由于芯片结构的原因,中端产品的QACL配置较复杂,给用户使用带来了一定的难度,用服人员维护起来有时也会较为棘手,经常会有用户和用服人员打电话过来咨询这方面的配置的使用,下面的配置案例全部取材于6500系列产品在使用中的实际配置,大多是客户的咨询,其中一些还曾发生过网上问题。将这些东西进行总结,有利于我们更好的使用6506。
【案例1】
我想实现办公网只有个别的机器(10.1.0.38)访问服务器10.1.0.254,我进行了如下配置,但10.1.0.38依然无法访问服务器,6506是不是不能实现这种需求啊。
aclnumber100
rule0permitipsou10.1.0.380des10.1.0.2540
rule1denyip
inte2/0/1
paipin100
【问题分析】
这是个比较典型的错误,错误原因就是没有搞清6506的acl的其作用的顺序。在6500系列产品上,是根据规则的下发时间顺序来决定起作用的顺序的,最近下发的规则我们认为是用户最新的需求,它会最新起作用。对于上面的配置,rule0先下发,rule1后下发,那么首先其作用的是rule1。这样会将所有的报文都过滤掉。
【解决办法】
将两条规则的配置顺序对调。
我想实现办公网只有个别的机器(10.1.0.38)访问服务器10.1.0.254,我进行了如下配置,但10.1.0.38依然无法访问服务器,6506是不是不能实现这种需求啊。
aclnumber100
rule0permitipsou10.1.0.380des10.1.0.2540
rule1denyip
inte2/0/1
paipin100
【问题分析】
这是个比较典型的错误,错误原因就是没有搞清6506的acl的其作用的顺序。在6500系列产品上,是根据规则的下发时间顺序来决定起作用的顺序的,最近下发的规则我们认为是用户最新的需求,它会最新起作用。对于上面的配置,rule0先下发,rule1后下发,那么首先其作用的是rule1。这样会将所有的报文都过滤掉。
【解决办法】
将两条规则的配置顺序对调。
【案例2】
我想禁止210.31.12.00.0.1.255访问任何网段的ICMP报文,但却无法实现,请帮忙检查一下。
aclnumber100match-orderauto
rule0denyicmpsource210.31.12.00.0.1.255
rule1denytcpsource-porteq135destination-porteq135
rule2denytcpsource-porteq135destination-porteq139
rule3denytcpsource-porteq135destination-porteq4444
rule4denytcpsource-porteq135destination-porteq445
rule5denyudpsource-porteqtFTPdestination-porteqtftp
rule6denytcpsource-porteq1025
rule8permitip
【问题分析】
又是一个比较典型的错误,用户认为要想让交换机转发,必须配置类似rule8的规则,其实这是不必要的,6506缺省有一条matchall表项,将交换机配置成转发模式,再配置一条,则覆盖了前面的所有规则。
【解决办法】
将最后一条规则去掉。
我想禁止210.31.12.00.0.1.255访问任何网段的ICMP报文,但却无法实现,请帮忙检查一下。
aclnumber100match-orderauto
rule0denyicmpsource210.31.12.00.0.1.255
rule1denytcpsource-porteq135destination-porteq135
rule2denytcpsource-porteq135destination-porteq139
rule3denytcpsource-porteq135destination-porteq4444
rule4denytcpsource-porteq135destination-porteq445
rule5denyudpsource-porteqtFTPdestination-porteqtftp
rule6denytcpsource-porteq1025
rule8permitip
【问题分析】
又是一个比较典型的错误,用户认为要想让交换机转发,必须配置类似rule8的规则,其实这是不必要的,6506缺省有一条matchall表项,将交换机配置成转发模式,再配置一条,则覆盖了前面的所有规则。
【解决办法】
将最后一条规则去掉。
【案例3】
规则如下,要求只允许10.89.0.0/16访问10.1.1.0,但配置后其他网段也可以访问了,请问是为什么?
