

traffic policy MDJ_policy_01
classifier A&B_geli behavior A&B_geli

 

 

interface GigabitEthernet 0/4/3

portswitch          

description to_shequjingwusidui_H3C-3110_G1/0/25

port link-type access                           

port default vlan 204

traffic-policy MDJ_policy_01 inbound

arp validate source-mac destination-mac

告警信息
处理过程

traffic-policy MDJ_policy_01 inbound 命令后再加对应vlan 后策略生效

正确配置应为:traffic-policy MDJ_policy_01 inbound vlan 204

根因
二层接口下流策略未关联VLAN
解决方案

二层接口配置流策略需要添加对应vlan
建议与总结

在二层接口使用复杂流分类策略的时候,需要指定VLAN范围来应用。

在QINQ接口使用复杂流分类策略的时候,可以指定PVLAN和CVLAN来使用。

建议根据所要实施的报文分类方式配置对应的link-layermpls-layerall-layer参数。

END