配置vpn-instance的rule规则的复杂流分类策略不生效的问题

发布时间:  2014-12-08 浏览次数:  108 下载次数:  0
问题描述

在设备绑定vpn的接口下配置复杂流分类策略,从CE设备ping远端设备,可以正常的ping通,但是查询策略统计发现没有统计计数,确定该接口已经收到相关报文。

设备版本:V600R006C00SPC300

 

组网信息如下。

CE—(gi2/0/2)NE40E—(IP 10.10.10.10)其他设备

流策略的配置如下:

#

acl number 3001

 rule 5 permit ip vpn-instance cegn destination 10.10.10.10 0

#

traffic classifier test operator or

 if-match acl 3001

#

traffic behavior test

#

traffic policy 2

 share-mode

 classifier test behavior test

CE连接在2/0/2口上

interface GigabitEthernet2/0/2

 negotiation auto

  undo shutdown

 ip binding vpn-instance cegn

 ip … 10.20… 255.255.255.252

 traffic-policy 2 inbound

 ospf dr-priority 254

 

流策略的统计数据:

<NE40E>display traffic policy statistics interface GigabitEthernet2/0/2 inbound verbose rule-based

Statistics last cleared: Never

Rule number: 3 IPv4, 0 IPv6

Current status: OK!

 

Classifier: test operator or

 if-match ACL 3001

  rule 5 permit ip vpn-instance cegn destination 10.10.10.10 0

    0 bytes, 0 packets

    Last 30 seconds rate 0 pps, 0 bps

策略没有统计,怀疑策略功能是否正常。

 

处理过程

复杂流分类策略问题,一般确认接口是否正常收到报文,该问题中已经去确认。

继续分析流策略配置是否正确,确认acl的rule配置不正确:

acl number 3001

 rule 5 permit ip vpn-instance cegn destination 10.10.10.10 0

上述规则中,配置的rule带vpn-instance,实际复杂流分类策略实现是不区分VPN的,对于规则中带vpn-instance的rule,从V6R5版本开始,不会生效。

 

注:相关的几个问题

1、复杂流分类不支持vpn-instance,为何acl的rule还可配置vpn-instance?

这主要是因为acl出复杂流分类可引用外,路由策略等功能也可以引用,而路由策略是可以按照rule中的vpn-instance做匹配的。

2、复杂流分类引用带vpn-instance的acl为何不生效?

这种实现的原因,主要是设备做复杂流分类策略时,实际不区分vpn-instance。

根因

复杂流分类策略的acl规则配置不正确,导致不能正常匹配。

解决方案

Acl的rule不带vpn-instance进行配置即可。

如上述问题,配置可修改为:

acl number 3001

 rule 5 permit ip destination 10.10.10.10 0

建议与总结

1、V6R5版本开始(含V6R5版本),复杂流分类策略应用的acl规则,如果这些acl的rule中有vpn-instance,则这些规则会被忽略不生效。

2、V6R5版本之前,复杂流分类策略应用的acl规则,如果这些acl的rule中有vpn-instance,规则会忽略vpn-instance,只关注配置的ip地址等其他项;也就是说,如果其他项可匹配,则不论是否是配置的vpn-instance,都会命中该策略。

END