请选择 进入手机版 | 继续访问电脑版

设为首页 收藏本站
思科服务支持社区 点击关注
思科服务支持社区

  
 找回密码
 立即注册

扫一扫,访问微社区

搜索
热搜: 邮件服务器
查看: 619|回复: 1

【原创】nexus 9000:vlan access-map 不生效的解决方法

[复制链接]
发表于 2018-3-21 15:16:26 | 显示全部楼层 |阅读模式
在nexus 9000上配置vlan access-map,对mac address进行过滤或者重定向时,有时会遇到策略不生效的情况,此时就需要对mac access-list进行修改,添加一些参数,来使它生效。
以下以C9372PX为例说明:


1. 先了解一下拓扑

192.168.123.1 mac address 188b.9d61.e401
192.168.123.2 mac addresss a80c.0d96.9aff
2. 客户的目的是在C9372px,通过vlan access-map将来自vlan 123的数据包重定向到e1/18接口。即:来自e1/49和e1/53的流量不能直接进行通信。客户的配置如下
hardware access-list tcam region qos 0      
hardware access-list tcam region vacl 0
hardware access-list tcam region mac-vacl 256   <<<<<为mac-vacl分配tcam空间

mac access-list test01-acl
  10 permit 188b.9d61.e4010000.0000.0000 any
  20 permit a80c.0d96.9aff0000.0000.0000 any

vlan access-map test01-map 10
  match mac address test01-acl
  action redirect Ethernet1/18

vlan filter test01-map vlan-list 123

3. 测试过程
从192.168.123.1 ping 192.168.123.2,如果重定向生效,ping 会失败,经过测试发现ping是成功的,说明策略没有生效。

4. 对mac access-list进行修改,添加mac access-list封装的协议参数,如客户需要对arp,ip的流量根据源mac地址进行重定向
mac access-list test01-acl
  10 permit 188b.9d61.e4010000.0000.0000 any 0x0800
  20 permit 188b.9d61.e4010000.0000.0000 any 0x0806
  30 permit a80c.0d96.9aff0000.0000.0000 any 0x0800
  40 permit a80c.0d96.9aff0000.0000.0000 any 0x0806

5. 再次测试,arp解析失败,Ping失败,说明策略已经生效。




本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?立即注册

x

点评

感谢您的精彩分享~  发表于 2018-3-21 15:35
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分5 (3 评价)
发表于 2018-4-2 14:39:43 | 显示全部楼层
感谢楼主分享
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分2 (1 评价)
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Archiver | 思科服务支持社区  

GMT+8, 2018-7-23 02:08 , Processed in 0.082437 second(s), 38 queries .

京ICP备09041801号-187

版权所有 :copyright:1992-2019 思科系统  重要声明 | 保密声明 | 隐私权政策 | 商标 |

快速回复 返回顶部 返回列表