キャンセル
次の結果を表示 
次の代わりに検索 
もしかして: 

IOS-XR: Object-group を使用した ACE がマッチしない

2015年1月19日(初版)
 

TAC SR Collection
主な問題

IOS-XR が動作するルータで、Object-group を使用した ACE (Access Control Entries) において、 host 指定の項が正しくマッチしません。

Object-group を使用した記法については、以下をご参照下さい。

Configuring ACL with Object-Groups
 

例:下記の設定は 192.168.0.1 からの接続のみを許可するものですが、本不具合のため、全ての接続が許可されます。

------------------
object-group network ipv4 obj1
 host 192.168.0.1
!
ipv4 access-list obj_Acl
 10 permit ipv4 net-group obj1 any
!
interface GigabitEthernet0/0/0/0
 ipv4 address 192.168.0.2 255.255.255.0
 ipv4 access-group obj_Acl ingress
-------------------

原因

実際には /32 ではなく /0 でマッチさせてしまうため、any 指定をした場合と同様の動作をする事が原因です。この問題は、CSCur28806 として報告されています。

CSCur28806
ACL slow-path matching failed for host member in IPv4 obj-group

 

解決策

Workaround は無いため、Object-group を使用せず、通常の記法で記述して下さい。

問題の解決には CSCur28806 が修正されたバージョンをご使用ください。


備考
本不具合は、Bug Search Tool でも確認できます。

バージョン履歴
改訂番号
1/1
最終更新:
‎01-21-2015 06:31 PM
更新者:
 
ラベル(1)
タグ(1)