xcustomernew Р traffic-filter vlan 211 outbound acl name xxyrol_seg Р 4 根因Р 1. 根据客户反映的情况查找财务部门策略组内rule规则条目,确实没有匹配允许内网到内网Р 的规则,根据现网部署的情况同一台交换机之间互访时,根据本机的MAC地址对应表关系可以顺利找到同台交换机上的终端,但如果2台交换机之间互联的链路被STP协议block掉了时,流量将通过网关设备转发也将触发sACl策略的过滤。Р 2. 根据客户反映无法FTP到服务器的rule匹配出规则rule 10 permit tcp destination Р tcp-flag ack rst ;反馈给研发验证此条命令与思科之前的命令实现的效果是否一致。Р 3. 根据原思科配置命令查看:理论上思科策略匹配完所有的策略是,默认最后一条为deny Р ipAny ,而华为默认的最后一条rule为permit ip any。Р 5 解决方案 1.ACL策略内放空允许内网访问内网的rule Р 2.rule 10 permit tcp destination tcp-flag ack rst 修改为 rule 10 permit tcp destination Р tcp-flag established Р 3. 最后增加一条为deny ip any。Р 6 建议与总结Р 在翻译友商设备的ACL命令时,先注意本ACL应用的位置,应用位置不同可以导致客户的需求不同(2、3层还是全局),整机ACL优先顺序是先接口——> Vlan——>Vlanif——>全局。当相同的策略调用在接口下如果匹配到就弹出执行动作。其次,翻译友商的ACL策略时应该把非常见的ACL单独领出来进行功能性的测试,很多情况下我们无现场环境进行测试,我们可以寻找研发Р 篇三:电脑小报素材模板汇总
全文预览
