日本免费全黄少妇一区二区三区-高清无码一区二区三区四区-欧美中文字幕日韩在线观看-国产福利诱惑在线网站-国产中文字幕一区在线-亚洲欧美精品日韩一区-久久国产精品国产精品国产-国产精久久久久久一区二区三区-欧美亚洲国产精品久久久久

  1. 首頁 > 云知道 > >

華為交換中端產(chǎn)品QACL配置案例集

云知道

由于芯片結(jié)構(gòu)的原因,中端產(chǎn)品的QACL配置較復(fù)雜,給用戶使用帶來了一定的難度,用服人員維護(hù)起來有時(shí)也會(huì)較為棘手,經(jīng)常會(huì)有用戶和用服人員打電話過來咨詢這方面的配置的使用,下面的配置案例全部取材于6500系列產(chǎn)品在使用中的實(shí)際配置,大多是客戶的咨詢,其中一些還曾發(fā)生過網(wǎng)上問題 。將這些東西進(jìn)行總結(jié),有利于我們更好的使用6506 ?!景咐?】我想實(shí)現(xiàn)辦公網(wǎng)只有個(gè)別的機(jī)器(10.1.0.38)訪問服務(wù)器10.1.0.254,我進(jìn)行了如下配置,但10.1.0.38依然無法訪問服務(wù)器,6506是不是不能實(shí)現(xiàn)這種需求啊 。acl number 100 rule 0 permit ip sou 10.1.0.38; 0; des 10.1.0.254 0 rule 1 deny ipint e2/0/1 pa ip in 100【問題分析】 這是個(gè)比較典型的錯(cuò)誤,錯(cuò)誤原因就是沒有搞清6506的acl的其作用的順序 。在6500系列產(chǎn)品上,是根據(jù)規(guī)則的下發(fā)時(shí)間順序來決定起作用的順序的,最近下發(fā)的規(guī)則我們認(rèn)為是用戶最新的需求,它會(huì)最新起作用 。對(duì)于上面的配置,rule 0先下發(fā),rule 1后下發(fā),那么首先其作用的是rule 1 。這樣會(huì)將所有的報(bào)文都過濾掉 ?!窘鉀Q辦法】 將兩條規(guī)則的配置順序?qū)φ{(diào) ?!景咐?】我想禁止210.31.12.0 0.0.1.255訪問任何網(wǎng)段的ICMP報(bào)文,但卻無法實(shí)現(xiàn),請(qǐng)幫忙檢查一下 。acl number 100 match-order autorule 0 deny icmp source 210.31.12.0 0.0.1.255rule 1 deny tcp source-port eq 135 destination-port eq 135rule 2 deny tcp source-port eq 135 destination-port eq 139rule 3 deny tcp source-port eq 135 destination-port eq 4444rule 4 deny tcp source-port eq 135 destination-port eq 445rule 5 deny udp source-port eq tFTP destination-port eq tftprule 6 deny tcp source-port eq 1025rule 8 permit ip【問題分析】又是一個(gè)比較典型的錯(cuò)誤,用戶認(rèn)為要想讓交換機(jī)轉(zhuǎn)發(fā),必須配置類似rule 8的規(guī)則,其實(shí)這是不必要的,6506缺省有一條match all表項(xiàng),將交換機(jī)配置成轉(zhuǎn)發(fā)模式,再配置一條,則覆蓋了前面的所有規(guī)則 ?!窘鉀Q辦法】將最后一條規(guī)則去掉 ?!景咐?】規(guī)則如下,要求只答應(yīng)10.89.0.0/16訪問10.1.1.0,但配置后其他網(wǎng)段也可以訪問了,請(qǐng)問是為什么?acl number 101 match-order autorule 0 deny ipacl number 102 match-order autorule 0 permit ip source 10.89.0.0 0.0.255.255 destination 10.1.1.0 0.0.0.255 。。。。。。。。。interface Ethernet2/0/3description connected to 5louport link-type hybridport hybrid vlan 1 taggedport hybrid vlan 20 untaggedport hybrid pvid vlan 20qospacket-filter inbound ip-group 101 rule 0packet-filter inbound ip-group 102 rule 0packet-filter inbound ip-group 103 rule 0packet-filter inbound ip-group 105 rule 2packet-filter inbound