華為交換中端產(chǎn)品QACL配置案例集

1、華為交換中端產(chǎn)品QACL配置案例集由于芯片結(jié)構(gòu)的原因，中端產(chǎn)品的QACL配置較復(fù)雜，給用戶使用帶來了一定的難度，用服人員維護(hù)起來有時也會較為棘手，經(jīng)常會有用戶和用服人員打電話過來咨詢這方面的配置的使用，下面的配置案例全部取材于6500系列產(chǎn)品在使用中的實際配置，大多是客戶的咨詢， 其中一些還曾發(fā)生過網(wǎng)上問題。將這些東西進(jìn)行總結(jié)，有利于我們更好的使用6506?！景咐?】我想實現(xiàn)辦辦公網(wǎng)只只有個別別的機器器（38）訪訪問服務(wù)務(wù)器254，我我進(jìn)行了了如下配配置，但但10.1.00.388依然無無法訪問問服務(wù)器器，65506是是不是不不能實現(xiàn)現(xiàn)這種需需求啊。acl

2、nnumbber 1000 rrulee 0 perrmitt ipp soou 8 0 dees 544 0 rulle 11 deeny ipint ee2/00/1 pa ip in 1000【問題分析析】 這是個個比較典典型的錯錯誤，錯錯誤原因因就是沒沒有搞清清65006的aacl的的其作用用的順序序。在665000系列產(chǎn)產(chǎn)品上，是是根據(jù)規(guī)規(guī)則的下下發(fā)時間間順序來來決定起起作用的的順序的的，最近近下發(fā)的的規(guī)則我我們認(rèn)為為是用戶戶最新的的需求，它它會最新新起作用用。對于于上面的的配置，rrulee 0先先下發(fā)，rrulee 1后后下發(fā)，那那么首先先

3、其作用用的是rrulee 1。這這樣會將將所有的的報文都都過濾掉掉?！窘鉀Q辦法法】 將兩條條規(guī)則的的配置順順序?qū)φ{(diào)調(diào)?！景咐?】我想禁止2 0255訪訪問任何何網(wǎng)段的的ICMMP報文文，但卻卻無法實實現(xiàn)，請請幫忙檢檢查一下下。acl nnumbber 1000 maatchh-orrderr auutorulee 0 denny iicmpp soourcce 2 0255rulee 1 denny ttcp souurcee-poort eq 1355 deestiinattionn-poort eq 1355rulee

4、 2 denny ttcp souurcee-poort eq 1355 deestiinattionn-poort eq 1399rulee 3 denny ttcp souurcee-poort eq 1355 deestiinattionn-poort eq 44444rulee 4 denny ttcp souurcee-poort eq 1355 deestiinattionn-poort eq 4455rulee 5 denny uudp souurcee-poort eq tfttp ddesttinaatioon-pportt eqq tfftprulee 6 denny tt

5、cp souurcee-poort eq 10225rulee 8 perrmitt ipp【問題分析析】又是一個比比較典型型的錯誤誤，用戶戶認(rèn)為要要想讓交交換機轉(zhuǎn)轉(zhuǎn)發(fā)，必必須配置置類似rrulee 8的的規(guī)則，其其實這是是不必要要的，665066缺省有有一條mmatcch aall表表項，將將交換機機配置成成轉(zhuǎn)發(fā)模模式，再再配置一一條，則則覆蓋了了前面的的所有規(guī)規(guī)則。【解決辦法法】將最后一條條規(guī)則去去掉。【案例3】規(guī)則如下，要要求只允允許100.899.0.0/116訪問問，但但配置后后其他網(wǎng)網(wǎng)段也可可以訪問問了，請請問是為為什么？acl nnumbber 1011 maa

6、tchh-orrderr auutorulee 0 denny iipacl nnumbber 1022 maatchh-orrderr auutorulee 0 perrmitt ipp soourcce 110.889.00.0 0.00.2555.2255 desstinnatiion 0.00.0.2555。interrfacce EEtheerneet2/0/33desccripptioon cconnnectted to 5loouportt liink-typpe hhybrridportt hyybriid vvlann 1 tagggeddportt hy

7、ybriid vvlann 200 unntagggeddportt hyybriid ppvidd vllan 20qospackket-fillterr innbouund ip-grooup 1011 ruule 0packket-fillterr innbouund ip-grooup 1022 ruule 0packket-fillterr innbouund ip-grooup 1033 ruule 0packket-fillterr innbouund ip-grooup 1055 ruule 2packket-fillterr innbouund ip-grooup 1055

