收藏
下载资源

(产品管理)华为交换中端产品QACL配置案例集

上传人:管****问 文档编号:126986638 上传时间:2020-03-29 格式:DOC 页数:10 大小:63.57KB
返回 下载 相关 举报
(产品管理)华为交换中端产品QACL配置案例集_第1页
第1页 / 共10页
(产品管理)华为交换中端产品QACL配置案例集_第2页
第2页 / 共10页
(产品管理)华为交换中端产品QACL配置案例集_第3页
第3页 / 共10页
(产品管理)华为交换中端产品QACL配置案例集_第4页
第4页 / 共10页
(产品管理)华为交换中端产品QACL配置案例集_第5页
第5页 / 共10页
点击查看更多>>
资源描述

《(产品管理)华为交换中端产品QACL配置案例集》由会员分享,可在线阅读,更多相关《(产品管理)华为交换中端产品QACL配置案例集(10页珍藏版)》请在金锄头文库上搜索。

1、华为交换中端产品QACL配置案例集由于芯片结构的原因,中端产品的QACL配置较复杂,给用户使用带来了一定的难度,用服人员维护起来有时也会较为棘手,经常会有用户和用服人员打电话过来咨询这方面的配置的使用,下面的配置案例全部取材于6500系列产品在使用中的实际配置,大多是客户的咨询, 其中一些还曾发生过网上问题。将这些东西进行总结,有利于我们更好的使用6506。【案例1】我想实现办公网只有个别的机器(10.1.0.38)访问服务器10.1.0.254,我进行了如下配置,但10.1.0.38依然无法访问服务器,6506是不是不能实现这种需求啊。acl number 100 rule 0 permit

2、 ip sou 10.1.0.38 0 des 10.1.0.254 0 rule 1 deny ipint e2/0/1 pa ip in 100【问题分析】 这是个比较典型的错误,错误原因就是没有搞清6506的acl的其作用的顺序。在6500系列产品上,是根据规则的下发时间顺序来决定起作用的顺序的,最近下发的规则我们认为是用户最新的需求,它会最新起作用。对于上面的配置,rule 0先下发,rule 1后下发,那么首先其作用的是rule 1。这样会将所有的报文都过滤掉。【解决办法】 将两条规则的配置顺序对调。【案例2】我想禁止210.31.12.0 0.0.1.255访问任何网段的ICMP报

3、文,但却无法实现,请帮忙检查一下。acl number 100 match-order autorule 0 deny icmp source 210.31.12.0 0.0.1.255rule 1 deny tcp source-port eq 135 destination-port eq 135rule 2 deny tcp source-port eq 135 destination-port eq 139rule 3 deny tcp source-port eq 135 destination-port eq 4444rule 4 deny tcp source-port eq 1

4、35 destination-port eq 445rule 5 deny udp source-port eq tftp destination-port eq tftprule 6 deny tcp source-port eq 1025rule 8 permit ip【问题分析】又是一个比较典型的错误,用户认为要想让交换机转发,必须配置类似rule 8的规则,其实这是不必要的,6506缺省有一条match all表项,将交换机配置成转发模式,再配置一条,则覆盖了前面的所有规则。【解决办法】将最后一条规则去掉。【案例3】规则如下,要求只允许10.89.0.0/16访问10.1.1.0,但配

5、置后其他网段也可以访问了,请问是为什么?acl number 101 match-order autorule 0 deny ipacl number 102 match-order autorule 0 permit ip source 10.89.0.0 0.0.255.255 destination 10.1.1.0 0.0.0.255。interface Ethernet2/0/3description connected to 5louport link-type hybridport hybrid vlan 1 taggedport hybrid vlan 20 untaggedp

6、ort hybrid pvid vlan 20qospacket-filter inbound ip-group 101 rule 0packet-filter inbound ip-group 102 rule 0packet-filter inbound ip-group 103 rule 0packet-filter inbound ip-group 105 rule 2packet-filter inbound ip-group 105 rule 3packet-filter inbound ip-group 105 rule 5packet-filter inbound ip-gro

7、up 105 rule 6packet-filter inbound ip-group 105 rule 4#【问题分析】由于ACL102的rule 0的原因,只要是从这个网段上来的报文都会匹配这个规则的前半部分,但如果它不是访问10.89.0.0/16,它不会匹配上ACL102的rule 0,本来希望它匹配到ACL101的rule 0,但是由于在硬件中ip source 10.89.0.0和ip any any使用的是不同的id,所以ACL101的rule 0也不再会被匹配到。那么报文会匹配到最后一条缺省的match all表项,进行转发。【解决办法】把rule 0 deny ip变成rul

