產(chǎn)品管理華為交換中端產(chǎn)品QACL配置案例集

1、（產(chǎn)品管理）華為交換中端產(chǎn)品QACL配置案例集20XX年XX月峯年的企業(yè)咨詢咸問經(jīng)驗.經(jīng)過實戰(zhàn)驗證可以藩地執(zhí)行的卓越萱理方案.值得您下載擁有華為交換中端產(chǎn)品QACL配置案例集由于芯片結(jié)構(gòu)的原因，中端產(chǎn)品的QACL配置較復(fù)雜，給用戶使用帶來了壹定的難度，用服人員維護起來有時也會較為棘手，經(jīng)常會有用戶和用服人員打電話過來咨詢這方面的配置的使用，下面的配置案例全部取材于6500系列產(chǎn)品于使用中的實際配置，大多是客戶的咨詢，其中壹些仍曾發(fā)生過網(wǎng)上問題。將這些東西進行總結(jié)，有利于我們更好的使用6506。【案例1】我想實現(xiàn)辦公網(wǎng)只有個別的機器(8)訪問服務(wù)器54，我進行了如

2、下配置，但8依然無法訪問服務(wù)器，6506是不是不能實現(xiàn)這種需求啊。acln umber100rule0permitipsou80des540rule1de nyipin te2/0/1paip in 100【問題分析】這是個比較典型的錯誤，錯誤原因就是沒有搞清6506的acl的其作用的順序。于6500系列產(chǎn)品上，是根據(jù)規(guī)則的下發(fā)時間順序來決定起作用的順序的，最近下發(fā)的規(guī)則我們認為是用戶最新的需求，它會最新起作用。對于上面的配置，rule0先下發(fā)，rule1后下發(fā)，那么首先其作用的是rule1o這樣會將所有的報文均過濾掉?！窘鉀Q辦法】將倆條規(guī)則的配

3、置順序?qū)φ{(diào)?！景咐?】我想禁止55訪問任何網(wǎng)段的ICMP報文，但卻無法實現(xiàn)，請幫忙檢查壹下。aclnu mberlOOmatch-orderautoruleOde nyicmpsource55rule1de nytcpsource-porteq135dest in ati on-porteq135rule2de nytcpsource-porteq135dest in ati on-porteq139rule3de nytcpsource-porteq135desti nati on-porteq4444rule4de n

4、ytcpsource-porteq135dest in ati on-porteq445rule5de ny udpsource-porteqtftpdesti nati on-porteqtftprule6de ny tcpsource-porteq1025rule8permitip【問題分析】又是壹個比較典型的錯誤，用戶認為要想讓交換機轉(zhuǎn)發(fā)，必須配置類似rule8的規(guī)則，其實這是不必要的，6506缺省有壹條matchall表項，將交換機配置成轉(zhuǎn)發(fā)模式，再配置壹條， 則覆蓋了前面的所有規(guī)則。【解決辦法】將最后壹條規(guī)則去掉?！景咐?】規(guī)則如下，要求只允許/16訪問10.1.1

5、.0，但配置后其他網(wǎng)段也能夠訪問了，請問是為什么？aclnu mber101match-orderauto rule0de nyipaclnu mber102match-orderauto rule0permitipsource55desti nation55 in terfaceEthernet2/0/3descripti onconn ectedto5louportli nk-typehybridporthybridvla n1taggedporthybridvla n20un tagged porthybridpvidvl

6、a n20 qospacket-filteri nboun dip-group101rule0 packet-filteri nboun dip-group102rule0 packet-filteri nboundip-group103rule0 packet-filteri nboun dip-group105rule2 packet-filteri nboun dip-group105rule3packet-filteri nboun dip-group105rule5 packet-filteri nboun dip-group105rule6 packet-filteri nboun

7、dip-group105rule4【問題分析】由于ACL102的ruleO的原因，只要是從這個網(wǎng)段上來的報文均會匹配這個規(guī)則的前半部分,但如果它不是訪問/16，它不會匹配上ACL102的ruleO，本來希望它匹配到ACL101的ruleO，可是由于于硬件中ipsource和ipanyany使用的是不同的id，所以ACL101的rule0也不再會被匹配到。那么報文會匹配到最后壹條缺省的matchall表項，進行轉(zhuǎn)發(fā)?！窘鉀Q辦法】把rule0denyip變成rule0denyipsource55?！景咐?】某銀行當每天造成重起