aclnumber101match-orderauto
rule0denyip
aclnumber102match-orderauto
rule0permitipsource10.89.0.00.0.255.255destination10.1.1.00.0.0.255
。。。
。。。
。。。
interfaceEthernet2/0/3
descriptionconnectedto5lou
portlink-typehybrid
porthybridvlan1tagged
porthybridvlan20untagged
porthybridpvidvlan20
qos
packet-filterinboundip-group101rule0
packet-filterinboundip-group102rule0
packet-filterinboundip-group103rule0
packet-filterinboundip-group105rule2
packet-filterinboundip-group105rule3
packet-filterinboundip-group105rule5
packet-filterinboundip-group105rule6
packet-filterinboundip-group105rule4
#
【问题分析】
由于ACL102的rule0的原因,只要是从这个网段上来的报文都会匹配这个规则的前半部分,但如果它不是访问10.89.0.0/16,它不会匹配上ACL102的rule0,本来希望它匹配到ACL101的rule0,但是由于在硬件中ipsource10.89.0.0和ipanyany使用的是不同的id,所以ACL101的rule0也不再会被匹配到。那么报文会匹配到最后一条缺省的matchall表项,进行转发。
【解决办法】
把rule0denyip变成rule0denyipsource10.89.0.00.0.255.255。
规则如下,要求只允许10.89.0.0/16访问10.1.1.0,但配置后其他网段也可以访问了,请问是为什么?
aclnumber101match-orderauto
rule0denyip
aclnumber102match-orderauto
rule0permitipsource10.89.0.00.0.255.255destination10.1.1.00.0.0.255
。。。
。。。
。。。
interfaceEthernet2/0/3
descriptionconnectedto5lou
portlink-typehybrid
porthybridvlan1tagged
porthybridvlan20untagged
porthybridpvidvlan20
qos
packet-filterinboundip-group101rule0
packet-filterinboundip-group102rule0
packet-filterinboundip-group103rule0
packet-filterinboundip-group105rule2
packet-filterinboundip-group105rule3
packet-filterinboundip-group105rule5
packet-filterinboundip-group105rule6
packet-filterinboundip-group105rule4
#
【问题分析】
由于ACL102的rule0的原因,只要是从这个网段上来的报文都会匹配这个规则的前半部分,但如果它不是访问10.89.0.0/16,它不会匹配上ACL102的rule0,本来希望它匹配到ACL101的rule0,但是由于在硬件中ipsource10.89.0.0和ipanyany使用的是不同的id,所以ACL101的rule0也不再会被匹配到。那么报文会匹配到最后一条缺省的matchall表项,进行转发。
【解决办法】
把rule0denyip变成rule0denyipsource10.89.0.00.0.255.255。
【案例4】
某银行当每天造成重起6506后,发现有部分网段的用户无法访问病毒服务器(11.8.14.141和11.8.14.2),将防火墙配置删除后再下发问题消除。配置如下:
aclnumber122
descriptionguoku
rule1denyipsourceanydestination11.8.20.1120.0.0.15
rule2permitipsource11.8.20.1600.0.0.31destination11.8.20.1120.0.0.15
rule3permitipsource11.8.20.1120.0.0.15destination11.8.20.1120.0.0.15
rule4permitipsource11.8.20.2080.0.0.7destination11.8.20.1120.0.0.15
rule5permitipsource11.8.14.1410.0.0.0destination11.8.20.1120.0.0.15
rule6permitipsource11.8.14.20.0.0.0destination11.8.20.1120.0.0.15
rule7permitipsource11.8.2.110.0.0.0destination11.8.20.1120.0.0.15
