请选择 进入手机版 | 继续访问电脑版

安视交换机ACL拒绝策略不生效

[复制链接]
问题现象】
智能交换机做了基于源目ip的拒绝ping策略,但是没有生效

问题原因】
上层策略中有放通流量导致

处理步骤】
1.检查拒绝策略正常,但是测试主机159到目的地址192.168.100.2还是能正常通信
图片7.png
2. 怀疑上层设备有放通该流量,acl策略是从上向下匹配,禁用上面所有的所有策略后,发现该策略有生效;
3. 继续逐条排查上面的策略,发现有一条放通策略果然存在问题,虽然策略里允许主机157访问192.168.100.2,但是主机157的掩码是24位,包含了下面策略中159的主机,因此icmp流量在这里被放通了:
图片6.png
4.将上面允许主机的掩码改成32位,下面的禁止ping策略就生效啦!

构建全联接的未来
回复

使用道具 举报

已有(22)人评论

跳转到指定楼层
sangfor 发表于 2021-7-5 11:12:00
不错的分享
回复
回复

使用道具 举报

刘刘刘刘一手a 发表于 2021-7-5 17:07:06
安视交换机的ACL默认是允许的,即最后一条默认是permit any。
回复
回复

使用道具 举报

anmit 发表于 2021-7-22 16:26:40
厉害了
回复
回复

使用道具 举报

superman 发表于 2021-8-6 21:28:26
打卡!
回复
回复

使用道具 举报

sangfor 发表于 2021-8-19 14:41:41
感谢
回复
回复

使用道具 举报

talent 发表于 2021-9-3 21:22:44
厉害了
回复
回复

使用道具 举报

13830 发表于 2022-2-18 09:07:04
学习到了新知识,很不错
回复
回复

使用道具 举报

13874838122 发表于 2022-3-10 10:43:31
学习打卡
回复
回复

使用道具 举报

何茂源 发表于 2022-5-3 17:12:00
感谢分享有助于工作和学习!
回复
回复

使用道具 举报

123下一页
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

手机版|小黑屋|信锐技术社区
© 2016-2022 深圳市信锐网科技术有限公司 版权所有  Powered by Discuz! X3.4  粤ICP备 14013597号
400-878-3389
售后服务热线  7*24小时