S7703流策略无法限制访问交换机本地地址

S7703交换机在端口应用流策略之后，可以限制访问acl中匹配的IP地址段。如果IP地址段包含部分本地交换机地址，该部分地址无法进行访问限制。

如下图所示，PC1为192.168.24.X地址段 PC2为192.168.8.X地址段。对应PC网关都落在S7703上。通过对PC与交换机的端口做访问限制，PC1所在的网段与PC2所在的网段不能互通，并且不能访问除各自网关外的其他交换机上的地址。

配置如下：

acl number 3000

rule 5 permit ip source 192.168.24.0 0.0.0.255 destination 192.168.8.0 0.0.0.255

traffic classifier C1 operator or precedence 5

if-match acl 3000

#

traffic behavior B1

deny

statistic enable

traffic policy P1 match-order config

classifier C1 behavior B1

interface GigabitEthernet2/0/20

port link-type access

port default vlan 2

traffic-policy P1 inbound

在流策略配置完成后，对应下挂的PC1与PC2实现了不能通信，但是PC1仍然可以ping通PC2对应的网关地址

通过流量统计进行查看具体原因

[ZSZX-S7703]  dis traffic policy statistics interface GigabitEthernet 2/0/20 in

Interface: GigabitEthernet2/0/20

Traffic policy inbound: P1

Rule number: 8

Current status: success

Statistics interval: 300

---------------------------------------------------------------------

Board : 2

---------------------------------------------------------------------

Matched          |      Packets:                             4

|      Bytes:                             312

|      Rate(pps):                           0

|      Rate(bps):                           0

---------------------------------------------------------------------

Passed         |      Packets:                             0

|      Bytes:                               0

|      Rate(pps):                           0

|      Rate(bps):                           0

---------------------------------------------------------------------

Dropped        |      Packets:                             4

|      Bytes:                             312

|      Rate(pps):                           0

|      Rate(bps):                           0

---------------------------------------------------------------------

Filter       |      Packets:                             4

|      Bytes:                             312

---------------------------------------------------------------------

Car          |      Packets:                             0

|      Bytes:                               0

---------------------------------------------------------------------

8.254是交换机的网关地址

如上表象所示，流策略虽然流策略可以匹配到，但是报文是上送交换机CPU处理，走CP-CAR流程软转上送，流策略无法生效

8.254是交换机的网关地址，流策略不生效的，这类报文属于上送CPU的报文，cpu-defend 里面配置黑名单可以实现该需求，acl匹配源、目的地址就行了。

acl number 3001

rule 5 permit ip source 192.168.24.0 0.0.0.255 destination 192.168.8.254 0

cpu-defend policy cp1

blacklist 1 acl 3001

auto-defend alarm enable

auto-defend action deny

#

slot 1

cpu-defend-policy cp1

#

slot 2

cpu-defend-policy cp1

如上配置所示，通过对应的配置信息，达到终端用户无法访问除自己网关外的其他交换机本地地址