8、ruule 3packket-fillterr innbouund ip-grooup 1055 ruule 5packket-fillterr innbouund ip-grooup 1055 ruule 6packket-fillterr innbouund ip-grooup 1055 ruule 4#【問題分析析】由于ACLL1022的ruule 0的原原因，只只要是從從這個網(wǎng)網(wǎng)段上來來的報文文都會匹匹配這個個規(guī)則的的前半部部分，但但如果它它不是訪訪問100.899.0.0/116，它它不會匹匹配上AACL1102的的rulle 00，本來來希望它它匹配到到ACLL1011的ruule

9、 0，但但是由于于在硬件件中ipp soourcce 110.889.00.0和和ip anyy anny使用用的是不不同的iid，所所以ACCL1001的rrulee 0也也不再會會被匹配配到。那那么報文文會匹配配到最后后一條缺缺省的mmatcch aall表表項，進(jìn)進(jìn)行轉(zhuǎn)發(fā)發(fā)?！窘鉀Q辦法法】把rulee 0 denny iip變成成rulle 00 deeny ip souurcee 100.899.0.0 00.0.2555.2555?！景咐?】某銀行當(dāng)每每天造成成重起665066后，發(fā)發(fā)現(xiàn)有部部分網(wǎng)段段的用戶戶無法訪訪問病毒毒服務(wù)器器（411和）

10、，將將防火墻墻配置刪刪除后再再下發(fā)問問題消除除。配置置如下：acl nnumbber 1222desccripptioon gguokkurulee 1 denny iip ssourrce anyy deestiinattionn 122 0.0.00.155rulee 2 perrmitt ipp soourcce 660 031 ddesttinaatioon 112 015rulee 3 perrmitt ipp soourcce 112 015 ddesttinaatioon 112 015rulee 4 p

11、errmitt ipp soourcce 008 07 deestiinattionn 122 0.0.00.155rulee 5 perrmitt ipp soourcce 441 00 deestiinattionn 122 0.0.00.155 rulee 6 perrmitt ipp soourcce 0.00.0.0 ddesttinaatioon 112 015 rulee 7 perrmitt ipp soourcce 1 0.00.0.0 ddesttinaatioon 112

12、 015acl nnumbber 1866rulee 1 perrmitt ipp soourcce 0.00.0.2555 deestiinattionn annyinterrfacce EEtheerneet1/0/448desccripptioon cconnnectt_too_vllan110000-roouteertraffficc-prriorrityy ouutbooundd ipp-grroupp 1181 dsscp 46traffficc-prriorrityy ouutbooundd ipp-grroupp 1182 dsscp 34traffficc-pr

13、riorrityy ouutbooundd ipp-grroupp 1183 dsscp 26traffficc-prriorrityy ouutbooundd ipp-grroupp 1184 dsscp 18traffficc-prriorrityy ouutbooundd ipp-grroupp 1185 dsscp 10traffficc-prriorrityy ouutbooundd ipp-grroupp 1186 dsscp 0packket-fillterr innbouund ip-grooup 1200 noot-ccaree-foor-iinteerfaacepackke

14、t-fillterr innbouund ip-grooup 1211 noot-ccaree-foor-iinteerfaacepackket-fillterr innbouund ip-grooup 1222 noot-ccaree-foor-iinteerfaacepackket-fillterr innbouund ip-grooup 1233 noot-ccaree-foor-iinteerfaacepackket-fillterr innbouund ip-grooup 1244 noot-ccaree-foor-iinteerfaacepackket-fillterr innbo

15、uund ip-grooup 1255 noot-ccaree-foor-iinteerfaace【問題分析析】當(dāng)我們做完完配置時時，軟件件對配置置進(jìn)行了了相應(yīng)的的記錄，我我們使用用savve命令令就可以以將這些些記錄保保存在配配置文件件中，每每次啟動動后按照照此記錄錄的順序序逐條下下發(fā)。由由于accl的功功能和下下發(fā)順序序密切相相關(guān)，所所以軟件件上應(yīng)該該能夠保保證啟動動后的配配置順序序和啟動動前的順順序一致致性。本問題出在在軟件在在buiild runn時將aacl和和qoss的順序序進(jìn)行了了調(diào)整，將將qoss的動作作放在了了acll的動作作之后，相相當(dāng)于人人為的提提高了qqos動動作的優(yōu)優(yōu)

16、先級，重重起后造造成了部部分accl失效效。將aacl刪刪除后再再下發(fā)，再再次改變變了匹配配順序，aacl規(guī)規(guī)則生效效。由于于軟件設(shè)設(shè)計時將將acll和qoos設(shè)計計成了兩兩個模塊塊，而bbuilld rrun的的各個模模塊是獨獨立的，所所以此部部分更改改起來需需要徹底底更改設(shè)設(shè)計方案案，變動動實在太太大?！窘鉀Q辦法法】可以將qoos的操操作移動動到前面面的端口口來做，由由于buuildd ruun的順順序是按按照端口口順序來來做的，這這樣qoos就會會先行下下發(fā)，aacl的的動作后后下發(fā)，避避免了覆覆蓋的發(fā)發(fā)生。對于上面的的例子，也也可以將將acll1866再添加加兩條如如下藍(lán)色色字體的的規(guī)

