S7700交换机(V200R008版本)配置流策略以后依旧可以访问设备

发布时间:  2016-12-15 浏览次数:  96 下载次数:  0
问题描述

设备型号:s7700

版本信息:V200R008

组网拓扑图:

配置信息:

interface Vlanif1
 ip address 1.1.1.1 255.255.255.0
#
interface Vlanif2
 ip address 2.2.2.1 255.255.255.0


acl number 3000
 rule 5 deny ip source 1.1.1.0 0.0.0.255 destination 2.2.2.0 0.0.0.255
 rule 10 permit ip

traffic classifier c1 operator and
 if-match acl 3000

traffic behavior b1
 permit

traffic policy p1
 classifier c1 behavior b1

vlan 1
 traffic-policy p1 inbound

故障现象:

通过上面的配置信息可以看出,在vlan1上面限制vlan1下面的终端访问vlan2的设备。

但是配置完成以后,vlan1下面的电脑无法ping通vlan2下面的电脑,但是可以ping通vlanif2的ip地址

 

处理过程

配置了流策略以后,vlan2的电脑无法访问,证明流策略配置没有问题,但是依旧可以ping通设备本身,是设备机制问题导致。

根因

V200R008版本PING报文是上送CPU的,优先级高于 流策略,所以限制不成功

之前的版本流策略优先级 高于 上送CPU的ACL 所以可以限制成功

如果新版本要限制访问设备的流量,需要配置黑名单功能

 

解决方案
 

通过配置黑名单功能限制vlan1的用户访问设备

acl number 3001

 rule 5 deny ip source 1.1.1.0 0.0.0.255 destination 2.2.2.1 0

cpu-defend policy 1

 blacklist 1 acl 3001

cpu-defend-policy 1 global

建议与总结
V200R008版本开始流策略和上送cpu报文的优先级有调整,如果要限制上送cpu的报文,需要通过配置黑名单功能实现。

END