3.7.7 , IPv6的ACL问题

Lonlykids · 发表于 2023-11-10 11:10:29

我先把所有ipv6的进封死

然后只开对应的IP和端口
目的地址的写法是 ::x:x:x:x/::ffff:ffff:ffff:ffff
这样的写法是没问题的 , 因为3.7.7之前一直都这么用
升级到3.7.7后 , 发现不能这样写了 , 而且原来这样写的规则也全部失效

我这边的场景是 , 因为运营商PPPoE定时拨号的机制 , 所以IPv6的前缀会变 , 所以内网机器采用了无状态 , 并通过DDNS上报 , 所以才有上面那种写法

爱快技术支持01 · 发表于 2023-11-10 11:18:41

楼主您好，现阶段您使用用ACL 选择IPV6协议，配置mac分组方式验证一下，后续版本我们会对您提出建议做优化，考虑增加后缀匹配模式

13816321463 · 发表于 2023-11-10 11:20:12

确实需要后缀匹配功能，mac分组会开放机器的所有ipv6，但我只需要开放其中一个ipv6地址
而且mac分组无法过滤源地址，比如我只允许::abcd/::ffff:ffff:ffff:ffff这个后缀的源地址访问，mac分组就做不到

Lonlykids · 发表于 2023-11-10 11:32:49

爱快技术支持01 发表于 2023-11-10 11:18楼主您好，现阶段您使用用ACL 选择IPV6协议，配置mac分组方式验证一下，后续版本我们会对您提出建议做优化 ...

MAC分组试过了 , 也是不行的

雨十一 · 发表于 2023-11-10 11:44:08

爱快技术支持01 发表于2023-11-10 11:18:41楼主您好，现阶段您使用用ACL 选择IPV6协议，配置mac分组方式验证一下，后续版本我们会对您提出建议做优化，考虑增加后缀匹配模式

mac分组实际并没有生效，分组里的设备端口依然没有被允许转发

消息来自爱快e云

爱快技术支持01 · 发表于 2023-11-10 14:05:51

Lonlykids 发表于 2023-11-10 11:32MAC分组试过了 , 也是不行的

您好，3.7.7 ACL 规则 IPv6协议的阻断方式改变了。应该是这一块的改动导致的。后续版本会重新支持后缀匹配这种模式。

Lonlykids · 发表于 2023-11-10 16:11:41

爱快技术支持01 发表于 2023-11-10 14:05您好，3.7.7 ACL 规则 IPv6协议的阻断方式改变了。应该是这一块的改动导致的。后续版本会重新支持后缀匹 ...

非常感谢您的回复 , 在这里 , 我想悄悄的提一嘴 , ACL->IPv6->协议:任意->目的地址的 [源端口] 跟 [目的端口] 可以开放设置么.?不然同一端口要设置两条ACL . 非常感谢

爱快技术支持01 · 发表于 2023-11-10 16:31:10

Lonlykids 发表于 2023-11-10 16:11非常感谢您的回复 , 在这里 , 我想悄悄的提一嘴 , ACL->IPv6->协议:任意->目的地址的 [源端口] 跟 [目的 ...

这个需求您可以到论坛产品建议区发帖做具体说明，爱快的产品部门同事会对您需求进行评估的~

		自动登录	找回密码
密码			立即注册

[问题反馈] 3.7.7 , IPv6的ACL问题

站长推荐 /1