华为数通操作手册 VRP全系列 VRP故障处理手册 路由器 04第4章 ACL故障处理Word格式.docx
《华为数通操作手册 VRP全系列 VRP故障处理手册 路由器 04第4章 ACL故障处理Word格式.docx》由会员分享,可在线阅读,更多相关《华为数通操作手册 VRP全系列 VRP故障处理手册 路由器 04第4章 ACL故障处理Word格式.docx(36页珍藏版)》请在冰豆网上搜索。
介绍了2个典型的故障处理案例。
●FAQ
列出了用户常问的问题,并给出了相应的解答。
●故障诊断工具
介绍了进行故障处理所需要的故障诊断工具,包括display命令和debugging命令、告警信息、日志信息等。
4.1ACL简介
路由器使用访问控制列表ACL(AccessControlList)定义过滤数据包的规则。
访问控制列表是由permit和deny语句组成的一系列有顺序的规则,这些规则根据数据包的源地址、目的地址、端口号等来定义。
ACL通过这些规则对数据包分类。
ACL应用到路由器接口上,路由器根据ACL中的规则判断哪些数据包可以接收,哪些数据包需要拒绝。
ACL包含对IPv4报文过滤的ACL4和对IPv6报文过滤的ACL6。
4.2ACL故障处理
4.2.1典型组网环境
ACL组网环境如图4-1所示。
某公司通过一台路由器的接口Serial1/0/0访问Internet,路由器与内部网通过以太网接口Ethernet1/0/0连接。
公司内部对外提供WWW、FTP和Telnet服务,公司内部子网为129.38.1.0,其中,内部FTP服务器地址为129.38.1.1,内部Telnet服务器地址为129.38.1.2,内部WWW服务器地址为129.38.1.3,公司对外地址为202.38.160.1。
图4-1ACL组网环境
通过配置ACL及防火墙,可以实现以下功能:
●外部网络只有特定用户可以访问内部服务器。
●内部网络只有特定主机可以访问外部网络。
4.2.2配置注意事项
配置项
子项
注意事项
配置ACL组
创建访问控制列表
一定要根据组网的需求来选择号合适的ACL的类型
配置ACL组下的规则
创建规则
根据需求描述规则,一定要考虑清楚组网的应用
其他的模块引用配置好的ACL
各个模块会不一致
见各个模块
查看ACL的匹配状态
可以查看到被引用了的ACL组下的各个规则有多少个报文被匹配到
无
4.2.3故障诊断流程
故障诊断流程如所示:
图4-1ACL故障处理流程
4.2.4故障处理步骤
概要的故障处理步骤如下:
步骤
操作
1
检查引用ACL的模块的配置信息是否正确
2
检查路由器接收到的报文是否是用户所期望的
3
引用的ACL的类型是否合理
4
引用的ACL组下的规则是否合理
详细的故障处理步骤如下:
1.检查引用ACL的模块的配置信息是否正确
首先应该从最上层检查找问题的原因。
确定引用ACL的模块的设置是否正确,相应使能开关应该处于打开或关闭状态,如分片检测开关是否打开。
2.引用的ACL的类型是否合理
然后再检查使用的ACL的类型能否满足用户的需求。
ACL分为基本ACL(取值范围是2000~2999)、高级ACL(取值范围是3000~3999)、基于接口的ACL(取值范围是1000~1999)。
不同类型的ACL有不同的应用场景,所以,必须根据具体的应用场景选择使用合适的ACL。
例如在路由策略中,用ACL对路由进行过滤时,由于高级ACL的选项比较多,配置复杂,有可能达不到预期效果,因此推荐使用编号为2000~2999的基本ACL。
3.检查路由器接收到的报文是否是用户所期望的
如果引用ACL的模块配置上没有问题,但是ACL的匹配不是用户所期望的,这时可以利用ACL提供的过滤功能来将路由器上收发的报文打印出来,以便做进一步的分析定位问题。
4.引用的ACL组下的规则是否合理
根据上步得到的报文的数据,分析ACL的规则匹配是否正确,用户是否正确获取到所期望的报文。
如果有问题则进行修改。
