華為交換中端產品QACL配置案例大全(doc 10頁)
華為交換中端產品QACL配置案例大全(doc 10頁)內容簡介
華為交換中端產品QACL配置案例大全內容提要:
由於芯片結構的原因,中端產品的QACL配置較複雜,給用戶使用帶來了一定的難度,用服人員維護起來有時也會較為棘手,經常會有用戶和用服人員打電話過來谘詢這方麵的配置的使用,下麵的配置案例全部取材於6500係列產品在使用中的實際配置,大多是客戶的谘詢,
其中一些還曾發生過網上問題。將這些東西進行總結,有利於我們更好的使用6506。
【案例1】
我想實現辦公網隻有個別的機器(10.1.0.38)訪問服務器10.1.0.254,我進行了如下配置,但10.1.0.38依然無法訪問服務器,6506是不是不能實現這種需求啊。
acl number 100
rule 0 permit ip sou 10.1.0.38 0 des 10.1.0.254 0
rule 1 deny ip
int e2/0/1
pa ip in 100
【問題分析】
這是個比較典型的錯誤,錯誤原因就是沒有搞清6506的acl的其作用的順序。在6500係列產品上,是根據規則的下發時間順序來決定起作用的順序的,最近下發的規則我們認為是用戶最新的需求,它會最新起作用。對於上麵的配置,rule 0先下發,rule 1後下發,那麼首先其作用的是rule 1。這樣會將所有的報文都過濾掉。
【解決辦法】
將兩條規則的配置順序對調。
【案例2】
我想禁止210.31.12.0 0.0.1.255訪問任何網段的ICMP報文,但卻無法實現,請幫忙檢查一下。
acl number 100 match-order auto
rule 0 deny icmp source 210.31.12.0 0.0.1.255
rule 1 deny tcp source-port eq 135 destination-port eq 135
rule 2 deny tcp source-port eq 135 destination-port eq 139
rule 3 deny tcp source-port eq 135 destination-port eq 4444
rule 4 deny tcp source-port eq 135 destination-port eq 445
rule 5 deny udp source-port eq tftp destination-port eq tftp
rule 6 deny tcp source-port eq 1025
rule 8 permit ip
【問題分析】
又是一個比較典型的錯誤,用戶認為要想讓交換機轉發,必須配置類似rule 8的規則,其實這是不必要的,6506缺省有一條match all表項,將交換機配置成轉發模式,再配置一條,則覆蓋了前麵的所有規則。
..............................
由於芯片結構的原因,中端產品的QACL配置較複雜,給用戶使用帶來了一定的難度,用服人員維護起來有時也會較為棘手,經常會有用戶和用服人員打電話過來谘詢這方麵的配置的使用,下麵的配置案例全部取材於6500係列產品在使用中的實際配置,大多是客戶的谘詢,
其中一些還曾發生過網上問題。將這些東西進行總結,有利於我們更好的使用6506。
【案例1】
我想實現辦公網隻有個別的機器(10.1.0.38)訪問服務器10.1.0.254,我進行了如下配置,但10.1.0.38依然無法訪問服務器,6506是不是不能實現這種需求啊。
acl number 100
rule 0 permit ip sou 10.1.0.38 0 des 10.1.0.254 0
rule 1 deny ip
int e2/0/1
pa ip in 100
【問題分析】
這是個比較典型的錯誤,錯誤原因就是沒有搞清6506的acl的其作用的順序。在6500係列產品上,是根據規則的下發時間順序來決定起作用的順序的,最近下發的規則我們認為是用戶最新的需求,它會最新起作用。對於上麵的配置,rule 0先下發,rule 1後下發,那麼首先其作用的是rule 1。這樣會將所有的報文都過濾掉。
【解決辦法】
將兩條規則的配置順序對調。
【案例2】
我想禁止210.31.12.0 0.0.1.255訪問任何網段的ICMP報文,但卻無法實現,請幫忙檢查一下。
acl number 100 match-order auto
rule 0 deny icmp source 210.31.12.0 0.0.1.255
rule 1 deny tcp source-port eq 135 destination-port eq 135
rule 2 deny tcp source-port eq 135 destination-port eq 139
rule 3 deny tcp source-port eq 135 destination-port eq 4444
rule 4 deny tcp source-port eq 135 destination-port eq 445
rule 5 deny udp source-port eq tftp destination-port eq tftp
rule 6 deny tcp source-port eq 1025
rule 8 permit ip
【問題分析】
又是一個比較典型的錯誤,用戶認為要想讓交換機轉發,必須配置類似rule 8的規則,其實這是不必要的,6506缺省有一條match all表項,將交換機配置成轉發模式,再配置一條,則覆蓋了前麵的所有規則。
..............................
用戶登陸
IT行業相關下載