aclnumber186
rule1permitipsource11.8.14.00.0.0.255destinationany
interfaceEthernet1/0/48
descriptionconnect_to_vlan1000-router
traffic-priorityoutboundip-group181dscp46
traffic-priorityoutboundip-group182dscp34
traffic-priorityoutboundip-group183dscp26
traffic-priorityoutboundip-group184dscp18
traffic-priorityoutboundip-group185dscp10
traffic-priorityoutboundip-group186dscp0
packet-filterinboundip-group120not-care-for-interface
packet-filterinboundip-group121not-care-for-interface
packet-filterinboundip-group122not-care-for-interface
packet-filterinboundip-group123not-care-for-interface
packet-filterinboundip-group124not-care-for-interface
packet-filterinboundip-group125not-care-for-interface
【问题分析】
当我们做完配置时,软件对配置进行了相应的记录,我们使用save命令就可以将这些记录保存在配置文件中,每次启动后按照此记录的顺序逐条下发。由于acl的功能和下发顺序密切相关,所以软件上应该能够保证启动后的配置顺序和启动前的顺序一致性。
本问题出在软件在buildrun时将acl和qos的顺序进行了调整,将qos的动作放在了acl的动作之后,相当于人为的提高了qos动作的优先级,重起后造成了部分acl失效。将acl删除后再下发,再次改变了匹配顺序,acl规则生效。由于软件设计时将acl和qos设计成了两个模块,而buildrun的各个模块是独立的,所以此部分更改起来需要彻底更改设计方案,变动实在太大。
【解决办法】
可以将qos的操作移动到前面的端口来做,由于buildrun的顺序是按照端口顺序来做的,这样qos就会先行下发,acl的动作后下发,避免了覆盖的发生。
对于上面的例子,也可以将acl186再添加两条如下蓝色字体的规则,
aclnumber186
rule1permitipsource11.8.14.00.0.0.255destinationany
rule5permitipsource11.8.14.1410.0.0.0destination11.8.20.1120.0.0.15
rule6permitipsource11.8.14.20.0.0.0destination11.8.20.1120.0.0.15
某银行当每天造成重起6506后,发现有部分网段的用户无法访问病毒服务器(11.8.14.141和11.8.14.2),将防火墙配置删除后再下发问题消除。配置如下:
aclnumber122
descriptionguoku
rule1denyipsourceanydestination11.8.20.1120.0.0.15
rule2permitipsource11.8.20.1600.0.0.31destination11.8.20.1120.0.0.15
rule3permitipsource11.8.20.1120.0.0.15destination11.8.20.1120.0.0.15
rule4permitipsource11.8.20.2080.0.0.7destination11.8.20.1120.0.0.15
rule5permitipsource11.8.14.1410.0.0.0destination11.8.20.1120.0.0.15
rule6permitipsource11.8.14.20.0.0.0destination11.8.20.1120.0.0.15
rule7permitipsource11.8.2.110.0.0.0destination11.8.20.1120.0.0.15
aclnumber186
rule1permitipsource11.8.14.00.0.0.255destinationany
interfaceEthernet1/0/48
descriptionconnect_to_vlan1000-router
traffic-priorityoutboundip-group181dscp46
traffic-priorityoutboundip-group182dscp34
traffic-priorityoutboundip-group183dscp26
traffic-priorityoutboundip-group184dscp18
traffic-priorityoutboundip-group185dscp10
traffic-priorityoutboundip-group186dscp0
packet-filterinboundip-group120not-care-for-interface
packet-filterinboundip-group121not-care-for-interface
