科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网网络频道华为中端产品QACL配置案例集(2)

华为中端产品QACL配置案例集(2)

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

交换机的时间段功能是通过软件中的定时器在规定的时间段范围内下发到硬件中来完成的,在其他时间硬件中没有配置带有时间段的acl。

作者:整理自互联网 来源:huawei 2007年12月13日

关键字: 华为 华为技术 华为交换机 华为路由器

  • 评论
  • 分享微博
  • 分享邮件

  【问题分析】

  由于ACL102的rule 0的原因,只要是从这个网段上来的报文都会匹配这个规则的前半部分,但如果它不是访问10.89.0.0/16,它不会匹配上ACL102的rule 0,本来希望它匹配到ACL101的rule 0,但是由于在硬件中ip source 10.89.0.0和ip any any使用的是不同的id,所以ACL101的rule 0也不再会被匹配到。那么报文会匹配到最后一条缺省的match all表项,进行转发。

  【解决办法】

  把rule 0 deny ip变成rule 0 deny ip source 10.89.0.0 0.0.255.255。

  【案例4】

  某银行当每天造成重起6506后,发现有部分网段的用户无法访问病毒服务器(11.8.14.141和11.8.14.2),将防火墙配置删除后再下发问题消除。配置如下:

  acl number 122

  description guoku

  rule 1 deny ip source any destination 11.8.20.112 0.0.0.15

  rule 2 permit ip source 11.8.20.160 0.0.0.31 destination 11.8.20.112 0.0.0.15

  rule 3 permit ip source 11.8.20.112 0.0.0.15 destination 11.8.20.112 0.0.0.15

  rule 4 permit ip source 11.8.20.208 0.0.0.7 destination 11.8.20.112 0.0.0.15

  rule 5 permit ip source 11.8.14.141 0.0.0.0 destination 11.8.20.112 0.0.0.15

  rule 6 permit ip source 11.8.14.2 0.0.0.0 destination 11.8.20.112 0.0.0.15

  rule 7 permit ip source 11.8.2.11 0.0.0.0 destination 11.8.20.112 0.0.0.15

  acl number 186

  rule 1 permit ip source 11.8.14.0 0.0.0.255 destination any

  interface Ethernet1/0/48

  description connect_to_vlan1000-router

  traffic-priority outbound ip-group 181 dscp 46

  traffic-priority outbound ip-group 182 dscp 34

  traffic-priority outbound ip-group 183 dscp 26

  traffic-priority outbound ip-group 184 dscp 18

  traffic-priority outbound ip-group 185 dscp 10

  traffic-priority outbound ip-group 186 dscp 0

  packet-filter inbound ip-group 120 not-care-for-interface

  packet-filter inbound ip-group 121 not-care-for-interface

  packet-filter inbound ip-group 122 not-care-for-interface

  packet-filter inbound ip-group 123 not-care-for-interface

  packet-filter inbound ip-group 124 not-care-for-interface

  packet-filter inbound ip-group 125 not-care-for-interface

  【问题分析】

  当我们做完配置时,软件对配置进行了相应的记录,我们使用save命令就可以将这些记录保存在配置文件中,每次启动后按照此记录的顺序逐条下发。由于acl的功能和下发顺序密切相关,所以软件上应该能够保证启动后的配置顺序和启动前的顺序一致性。

  本问题出在软件在build run时将acl和qos的顺序进行了调整,将qos的动作放在了acl的动作之后,相当于人为的提高了qos动作的优先级,重起后造成了部分acl失效。将acl删除后再下发,再次改变了匹配顺序,acl规则生效。由于软件设计时将acl和qos设计成了两个模块,而build run的各个模块是独立的,所以此部分更改起来需要彻底更改设计方案,变动实在太大。

  【解决办法】

  可以将qos的操作移动到前面的端口来做,由于build run的顺序是按照端口顺序来做的,这样qos就会先行下发,acl的动作后下发,避免了覆盖的发生。

  对于上面的例子,也可以将acl186再添加两条如下蓝色字体的规则,

    • 评论
    • 分享微博
    • 分享邮件
    VIP专区
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章

    业界热点:

    北京第二十六维信息技术有限公司(至顶网)版权所有. 京ICP备15039648号-7 京ICP证161336号 京公网安备 11010802021500号