【问题现象】 智能交换机做了基于源目ip的拒绝ping策略,但是没有生效
【问题原因】 上层策略中有放通流量导致
【处理步骤】 1.检查拒绝策略正常,但是测试主机159到目的地址192.168.100.2还是能正常通信 2. 怀疑上层设备有放通该流量,acl策略是从上向下匹配,禁用上面所有的所有策略后,发现该策略有生效; 3. 继续逐条排查上面的策略,发现有一条放通策略果然存在问题,虽然策略里允许主机157访问192.168.100.2,但是主机157的掩码是24位,包含了下面策略中159的主机,因此icmp流量在这里被放通了: 4.将上面允许主机的掩码改成32位,下面的禁止ping策略就生效啦!
|