华为－中端产品QACL配置案例集(1)

　　中端产品QACL配置案例集

    由于芯片结构的原因，中端产品的QACL配置较复杂，给用户使用带来了一定的难度，用服人员维护起来有时也会较为棘手，经常会有用户和用服人员打电话过来咨询这方面的配置的使用，下面的配置案例全部取材于6500系列产品在使用中的实际配置，大多是客户的咨询，其中一些还曾发生过网上问题。将这些东西进行总结，有利于我们更好的使用6506。

　　【案例1】

　　我想实现办公网只有个别的机器（10.1.0.38）访问服务器10.1.0.254，我进行了如下配置，但10.1.0.38依然无法访问服务器，6506是不是不能实现这种需求啊。

　　acl number 100

　　rule 0 permit ip sou 10.1.0.38 0 des 10.1.0.254 0

　　rule 1 deny ip

　　int e2/0/1

　　pa ip in 100

　　【问题分析】

　　这是个比较典型的错误，错误原因就是没有搞清6506的acl的其作用的顺序。在6500系列产品上，是根据规则的下发时间顺序来决定起作用的顺序的，最近下发的规则我们认为是用户最新的需求，它会最新起作用。对于上面的配置，rule 0先下发，rule 1后下发，那么首先其作用的是rule 1。这样会将所有的报文都过滤掉。

　　【解决办法】

　　将两条规则的配置顺序对调。

　　【案例2】

　　我想禁止210.31.12.0 0.0.1.255访问任何网段的ICMP报文，但却无法实现，请帮忙检查一下。

　　acl number 100 match-order auto

　　rule 0 deny icmp source 210.31.12.0 0.0.1.255

　　rule 1 deny tcp source-port eq 135 destination-port eq 135

　　rule 2 deny tcp source-port eq 135 destination-port eq 139

　　rule 3 deny tcp source-port eq 135 destination-port eq 4444

　　rule 4 deny tcp source-port eq 135 destination-port eq 445

　　rule 5 deny udpsource-port eq tftpdestination-port eq tftp

　　rule 6 deny tcp source-port eq 1025

　　rule 8 permit ip

　　【问题分析】

　　又是一个比较典型的错误，用户认为要想让交换机转发，必须配置类似rule 8的规则，其实这是不必要的，6506缺省有一条match all表项，将交换机配置成转发模式，再配置一条，则覆盖了前面的所有规则。

　　【解决办法】

　　将最后一条规则去掉。

　　【案例3】

　　规则如下，要求只允许10.89.0.0/16访问10.1.1.0，但配置后其他网段也可以访问了，请问是为什么？