某局點 S10506X-G ACL包過濾到交換機本機報文deny不生效

S10506X-G，Version 7.1.070, Release 7756P06

現場做了ACL包過濾，調用在vlan接口上，交換機本身的地址包含在ACL的地址範圍裏，發現終端Ping交換機能通，SSH交換機能通，但ACL中rule已經拒絕了私網地址段，想實現即使包過濾目的地址是交換機本機地址也能生效

interface Vlan interface100
packet-filter 3101 inbound

acl advanced 3101
rule 1 deny ip source 10.1.64.0 0.0.31.255 destination 10.0.0.0 0.255.255.25

到本機的報文會上送cpu處理，交換機一般對上cpu的報文，會優先匹配高優先級的係統報文上cpu規則，不會再受用戶deny規則的影響，所以包過濾無法過濾訪問訪問本機地址的ICMP報文

一、現場可以用local pbr禁用回包。acl rule的源、目的需要做相應修改。配置上之後協議報文仍會上cpu，但是不會發回包給終端。為純軟實現的，不占用acl資源。

交換機到終端的通信，匹配上就不發出去了，所以要精確匹配，那個ssh的deny可以用ssh server acl來限製，icmp的deny可以精確匹配一下

示例：

#

acl number 3000

rule 0 permit ip source 50.0.0.1 0 destination 50.0.0.2 0     #<------禁用的是回程報文

#

policy-based-route 1 permit node 1

if-match acl 3201

apply output-interface NULL0

#

ip local policy-based-route 1

#

二、目前的版本不支持copp（控製平麵QOS）下過濾，R7760P03版本才支持，升級版本之後可以配置copp過濾上cpu報文