ip-group 105 rule 3packet-filter inbound ip-group 105 rule 5packet-filter inbound ip-group 105 rule 6packet-filter inbound ip-group 105 rule 4#【問題分析】由于ACL102的rule 0的原因,只要是從這個(gè)網(wǎng)段上來的報(bào)文都會(huì)匹配這個(gè)規(guī)則的前半部分,但假如它不是訪問10.89.0.0/16,它不會(huì)匹配上ACL102的rule 0,本來希望它匹配到ACL101的rule 0,但是由于在硬件中ip source 10.89.0.0和ip any any使用的是不同的id,所以ACL101的rule 0也不再會(huì)被匹配到 。那么報(bào)文會(huì)匹配到最后一條缺省的match all表項(xiàng),進(jìn)行轉(zhuǎn)發(fā) ?!窘鉀Q辦法】把rule 0 deny ip變成rule 0 deny ip source 10.89.0.0 0.0.255.255 ?!景咐?】某銀行當(dāng)天天造成重起6506后,發(fā)現(xiàn)有部分網(wǎng)段的用戶無法訪問病毒服務(wù)器(11.8.14.141和11.8.14.2),將防火墻配置刪除后再下發(fā)問題消除 。配置如下:acl number 122description guokurule 1 deny ip source any destination 11.8.20.112 0.0.0.15rule 2 permit ip source 11.8.20.160 0.0.0.31 destination 11.8.20.112 0.0.0.15rule 3 permit ip source 11.8.20.112 0.0.0.15 destination 11.8.20.112 0.0.0.15rule 4 permit ip source 11.8.20.208 0.0.0.7 destination 11.8.20.112 0.0.0.15rule 5 permit ip source 11.8.14.141 0.0.0.0 destination 11.8.20.112 0.0.0.15 rule 6 permit ip source 11.8.14.2 0.0.0.0 destination 11.8.20.112 0.0.0.15 rule 7 permit ip source 11.8.2.11 0.0.0.0 destination 11.8.20.112 0.0.0.15acl number 186rule 1 permit ip source 11.8.14.0 0.0.0.255 destination anyinterface Ethernet1/0/48description connect_to_vlan1000-routertraffic-priority outbound ip-group; 181; dscp 46traffic-priority outbound ip-group; 182; dscp 34traffic-priority outbound ip-group; 183; dscp 26traffic-priority outbound ip-group; 184; dscp 18traffic-priority outbound ip-group; 185; dscp 10traffic-priority outbound ip-group; 186; dscp 0packet-filter inbound ip-group 120 not-care-for-interfacepacket-filter inbound ip-group 121 not-care-for-interfacepacket-filter inbound ip-group 122 not-care-for-interfacepacket-filter inbound ip-group 123 not-care-for-interfacepacket-filter inbound ip-group 124 not-care-for-interfacepacket-filter inbound ip-group 125 not-care-for-interface【問題分析】當(dāng)我們做完配置時(shí),軟件對(duì)配置進(jìn)行了相應(yīng)的記錄,我們使用save命令就可以將這些記錄保存在配置文件中,每次啟動(dòng)后按照此記錄的順序逐條下發(fā) 。由于acl的功能和下發(fā)順序密切相關(guān),所以軟件上應(yīng)該能夠保證啟動(dòng)后的配置順序和啟動(dòng)前的順序一致性 。本問題出在軟件在build run時(shí)將acl和qos的順序進(jìn)行了調(diào)整,將qos的動(dòng)作放在了acl的動(dòng)作之后,相當(dāng)于人為的提高了qos動(dòng)作的優(yōu)先級(jí),重起后造成了部分acl失效 。