8、6506后，發(fā)現(xiàn)有部分網(wǎng)段的用戶無法訪問病毒服務(wù)器(41和)，將防火墻配置刪除后再下發(fā)問題消除。配置如下：acln umber122descripti on guokurule1de nyipsourcea nydesti natio n5rule2permitipsource601desti natio n5rule3permitipsource5desti natio n5rule

9、4permitipsource0desti natio n5rule5permitipsource4dest in atio n5rule6permitipsourcedesti natio n5rule7permitipsourcedesti natio n5 acln umber186rule1permitipsour

10、ce55dest in atio nanyin terfaceEthernet1/0/48descripti onconn ect_to_vla nIOOO-router traffic-priorityoutbo un dip-group181dscp46traffic-priorityoutbo un dip-group182dscp34traffic-priorityoutbo un dip-group183dscp26traffic-priorityoutbo un dip-group184dscp18traffic-priorityoutbo un d

11、ip-group185dscp10traffic-priorityoutbo un dip-group186dscp0packet-filteri nboun dip-group12 Ono t-care-for- in terfacepacket-filteri nboun dip-group121 no t-care-for- in terfacepacket-filteri nboun dip-group122 no t-care-for- in terfacepacket-filteri nboun dip-group123 no t-care-for- in terfacepacke

12、t-filteri nboun dip-group12 4no t-care-for- in terfacepacket-filteri nboun dip-group125 no t-care-for- in terface【問題分析】當我們做完配置時，軟件對配置進行了相應(yīng)的記錄，我們使用save命令就能夠?qū)⑦@些記錄保存于配置文件中，每次啟動后按照此記錄的順序逐條下發(fā)。由于acl的功能和下發(fā)順序密切關(guān)聯(lián)，所以軟件上應(yīng)該能夠保證啟動后的配置順序和啟動前的順序壹致性。本問題出于軟件于buildrun時將acl和qos的順序進行了調(diào)整，將qos的動作放于了acl的動作之后，相當于人為的提高了qos

13、動作的優(yōu)先級，重起后造成了部分acl失效。將acl刪除后再下發(fā)，再次改變了匹配順序，acl規(guī)則生效。由于軟件設(shè)計時將acl和qos設(shè)計成了倆個模塊，而buildrun的各個模塊是獨立的，所以此部分更改起來需要徹底更改設(shè)計方案，變動實于太大?！窘鉀Q辦法】能夠?qū)os的操作移動到前面的端口來做，由于buildrun的順序是按照端口順序來做的，這樣qos就會先行下發(fā)，acl的動作后下發(fā)，避免了覆蓋的發(fā)生。對于上面的例子，也能夠?qū)cl186再添加倆條如下藍色字體的規(guī)則，acln umber186rule1permitipsource55dest in atio nan

14、y rule5permitipsource4dest inatio n5 rule6permitipsourcedesti natio n5【案例5】我這里用戶有這樣的壹個需求，請幫我確定壹下應(yīng)如何配置：核心使用6506，邊緣節(jié)點使用五臺3526E（使用二層），3526E和6506之間使用trunk模式，用戶分為了7個網(wǎng)段。vlan分別為28，用戶地址是27.0?？紤]了網(wǎng)絡(luò)安全，用戶需要如下要求：21.0:能夠訪問in ternet網(wǎng)

15、，但不能訪問其他網(wǎng)段；22.0:能夠訪問其他網(wǎng)段，但不能訪問in ternet網(wǎng)；OOOOOOOO21.0和22.0分別屬于vlan2和3，這倆個網(wǎng)段內(nèi)的用戶均通過壹個3526E接到6506上,請協(xié)助確定如何于6506上使用訪問控制策略。多謝?！窘鉀Q方案】1根據(jù)需求的字面意思來配置，思路清晰，但比較浪費表項。21-22de ny21-23de ny21-24de ny21-25de ny21-26de ny21 - 27de ny22 -anydeny22-21peimit22 - 23peimit22 - 24peimit2225peimit22 - 26peimit22 - 27permi

16、t2對需求進行分析，將網(wǎng)段加以合且，能夠節(jié)省表項。3和4聚合成A:/235和8聚合成B:/22則需求能夠簡化成禁止2訪問A和B,只允許A和B能夠互訪，禁止den y2toAden y2toBdeny Atoa nyden yBtoa nyA和B訪問其他網(wǎng)段。permitAtoA permitBtoBpermitAtoB配置壹個acl即可：【案例6】我配置了如下acl，但下發(fā)時提示我配置無法下發(fā)，請問是為什么？acln umberlOOrulelde nyipdesti natio n55rulellde nyi

