1676540367,

问题描述

现场在vlan-interface下配置了出方向的包过滤，发现不生效

interface Vlan-interface1

ip address 172.17.1.254 255.255.255.0

packet-filter filter all

packet-filter 3001 outbound

#

过程分析

经测试发现，去往2口的流量中其他VLAN的包过滤都能生效，只有VLAN1的无法过滤

interface GigabitEthernet0/0/2

 port link-mode bridge

 description ESXI-172.17.1.42

 port link-type trunk

 port trunk permit vlan all

 stp edged-port

解决方法

1、经确认，当前S7003X设备存在限制，如果报文从接口发出的时候去掉了vlan tag，那么下发到VLAN接口的ACL就无法匹配了。 现场是在VLAN1上下发的包过滤，报文出口都是trunk口，PVID是1，所以发出去的报文都会去掉TAG，无法过滤。

2、规避办法：

（1）应用到物理接口

（2）不要使用VLAN1，改成其他VLAN

（3）修改 trunk口的 PVID，让 VLAN1能携带 TAG发出

CRM论坛（CRMbbs.com）——一个让用户更懂CRM的垂直性行业内容平台,CRM论坛致力于互联网、客户管理、销售管理、SCRM私域流量内容输出5年。 如果您有好的内容，欢迎向我们投稿，共建CRM多元化生态体系，创建CRM客户管理一体化生态解决方案。本文来源：知了社区基于知识共享署名-相同方式共享3.0中国大陆许可协议,S7003X 包过滤不生效问题