华为交换中端产品QACL配置案例集

liu385160780
1 ℃
2019-05-07

整理文档很辛苦，赏杯茶钱您下走！

还剩 ... 页未读，继续阅读 >>

免费阅读已结束，点击下载阅读编辑剩下 ... 页

阅读已结束，您可以下载文档离线阅读编辑

资源描述

华为交换中端产品QACL配置案例集由于芯片结构的原因，中端产品的QACL配置较复杂，给用户使用带来了一定的难度，用服人员维护起来有时也会较为棘手，经常会有用户和用服人员打电话过来咨询这方面的配置的使用，下面的配置案例全部取材于6500系列产品在使用中的实际配置，大多是客户的咨询，其中一些还曾发生过网上问题。将这些东西进行总结，有利于我们更好的使用6506。【案例1】我想实现办公网只有个别的机器（10.1.0.38）访问服务器10.1.0.254，我进行了如下配置，但10.1.0.38依然无法访问服务器，6506是不是不能实现这种需求啊。aclnumber100rule0permitipsou10.1.0.380des10.1.0.2540rule1denyipinte2/0/1paipin100【问题分析】这是个比较典型的错误，错误原因就是没有搞清6506的acl的其作用的顺序。在6500系列产品上，是根据规则的下发时间顺序来决定起作用的顺序的，最近下发的规则我们认为是用户最新的需求，它会最新起作用。对于上面的配置，rule0先下发，rule1后下发，那么首先其作用的是rule1。这样会将所有的报文都过滤掉。【解决办法】将两条规则的配置顺序对调。【案例2】我想禁止210.31.12.00.0.1.255访问任何网段的ICMP报文，但却无法实现，请帮忙检查一下。aclnumber100match-orderautorule0denyicmpsource210.31.12.00.0.1.255rule1denytcpsource-porteq135destination-porteq135rule2denytcpsource-porteq135destination-porteq139rule3denytcpsource-porteq135destination-porteq4444rule4denytcpsource-porteq135destination-porteq445rule5denyudpsource-porteqtftpdestination-porteqtftprule6denytcpsource-porteq1025rule8permitip【问题分析】又是一个比较典型的错误，用户认为要想让交换机转发，必须配置类似rule8的规则，其实这是不必要的，6506缺省有一条matchall表项，将交换机配置成转发模式，再配置一条，则覆盖了前面的所有规则。【解决办法】将最后一条规则去掉。【案例3】规则如下，要求只允许10.89.0.0/16访问10.1.1.0，但配置后其他网段也可以访问了，请问是为什么？aclnumber101match-orderautorule0denyipaclnumber102match-orderautorule0permitipsource10.89.0.00.0.255.255destination10.1.1.00.0.0.255。。。。。。。。。interfaceEthernet2/0/3descriptionconnectedto5louportlink-typehybridporthybridvlan1taggedporthybridvlan20untaggedporthybridpvidvlan20qospacket-filterinboundip-group101rule0packet-filterinboundip-group102rule0packet-filterinboundip-group103rule0packet-filterinboundip-group105rule2packet-filterinboundip-group105rule3packet-filterinboundip-group105rule5packet-filterinboundip-group105rule6packet-filterinboundip-group105rule4#【问题分析】由于ACL102的rule0的原因，只要是从这个网段上来的报文都会匹配这个规则的前半部分，但如果它不是访问10.89.0.0/16，它不会匹配上ACL102的rule0，本来希望它匹配到ACL101的rule0，但是由于在硬件中ipsource10.89.0.0和ipanyany使用的是不同的id，所以ACL101的rule0也不再会被匹配到。那么报文会匹配到最后一条缺省的matchall表项，进行转发。【解决办法】把rule0denyip变成rule0denyipsource10.89.0.00.0.255.255。【案例4】某银行当每天造成重起6506后，发现有部分网段的用户无法访问病毒服务器（11.8.14.141和11.8.14.2），将防火墙配置删除后再下发问题消除。配置如下：aclnumber122descriptionguokurule1denyipsourceanydestination11.8.20.1120.0.0.15rule2permitipsource11.8.20.1600.0.0.31destination11.8.20.1120.0.0.15rule3permitipsource11.8.20.1120.0.0.15destination11.8.20.1120.0.0.15rule4permitipsource11.8.20.2080.0.0.7destination11.8.20.1120.0.0.15rule5permitipsource11.8.14.1410.0.0.0destination11.8.20.1120.0.0.15rule6permitipsource11.8.14.20.0.0.0destination11.8.20.1120.0.0.15rule7permitipsource11.8.2.110.0.0.0destination11.8.20.1120.0.0.15aclnumber186rule1permitipsource11.8.14.00.0.0.255destinationanyinterfaceEthernet1/0/48descriptionconnect_to_vlan1000-routertraffic-priorityoutboundip-group181dscp46traffic-priorityoutboundip-group182dscp34traffic-priorityoutboundip-group183dscp26traffic-priorityoutboundip-group184dscp18traffic-priorityoutboundip-group185dscp10traffic-priorityoutboundip-group186dscp0packet-filterinboundip-group120not-care-for-interfacepacket-filterinboundip-group121not-care-for-interfacepacket-filterinboundip-group122not-care-for-interfacepacket-filterinboundip-group123not-care-for-interfacepacket-filterinboundip-group124not-care-for-interfacepacket-filterinboundip-group125not-care-for-interface【问题分析】当我们做完配置时，软件对配置进行了相应的记录，我们使用save命令就可以将这些记录保存在配置文件中，每次启动后按照此记录的顺序逐条下发。由于acl的功能和下发顺序密切相关，所以软件上应该能够保证启动后的配置顺序和启动前的顺序一致性。本问题出在软件在buildrun时将acl和qos的顺序进行了调整，将qos的动作放在了acl的动作之后，相当于人为的提高了qos动作的优先级，重起后造成了部分acl失效。将acl删除后再下发，再次改变了匹配顺序，acl规则生效。由于软件设计时将acl和qos设计成了两个模块，而buildrun的各个模块是独立的，所以此部分更改起来需要彻底更改设计方案，变动实在太大。【解决办法】可以将qos的操作移动到前面的端口来做，由于buildrun的顺序是按照端口顺序来做的，这样qos就会先行下发，acl的动作后下发，避免了覆盖的发生。对于上面的例子，也可以将acl186再添加两条如下蓝色字体的规则，aclnumber186rule1permitipsource11.8.14.00.0.0.255destinationanyrule5permitipsource11.8.14.1410.0.0.0destination11.8.20.1120.0.0.15rule6permitipsource11.8.14.20.0.0.0destination11.8.20.1120.0.0.15【案例5】我这里用户有这样的一个需求，请帮我确定一下应如何配置：核心使用6506，边缘节点使用五台3526E（使用二层），3526E和6506之间使用trunk模式，用户分为了7个网段。vlan分别为2－8，用户地址是192.168.21.0－27.0。考虑了网络安全，用户需要如下要求：21.0：能够访问internet网，但不能访问其他网段；22.0：能够访问其他网段，但不能访问internet网；。。。。。。。。21.0和22.0分别属于vlan2和3，这两个网段内的用户都通过一个3526E接到6506上，请协助确定如何在6506上使用访问控制策略。多谢。【解决方案】1．根据需求的字面意思来配置，思路清晰，但比较浪费表项。21－－22deny21－－23deny21－－24deny21－－25deny21－－26deny21－－27deny22－－anydeny22－－21peimit22－－23peimit22－－24peimit22－－25peimit22－－26peimit22－－27permit2．对需求进行分析，将网段加以合并，可以节省表项。3和4聚合成A：192.168.22.0/235和8聚合成B：192.168.24.0/22则需求可以简化成禁止2访问A和B,只允许A和B可以互访，禁止A和B访问其他网段。deny2toAdeny2toBdenyAtoanydenyBtoanypermitAtoApermitBtoBpermitAtoB配置一个acl即可：【案例6】我配置了如下acl，但下发时提示我配置无法下发，请问是为什么？aclnumber100rule1denyipdestination192.168.1.00.0.0.255rule11denyipdestination192.168.0.00.0.0.255rule28permitipsourceanydestination192.168.0.00.0.0.255【问题分析】规则11和28是同一条规则，虽然动作不同，软件禁止同一条规则重复下发。【解决办法】如果想下发后一条规则，应首先删除头一条。【案例7】用户配置访问列表禁止某一网段在周一至周五禁止上互联网，在这一网段中的两个ip不受限，在运行半天后，不受限的两个ip无法访问internet。即acl中的permit失效，deny还起作用。不做ACL的网段转发没有问题，0030（包括此版本）版本以下都有此问题。访问列表需求如下：有2个网段192.168.21.0/24192.168.22.0/24在2台3050（分别千兆上连到6506）上，现要求周一到周五不能访问互联网，但其中的192.168.21/22.9和192.168.21/22.10却不受限制。我在6506上做了2种配置均可