华为－中端产品QACL配置案例集(3)

　　本问题出在软件在build run时将acl和qos的顺序进行了调整，将qos的动作放在了acl的动作之后，相当于人为的提高了qos动作的优先级，重起后造成了部分acl失效。将acl删除后再下发，再次改变了匹配顺序，acl规则生效。由于软件设计时将acl和qos设计成了两个模块，而build run的各个模块是独立的，所以此部分更改起来需要彻底更改设计方案，变动实在太大。

　　【解决办法】

　　可以将qos的操作移动到前面的端口来做，由于build run的顺序是按照端口顺序来做的，这样qos就会先行下发，acl的动作后下发，避免了覆盖的发生。

　　对于上面的例子，也可以将acl186再添加两条如下蓝色字体的规则，

　　acl number 186

　　rule 1 permit ip source 11.8.14.0 0.0.0.255 destination any

　　rule 5 permit ip source 11.8.14.141 0.0.0.0 destination 11.8.20.112 0.0.0.15

　　rule 6 permit ip source 11.8.14.2 0.0.0.0 destination 11.8.20.112 0.0.0.15

　　【案例5】

　　我这里用户有这样的一个需求，请帮我确定一下应如何配置：

　　核心使用6506，边缘节点使用五台3526E（使用二层），3526E和6506之间使用trunk模式，用户分为了7个网段。

　　vlan分别为2－8，用户地址是192.168.21.0－27.0。

　　考虑了网络安全，用户需要如下要求：

　　21.0：能够访问internet网，但不能访问其他网段；

　　22.0：能够访问其他网段，但不能访问internet网；

　　。。。。

　　。。。。

　　21.0和22.0分别属于vlan2和3，这两个网段内的用户都通过一个3526E接到6506上，请协助确定如何在6506上使用访问控制策略。

　　多谢。

　　【解决方案】

　　1．根据需求的字面意思来配置，思路清晰，但比较浪费表项。

　　21－－22 deny

　　21－－23 deny

　　21－－24 deny

　　21－－25 deny

　　21－－26 deny

　　21－－27 deny

　　22－－any deny

　　22－－21 peimit

　　22－－23 peimit

　　22－－24 peimit

　　22－－25 peimit

　　22－－26 peimit

　　22－－27 permit

　　2．对需求进行分析，将网段加以合并，可以节省表项。

　　3和4聚合成A：192.168.22.0/23

　　5和8聚合成B：192.168.24.0/22

　　则需求可以简化成禁止2访问A和B,只允许A和B可以互访，禁止A和B访问其他网段。