Q1:接口没有配置区域,默认匹配什么策略?A1:分两种情况,
1、在未开启高级功能的情况下(默认不开启),没有配置区域的接口属于any区域,因此匹配any区域相关的策略。
2、在开启高级功能的情况下,没有配置区域的接口,流量直接拒绝。
注意,在此逻辑下,vpntun口、gre口、loopback等接口,均需要手动加入区域,流量才能通。
PS:高级功能开启位置:【系统】-【通用设置】-【网络参数】-【高级配置】
Q2:ACL的源区域、源IP、目的区域与目的IP匹配,是NAT前还是NAT后?
A2:ACL匹配DNAT后,SNAT前的IP和区域。
因为ACL位置处于DNAT和SNAT之间,因此在匹配ACL的目的区域和目的IP时,已经过DNAT转换目的IP,因此需要匹配DNAT之后的区域。但通常在DNAT配置中勾选自动放通即可。
Q3:新架构ACL的服务和应用同时配置,两者之间的匹配是什么关系?
A3:分为几种情况如下:
1、应用配置为全部,服务为具体端口范围或者any
应用选择全部则表明不匹配应用识别,只匹配服务
2、应用配置为具体应用,服务为具体端口范围
先匹配服务中的具体端口或范围,再匹配应用识别的应用
3、应用配置为具体应用,服务为any
只匹配应用识别的应用