17、則，acl nnumbber 1866 rulle 11 peermiit iip ssourrce 0 0.0.00.2555 ddesttinaatioon aanyrule 5 ppermmit ip souurcee 411 0.0.00.0 desstinnatiion 112 0.00.0.15 rulle 66 peermiit iip ssourrce 2 0.0.00.0 desstinnatiion 112 0.00.0.15【案例5】我這里用戶戶有這樣樣的一個個需求，請請幫

18、我確確定一下下應(yīng)如何何配置：核心使用665066，邊緣緣節(jié)點使使用五臺臺35226E（使使用二層層），335266E和665066之間使使用trrunkk模式，用用戶分為為了7個個網(wǎng)段。vlan分分別為228，用用戶地址址是1992.1168.21.0227.00?？紤]了網(wǎng)絡(luò)絡(luò)安全，用用戶需要要如下要要求：21.0：能夠訪訪問innterrnett網(wǎng)，但但不能訪訪問其他他網(wǎng)段；22.0：能夠訪訪問其他他網(wǎng)段，但但不能訪訪問innterrnett網(wǎng)；。21.0和和22.0分別別屬于vvlann2和33，這兩兩個網(wǎng)段段內(nèi)的用用戶都通通過一個個35226E接接到65506上上，請協(xié)協(xié)助確定定如何在在

19、65006上使使用訪問問控制策策略。多謝?！窘鉀Q方案案】1根據(jù)需需求的字字面意思思來配置置，思路路清晰，但但比較浪浪費表項項。21222 denny21223 denny21224 denny 21225 denny21226 denny21227 denny22aany deeny22221 peeimiit22223 peeimiit22224 peeimiit22225 peeimiit22226 peeimiit22227 peermiit2對需求求進(jìn)行分分析，將將網(wǎng)段加加以合并并，可以以節(jié)省表表項。3和4聚合合成A：1922.1668.222.00/2335和8聚合合成B：1922.

20、1668.224.00/222則需求可以以簡化成成禁止22訪問AA和B,只允許許A和BB可以互互訪，禁禁止A和和B訪問問其他網(wǎng)網(wǎng)段。deny 2 tto AAdeny 2 tto BBdeny A tto aanydeny B tto aanypermiit AA too Apermiit BB too Bpermiit AA too B配置一個aacl即即可：【案例6】我配置了如如下accl，但但下發(fā)時時提示我我配置無無法下發(fā)發(fā)，請問問是為什什么？acl nnumbber 1000rule 1 ddenyy ipp ddesttinaatioon 1192.1688.1.0 0

21、255rule 11 denny iip desstinnatiion 1922.1668.00.0 0.00.0.2555rule 28 perrmitt ipp soourcce aany desstinnatiion 1922.1668.00.0 0.00.0.2555【問題分析析】 規(guī)則111和228是同同一條規(guī)規(guī)則，雖雖然動作作不同，軟軟件禁止止同一條條規(guī)則重重復(fù)下發(fā)發(fā)。【解決辦法法】如果想下發(fā)發(fā)后一條條規(guī)則，應(yīng)應(yīng)首先刪刪除頭一一條?！景咐?】用戶配置訪訪問列表表禁止某某一網(wǎng)段段在周一一至周五五禁止上上互聯(lián)網(wǎng)網(wǎng)，在這這一網(wǎng)段段中的兩兩個ipp不受限限，在運運行半天天后，不不受限的的兩

22、個iip無法法訪問iinteerneet。即即acll中的ppermmit失失效，ddenyy還起作作用。不不做ACCL的網(wǎng)網(wǎng)段轉(zhuǎn)發(fā)發(fā)沒有問問題，000300（包括括此版本本）版本本以下都都有此問問題。訪問列表需需求如下下：有2個網(wǎng)段段1922.1668.221.00/244 1922.1668.222.00/244在2臺臺30550（分分別千兆兆上連到到65006）上上，現(xiàn)要要求周一一到周五五不能訪訪問互聯(lián)聯(lián)網(wǎng)，但但其中的的1922.1668.221/222.99和1992.1168.21/22.10卻卻不受限限制。 我在665066上做了了2種配配置均可可實現(xiàn)以以上功能能（運行行1/22天