当经过以上的各项检查后ACL还是无法正常工作,可以登陆网站联系华为的技术支持工程师。
4.3故障处理案例
4.3.1ACL分片选项的规则没有匹配计数
1.网络环境
图4-1ACL配置的组网环境
RouterA的配置:
#
interfaceEthernet4/2/0
ipaddress12.1.1.1255.255.0.0
RouterB的配置:
firewallenableslot1
firewallenableslot2
firewallenableslot3
firewallenableslot4
firewallenableslot5
firewallenableslot7
aclnumber2000
rule5permitsource12.1.1.20fragment
rule10deny
ipaddress12.1.1.2255.255.0.0
firewallpacket-filter2000inbound
firewallpacket-filter2000outbound
2.故障分析
RouterA的Ethernet4/2/0接口MTU值为1500。
从RouterA的Ethernet4/2/0接口向RouterB的Ethernet4/2/0接口ping大小为8100字节的大包,ping不通,并且RouterB的接口Ethernet4/2/0上引用的ACL2000的规则5的匹配计数为零。
(1)首先在RouterB上执行命令displaycurrent-configuration,查看防火墙的使能开关是否打开
<
RouterB>
displaycurrent-configuration
firewallenableslot2
firewallenableslot3
firewallenableslot4
firewallenableslot5
firewallfragments-inspectslot2
4号槽的防火墙开关已经打开,排除这个原因。
(2)在RouterB上执行命令displaycurrent-configuration,查看防火墙的分片检测开关是否打开
4号槽的防火墙分片检测开关没有打开,排除这个原因。
(3)在RouterB上对与RouterA间的ping报文进行调试
system-view
[RouterB]acl3000
[RouterB-acl-adv-3000]rule5permiticmpsource12.1.1.10destination12.1.1.20
[RouterB-acl-adv-3000]rule10permiticmpsource12.1.1.20destination12.1.1.10
[RouterB-acl-adv-3000]rule15denyicmp
在用户视图下执行如下命令,打开调试开关,查看调试信息。
debuggingippacketacl3000
terminaldebugging
Info:
Currentterminaldebuggingison
terminalmonitor
Currentterminalmonitorison
*0.14852512QuidwayIP/8/debug_case:
Slot=4;
Receiving,interface=Ethernet4/2/0,version=4,headlen=20,tos=0,
pktlen=84,pktid=722,offset=0,ttl=255,protocol=1,
checksum=40658,s=12.1.1.1,d=12.1.1.2
prompt:
ReceivingIPpacketfromEthernet4/2/0
*0.14852864QuidwayIP/8/debug_case:
Discarding,interface=Ethernet4/2/0,version=4,headlen=20,tos=0,
Dropedbyfirewallsec!
