NMS Is Abnormal Because ACL of the ME60 Is Incorrectly Configured

Version: VRP (R) software, Version 5.30 (CN),  RELEASE 0021.
Topology: network management-backbone network-ME60-switch-dislam
ME60 connects to DSLAMs of Z and A manufacturers. Only the network management system (NMS) of A manufacturer cannot be set up.
      

Null

1. Check upstream and downstream interfaces of the ME60. There is no CRC packet and the traffic on the interface is light.
2. packet analysis at upstream and downstream of the ME60. According to the result, some packets are discarded on the ME60. Not all the fragmented packets are discarded, while the packets with data as full zeros are discarded (UDP in MF bit of the first packet, and the fragmented packet that is IP packet has no UDP header).
3. Check ACL configuration of the ME60:
acl number 3001
..............................
rule 25 permit udp destination-port eq 0   //命中该ACL
.............................
traffic classifier antivirus operator and
 if-match acl 3001
traffic behavior antivirus
 deny
traffic policy global
 classifier antivirus behavior antivirus
traffic-policy global global
The second fragmented packet has no UDP header and the data is all zeros. The packet matches rule 25 of acl 3001, so it is discarded.
4. Configure acl 3002 on the device, do not check the second fragmented packet of UDP, and redistribute traffic policy globally. The configuration is as follows:
acl number 3002
 rule 10 permit udp fragment-type fragment-subseq
traffic behavior permitudpfragment              //By default, the packet can pass.
traffic policy global                                                           
 classifier permitudpfragment behavior permitudpfragment    //The configuration should be ensured.
 classifier antivirus behavior antivirus
traffic-policy global global 
The problem is solved.
Note: The ME60 cannot process the fragmented packets and it process them as common packets.
      

1. The DSLAM of Z manufacturer can set up NMS, it indicates that ACL on the ME60 does not restrict the NMS interface. The fragmented packet of A manufacturer may be faulty.
2. Analyze packet at upstream and downstream of the ME60. The NMS sends get SNMP packets to DSLAM of A manufacturer. The fragmented packets of REPLY SNMP are discarded on the ME60. As a result, the NMS cannot be set up.
3. The reason of packet loss is as follows: device forwarding (such as full traffic on the interface) or the configuration (such as QoS and ACL).

1. Check ACL configuration for packet loss.
2. The ME60 should process fragmented packets carefully.