2015年1月19日(初版)
| TAC SR Collection |
|---|
| 主な問題 | IOS-XR が動作するルータで、Object-group を使用した ACE (Access Control Entries) において、 host 指定の項が正しくマッチしません。 Object-group を使用した記法については、以下をご参照下さい。 Configuring ACL with Object-Groups
例:下記の設定は 192.168.0.1 からの接続のみを許可するものですが、本不具合のため、全ての接続が許可されます。 ------------------
object-group network ipv4 obj1
host 192.168.0.1
!
ipv4 access-list obj_Acl
10 permit ipv4 net-group obj1 any
!
interface GigabitEthernet0/0/0/0
ipv4 address 192.168.0.2 255.255.255.0
ipv4 access-group obj_Acl ingress
------------------- |
| 原因 | 実際には /32 ではなく /0 でマッチさせてしまうため、any 指定をした場合と同様の動作をする事が原因です。この問題は、CSCur28806 として報告されています。 CSCur28806
ACL slow-path matching failed for host member in IPv4 obj-group |
解決策 | Workaround は無いため、Object-group を使用せず、通常の記法で記述して下さい。 問題の解決には CSCur28806 が修正されたバージョンをご使用ください。 |
備考
本不具合は、Bug Search Tool でも確認できます。
