您的位置:360文档中心› 华为交换中端产品QACL配置案例集

华为交换中端产品QACL配置案例集

相关主题
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

华为交换中端产品QACL配置案例集由于芯片结构的原因,中端产品的QACL配置较复杂,给用户使用带来了一定的难度,用服人员维护起来有时也会较为棘手,经常会有用户和用服人员打电话过来咨询这方面的配置的使用,下面的配置案例全部取材于6500系列产品在使用中的实际配置,大多是客户的咨询,

其中一些还曾发生过网上问题。将这些东西进行总结,有利于我们更好的使用6506。

【案例1】

我想实现办公网只有个别的机器(10.1.0.38)访问服务器10.1.0.254,我进行了如下配置,但10.1.0.38依然无法访问服务器,6506是不是不能实现这种需求啊。

acl number 100

rule 0 permit ip sou 10.1.0.38 0 des 10.1.0.254 0

rule 1 deny ip

int e2/0/1

pa ip in 100

【问题分析】

这是个比较典型的错误,错误原因就是没有搞清6506的acl的其作用的顺序。在6500系列产品上,是根据规则的下发时间顺序来决定起作用的顺序的,最近下发的规则我们认为是用户最新的需求,它会最新起作用。对于上面的配置,rule 0先下发,rule 1后下发,那么首先其作用的是rule 1。这样会将所有的报文都过滤掉。

【解决办法】

将两条规则的配置顺序对调。

【案例2】

我想禁止210.31.12.0 0.0.1.255访问任何网段的ICMP报文,但却无法实现,请帮忙检查一下。

acl number 100 match-order auto

rule 0 deny icmp source 210.31.12.0 0.0.1.255

rule 1 deny tcp source-port eq 135 destination-port eq 135

rule 2 deny tcp source-port eq 135 destination-port eq 139

rule 3 deny tcp source-port eq 135 destination-port eq 4444

rule 4 deny tcp source-port eq 135 destination-port eq 445

rule 5 deny udp source-port eq tftp destination-port eq tftp

rule 6 deny tcp source-port eq 1025

rule 8 permit ip

【问题分析】

又是一个比较典型的错误,用户认为要想让交换机转发,必须配置类似rule 8的规则,其实这是不必要的,6506缺省有一条match all表项,将交换机配置成转发模式,再配置一条,则覆盖了前面的所有规则。

【解决办法】

将最后一条规则去掉。

【案例3】

规则如下,要求只允许10.89.0.0/16访问10.1.1.0,但配置后其他网段也可以访问了,请问是为什么?

acl number 101 match-order auto

rule 0 deny ip

acl number 102 match-order auto

rule 0 permit ip source 10.89.0.0 0.0.255.255 destination 10.1.1.0 0.0.0.255

。。。

。。。

。。。

interface Ethernet2/0/3

description connected to 5lou

port link-type hybrid

port hybrid vlan 1 tagged

port hybrid vlan 20 untagged

port hybrid pvid vlan 20

qos

packet-filter inbound ip-group 101 rule 0

packet-filter inbound ip-group 102 rule 0

packet-filter inbound ip-group 103 rule 0

packet-filter inbound ip-group 105 rule 2

packet-filter inbound ip-group 105 rule 3

packet-filter inbound ip-group 105 rule 5

packet-filter inbound ip-group 105 rule 6

packet-filter inbound ip-group 105 rule 4

#

【问题分析】

由于ACL102的rule 0的原因,只要是从这个网段上来的报文都会匹配这个规则的前半部分,但如果它不是访问10.89.0.0/16,它不会匹配上ACL102的rule 0,本来希望它匹配到A CL101的rule 0,但是由于在硬件中ip source 10.89.0.0和ip any any使用的是不同的id,所以ACL101的rule 0也不再会被匹配到。那么报文会匹配到最后一条缺省的match all表项,进行转发。

【解决办法】

把rule 0 deny ip变成rule 0 deny ip source 10.89.0.0 0.0.255.255。

【案例4】

某银行当每天造成重起6506后,发现有部分网段的用户无法访问病毒服务器(11.8.14.141和11.8.14.2),将防火墙配置删除后再下发问题消除。配置如下:

acl number 122

description guoku

rule 1 deny ip source any destination 11.8.20.112 0.0.0.15

相关文档
最新文档