【HCIE TAC】第五题-2

最新推荐文章于 2023-03-22 16:19:30 发布
最新推荐文章于 2023-03-22 16:19:30 发布
阅读量790 收藏 1
点赞数
文章标签: 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_40733491/article/details/122932553
版权

在这里插入图片描述
错点还原:
#AR30:
acl 2000
rule 5 deny 10.5.1.32 0
int g0/0/0
traffic-filter outbound acl 2000

一、故障根因判断
AR32的 loopback0 无法访问AR34 的 loopback 0 和 g0/0/0 接口地址,根本原因是因为在AR30的 g0/0/0 接口的出方向上做了针对AR32loopback 0 接口地址的流量过滤策略。

二、故障分析

2.1、故障现象重现,在AR32上执行 ping -a 10.5.1.32 x.x.x.x (其中x.x.x.x 是ISIS区域的所有地址)命令,发现确实存在部分地址无法访问的现象,无法访问的的地址如下:

<AR32>ping -a 10.5.1.32 10.5.1.34
PING 10.5.1.34: 56  data bytes, press CTRL_C to break
Request time out
Request time out
Request time out
Request time out
Request time out

--- 10.5.1.34 ping statistics ---
5 packet(s) transmitted
0 packet(s) received
100.00% packet loss
------------------------------------------------------------------------------------
<AR32>ping -a 10.5.1.32 10.5.34.34
PING 10.5.34.34: 56  data bytes, press CTRL_C to break
Request time out
Request time out
Request time out
Request time out
Request time out

--- 10.5.34.34 ping statistics ---
5 packet(s) transmitted
0 packet(s) received
100.00% packet loss
……
省略可以ping 通的地址

由输出结果得知,无法ping 通的地址为AR34的 loopback0 和 g0/0/0 接口,IP地址分别为 10.5.1.34、10.5.34.34,需要查看AR32的路由表中是否存在对应的路由信息。

2.2、在AR32上执行display ip routing-table 命令,查看AR32的路由表信息,输出结果如下:

<AR32>display ip routing-table 
Route Flags: R - relay, D - download to fib
------------------------------------------------------------------------------
Routing Tables: Public
     Destinations : 21       Routes : 21       

Destination/Mask    Proto   Pre  Cost      Flags NextHop         Interface

  10.5.1.27/32  OSPF    10   2           D   10.5.239.28     GigabitEthernet0/0/0
  10.5.1.28/32  OSPF    10   1           D   10.5.239.28     GigabitEthernet0/0/0
  10.5.1.29/32  OSPF    10   2           D   10.5.239.28     GigabitEthernet0/0/0
  10.5.1.30/32  O_ASE   150  1           D   10.5.239.28     GigabitEthernet0/0/0
  10.5.1.31/32  O_ASE   150  1           D   10.5.239.28     GigabitEthernet0/0/0
  10.5.1.32/32  Direct  0    0           D   127.0.0.1       LoopBack0
  10.5.1.33/32  OSPF    10   3           D   10.5.239.28     GigabitEthernet0/0/0
  10.5.1.34/32  O_ASE   150  1           D   10.5.239.28     GigabitEthernet0/0/0
  10.5.14.0/24  O_ASE   150  1           D   10.5.239.28     GigabitEthernet0/0/0
  10.5.34.0/24  O_ASE   150  1           D   10.5.239.28     GigabitEthernet0/0/0
  10.5.40.0/24  OSPF    10   3           D   10.5.239.28     GigabitEthernet0/0/0
 10.5.128.0/24  OSPF    10   2           D   10.5.239.28     GigabitEthernet0/0/0
 10.5.129.0/24  O_ASE   150  1           D   10.5.239.28     GigabitEthernet0/0/0
 10.5.130.0/24  O_ASE   150  1           D   10.5.239.28     GigabitEthernet0/0/0
 10.5.239.0/24  Direct  0    0           D   10.5.239.32     GigabitEthernet0/0/0
10.5.239.32/32  Direct  0    0           D   127.0.0.1       GigabitEthernet0/0/0
10.5.239.255/32 Direct  0    0           D   127.0.0.1       GigabitEthernet0/0/0

由输出结果得知,AR32的路由表中存在ISIS区域的所有路由,说明AR28上将ISIS进程引入到了OSPF进程中。需要查看ISIS区域设备的路由表是否存在OSPF区域的路由,以此判断AR28上OSPF进程是否引入到了ISIS进程中。

2.3、在AR31和AR34上执行display ip routing-table 命令,查看AR31和AR34的路由表信息,输出结果如下:

<AR31>dis ip routing-table
Route Flags: R - relay, D - download to fib
------------------------------------------------------------------------------
Routing Tables: Public
     Destinations : 23       Routes : 23       

Destination/Mask    Proto   Pre  Cost      Flags NextHop         Interface

  10.5.1.27/32  ISIS-L2 15   74          D   10.5.130.28     GigabitEthernet0/0/2
  10.5.1.28/32  ISIS-L2 15   74          D   10.5.130.28     GigabitEthernet0/0/2
  10.5.1.29/32  ISIS-L2 15   74          D   10.5.130.28     GigabitEthernet0/0/2
  10.5.1.30/32  ISIS-L1 15   20          D   10.5.14.34      GigabitEthernet0/0/1
  10.5.1.31/32  Direct  0    0           D   127.0.0.1       LoopBack0
  10.5.1.32/32  ISIS-L2 15   74          D   10.5.130.28     GigabitEthernet0/0/2
  10.5.1.33/32  ISIS-L2 15   74          D   10.5.130.28     GigabitEthernet0/0/2
  10.5.1.34/32  ISIS-L1 15   10          D   10.5.14.34      GigabitEthernet0/0/1
  10.5.14.0/24  Direct  0    0           D   10.5.14.31      GigabitEthernet0/0/1
 10.5.14.31/32  Direct  0    0           D   127.0.0.1       GigabitEthernet0/0/1
10.5.14.255/32  Direct  0    0           D   127.0.0.1       GigabitEthernet0/0/1
  10.5.34.0/24  ISIS-L1 15   20          D   10.5.14.34      GigabitEthernet0/0/1
  10.5.40.0/24  ISIS-L2 15   74          D   10.5.130.28     GigabitEthernet0/0/2
 10.5.128.0/24  ISIS-L2 15   74          D   10.5.130.28     GigabitEthernet0/0/2
 10.5.129.0/24  ISIS-L1 15   30          D   10.5.14.34      GigabitEthernet0/0/1
 10.5.130.0/24  Direct  0    0           D   10.5.130.31     GigabitEthernet0/0/2
10.5.130.31/32  Direct  0    0           D   127.0.0.1       GigabitEthernet0/0/2
10.5.130.255/32 Direct  0    0           D   127.0.0.1       GigabitEthernet0/0/2
 10.5.239.0/24  ISIS-L2 15   74          D   10.5.130.28     GigabitEthernet0/0/2
=====================================================================
<AR34>display  ip routing-table 
	Route Flags: R - relay, D - download to fib
	------------------------------------------------------------------------------
Routing Tables: Public
     Destinations : 16       Routes : 17       

Destination/Mask    Proto   Pre  Cost      Flags NextHop         Interface

    0.0.0.0/0   ISIS-L1 15   10          D   10.5.14.31      GigabitEthernet0/0/1
                ISIS-L1 15   10          D   10.5.34.30      GigabitEthernet0/0/0
  10.5.1.30/32  ISIS-L1 15   10          D   10.5.34.30      GigabitEthernet0/0/0
  10.5.1.31/32  ISIS-L1 15   10          D   10.5.14.31      GigabitEthernet0/0/1
  10.5.1.34/32  Direct  0    0           D   127.0.0.1       LoopBack0
  10.5.14.0/24  Direct  0    0           D   10.5.14.34      GigabitEthernet0/0/1
 10.5.14.34/32  Direct  0    0           D   127.0.0.1       GigabitEthernet0/0/1
10.5.14.255/32  Direct  0    0           D   127.0.0.1       GigabitEthernet0/0/1
  10.5.34.0/24  Direct  0    0           D   10.5.34.34      GigabitEthernet0/0/0
 10.5.34.34/32  Direct  0    0           D   127.0.0.1       GigabitEthernet0/0/0
10.5.34.255/32  Direct  0    0           D   127.0.0.1       GigabitEthernet0/0/0
 10.5.129.0/24  ISIS-L1 15   20          D   10.5.34.30      GigabitEthernet0/0/0
 10.5.130.0/24  ISIS-L1 15   20          D   10.5.14.31      GigabitEthernet0/0/1

由输出结果得知,AR31的路由表中存在OSPF区域的所有路由,AR34上存在两条缺省路由,下一跳分别指向AR30 和 AR31 ,说明AR28上将OSPF进程引入到了ISIS进程中。两个进程都存在对方区域的所有所有路由,说明全网路由可达,不存在路由过滤策略。初步判断可能是AR28、AR30、AR31、AR32、AR34上存在流量过滤策略,由于AR28 和 AR30 存在登陆权限无法访问,所以先查看AR31、AR32、AR34上是否存在流量过滤策略。