*0.14854438QuidwayIP/8/debug_case:
pktlen=84,pktid=724,offset=0,ttl=255,protocol=1,
checksum=40656,s=12.1.1.1,d=12.1.1.2
*0.14854800QuidwayIP/8/debug_case:
*0.14856373QuidwayIP/8/debug_case:
Receiving,interface=Ethernet4/2/0,version=4,headlen=20,tos=0,
pktlen=84,pktid=726,offset=0,ttl=255,protocol=1,
checksum=40654,s=12.1.1.1,d=12.1.1.2
*0.14856736QuidwayIP/8/debug_case:
*0.14858309QuidwayIP/8/debug_case:
pktlen=84,pktid=728,offset=0,ttl=255,protocol=1,
checksum=40652,s=12.1.1.1,d=12.1.1.2
*0.14858672QuidwayIP/8/debug_case:
*0.14860246QuidwayIP/8/debug_case:
pktlen=84,pktid=730,offset=0,ttl=255,protocol=1,
checksum=40650,s=12.1.1.1,d=12.1.1.2
*0.14860608QuidwayIP/8/debug_case:
从调试信息中可以看到:
RouterB上收到了源地址为12.1.1.1的分片报文。
但被RouterB的Ethernet4/2/0接口上的ACL规则过滤掉。
因此,故障的实际原因是RouterB上的过滤规则错误。
正确的配置应该如下。
[RouterB]acl2000
[RouterBacl-basic-2000]rule5permitsource12.1.1.20fragment
[RouterBacl-basic-2000]rule10permitsource12.1.1.10fragment
[RouterBacl-basic-2000]rule15permitsource12.1.1.10
[RouterBacl-basic-2000]rule20permitsource12.1.1.20
[RouterBacl-basic-2000]rule25deny
这样就可以ping大报文,并且匹配计数正确显示。
3.处理步骤
确定RouterB上的防火墙使能开关是否打开。
正确情况下是打开的。
确定RouterB上的防火墙的分片检测开关是否关闭。
正确情况下是关闭的。
利用ACL的过滤功能,打开调试开关,确认RouterB上收到和发出的报文,确定ACL规则配置是否正确
4.案例总结
对于ACL的故障,可以按照下面的步骤进行检查。
(1)首先需要分析应用的场景,确定规则是否合理。
(2)然后再用ACL的过滤功能来查看路由器上的接收和发送的报文的详细信息,如果和以前设想的不一致,就需要重新配置规则。
(3)最后检查其他的模块在使用ACL时的设置是否正确。
4.3.2ACL6的规则匹配顺序不正确
图4-1ACL6组网图
(2)RouterA的配置
ipv6
ipv6address10:
20:
:
152/64
(3)RouterB的配置
firewallenableslot1
firewallenableslot7
aclipv6number3000
rule0permiticmpv6source10:
151/128destination10:
152/128
rule1permiticmpv6source10:
152/128destination10:
151/128
rule2denyicmpv6
firewallpacket-filteripv63000inbound
firewallpacket-filteripv63000outbound
151/64
从RouterA上pingRouterB不通。
首先查看ACL的匹配计数,发现匹配的都是规则2,ping的报文都被过滤掉了。
另外,匹配计数不正确,只ping了5个报文,匹配计数却增加了9个。
根据配置命令,发出报文的源地址应该是10:
151或10:
152,即,应该匹配规则0或者规则1,不应该匹配规则2。
防火墙的开关在所有的接口板上都打开了,所以不是它的问题。
利用ACL的Debug过滤报文的功能,查看RouterB上Ethernet4/2/0入接口和出接口的报文收发情况。
配置如下:
[RouterB]aclipv63002
[RouterB-acl6-adv-3002]rulepermiticmpv6source10:
151128destination10:
152128
152128destination10:
151128
[RouterB-acl6-adv-3002]ruledenyicmpv6
[RouterB-acl6-adv-3002]quit
[RouterB]quit
debuggingipv6packetacl3002
terminalmonitor
Currentterminalmonitorison
从RouterA上pingRouterB,在RouterB上并没有输出任何调试信息。
调整ACL的规则,去掉对目的地址的匹配:
[RouterB-acl6-adv-3002]undorule0destination
[RouterB-acl6-adv-3002]undorule1destination
再次从RouterA上pingRouterB,RouterB上输出如下调试信息:
*0.12025028RouterBIPV6PP/8/debug_ipv6:
Receiving,interface=Ethernet4/2/0,version=6,trafficclass=0,
flowlabel=0,payloadlength=32,protocol=58,hoplimit=255,
Src=10:
152,Dst=FF02:
1:
FF00:
151,
IPv6packetreceived
*0.12025344RouterBIPV6PP/8/debug_ipv6:
Discarding,interface=Ethernet4/2/0,version=6,trafficclass=0,
Administrativelyprohibited!
*0.12026014RouterBIPV6PP/8/debug_ipv6:
*0.12026320RouterBIPV6PP/8/debug_ipv6:
Src