將acl刪除后再下發(fā),再次改變了匹配順序,acl規(guī)則生效 。由于軟件設(shè)計(jì)時(shí)將acl和qos設(shè)計(jì)成了兩個(gè)模塊,而build run的各個(gè)模塊是獨(dú)立的,所以此部分更改起來需要徹底更改設(shè)計(jì)方案,變動(dòng)實(shí)在太大 。【解決辦法】可以將qos的操作移動(dòng)到前面的端口來做,由于build run的順序是按照端口順序來做的,這樣qos就會(huì)先行下發(fā),acl的動(dòng)作后下發(fā),避免了覆蓋的發(fā)生 。對(duì)于上面的例子,也可以將acl186再添加兩條如下藍(lán)色字體的規(guī)則,acl number 186 rule 1 permit ip source 11.8.14.0 0.0.0.255 destination anyrule 5 permit ip source 11.8.14.141 0.0.0.0 destination 11.8.20.112 0.0.0.15rule 6 permit ip source 11.8.14.2 0.0.0.0 destination 11.8.20.112 0.0.0.15【案例5】我這里用戶有這樣的一個(gè)需求,請(qǐng)幫我確定一下應(yīng)如何配置:核心使用6506,邊緣節(jié)點(diǎn)使用五臺(tái)3526E(使用二層),3526E和6506之間使用trunk模式,用戶分為了7個(gè)網(wǎng)段 。vlan分別為2-8,用戶地址是192.168.21.0-27.0 ??紤]了網(wǎng)絡(luò)安全,用戶需要如下要求:21.0:能夠訪問internet網(wǎng),但不能訪問其他網(wǎng)段;22.0:能夠訪問其他網(wǎng)段,但不能訪問internet網(wǎng); 。。。。。。。。21.0和22.0分別屬于vlan2和3,這兩個(gè)網(wǎng)段內(nèi)的用戶都通過一個(gè)3526E接到6506上,請(qǐng)協(xié)助確定如何在6506上使用訪問控制策略 。多謝 。【解決方案】1.根據(jù)需求的字面意思來配置,思路清楚,但比較浪費(fèi)表項(xiàng) 。21--22; deny21--23; deny21--24; deny 21--25; deny21--26; deny21--27; deny22--any ;deny22--21peimit22--23peimit22--24peimit22--25peimit22--26peimit22--27permit2.對(duì)需求進(jìn)行分析,將網(wǎng)段加以合并,可以節(jié)省表項(xiàng) 。3和4聚合成A:192.168.22.0/235和8聚合成B:192.168.24.0/22則需求可以簡化成禁止2訪問A和B,只答應(yīng)A和B可以互訪,禁止A和B訪問其他網(wǎng)段 。deny 2 to Adeny 2 to Bdeny A to anydeny B to anypermit A to Apermit B to Bpermit A to B配置一個(gè)acl即可:【案例6】我配置了如下acl,但下發(fā)時(shí)提示我配置無法下發(fā),請(qǐng)問是為什么?acl number 100rule 1 deny ip; destination 192.168.1.0 0.0.0.255rule 11 deny ip; destination 192.168.0.0 0.0.0.255rule 28 permit ip source any destination 192.168.0.0 0.0.0.255【問題分析】 規(guī)則11和28是同一條規(guī)則,雖然動(dòng)作不同,軟件禁止同一條規(guī)則重復(fù)下發(fā) ?!窘鉀Q辦法】假如想下發(fā)后一條規(guī)則,應(yīng)首先刪除頭一條 。【案例7】用戶配置訪問列表禁止某一網(wǎng)段在周一至周五禁止上互聯(lián)網(wǎng),在這一網(wǎng)段中的兩個(gè)ip不受限,在運(yùn)行半天后,不受限的兩個(gè)ip無法訪問internet 。即acl中的permit失效,deny還起作用 。不做ACL的網(wǎng)段轉(zhuǎn)發(fā)沒有問題,0030(包括此版本)版本以下都有此問題 。訪問列表需求如下:有2個(gè)網(wǎng)段192.168.21.0/24192.168.22.0/24在2臺(tái)3050(分別千兆上連到6506)上,現(xiàn)要求周一到周五不能訪問互聯(lián)網(wǎng),但其中的192.168.21/22.9和192.168.21/22.10卻不受限制 。