某局点S7600系列交换机包过滤禁用UDP 161端口不生效问题处理经验案例
问题描述
客户在设备的公网出接口调用包过滤,ACL规则如下,想实现只允许特定地址访问设备的UDP161端口(即SNMP服务)
rule 5 permit udp source X.X.X.X 0 destination-port eq SNMP
rule 100 deny udp destination-port eq snmp
但是发现其他地址仍然可以扫到这个端口处于开放状态
过程分析
1、检查ACL内容以及流量上来的接口,发现没有问题
2、查看ACL下发情况,确认这两条ACL是正常下发到硬件表项的。
========
Acl-Type PktFilter IP on PORT, Stage IFP, Pipe 0, SinglePort, Installed, Active
Prio Mjr/Sub 525/1308557306, Group 10 [10], Slice/Idx 9/2, Entry 258, Single: 13314
ACL GroupNo : 3698, RuleID : 5
Rule Match --------
Ports: 0x000000000000000000000000400; 0x200000000001fffffffffffffff
Lookup: STP forwarding, 0x18, 0x18
Source IP: X.X.X.X, 255.255.255.255
IP protocol: udp
IP Type: Any IPv4 packet
L4 Dst Port: 161, 0xffff
Actions --------
Permit
========
Acl-Type PktFilter IP on PORT, Stage IFP, Pipe 0, SinglePort, Installed, Active
Prio Mjr/Sub 525/1308557211, Group 10 [10], Slice/Idx 9/3, Entry 259, Single: 13315
ACL GroupNo : 3698, RuleID : 100
Rule Match --------
Ports: 0x000000000000000000000000400; 0x200000000001fffffffffffffff
Lookup: STP forwarding, 0x18, 0x18
IP protocol: udp
IP Type: Any IPv4 packet
L4 Dst Port: 161, 0xffff
Actions --------
Deny
3、经确认,这个为设备目前版本协议报文上送CPU的实现机制导致,只能通过配置本地PBR规避。
解决方法
通过配置本地PBR规避,方法如下:
ACL advance 3000
rule 5 permit udp source X.X.X.X 0 destination-port eq snmp
#
acl advance 3001
rule 5 permit udp destination-port eq snmp
#
policy-based-route abc deny node 10
if-match acl 3000
#
policy-based-route abc permit node 10
if-match acl 3001
apply output-interface NULL0
#
ip local policy-based-route abc
内容来源:知了社区,基于知识共享署名-相同方式共享3.0中国大陆许可协议CRM论坛(CRMbbs.com)——一个让用户更懂CRM的垂直性行业内容平台,CRM论坛致力于互联网、客户管理、销售管理、SCRM私域流量内容输出5年。 如果您有好的内容,欢迎向我们投稿,共建CRM多元化生态体系,创建CRM客户管理一体化生态解决方案。,某局点S7600系列交换机包过滤禁用UDP 161端口不生效问题处理经验案例
