华为Cloudengine 6851 ipv6 acl不匹配

Question

我有一个华为6851，这是我的配置

acl ipv6 number 3006
description MY-IPv6
rule 10 permit ipv6 source 2001:x:x:x::x:x/112
rule 20 deny ipv6 destination 2001:x:x:x::x:y/128
rule 30 permit ipv6


interface 10GE1/0/24
undo portswitch
description MY
ipv6 enable
ip address 192.168.50.2 255.255.255.252
ipv6 address 2001:x:x:x::x:y/112
traffic-filter ipv6 acl 3006 inbound
traffic-filter acl 3006 inbound
device transceiver 10GBASE-FIBER

我仍然可以ping 2001:x：：x:y/128，当我检查统计数据时，它与acl不匹配。

我能做点别的吗？

Answer 1

记住，ACL在第一次比赛中退出。您没有真正提供足够的信息，但是如果数据包源属于：

rule 10 permit ipv6 source 2001:x:x:x::x:x/112

那么ACL就永远不会到达：

rule 20 deny ipv6 destination 2001:x:x:x::x:y/128

在数据包目的地上被拒绝。如果数据包与rule 10匹配，则不会测试以下规则。您可能希望将rule 10与rule 20交换。

Answer 2

这种做法是不正确的。您需要为相同的内容创建一个流量策略。

步骤1.创建包含IP列表的ACL。

步骤2.创建一个分类器并将其链接到ACL。

第三步:创造合适的行为(许可、拒绝等)

第四步，将所有这些信息绑定到一个交通策略中。

步骤5.在接口上应用带有出入口参数的流量策略。