我在6506上做了2種配置均可實(shí)現(xiàn)以上功能(運(yùn)行1/2天以后必須重起6506) 第一種是在3050上連到6506的光纖口上做訪問列表第二種是在6506連接路由器的電口上做訪問列表(在這個(gè)口上是為了考慮2個(gè)網(wǎng)段訪問內(nèi)網(wǎng)方便----即訪問列表簡單)acl number 101rule 0 deny ip source 192.168.21.0 0.0.0.255 time-range stunet rule 1 permit ip source 192.168.21.0 0.0.0.255 destination 192.168.31.0 0.0.0.255 rule 2 permit ip source 192.168.21.10 0rule 3 permit ip source 192.168.21.9 0 acl number 102rule 0 deny ip source 192.168.22.0 0.0.0.255 time-range stunetrule 1 permit ip source 192.168.22.0 0.0.0.255 destination 192.168.31.0 0.0.0.255rule 2 permit ip source 192.168.22.10 0rule 3 permit ip source 192.168.22.9 0 time-range stunet 08:00 to 22:00 working-day#【問題分析】防火墻可以配置時(shí)間段,這樣規(guī)則就可以在一段規(guī)定的時(shí)間內(nèi)發(fā)生作用 。這是對(duì)防火墻功能的進(jìn)一步提升 。交換機(jī)的時(shí)間段功能是通過軟件中的定時(shí)器在規(guī)定的時(shí)間段范圍內(nèi)下發(fā)到硬件中來完成的,在其他時(shí)間硬件中沒有配置帶有時(shí)間段的acl 。當(dāng)在規(guī)定的時(shí)間段之外,軟件會(huì)將規(guī)則從硬件中刪除,到達(dá)時(shí)間后再次下發(fā) 。但這里會(huì)存在一個(gè)問題,就是我們已經(jīng)默認(rèn)后下發(fā)的規(guī)則優(yōu)先,這就人為的提供了帶有時(shí)間段的規(guī)則的優(yōu)先級(jí) 。以至使得其它不帶有時(shí)間段的規(guī)則失效 。上面的問題就是一例 。【解決辦法】將同一條acl的所有規(guī)則都配上相同的時(shí)間段 ?!景咐?】用戶反映,配置了訪問控制列表后不知道如何查看是否有匹配上該規(guī)則的機(jī)器 。應(yīng)該如何查看呢?【解答】可以配置流統(tǒng)計(jì)來實(shí)現(xiàn)這個(gè)功能 。命令為接口模式下配置traffic-statics 。然后使用dis qos-interface命令來顯示統(tǒng)計(jì)結(jié)果 。但可是假如我配置的規(guī)則是DENY則不能下發(fā) ?!景咐?】可以通過下面的命令來選擇使用L2或L3模式的流分類規(guī)則 。請(qǐng)?jiān)谌峙渲媚J较逻M(jìn)行下列配置 。表1-7 選擇ACL模式操作; ;命令選擇ACL模式 acl mode { l2l3 }那么是說缺省情況下,選擇使用L3流分類規(guī)則 。那么是說5516不能同時(shí)使用2層和3層的acl嗎?換句話說是不是不能同時(shí)起用二層和三層的規(guī)則,假如已經(jīng)配置了三層規(guī)則,又想再配置二層規(guī)則,唯一的方法就是把三層規(guī)則取消掉?【解答】5516和6506不能同時(shí)使用2層和3層的acl 。不需要把三層規(guī)則取消掉,只需選擇生效模式,硬件會(huì)自動(dòng)選擇二層或三層規(guī)則進(jìn)行匹配 ?!景咐?0】路由器下面接6506,6506下面掛兩個(gè)vlan,一邊是學(xué)生,一邊是老師,老師和學(xué)生的帶寬無論什么時(shí)候都各是2M 。也就是基于vlan的限速 。假如參看配置手冊(cè)中下面的配置,實(shí)現(xiàn)起來應(yīng)該沒有什么問題吧 。(1);定義工資服務(wù)器向外發(fā)送的流量 [Quidway] acl name traffic-of-payserver advanced ip# 定義traffic-of-payserver這條高級(jí)訪問控制列表的規(guī)則 。[Quidway-acl-adv-traffic-of-payserver] rule 1 permit ip source 129.110.1.2 0.0.0.0 destination any (2);對(duì)訪問工資服務(wù)器的流量進(jìn)行流量限制# 限制工資服務(wù)器向外發(fā)送報(bào)文的平均速率為20M 。[Quidway-Ethernet1/0/1] traffic-limit inbound ip-group traffic-of-payserver 20【錯(cuò)誤分析】6506實(shí)現(xiàn)的是出端口限速,請(qǐng)勿配置入端口限速 。

推薦閱讀