packet-filterinboundip-group122not-care-for-interface
packet-filterinboundip-group123not-care-for-interface
packet-filterinboundip-group124not-care-for-interface
packet-filterinboundip-group125not-care-for-interface
【问题分析】
当我们做完配置时,软件对配置进行了相应的记录,我们使用save命令就可以将这些记录保存在配置文件中,每次启动后按照此记录的顺序逐条下发。由于acl的功能和下发顺序密切相关,所以软件上应该能够保证启动后的配置顺序和启动前的顺序一致性。
本问题出在软件在buildrun时将acl和qos的顺序进行了调整,将qos的动作放在了acl的动作之后,相当于人为的提高了qos动作的优先级,重起后造成了部分acl失效。将acl删除后再下发,再次改变了匹配顺序,acl规则生效。由于软件设计时将acl和qos设计成了两个模块,而buildrun的各个模块是独立的,所以此部分更改起来需要彻底更改设计方案,变动实在太大。
【解决办法】
可以将qos的操作移动到前面的端口来做,由于buildrun的顺序是按照端口顺序来做的,这样qos就会先行下发,acl的动作后下发,避免了覆盖的发生。
对于上面的例子,也可以将acl186再添加两条如下蓝色字体的规则,
aclnumber186
rule1permitipsource11.8.14.00.0.0.255destinationany
rule5permitipsource11.8.14.1410.0.0.0destination11.8.20.1120.0.0.15
rule6permitipsource11.8.14.20.0.0.0destination11.8.20.1120.0.0.15
由于芯片结构的原因,中端产品的QACL配置较复杂,给用户使用带来了一定的难度,用服人员维护起来有时也会较为棘手,经常会有用户和用服人员打电话过来咨询这方面的配置的使用,下面的配置案例全部取材于6500系列产品在使用中的实际配置,大多是客户的咨询,其中一些还曾发生过网上问题。将这些东西进行总结,有利于我们更好的使用6506。
【案例5】
我这里用户有这样的一个需求,请帮我确定一下应如何配置:
核心使用6506,边缘节点使用五台3526E(使用二层),3526E和6506之间使用trunk模式,用户分为了7个网段。
vlan分别为2-8,用户地址是192.168.21.0-27.0。
考虑了网络安全,用户需要如下要求:
21.0:能够访问internet网,但不能访问其他网段;
22.0:能够访问其他网段,但不能访问internet网;
。。。。
。。。。
21.0和22.0分别属于vlan2和3,这两个网段内的用户都通过一个3526E接到6506上,请协助确定如何在6506上使用访问控制策略。
多谢。
【解决方案】
1.根据需求的字面意思来配置,思路清晰,但比较浪费表项。
21--22deny
21--23deny
21--24deny
21--25deny
21--26deny
21--27deny
我这里用户有这样的一个需求,请帮我确定一下应如何配置:
核心使用6506,边缘节点使用五台3526E(使用二层),3526E和6506之间使用trunk模式,用户分为了7个网段。
vlan分别为2-8,用户地址是192.168.21.0-27.0。
考虑了网络安全,用户需要如下要求:
21.0:能够访问internet网,但不能访问其他网段;
22.0:能够访问其他网段,但不能访问internet网;
。。。。
。。。。
21.0和22.0分别属于vlan2和3,这两个网段内的用户都通过一个3526E接到6506上,请协助确定如何在6506上使用访问控制策略。
多谢。
【解决方案】
1.根据需求的字面意思来配置,思路清晰,但比较浪费表项。
21--22deny
21--23deny
21--24deny
21--25deny
21--26deny
21--27deny
22--anydeny
22--21peimit
22--23peimit
22--24peimit
22--25peimit
22--26peimit
22--27permit
2.对需求进行分析,将网段加以合并,可以节省表项。
3和4聚合成A:192.168.22.0/23
5和8聚合成B:192.168.24.0/22
22--21peimit
22--23peimit
22--24peimit
22--25peimit
22--26peimit
22--27permit
2.对需求进行分析,将网段加以合并,可以节省表项。
3和4聚合成A:192.168.22.0/23
5和8聚合成B:192.168.24.0/22
则需求可以简化成禁止2访问A和B,只允许A和B可以互访,禁止A和B访问其他网段。
deny2toA
deny2toB
deny2toA
deny2toB
denyAtoany
denyBtoany
permitAtoA
permitBtoB
permitAtoB
denyBtoany
permitAtoA
permitBtoB
permitAtoB
配置一个acl即可:
【案例6】
我配置了如下acl,但下发时提示我配置无法下发,请问是为什么?
