扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
【问题分析】
由于ACL102的rule 0的原因,只要是从这个网段上来的报文都会匹配这个规则的前半部分,但如果它不是访问10.89.0.0/16,它不会匹配上ACL102的rule 0,本来希望它匹配到ACL101的rule 0,但是由于在硬件中ip source 10.89.0.0和ip any any使用的是不同的id,所以ACL101的rule 0也不再会被匹配到。那么报文会匹配到最后一条缺省的match all表项,进行转发。
【解决办法】
把rule 0 deny ip变成rule 0 deny ip source 10.89.0.0 0.0.255.255。
【案例4】
某银行当每天造成重起6506后,发现有部分网段的用户无法访问病毒服务器(11.8.14.141和11.8.14.2),将防火墙配置删除后再下发问题消除。配置如下:
acl number 122
description guoku
rule 1 deny ip source any destination 11.8.20.112 0.0.0.15
rule 2 permit ip source 11.8.20.160 0.0.0.31 destination 11.8.20.112 0.0.0.15
rule 3 permit ip source 11.8.20.112 0.0.0.15 destination 11.8.20.112 0.0.0.15
rule 4 permit ip source 11.8.20.208 0.0.0.7 destination 11.8.20.112 0.0.0.15
rule 5 permit ip source 11.8.14.141 0.0.0.0 destination 11.8.20.112 0.0.0.15
rule 6 permit ip source 11.8.14.2 0.0.0.0 destination 11.8.20.112 0.0.0.15
rule 7 permit ip source 11.8.2.11 0.0.0.0 destination 11.8.20.112 0.0.0.15
acl number 186
rule 1 permit ip source 11.8.14.0 0.0.0.255 destination any
interface Ethernet1/0/48
description connect_to_vlan1000-router
traffic-priority outbound ip-group 181 dscp 46
traffic-priority outbound ip-group 182 dscp 34
traffic-priority outbound ip-group 183 dscp 26
traffic-priority outbound ip-group 184 dscp 18
traffic-priority outbound ip-group 185 dscp 10
traffic-priority outbound ip-group 186 dscp 0
packet-filter inbound ip-group 120 not-care-for-interface
packet-filter inbound ip-group 121 not-care-for-interface
packet-filter inbound ip-group 122 not-care-for-interface
packet-filter inbound ip-group 123 not-care-for-interface
packet-filter inbound ip-group 124 not-care-for-interface
packet-filter inbound ip-group 125 not-care-for-interface
【问题分析】
当我们做完配置时,软件对配置进行了相应的记录,我们使用save命令就可以将这些记录保存在配置文件中,每次启动后按照此记录的顺序逐条下发。由于acl的功能和下发顺序密切相关,所以软件上应该能够保证启动后的配置顺序和启动前的顺序一致性。
本问题出在软件在build run时将acl和qos的顺序进行了调整,将qos的动作放在了acl的动作之后,相当于人为的提高了qos动作的优先级,重起后造成了部分acl失效。将acl删除后再下发,再次改变了匹配顺序,acl规则生效。由于软件设计时将acl和qos设计成了两个模块,而build run的各个模块是独立的,所以此部分更改起来需要彻底更改设计方案,变动实在太大。
【解决办法】
可以将qos的操作移动到前面的端口来做,由于build run的顺序是按照端口顺序来做的,这样qos就会先行下发,acl的动作后下发,避免了覆盖的发生。
对于上面的例子,也可以将acl186再添加两条如下蓝色字体的规则,
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。
现场直击|2021世界人工智能大会
直击5G创新地带,就在2021MWC上海
5G已至 转型当时——服务提供商如何把握转型的绝佳时机
寻找自己的Flag
华为开发者大会2020(Cloud)- 科技行者