华为交换中端产品qacl配置案例集

华为交换中端产品qacl配置案例集

ID:20883413

大小:72.50 KB

页数:7页

时间:2018-10-17

华为交换中端产品qacl配置案例集_第1页
华为交换中端产品qacl配置案例集_第2页
华为交换中端产品qacl配置案例集_第3页
华为交换中端产品qacl配置案例集_第4页
华为交换中端产品qacl配置案例集_第5页
资源描述:

《华为交换中端产品qacl配置案例集》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库

1、华为交换中端产品QACL配置案例集~教育资源库  由于芯片结构的原因,中端产品的QACL配置较复杂,给用户使用带来了一定的难度,用服人员维护起来有时也会较为棘手,经常会有用户和用服人员打过来咨询这方面的配置的使用,下面的配置案例全部取材于6500系列产品在使用中的实际配置,大多是客户的咨询,其中一些还曾发生过网上问题。将这些东西进行总结,有利于我们更好的使用6506。  【案例1】  我想实现办公网只有个别的机器(10.1.0.38)访问服务器10.1.0.254,我进行了如下配置,但10.1.0.38依然无法访问服务器,6506是不是不能实现这种需求啊。  aclnumber100 

2、 rule0permitipsou10.1.0.380des10.1.0.2540  rule1denyip  inte2/0/1  paipin100  【问题分析】  这是个比较典型的错误,错误原因就是没有搞清6506的acl的其作用的顺序。在6500系列产品上,是根据规则的下发时间顺序来决定起作用的顺序的,最近下发的规则我们认为是用户最新的需求,它会最新起作用。对于上面的配置,rule0先下发,rule1后下发,那么首先其作用的是rule1。这样会将所有的报文都过滤掉。  【解决办法】  将两条规则的配置顺序对调。  【案例2】  我想禁止210.31.12.00.0.1.255

3、访问任何网段的ICMP报文,但却无法实现,请帮忙检查一下。  aclnumber100match-orderauto  rule0denyicmpsource210.31.12.00.0.1.255  rule1denytcpsource-porteq135destination-porteq135  rule2denytcpsource-porteq135destination-porteq139  rule3denytcpsource-porteq135destination-porteq4444  rule4denytcpsource-porteq135destination-p

4、orteq445  rule5denyudpsource-porteqtFTPdestination-porteqtftp  rule6denytcpsource-porteq1025  rule8permitip  【问题分析】  又是一个比较典型的错误,用户认为要想让交换机转发,必须配置类似rule8的规则,其实这是不必要的,6506缺省有一条matchall表项,将交换机配置成转发模式,再配置一条,则覆盖了前面的所有规则。  【解决办法】  将最后一条规则去掉。  【案例3】  规则如下,要求只允许10.89.0.0/16访问10.1.1.0,但配置后其他网段也可以访问了,请问是

5、为什么?  aclnumber101match-orderauto  rule0denyip  aclnumber102match-orderauto  rule0permitipsource10.89.0.00.0.255.255destination10.1.1.00.0.0.255  。。。  。。。  。。。  interfaceEther2/0/3  descriptionconnectedto5lou  portlink-typehybrid  porthybridvlan1tagged  porthybridvlan20untagged  porthybridpvidvl

6、an20  qos  packet-filterinboundip-group101rule0  packet-filterinboundip-group102rule0  packet-filterinboundip-group103rule0  packet-filterinboundip-group105rule2  packet-filterinboundip-group105rule3  packet-filterinboundip-group105rule5  packet-filterinboundip-group105rule6  packet-filterinboun

7、dip-group105rule4  #  【问题分析】  由于ACL102的rule0的原因,只要是从这个网段上来的报文都会匹配这个规则的前半部分,但如果它不是访问10.89.0.0/16,它不会匹配上ACL102的rule0,本来希望它匹配到ACL101的rule0,但是由于在硬件中ipsource10.89.0.0和ipanyany使用的是不同的id,所以ACL101的rule0也不再会被匹配到。那么报文会匹配到最后一条缺省的matcha

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。