aclnumber100
rule1denyipdestination192.168.1.00.0.0.255
rule11denyipdestination192.168.0.00.0.0.255
rule28permitipsourceanydestination192.168.0.00.0.0.255
【问题分析】
规则11和28是同一条规则,虽然动作不同,软件禁止同一条规则重复下发。
【解决办法】
如果想下发后一条规则,应首先删除头一条。
我配置了如下acl,但下发时提示我配置无法下发,请问是为什么?
aclnumber100
rule1denyipdestination192.168.1.00.0.0.255
rule11denyipdestination192.168.0.00.0.0.255
rule28permitipsourceanydestination192.168.0.00.0.0.255
【问题分析】
规则11和28是同一条规则,虽然动作不同,软件禁止同一条规则重复下发。
【解决办法】
如果想下发后一条规则,应首先删除头一条。
【案例7】
用户配置访问列表禁止某一网段在周一至周五禁止上互联网,在这一网段中的两个ip不受限,在运行半天后,不受限的两个ip无法访问internet。即acl中的permit失效,deny还起作用。不做ACL的网段转发没有问题,0030(包括此版本)版本以下都有此问题。
访问列表需求如下:
有2个网段192.168.21.0/24192.168.22.0/24在2台3050(分别千兆上连到6506)上,现要求周一到周五不能访问互联网,但其中的192.168.21/22.9和192.168.21/22.10却不受限制。
我在6506上做了2种配置均可实现以上功能(运行1/2天以后必须重起6506)
第一种是在3050上连到6506的光纤口上做访问列表
第二种是在6506连接路由器的电口上做访问列表(在这个口上是为了考虑2个网段访问内网方便----即访问列表简单)
aclnumber101
rule0denyipsource192.168.21.00.0.0.255time-rangestunet
rule1permitipsource192.168.21.00.0.0.255destination192.168.31.00.0.0.255
rule2permitipsource192.168.21.100
rule3permitipsource192.168.21.90
aclnumber102
rule0denyipsource192.168.22.00.0.0.255time-rangestunet
rule1permitipsource192.168.22.00.0.0.255destination192.168.31.00.0.0.255
rule2permitipsource192.168.22.100
rule3permitipsource192.168.22.90
用户配置访问列表禁止某一网段在周一至周五禁止上互联网,在这一网段中的两个ip不受限,在运行半天后,不受限的两个ip无法访问internet。即acl中的permit失效,deny还起作用。不做ACL的网段转发没有问题,0030(包括此版本)版本以下都有此问题。
访问列表需求如下:
有2个网段192.168.21.0/24192.168.22.0/24在2台3050(分别千兆上连到6506)上,现要求周一到周五不能访问互联网,但其中的192.168.21/22.9和192.168.21/22.10却不受限制。
我在6506上做了2种配置均可实现以上功能(运行1/2天以后必须重起6506)
第一种是在3050上连到6506的光纤口上做访问列表
第二种是在6506连接路由器的电口上做访问列表(在这个口上是为了考虑2个网段访问内网方便----即访问列表简单)
aclnumber101
rule0denyipsource192.168.21.00.0.0.255time-rangestunet
rule1permitipsource192.168.21.00.0.0.255destination192.168.31.00.0.0.255
rule2permitipsource192.168.21.100
rule3permitipsource192.168.21.90
aclnumber102
rule0denyipsource192.168.22.00.0.0.255time-rangestunet
rule1permitipsource192.168.22.00.0.0.255destination192.168.31.00.0.0.255
rule2permitipsource192.168.22.100
rule3permitipsource192.168.22.90
time-rangestunet08:00to22:00working-day
#
【问题分析】
防火墙可以配置时间段,这样规则就可以在一段规定的时间内发生作用。这是对防火墙功能的进一步提升。
交换机的时间段功能是通过软件中的定时器在规定的时间段范围内下发到硬件中来完成的,在其他时间硬件中没有配置带有时间段的acl。当在规定的时间段之外,软件会将规则从硬件中删除,到达时间后再次下发。但这里会存在一个问题,就是我们已经默认后下发的规则优先,这就人为的提供了带有时间段的规则的优先级。以至使得其它不带有时间段的规则失效。上面的问题就是一例。
【解决办法】
将同一条acl的所有规则都配上相同的时间段。
#
【问题分析】
防火墙可以配置时间段,这样规则就可以在一段规定的时间内发生作用。这是对防火墙功能的进一步提升。
交换机的时间段功能是通过软件中的定时器在规定的时间段范围内下发到硬件中来完成的,在其他时间硬件中没有配置带有时间段的acl。当在规定的时间段之外,软件会将规则从硬件中删除,到达时间后再次下发。但这里会存在一个问题,就是我们已经默认后下发的规则优先,这就人为的提供了带有时间段的规则的优先级。以至使得其它不带有时间段的规则失效。上面的问题就是一例。
【解决办法】
将同一条acl的所有规则都配上相同的时间段。
【案例8】
用户反映,配置了访问控制列表后不知道如何查看是否有匹配上该规则的机器。应该如何查看呢?