2.4、在AR31、AR32、AR34上分别执行 display acl all、display traffic-filter applied-record、display traffic-policy applied-record 命令,查看是否存在可以导致故障现象的过滤策略,输出结果如下
……
省略输出结果

由输出结果得知,AR31、AR32、AR34上均无任何能够导致该故障现象的流量过滤策略。判断可能是AR28或AR31上存在流量过滤策略。由于登陆权限问题,所以需要在AR32上使用tracert 命令间接进行测试。

2.5、在AR32上执行 tracert -a 10.5.1.32 10.5.1.34 和 tracert 10.5.1.34 命令,测试流量在传递路径上是否存在流量过滤策略,输出结果如下:

<AR32>tracert -a 10.5.1.32 10.5.1.34

traceroute to  10.5.1.34(10.5.1.34), max hops: 30 ,packet length: 40,press CTRL_C to break 

1 10.5.239.28 30 ms  20 ms  10 ms 

2 10.5.130.31 40 ms 10.5.129.30 30 ms 10.5.130.31 30 ms 

 3  * 10.5.14.34 70 ms  * 
============================================================================================
<AR32>tracert 10.5.1.34

 traceroute to  10.5.1.34(10.5.1.34), max hops: 30 ,packet length: 40,press CTRL_C to break 

1 10.5.239.28 30 ms  20 ms  10 ms 

2 10.5.130.31 50 ms 10.5.129.30 20 ms 10.5.130.31 1 ms 

 3 10.5.34.34 40 ms 10.5.14.34 20 ms 10.5.34.34 20 ms

由输出结果得知,在AR32上以loopback0 接口地址为源地址进行tracert 测试时,流量可以正常通过AR28,但在经过AR30后出现丢包现象,流量无法顺利到达AR34。在AR32上不携带源地址直接进行tracert 测试时,流量可以顺利到达AR34,无丢包现象。说明AR30的g 0/0/0 接口上存在流量过滤策略,但无法判断策略应用的方向,需要在反方向上使用tracert 命令来确定策略应用的方向。

2.6、在AR34上执行tracert -a 10.5.1.34 10.5.1.32 和 tracert -a 10.5.34.34 10.5.1.32 命令,确定策略应用方向,输出结果如下:

<AR34>tracert -a   10.5.1.34 10.5.1.32

traceroute to  10.5.1.32(10.5.1.32), max hops: 30 ,packet length: 40,press CTRL_C to break 

 1 10.5.34.30 60 ms  20 ms  20 ms 

2 10.5.129.28 10 ms  30 ms 10.5.130.28 20 ms 

3 10.5.239.32 40 ms  20 ms  20 ms 
=====================================================================
 <AR34>tracert -a   10.5.34.34 10.5.1.32

traceroute to  10.5.1.32(10.5.1.32), max hops: 30 ,packet length: 40,press CTRL_C to break 

1 10.5.34.30 60 ms  20 ms  20 ms 

2 10.5.129.28 10 ms  30 ms 10.5.130.28 20 ms 

3 10.5.239.32 40 ms  20 ms  20 ms

由输出结果得知,AR34上分别以loopbck0 和g0/0/0 接口地址为源地址进行反向 tracert 测试时,流量可以顺利到达AR32,无丢包现象,说明AR34到AR32的方向上没有流量过滤策略。

综上所述:AR32上以loopback0 为源进行tracert 测试时,数据包可以顺利通过AR28但在经过AR30后出现丢包现象,说明AR30上存在针对AR32loopback0 接口地址的流量过滤策略。在AR34上分别以loopback0 和 g0/0/0 接口地址为源进行反向tracert 测试时,数据包可以顺利到达AR32,说明在AR34到AR32的路径上不存在流量过滤。

结论:AR32loopback 0 接口地址无法访问AR34 loopback 0接口地址的 根本原因是因为在AR30的 g0/0/0接口的出方向上存在针对AR32 loopback 0 接口地址的流量过滤策略。

