S5700配置流策略无法丢弃ping网关的ICMP报文

发布时间:  2016-09-25 浏览次数:  201 下载次数:  0
问题描述
S5700作为三层网关,配置流策略deny到网关的流量后,终端依然能够ping通网关
处理过程

查看关键配置如下:

[Switch] acl 3001

[Switch-acl-adv-3001] rule deny ip source 10.1.1.1 0 destination 10.1.1.254 0

[Switch] traffic classifier aa

[Switch-classifier-aa] if-match acl 3001

[Switch] traffic behavior bb

[Switch-behavior-bb] deny

[Switch] traffic policy cc

[Switch-trafficpolicy-cc] classifier aa behavior bb

[Switch] interface gigabitethernet 0/0/1

[Switch-GigabitEthernet0/0/1] traffic-policy cc inbound

配置完成之后终端10.1.1.1能够ping通网关10.1.1.254


 


 

根因

ping设备的流量是需要上送cpu处理的,不受流策略中的acl限制

解决方案

到设备的流量不能通过流策略中的acl deny掉,建议配置黑名单

[HUAWEI] cpu-defend policy default

[HUAWEI-cpu-defend-policy-default] blacklist 1 acl 3001

END