评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
应用在流策略中的ACL不支持对哪些报文进行过滤?
应用在流策略中的ACL不支持对上送CPU处理的协议报文进行过滤,例如:
- VRRP使用的协议报文是目的IP地址为224.0.0.18的组播报文,该报文到达设备后会被上送CPU处理,因此流策略中的ACL对该报文不生效,VRRP组内的成员交换机仍能够协商出主备关系。
- DHCP客户端为了获取合法的动态IP地址,会与服务器之间交互DHCP报文,该报文到达设备后会被上送CPU处理,因此流策略中的ACL对该报文不生效,设备无法阻止一个接口下的用户通过DHCP自动获取IP地址。
- 用户主机Ping本设备时,ICMP报文到达设备后会被上送CPU处理,因此流策略中的ACL对该报文不生效,设备无法阻止用户主机Ping本设备。
对于上送CPU处理的协议报文,可以通过在本机防攻击中的黑名单中应用ACL进行过滤,步骤如下:
- 在系统视图下,执行命令cpu-defend policy policy-name,进入防攻击策略视图。
- 执行命令blacklist blacklist-id acl { acl-number | ipv6 acl6-number } [ interface { interface-type interface-number1 [ to interface-type interface-number2 ] } &<1-8> ] [ vlan { vlan-id1 [ to vlan-id2 ] } &<1-8> ],创建黑名单。
- 在系统视图下,执行命令cpu-defend-policy policy-name [ slot slot-id ],应用防攻击策略。