三、故障处理

3.1、AR30的g0/0/0 接口的出方向上存在流量过滤策略,需要执行以下命令:

display traffic-filter applied-record       #查看流量过滤
display traffic-policy applied-record       #查看流量策略
system-view                                 #进入系统视图
int g0/0/0                                  #进入接口视图
undo traffic-filter outbound                #删除流量过滤
undo traffic-policy outbound                #删除流量策略
执行完上述命令后在AR32上执行以下命令以测试故障是否已解决:
ping -a 10.51.32 10.5.1.34                  #测试AR32和AR34 loopback0接口的连通性
ping -a 10.1.32 10.5.34.34                  #测试AR32 loopback0 和 AR34 g0/0/0 接口的连通性

3.2、其他高可能性——AR30上做了高级ACL过滤,需要在AR30上执行以下命令:

display acll all                            #查看所有ACL
system-view                                 #进入系统视图
undo acl {高级ACL序列号}                     #删除ACL
执行完上述命令后在AR32上执行以下命令以测试故障是否已解决:
ping -a 10.51.32 10.5.1.34                  #测试AR32和AR34 loopback0接口的连通性
ping -a 10.1.32 10.5.34.34                  #测试AR32 loopback0 和 AR34 g0/0/0 接口的连通性

3.3、quit #推出到系统视图
save #保存配置

若执行完上述命令后,故障仍无法解决,需要派遣一线工程师前往现场进行排障,或提供完整的设备配置,并拨打华为400热线,请华为专家进行远程协助。

异小生
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
华为数通--ACL实验
Arouroua的博客
04-16 499
本文主要是基本ACL和扩展ACL的实验配置。
ACL理论及简单配置
热门推荐
weixin_58107256的博客
05-04 1万+
应用意义 ACL可以通过定义规则来允许或者拒绝流量的通过。 如图所示,192.168.1.0网段的社交场所为只能够进入公网,而不能够进入服务器,这个时候我们在路由器或者是三层交换机上(带路由功能的交换设备)上配置ACL策略,在192.168.1.0网段的数据包发送到RTA的时候会在入网口进行检测,从而判断能否让该(IP/MAC/端口)通过。 1.ACL是由一系列规则组成的集合。设备可以通过这些规则对数据包进行分类,并对不同类型的报文进行不同的处理。 2.本示例中,网关RTA允许192.16.
华为eNSP配置标准ACL
嘻嘻哥哥~的博客
02-20 7279
int gi0/0/0 #进入接口gi0/0/0中。int gi0/0/0 #进入接口gi0/0/0中。int gi0/0/0 #进入接口gi0/0/0中。[R2]int GigabitEthernet 0/0/0 #进入接口gi0/0/0中。[R2]int GigabitEthernet 0/0/1 #进入接口gi0/0/1中。
ACL原理与配置
R1chArd_TvT 的 Blog
02-10 844
ACL是由一个permit语句或deny语句组成的、有序规则的列表ACL是一个匹配工具,能够对报文进行匹配和区分。
acl访问控制列表
最新发布
jhy1798807161的博客
03-22 1318
作用:1访问控制列表(ACL)读取第三层,第四层包头协议,根据预先定义好的规则对包进行过滤。要么放行要么丢弃。2结合其他协议,用来匹配范围。根据通信五元素来实现具体的匹配1 访问控制列表在接口应用的方向2 事先在一个接口定义好相关的规则,然后根据相关的规则去处理经过这个接口的数据包,最终结果要么放行要么丢弃。基本acl2000-2999)只能匹配源IP地址高级acl(3000-3999)可以匹配源ip,目标IP,源端口,目标端口等三层和四层的字段和协议)
华为/思科ACL
一个懒鬼的博客
08-04 3092
ACL 访问控制列表 (Access Contril List,ACL)是应用在路由器接口的指令列表 标准的ACL,基于源IP地址的过滤 思科:1-99 华为:2000-2999 扩展的访问控制列表 基于源IP,目标端口号,协议号,标准进行过滤 思科:100-199 华为:3000-3999 标准ACL配置: acl number 2000 rule 5 deny source 192.168.1.1 0 ...
HCIE-RS 论述-路由选择和控制
07-01
