发布时间: 2016-12-15 | 浏览次数: 405 | 下载次数: 0 | 作者: SU1001525931 | 文档编号: EKB1000416365
设备型号:s7700
版本信息:V200R008
组网拓扑图:
配置信息:
interface Vlanif1
ip address 1.1.1.1 255.255.255.0
#
interface Vlanif2
ip address 2.2.2.1 255.255.255.0
acl number 3000
rule 5 deny ip source 1.1.1.0 0.0.0.255 destination 2.2.2.0 0.0.0.255
rule 10 permit ip
traffic classifier c1 operator and
if-match acl 3000
traffic behavior b1
permit
traffic policy p1
classifier c1 behavior b1
vlan 1
traffic-policy p1 inbound
故障现象:
通过上面的配置信息可以看出,在vlan1上面限制vlan1下面的终端访问vlan2的设备。
但是配置完成以后,vlan1下面的电脑无法ping通vlan2下面的电脑,但是可以ping通vlanif2的ip地址
配置了流策略以后,vlan2的电脑无法访问,证明流策略配置没有问题,但是依旧可以ping通设备本身,是设备机制问题导致。
V200R008版本PING报文是上送CPU的,优先级高于 流策略,所以限制不成功
之前的版本流策略优先级 高于 上送CPU的ACL 所以可以限制成功
如果新版本要限制访问设备的流量,需要配置黑名单功能
通过配置黑名单功能限制vlan1的用户访问设备
acl number 3001
rule 5 deny ip source 1.1.1.0 0.0.0.255 destination 2.2.2.1 0
cpu-defend policy 1
blacklist 1 acl 3001
cpu-defend-policy 1 global