2015年1月19日(初版)
TAC SR Collection |
---|
主な問題 | IOS-XR が動作するルータで、Object-group を使用した ACE (Access Control Entries) において、 host 指定の項が正しくマッチしません。 Object-group を使用した記法については、以下をご参照下さい。 Configuring ACL with Object-Groups 例:下記の設定は 192.168.0.1 からの接続のみを許可するものですが、本不具合のため、全ての接続が許可されます。 ------------------ object-group network ipv4 obj1 host 192.168.0.1 ! ipv4 access-list obj_Acl 10 permit ipv4 net-group obj1 any ! interface GigabitEthernet0/0/0/0 ipv4 address 192.168.0.2 255.255.255.0 ipv4 access-group obj_Acl ingress ------------------- |
原因 | 実際には /32 ではなく /0 でマッチさせてしまうため、any 指定をした場合と同様の動作をする事が原因です。この問題は、CSCur28806 として報告されています。 CSCur28806 ACL slow-path matching failed for host member in IPv4 obj-group |
解決策 | Workaround は無いため、Object-group を使用せず、通常の記法で記述して下さい。 問題の解決には CSCur28806 が修正されたバージョンをご使用ください。 |
備考
本不具合は、Bug Search Tool でも確認できます。