HCIE-RS 论述-路由选择和控制 本资源摘要信息主要关注HCIE-RS 论述-路由选择和控制,涵盖路由策略、ACL 和前缀列表等知识点。 1. 路由策略的基本原理 路由策略是一种路由控制机制,通过if-match子句定义匹配...
新华为云计算认证 HCIE-Cloud Computing--
03-07
新华为云计算认证 HCIE-Cloud Computing--库 900分考过
HCIE-RS 论述-园区网出口选路
07-01
HCIE-RS 论述-园区网出口选路 HCIE-RS 论述-园区网出口选路是指在园区网中,如何实现路由器出口的选路问。在此问中,我们需要解决两个问:首先,如何在不运行路由协议的情况下,实现园区网用户访问 ...
HCIE-RS 论述-组播解析
06-30
HCIE-RS 论述-组播解析 组播网络中,端口 1、2、3 需要运行哪些协议?为什么需要运行这些协议,请写出具体原因? 组播网络中,端口 1、2、3 需要运行 IGMP 和 PIM-SM 协议。运行 IGMP 的原因是为了通过 IGMP ...
HCIE-RS 论述-园区网安全
07-01
HCIE-RS 论述-园区网安全
ACL实验中traffic-filter命令报错
weixin_43121452的博客
07-14 3344
ACL实验最后接口调用ACL策略时,出现错误 只需要将Route换成AR即可。
华为认证HCIA数通Datacom,访问控制列表ACL介绍和配置详解
Bert_Wang的博客
08-19 1733
企业网络中的设备进行通信时,需要保障数据传输的安全可靠和网络的性能稳定。 访问控制列表ACL(Access Control List)可以定义一系列不同的规则,设备根据这些规则对数据包进行分类,并针对不同类型的报文进行不同的处理,从而可以实现对网络访问行为的控制、限制网络流量、提高网络性能、防止网络攻击等。 一、ACL应用场景 ACL可以通过定义规则来允许或拒绝流量的通过 二、ACL分类 1、一个ACL可以由多条“deny | permit”语句组成,每一条语句描述了一条规则。 2、设备
ACL实验
JUJUJU2的博客
03-28 185
如图进行配置,在基于VLAN交换实验的基础上增加了两台路由器和PC。 r1-r2的网段设置为12.1.1.0 24 r2-r3的网段设置为23.1.1.0 24 r2的g0/0/2的地址为 192.168.3.1 如 的g0/0/1为192.168.4.1 同时在r2 r3建立地址池,使得终端设备可以自动获取地址: [r2]ip pool xixi [r2-ip-pool-xixi]network 192.168.3.0 mask 24 [r2-ip-pool-xixi]gateway-list 192..
HCIA学习笔记#7-1
qq_58176717的博客
06-13 212
第七天补充遗漏点:路由器的一个接口包括两个方向,流量进入和流量发出ACL访问控制列表1.访问控制,在路由器流入或流出的接口上,匹配流量,然后执行设定好的动作。 (permit--运行,deny--拒绝)2.抓取感兴趣流:ACL的另一个作用就是和其他服务结合。ACL负责按照事先制定的规则抓取流量,而其他服务对匹配到的流量执行相应的动作。ACL的匹配规则,自上而下,逐一匹配。匹配上就按照对应的动作来执行,不再向下匹配。不同设备体系有不同的默认规则思科体系设备,ACL列表末尾隐含了一条拒绝所有的规则。 华为体系设
网络地址转换
weixin_44132032的博客
06-03 816
NAT应用场景 企业或家庭所使用的网络为私有网络,使用的是私有地址;运营商维护的网络为公共网络,使用的是公有地址。私有地址不能在公网中路由。 NAT一般部署在连接内网和外网的网关设备上。 随着网络设备的数量不断增长,对IPv4地址的需求也不断增加,导致可用IPv4地址空间逐渐耗尽。解决IPv4地址枯竭问的权宜之计是分配可重复使用的各类私网地址段给企业内部或家庭使用。但是,私有地址不能在公网中路由...
ACL和NAT
weixin_73462212的博客
10-01 1483
ACL和NAT
网络基础之ACL技术及NAT技术
weixin_47062656的博客
10-25 1970
ACL技术 访问控制列表概述 acl工作原理 当数据包从接口经过时,由于接口启动了ACL,此时路由器会对报文进行检查,然后做出相应的处理。 访问控制列表(ACL) 读取第三层、第四层包头信息 根据预先定义好的规则对包进行过滤 访问控制列表在接口应用的方向 出:已经过路由器的处理,正离开路由器接口的数据包 入:已到达路由器接口的数据包,将被路由器处理 列表应用到接口的方向与数据方向有关 访问控制列表的处理过程 ACL的两种作用 用来对数据包做访问控制做访问控制(丢..
HCIE数通笔试:H12-261库与答案解析
"HCIE 3.0 - H12-261数通笔试HCIE数通笔试库" 在IT行业中,HCIE(Huawei Certified ICT Expert)是华为认证的最高级别专家级认证,专注于特定的技术领域。HCIE 数通(Routing & Switching)是其中的一个方向,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值