【解答】
可以配置流统计来实现这个功能。命令为接口模式下配置traffic-statics。
然后使用disqos-interface命令来显示统计结果。
但可是如果我配置的规则是DENY则不能下发。
用户反映,配置了访问控制列表后不知道如何查看是否有匹配上该规则的机器。应该如何查看呢?
【解答】
可以配置流统计来实现这个功能。命令为接口模式下配置traffic-statics。
然后使用disqos-interface命令来显示统计结果。
但可是如果我配置的规则是DENY则不能下发。
【案例9】
可以通过下面的命令来选择使用L2或L3模式的流分类规则。
请在全局配置模式下进行下列配置。
表1-7选择ACL模式
操作命令
选择ACL模式aclmode{l2l3}
那么是说
缺省情况下,选择使用L3流分类规则。
那么是说5516不能同时使用2层和3层的acl吗?
换句话说是不是不能同时起用二层和三层的规则,如果已经配置了三层规则,又想再配置二层规则,唯一的方法就是把三层规则取消掉?
【解答】
5516和6506不能同时使用2层和3层的acl。
不需要把三层规则取消掉,只需选择生效模式,硬件会自动选择二层或三层规则进行匹配。
可以通过下面的命令来选择使用L2或L3模式的流分类规则。
请在全局配置模式下进行下列配置。
表1-7选择ACL模式
操作命令
选择ACL模式aclmode{l2l3}
那么是说
缺省情况下,选择使用L3流分类规则。
那么是说5516不能同时使用2层和3层的acl吗?
换句话说是不是不能同时起用二层和三层的规则,如果已经配置了三层规则,又想再配置二层规则,唯一的方法就是把三层规则取消掉?
【解答】
5516和6506不能同时使用2层和3层的acl。
不需要把三层规则取消掉,只需选择生效模式,硬件会自动选择二层或三层规则进行匹配。
【案例10】
路由器下面接6506,6506下面挂两个vlan,一边是学生,一边是老师,老师和学生的带宽无论什么时候都各是2M。也就是基于vlan的限速。
如果参看配置手册中下面的配置,实现起来应该没有什么问题吧。
(1)定义工资服务器向外发送的流量
[Quidway]aclnametraffic-of-payserveradvancedip
#定义traffic-of-payserver这条高级访问控制列表的规则。
[Quidway-acl-adv-traffic-of-payserver]rule1permitipsource129.110.1.20.0.0.0destinationany
(2)对访问工资服务器的流量进行流量限制
#限制工资服务器向外发送报文的平均速率为20M。
[Quidway-Ethernet1/0/1]traffic-limitinboundip-grouptraffic-of-payserver20
【错误分析】6506实现的是出端口限速,请勿配置入端口限速。
转载于:https://blog.51cto.com/ciscolj/83958
1184
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