17、pdesti nati on 55rule28permitipsourcea nydest in atio n55【問題分析】規(guī)則11和28是同壹條規(guī)則，雖然動作不同，軟件禁止同壹條規(guī)則重復(fù)下發(fā)?！窘鉀Q辦法】如果想下發(fā)后壹條規(guī)則，應(yīng)首先刪除頭壹條?！景咐?】用戶配置訪問列表禁止某壹網(wǎng)段于周壹至周五禁止上互聯(lián)網(wǎng)，于這壹網(wǎng)段中的倆個ip不受限，于運行半天后，不受限的倆個ip無法訪問in ternet。即acl中的permit失效，deny仍起作用。不做ACL的網(wǎng)段轉(zhuǎn)發(fā)沒有問題，0030（包括此版本）版本以下均有此問題。訪問列表

18、需求如下：有2個網(wǎng)段/24/24于2臺3050（分別千兆上連到6506）上,現(xiàn)要求周壹到周五不能訪問互聯(lián)網(wǎng)，但其中的 受限制。192.168.21/22.9和192.168.21/22.10卻不我于6506上做了2種配置均可實現(xiàn)之上功能（運行1/2天以后必須重起6506） 第壹種是于3050上連到6506的光纖口上做訪問列表第二種是于6506連接路由器的電口上做訪問列表（于這個口上是為了考慮2個網(wǎng)段訪問內(nèi)網(wǎng)方便-即訪問列表簡單）acln umber101rule0de nyipsource55time-ra

19、ngestu netrule1permitipsource55desti natio n55rule2permitipsource00rule3permitipsource0acln umber102rule0de nyipsource55time-ra ngestu netrule1permitipsource55desti natio n55rule2pe

20、rmitipsource00rule3permitipsource0time-ra ngestu net08:00to22:00worki ng-day#【問題分析】防火墻能夠配置時間段，這樣規(guī)則就能夠于壹段規(guī)定的時間內(nèi)發(fā)生作用。這是對防火墻功能的進壹步提升。交換機的時間段功能是通過軟件中的定時器于規(guī)定的時間段范圍內(nèi)下發(fā)到硬件中來完成的，于其他時間硬件中沒有配置帶有時間段的acl。當于規(guī)定的時間段之外，軟件會將規(guī)則從硬件中刪除，至U達時間后再次下發(fā)。但這里會存于壹個問題，就是我們已經(jīng)默認后下發(fā)的規(guī)則優(yōu)先，這就人為的提供了帶有時間段的規(guī)則的優(yōu)先級。

21、以至使得其它不帶有時間段的規(guī)則失 效。上面的問題就是壹例?！窘鉀Q辦法】將同壹條acl的所有規(guī)則均配上相同的時間段?！景咐?】用戶反映，配置了訪問控制列表后不知道如何查見是否有匹配上該規(guī)則的機器。應(yīng)該如何查 見呢？【解答】能夠配置流統(tǒng)計來實現(xiàn)這個功能。命令為接口模式下配置traffic-statics。然后使用disqos-interface命令來顯示統(tǒng)計結(jié)果。但可是如果我配置的規(guī)則是DENY則不能下發(fā)。【案例9】能夠通過下面的命令來選擇使用L2或L3模式的流分類規(guī)則。請于全局配置模式下進行下列配置。表1-7選擇ACL模式操作命令選擇ACL模式aclmodel2|l3那么是說缺省情況下，選擇使用

22、L3流分類規(guī)則。那么是說5516不能同時使用2層和3層的acl嗎？換句話說是不是不能同時起用二層和三層的規(guī)則，如果已經(jīng)配置了三層規(guī)則，又想再配置二 層規(guī)則，唯壹的方法就是把三層規(guī)則取消掉?【解答】5516和6506不能同時使用2層和3層的acl。不需要把三層規(guī)則取消掉，只需選擇生效模式，硬件會自動選擇二層或三層規(guī)則進行匹配?！景咐?0】路由器下面接6506，6506下面掛倆個vlan，壹邊是學(xué)生，壹邊是老師，老師和學(xué)生的帶寬無論什么時候均各是2M。也就是基于vlan的限速。如果參見配置手冊中下面的配置，實現(xiàn)起來應(yīng)該沒有什么問題吧。（1）定義工資服務(wù)器向外發(fā)送的流量Quidwayacl nametraffic-of-payserveradva ncedip#定義traffic-of-payserver這條高級訪問控制列表的規(guī)則。Quidway-acl-adv-traffic-of-payserverrule1permitipsource129