华三交换机acl问题,请华三工程师回复,其他人不要回复,谢谢你们了
问题描述:
华三51
真机可以复现该问题。
1、分别在vlan虚接口和物理接口下deny和permit all的包过滤,现象和楼主一样;
# interface Vlan-interface14
ip address 14.1.1.1 255.255.255.0
packet-filter 3331 outbound
#
# interface HundredGigE1/0/0/5
port link-mode bridge
port link-type trunk
port trunk permit vlan 1 14
packet-filter 3330 outbound
#
2、查看底层,两个包过滤被分配到同一个Group中,所以当匹配到同一条流时,只有一个会生效;
------------------------------- Acl Hw Resource: EFP, Pipe:0 -----------------------------
Pri 1, Group 12,usedEntries 4 ,mode Single, physlice 3/
===================================================
ACL type usedEntries[4]
===================================================
[108]PktFilter IP on PORT 1
[109]PktFilter IP on VRF 3
================================================
3、进一步查看两条规则的优先级,发现下发在物理端口的包过滤优先级更高(数值越大越优先),所以物理端口下的包过滤生效,即楼主观察到的现象。
[
========
Acl-Type PktFilter IP on PORT, Stage EFP, Pipe 0, SinglePort, Installed, Active
Prio Mjr/Sub 268/1308622847, Group 12 [12], Slice/Idx 3/0, Entry 18
ACL GroupNo : 3330, RuleID : 0 Rule Match --------
Out Port: 50
IP Type: Any IPv4 packet
Actions --------
Permit
[
========
Acl-Type PktFilter IP on VRF, Stage EFP, Pipe 0, OuterPort, Installed, Active
Prio Mjr/Sub 268/503316479, Group 12 [12], Slice/Idx 3/1, Entry 1817, Single: 1537
ACL GroupNo : 3331, RuleID : 0
Rule Match --------
Port Class: 0x1, 0xffffff03 | stPbmp=0x0000000000000000000000004444444400000000, stPbmpMask=0x00000000000000000000000344444446000007ff
Source IP: 13.1.1.2, 255.255.255.255
Dest IP: 14.1.1.2, 255.255.255.255
IP Type: Any IPv4 packet
L3 Routable: 0x1, Mask: 0x1
Outer Vlan: 0xe, 0xfff
Actions --------
Deny
========
3小时前回答暂无
感谢 “禾呈立曰心”帮忙解答了,两个acl分别应用在端口下和svi下,会被划归到同一个组,同一个流量只能选择其中一个,并且端口的那个acl优先级高,所以只有端口的acl生效。请问如何能实现两个acl都生效呢?数据流经过svi的时候使用svi的acl,经过端口的时候使用端口的acl,两者都生效,是与的状态。(那些热情回答的人谢谢了,不过建议实际操作一下,不然理论说辞大家都懂的说,但是实际根本对不上)
2小时前回答暂无
你正在内容来源:知了社区,华三交换机acl问题,请华三工程师回复,其他人不要回复,谢谢你们了