8、e 0 deny ip source 10.89.0.0 0.0.255.255。【案例4】某银行当每天造成重起6506后,发现有部分网段的用户无法访问病毒服务器(11.8.14.141和11.8.14.2),将防火墙配置删除后再下发问题消除。配置如下:acl number 122description guokurule 1 deny ip source any destination 11.8.20.112 0.0.0.15rule 2 permit ip source 11.8.20.160 0.0.0.31 destination 11.8.20.112 0.0.0.15rule 3

9、permit ip source 11.8.20.112 0.0.0.15 destination 11.8.20.112 0.0.0.15rule 4 permit ip source 11.8.20.208 0.0.0.7 destination 11.8.20.112 0.0.0.15rule 5 permit ip source 11.8.14.141 0.0.0.0 destination 11.8.20.112 0.0.0.15 rule 6 permit ip source 11.8.14.2 0.0.0.0 destination 11.8.20.112 0.0.0.15 ru

10、le 7 permit ip source 11.8.2.11 0.0.0.0 destination 11.8.20.112 0.0.0.15acl number 186rule 1 permit ip source 11.8.14.0 0.0.0.255 destination anyinterface Ethernet1/0/48description connect_to_vlan1000-routertraffic-priority outbound ip-group 181 dscp 46traffic-priority outbound ip-group 182 dscp 34t

11、raffic-priority outbound ip-group 183 dscp 26traffic-priority outbound ip-group 184 dscp 18traffic-priority outbound ip-group 185 dscp 10traffic-priority outbound ip-group 186 dscp 0packet-filter inbound ip-group 120 not-care-for-interfacepacket-filter inbound ip-group 121 not-care-for-interfacepack

12、et-filter inbound ip-group 122 not-care-for-interfacepacket-filter inbound ip-group 123 not-care-for-interfacepacket-filter inbound ip-group 124 not-care-for-interfacepacket-filter inbound ip-group 125 not-care-for-interface【问题分析】当我们做完配置时,软件对配置进行了相应的记录,我们使用save命令就可以将这些记录保存在配置文件中,每次启动后按照此记录的顺序逐条下发。由于

13、acl的功能和下发顺序密切相关,所以软件上应该能够保证启动后的配置顺序和启动前的顺序一致性。本问题出在软件在build run时将acl和qos的顺序进行了调整,将qos的动作放在了acl的动作之后,相当于人为的提高了qos动作的优先级,重起后造成了部分acl失效。将acl删除后再下发,再次改变了匹配顺序,acl规则生效。由于软件设计时将acl和qos设计成了两个模块,而build run的各个模块是独立的,所以此部分更改起来需要彻底更改设计方案,变动实在太大。【解决办法】可以将qos的操作移动到前面的端口来做,由于build run的顺序是按照端口顺序来做的,这样qos就会先行下发,acl的

14、动作后下发,避免了覆盖的发生。对于上面的例子,也可以将acl186再添加两条如下蓝色字体的规则,acl number 186 rule 1 permit ip source 11.8.14.0 0.0.0.255 destination anyrule 5 permit ip source 11.8.14.141 0.0.0.0 destination 11.8.20.112 0.0.0.15 rule 6 permit ip source 11.8.14.2 0.0.0.0 destination 11.8.20.112 0.0.0.15【案例5】我这里用户有这样的一个需求,请帮我确定一下应

15、如何配置:核心使用6506,边缘节点使用五台3526E(使用二层),3526E和6506之间使用trunk模式,用户分为了7个网段。vlan分别为28,用户地址是192.168.21.027.0。考虑了网络安全,用户需要如下要求:21.0:能够访问internet网,但不能访问其他网段;22.0:能够访问其他网段,但不能访问internet网;。21.0和22.0分别属于vlan2和3,这两个网段内的用户都通过一个3526E接到6506上,请协助确定如何在6506上使用访问控制策略。多谢。【解决方案】1根据需求的字面意思来配置,思路清晰,但比较浪费表项。2122 deny2123 deny2124 deny 2125 deny2126 deny2127 deny22any deny2221 peimit2223 peimit2224 peimit2225 peimit

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 商业/管理/HR > 人事档案/员工关系

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号