所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级

S5700配置流策略无法丢弃ping网关的ICMP报文

发布时间:  2016-09-25 浏览次数:  359 下载次数:  0
问题描述
S5700作为三层网关,配置流策略deny到网关的流量后,终端依然能够ping通网关
处理过程

查看关键配置如下:

[Switch] acl 3001

[Switch-acl-adv-3001] rule deny ip source 10.1.1.1 0 destination 10.1.1.254 0

[Switch] traffic classifier aa

[Switch-classifier-aa] if-match acl 3001

[Switch] traffic behavior bb

[Switch-behavior-bb] deny

[Switch] traffic policy cc

[Switch-trafficpolicy-cc] classifier aa behavior bb

[Switch] interface gigabitethernet 0/0/1

[Switch-GigabitEthernet0/0/1] traffic-policy cc inbound

配置完成之后终端10.1.1.1能够ping通网关10.1.1.254


 


 

根因

ping设备的流量是需要上送cpu处理的,不受流策略中的acl限制

解决方案

到设备的流量不能通过流策略中的acl deny掉,建议配置黑名单

[HUAWEI] cpu-defend policy default

[HUAWEI-cpu-defend-policy-default] blacklist 1 acl 3001

END