【Description du problème】

Le paramètre de la politique actuel est le suivant:

policy interzone trust untrust outbound

policy 1

  action permit

  policy service service-set icmp

  policy service service-set http

  policy source address-set “172.21.15.0/24”

policy 2

  action permit

  policy service service-set http

  policy service service-set https

policy service service-set smtp

  policy source address-set "172.21.4.0/24"

policy 50

  action deny

Le client contrôle le service lorsque le trafic provient de la zone de confiance vers la zone non fiable. Maintenant, le client ajoute une nouvelle politique pour contrôler le service du nouveau sous-réseau. La configuration est comme ci-dessous:

policy 3

  action permit

  policy service service-set http

  policy service service-set https

policy service service-set smtp

  policy source address-set "172.21.16.0/24"

Le client constate que la stratégie configurée ne correspond pas à ses exigences. Aucun contrôle de service n'a lieu dans ce réseau. Je trouve que la configuration est inattendue:

policy interzone trust untrust outbound

policy 1

  action permit

  policy service service-set icmp

  policy service service-set http

  policy source address-set “172.21.15.0/24”

policy 2

  action permit

  policy service service-set http

  policy service service-set https

policy service service-set smtp

  policy source address-set "172.21.4.0/24"

policy 50

  action deny

policy 3

  action permit

  policy service service-set http

  policy service service-set https

policy service service-set smtp

  policy source address-set "172.21.16.0/24"

Alarm Information

Processus de manutention 

La stratégie 50 est antérieure à la stratégie 3. Après avoir recherché les informations du document, il a été constaté que la priorité de la stratégie n’était pas liée à son ID de stratégie. 

Cause première 

Solution 

Solution: Utilisez la commande «policy move 3 before 50» pour réviser le problème. Le réglage final est:

policy interzone trust untrust outbound

policy 1

  action permit

  policy service service-set icmp

  policy service service-set http

  policy source address-set “172.21.15.0/24”

policy 2

  action permit

  policy service service-set http

  policy service service-set https

policy service service-set smtp

  policy source address-set "172.21.4.0/24"

policy 3

  action permit

  policy service service-set http

  policy service service-set https

policy service service-set smtp

  policy source address-set "172.21.16.0/24"

policy 50

  action deny