CE12808(V100R005)traffic-policy不生效

发布时间:  2016-10-12 浏览次数:  200 下载次数:  0
问题描述


在CE12808上配置了traffic-policy inbound,允许数据中心所有网段流量,允许特定内网网段访问数据中心网络,拒绝其它所有。结果所有内网网段均可访问数据中心网络,与预期不符合。

告警信息

处理过程
检查配置发现,【允许特定内网网段访问数据中心网络】这个需求使用的配置如下:
#
acl name allow_vip_idc_dst advance
 rule permit ip destination 10.10.0.0 0.0.255.255 
 rule permit ip destination 192.120.117.0 0.0.0.255 
 rule permit ip destination 192.120.126.0 0.0.0.127 
 rule permit ip destination 192.120.127.0 0.0.0.255 
 rule permit ip destination 192.121.199.128 0.0.0.127 

#
(以上这些网网段属于数据中心)
acl name allow_vip_idc_src advance
 rule permit ip source 10.0.65.7 0
 rule permit ip source 10.3.1.0 0.0.0.255
 rule permit ip source 10.10.0.0 0.0.255.255
 rule permit ip source 10.11.12.0 0.0.0.255
 rule permit ip source 10.95.254.0 0.0.0.255

(以上这些网络属于内网)
#
traffic classifier allow_vip_idc type and
 if-match acl allow_vip_idc_dst
 if-match acl allow_vip_idc_src

#
traffic behavior PERMIT
 permit
traffic behavior DENY
 deny

#
traffic policy POL1
 ...
classifier allow_vip_idc behavior PERMIT
 ...
classifier deny_all behavior DENY
根因

故障根因:traffic classifier与acl定义错误,关于traffic classifier中【type and】的匹配规则是:

and表示流分类中各规则之间关系为“逻辑与”,指定该逻辑关系后:
•当流分类中有ACL规则时,报文必须匹配其中一条ACL规则以及所有非ACL规则才属于该类
•当流分类中没有ACL规则时,则报文必须匹配所有非ACL规则才属于该类。

这里的定义方式会造成匹配第一条acl【acl allow_vip_idc_dst】就会允许通过,即所有访问数据中心网络的流量都被允许,两条acl之间还是“或”的关系

解决方案

修改acl和traffic classifier,把两条acl【allow_vip_idc_dst】和【allow_vip_idc_src】和成一条如下:

acl name allow_vip_idc advance

 rule permit ip source 10.0.65.7 0 destination 10.10.0.0 0.0.255.255 

 rule permit ip source 10.0.65.7 0 destination 192.120.117.0 0.0.0.255 

 rule permit ip source 10.0.65.7 0 destination 192.120.126.0 0.0.0.127 

 rule permit ip source 10.0.65.7 0 destination 192.120.127.0 0.0.0.255 

 rule permit ip source 10.0.65.7 0 destination 192.121.199.128 0.0.0.127

 rule permit ip source 10.3.1.0 0.0.0.255 destination 10.10.0.0 0.0.255.255 

 rule permit ip source 10.3.1.0 0.0.0.255 destination 192.120.117.0 0.0.0.255 

 rule permit ip source 10.3.1.0 0.0.0.255 destination 192.120.126.0 0.0.0.127 

 rule permit ip source 10.3.1.0 0.0.0.255 destination 192.120.127.0 0.0.0.255 

 rule permit ip source 10.3.1.0 0.0.0.255 destination 192.121.199.128 0.0.0.127

 rule permit ip source 10.10.0.0 0.0.255.255 destination 10.10.0.0 0.0.255.255 

 rule permit ip source 10.10.0.0 0.0.255.255 destination 192.120.117.0 0.0.0.255 

 rule permit ip source 10.10.0.0 0.0.255.255 destination 192.120.126.0 0.0.0.127 

 rule permit ip source 10.10.0.0 0.0.255.255 destination 192.120.127.0 0.0.0.255 

 rule permit ip source 10.10.0.0 0.0.255.255 destination 192.121.199.128 0.0.0.127

 rule permit ip source 10.11.12.0 0.0.0.255 destination 10.10.0.0 0.0.255.255 

 rule permit ip source 10.11.12.0 0.0.0.255 destination 192.120.117.0 0.0.0.255 

 rule permit ip source 10.11.12.0 0.0.0.255 destination 192.120.126.0 0.0.0.127 

 rule permit ip source 10.11.12.0 0.0.0.255 destination 192.120.127.0 0.0.0.255 

 rule permit ip source 10.11.12.0 0.0.0.255 destination 192.121.199.128 0.0.0.127

 rule permit ip source 10.95.254.0 0.0.0.255 destination 10.10.0.0 0.0.255.255 

 rule permit ip source 10.95.254.0 0.0.0.255 destination 192.120.117.0 0.0.0.255 

 rule permit ip source 10.95.254.0 0.0.0.255 destination 192.120.126.0 0.0.0.127 

 rule permit ip source 10.95.254.0 0.0.0.255 destination 192.120.127.0 0.0.0.255 

 rule permit ip source 10.95.254.0 0.0.0.255 destination 192.121.199.128 0.0.0.127


修改traffic classifier,如下:

 traffic classifier allow_vip_idc 

 if-match acl allow_vip_idc

这样,只有匹配了acl的网络访问数据中心的网络才被允许。
建议与总结

 加强对traffic policy语法含义和匹配规则的理解。

END