为什么s9300 v2r1配置acl控制两个网段互访成功后,还是可以ping通对方的vlanif网关地址
2014/12/17 13:54:06点击:
问题描述
按照如下配置后,pc与pc之间的互访已经生效,不能互访,但是vlan50的用户去ping vlanif51的接口ip还是可以通信。
acl number 3000
rule 5 deny ip destination 10.11.50.0 0.0.0.255
rule 10 deny ip destination 10.11.51.0 0.0.0.255
traffic classifier a operator or precedence 5
if-match acl 3000
#
traffic behavior a
permit
#
traffic policy a
classifier a behavior a
interface Vlanif50
ip address 10.11.50.1 255.255.255.0
#
interface Vlanif51
ip address 10.11.51.1 255.255.255.0
vlan 50
traffic-policy a inbound
acl number 3000
rule 5 deny ip destination 10.11.50.0 0.0.0.255
rule 10 deny ip destination 10.11.51.0 0.0.0.255
traffic classifier a operator or precedence 5
if-match acl 3000
#
traffic behavior a
permit
#
traffic policy a
classifier a behavior a
interface Vlanif50
ip address 10.11.50.1 255.255.255.0
#
interface Vlanif51
ip address 10.11.51.1 255.255.255.0
vlan 50
traffic-policy a inbound
解决方案
最后确认,去ping设备本地地址是由cpu在处理,框式的交换机的cpu处理流程在流策略流程之前,所以本地的vlanif接口是不受acl控制的。
盒式交换机除了5720HI和框式一样外,cpu处理流程在流策略流程之后。
盒式交换机除了5720HI和框式一样外,cpu处理流程在流策略流程之后。
- 上一篇:数通产品5700如何自定义命令权限 2014/12/17
- 下一篇:终端获取IP地址慢 2014/12/17