扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
本问题出在软件在build run时将acl和qos的顺序进行了调整,将qos的动作放在了acl的动作之后,相当于人为的提高了qos动作的优先级,重起后造成了部分acl失效。将acl删除后再下发,再次改变了匹配顺序,acl规则生效。由于软件设计时将acl和qos设计成了两个模块,而build run的各个模块是独立的,所以此部分更改起来需要彻底更改设计方案,变动实在太大。
【解决办法】
可以将qos的操作移动到前面的端口来做,由于build run的顺序是按照端口顺序来做的,这样qos就会先行下发,acl的动作后下发,避免了覆盖的发生。
对于上面的例子,也可以将acl186再添加两条如下蓝色字体的规则,
acl number 186
rule 1 permit ip source 11.8.14.0 0.0.0.255 destination any
rule 5 permit ip source 11.8.14.141 0.0.0.0 destination 11.8.20.112 0.0.0.15
rule 6 permit ip source 11.8.14.2 0.0.0.0 destination 11.8.20.112 0.0.0.15
【案例5】
我这里用户有这样的一个需求,请帮我确定一下应如何配置:
核心使用6506,边缘节点使用五台3526E(使用二层),3526E和6506之间使用trunk模式,用户分为了7个网段。
vlan分别为2-8,用户地址是192.168.21.0-27.0。
考虑了网络安全,用户需要如下要求:
21.0:能够访问internet网,但不能访问其他网段;
22.0:能够访问其他网段,但不能访问internet网;
。。。。
。。。。
21.0和22.0分别属于vlan2和3,这两个网段内的用户都通过一个3526E接到6506上,请协助确定如何在6506上使用访问控制策略。
多谢。
【解决方案】
1.根据需求的字面意思来配置,思路清晰,但比较浪费表项。
21--22 deny
21--23 deny
21--24 deny
21--25 deny
21--26 deny
21--27 deny
22--any deny
22--21 peimit
22--23 peimit
22--24 peimit
22--25 peimit
22--26 peimit
22--27 permit
2.对需求进行分析,将网段加以合并,可以节省表项。
3和4聚合成A:192.168.22.0/23
5和8聚合成B:192.168.24.0/22
则需求可以简化成禁止2访问A和B,只允许A和B可以互访,禁止A和B访问其他网段。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。