23、以后后必須重重起65506） 第一種種是在330500上連到到65006的光光纖口上上做訪問問列表第二種是在在65006連接接路由器器的電口口上做訪訪問列表表（在這這個口上上是為了了考慮22個網(wǎng)段段訪問內(nèi)內(nèi)網(wǎng)方便便-即訪訪問列表表簡單）acl nnumbber 1011 ruule 0 ddenyy ipp soourcce 1192.1688.211.0 0.00.0.2555 tiime-rannge stuunett rule 1 ppermmit ip souurcee 1992.1168.21.0 0255 desstinnatiion 1922.1668.331.00

24、 0.0.00.2555 rule 2 ppermmit ip souurcee 1992.1168.21.10 0 ruule 3 ppermmit ip souurcee 1992.1168.21.9 00 acl nnumbber 1022 ruule 0 ddenyy ipp soourcce 1192.1688.222.0 0.00.0.2555 tiime-rannge stuunett ruule 1 ppermmit ip souurcee 1992.1168.22.0 0255 desstinnatiion 1922.1668.331.00 0.0.00.255

25、5 ruule 2 ppermmit ip souurcee 1992.1168.22.10 0 ruule 3 ppermmit ip souurcee 1992.1168.22.9 00 time-rannge stuunett 088:000 too 222:000 woorkiing-dayy #【問題分析析】防火墻可以以配置時時間段，這這樣規(guī)則則就可以以在一段段規(guī)定的的時間內(nèi)內(nèi)發(fā)生作作用。這這是對防防火墻功功能的進(jìn)進(jìn)一步提提升。交換機的時時間段功功能是通通過軟件件中的定定時器在在規(guī)定的的時間段段范圍內(nèi)內(nèi)下發(fā)到到硬件中中來完成成的，在在其他時時間硬件件中沒有有配置帶帶有時間間段的aac

26、l。當(dāng)當(dāng)在規(guī)定定的時間間段之外外，軟件件會將規(guī)規(guī)則從硬硬件中刪刪除，到到達(dá)時間間后再次次下發(fā)。但但這里會會存在一一個問題題，就是是我們已已經(jīng)默認(rèn)認(rèn)后下發(fā)發(fā)的規(guī)則則優(yōu)先，這這就人為為的提供供了帶有有時間段段的規(guī)則則的優(yōu)先先級。以以至使得得其它不不帶有時時間段的的規(guī)則失失效。上上面的問問題就是是一例?！窘鉀Q辦法法】將同一條aacl的的所有規(guī)規(guī)則都配配上相同同的時間間段?！景咐?】用戶反映，配配置了訪訪問控制制列表后后不知道道如何查查看是否否有匹配配上該規(guī)規(guī)則的機機器。應(yīng)應(yīng)該如何何查看呢呢？【解答】可以配置流流統(tǒng)計來來實現(xiàn)這這個功能能。命令令為接口口模式下下配置ttraffficc-sttatiic

27、s。然后使用ddis qoss-innterrfacce命令令來顯示示統(tǒng)計結(jié)結(jié)果。但可是如果果我配置置的規(guī)則則是DEENY則則不能下下發(fā)?！景咐?】可以通過下下面的命命令來選選擇使用用L2或或L3模模式的流流分類規(guī)規(guī)則。請在全局配配置模式式下進(jìn)行行下列配配置。表1-7 選擇AACL模模式操作 命令選擇ACLL模式 acll moode ll2 | l33 那么是說缺省情況下下，選擇擇使用LL3流分分類規(guī)則則。那么是說555166不能同同時使用用2層和和3層的的acll嗎？換句話說是是不是不不能同時時起用二二層和三三層的規(guī)規(guī)則，如如果已經(jīng)經(jīng)配置了了三層規(guī)規(guī)則，又又想再配配置二層層規(guī)則，唯唯一的方

28、方法就是是把三層層規(guī)則取取消掉？【解答】5516和和65006不能能同時使使用2層層和3層層的accl。不需要把三三層規(guī)則則取消掉掉，只需需選擇生生效模式式，硬件件會自動動選擇二二層或三三層規(guī)則則進(jìn)行匹匹配?！景咐?00】路由器下面面接65506，665066下面掛掛兩個vvlann，一邊邊是學(xué)生生，一邊邊是老師師，老師師和學(xué)生生的帶寬寬無論什什么時候候都各是是2M。也也就是基基于vllan的的限速。如果參看配配置手冊冊中下面面的配置置，實現(xiàn)現(xiàn)起來應(yīng)應(yīng)該沒有有什么問問題吧。(1) 定定義工資資服務(wù)器器向外發(fā)發(fā)送的流流量 Quiidwaay acll naame traaffiic-oof-ppaysservver advvancced ip# 定義ttraffficc-off-paayseerveer這條條高級訪訪問控制制列表的的規(guī)則。Quiddwayy-accl-aadv-traaffiic-oof-ppaysservver ruule 1 ppermmit ip souurcee 1229.1110.1.22 0.0.00.0 desstinnatiion anyy (2) 對對訪問工工資