ACL匹配异常问题排查案例

问题背景

当前环境部分业务需要通过策略路由定向至准入设备，部分业务无需经过准入设备，计划通过策略路由使部分IP直接访问资源、无需定向至行为管理

交换机版本：S12700 V200R013C00SPC500+v200r013sph002

问题现象

一个流策略中定义两个流分类与流行为，将无需定向的匹配项放在第一条，使其不重定向至准入设备；按该流程操作后发现页面仍会进行重定向，疑似未匹配第一条匹配项。配置信息如下：

问题处理

对测试源目地址进行抓包分析，发现对两个cb匹配项都进行了匹配，经研发说明：在两个cb对条件相近情况下，会对两个cb对都进行匹配，需要配置冲突香，使其单独匹配。

如：

traffic behavior b3049
car cir 10000000

该配置与重定向互斥，此场景下将只匹配一条。

问题总结

当cb对条件不互斥的情况下，会对两个cb对都进行匹配，需制造互斥配置，使其逐个匹配。