交换机二层acl的问题

lrxzjc

这个问题原始于 ospf 邻居状态是init的问题，我像模拟一下，ospf 邻居在什么时候邻居状态是init，根据状态机，收到了别人的hello，且包含了自身的ip，但是自己发的hello没有包含别人的ip。有的人会把红字部分忘掉。这是不对的。好了，上个拓扑


           sw1--------------------------------------------------sw2
   
       vlan1：12.1.1.1/24                  vlan1:12.1.1.2/24


就是这么的简单，用三层交换机做ospf邻居，首先sw1和sw2的接口都启用vlan 1接口
1.在vlan1接口上配上地址,在同一网段，互ping一下，能正常通。
2.在sw1的物理接口（二层接口，不是vlan1接口）下做
          acl 4000
          rule 5 deny
          int g0/0/1                      //互联的接口都是1口
          traffic-filter  in  acl  4000         //在此接口阻止任何进入的二层流量。（其实在说这句话的时候，我就是想要阻止任何流量，毕竟在以太网上，任何包都是有二层源mac地址的，我就像通过这条语句阻止所有的流量）
3. 再互相ping一下，ping不通了。 但问题也在这，我发现sw1能够响应sw2的arp包。这就邪门了，我ping不通，说明sw1阻止了流量，那sw2上的vlan1接口发的arp为什么sw1会响应？而且还回应了arp。这是什么操作？？


请广大网友参与讨论，谢谢，用的是ensp的模拟器，交换机是s5700.     当然了，我用路由器同样这样做acl，路由器上反应是正常的。等于说这里面还有些差别，具体我就不懂了，为啥呢?

wangpc1984

学习