扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
中端产品QACL配置案例集
由于芯片结构的原因,中端产品的QACL配置较复杂,给用户使用带来了一定的难度,用服人员维护起来有时也会较为棘手,经常会有用户和用服人员打电话过来咨询这方面的配置的使用,下面的配置案例全部取材于6500系列产品在使用中的实际配置,大多是客户的咨询,其中一些还曾发生过网上问题。将这些东西进行总结,有利于我们更好的使用6506。
【案例1】
我想实现办公网只有个别的机器(10.1.0.38)访问服务器10.1.0.254,我进行了如下配置,但10.1.0.38依然无法访问服务器,6506是不是不能实现这种需求啊。
acl number 100
rule 0 permit ip sou 10.1.0.38 0 des 10.1.0.254 0
rule 1 deny ip
int e2/0/1
pa ip in 100
【问题分析】
这是个比较典型的错误,错误原因就是没有搞清6506的acl的其作用的顺序。在6500系列产品上,是根据规则的下发时间顺序来决定起作用的顺序的,最近下发的规则我们认为是用户最新的需求,它会最新起作用。对于上面的配置,rule 0先下发,rule 1后下发,那么首先其作用的是rule 1。这样会将所有的报文都过滤掉。
【解决办法】
将两条规则的配置顺序对调。
【案例2】
我想禁止210.31.12.0 0.0.1.255访问任何网段的ICMP报文,但却无法实现,请帮忙检查一下。
acl number 100 match-order auto
rule 0 deny icmp source 210.31.12.0 0.0.1.255
rule 1 deny tcp source-port eq 135 destination-port eq 135
rule 2 deny tcp source-port eq 135 destination-port eq 139
rule 3 deny tcp source-port eq 135 destination-port eq 4444
rule 4 deny tcp source-port eq 135 destination-port eq 445
rule 5 deny udpsource-port eq tftpdestination-port eq tftp
rule 6 deny tcp source-port eq 1025
rule 8 permit ip
【问题分析】
又是一个比较典型的错误,用户认为要想让交换机转发,必须配置类似rule 8的规则,其实这是不必要的,6506缺省有一条match all表项,将交换机配置成转发模式,再配置一条,则覆盖了前面的所有规则。
【解决办法】
将最后一条规则去掉。
【案例3】
规则如下,要求只允许10.89.0.0/16访问10.1.1.0,但配置后其他网段也可以访问了,请问是为什么?
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。
现场直击|2021世界人工智能大会
直击5G创新地带,就在2021MWC上海
5G已至 转型当时——服务提供商如何把握转型的绝佳时机
寻找自己的Flag
华为开发者大会2020(Cloud)- 科技行者