华为交换中端产品qacl配置案例集.docx

华为交换中端产品qacl配置案例集.docx

《华为交换中端产品qacl配置案例集.docx》由会员分享，可在线阅读，更多相关《华为交换中端产品qacl配置案例集.docx（12页珍藏版）》请在冰豆网上搜索。

华为交换中端产品qacl配置案例集

华为交换中端产品QACL配置案例集

由于芯片结构的原因，中端产品的QACL配置较复杂，给用户使用带来了一定的难度，

用服人员维护起来有时也会较为棘手，经常会有用户和用服人员打电话过来咨询这方面的配

置的使用，下面的配置案例全部取材于6500系列产品在使用中的实际配置，大多是客户的

咨询，其中一些还曾发生过网上问题。

将这些东西进行总结，有利于我们更好的使用6506。

【案例1】

我想实现办公网只有个别的机器（10.1.0.38）访问服务器10.1.0.254，我进行了如下配置，

但10.1.0.38依然无法访问服务器，6506是不是不能实现这种需求啊。

aclnumber100

rule0permitipsou10.1.0.380des10.1.0.2540

rule1denyip

inte2/0/1

paipin100

【问题分析】

这是个比较典型的错误，错误原因就是没有搞清6506的acl的其作用的顺序。

在6500

系列产品上，是根据规则的下发时间顺序来决定起作用的顺序的，最近下发的规则我们认为

是用户最新的需求，它会最新起作用。

对于上面的配置，rule0先下发，rule1后下发，那

么首先其作用的是rule1。

这样会将所有的报文都过滤掉。

【解决办法】

将两条规则的配置顺序对调。

【案例2】

我想禁止210.31.12.00.0.1.255访问任何网段的ICMP报文，但却无法实现，请帮忙检查一下。

aclnumber100match-orderauto

rule0denyicmpsource210.31.12.00.0.1.255

rule5denyudpsource-porteqtftpdestination-porteqtftp

rule6denytcpsource-porteq1025

rule8permitip

【问题分析】

又是一个比较典型的错误，用户认为要想让交换机转发，必须配置类似rule8的规则，其

实这是不必要的，6506缺省有一条matchall表项，将交换机配置成转发模式，再配置一条,则覆盖了前面的所有规则。

【解决办法】

将最后一条规则去掉。

【案例3】

规则如下，要求只允许10.89.0.0/16访问10.1.1.0，但配置后其他网段也可以访问了，请问是

为什么？

aclnumber101match-orderauto

rule0denyip

aclnumber102match-orderauto

rule0permitipsource10.89.0.00.0.255.255destination10.1.1.00.0.0.255interfaceEthernet2/0/3

descriptionconnectedto5lou

portlink-typehybrid

porthybridvian1tagged

porthybridvian20untagged

porthybridpvidvlan20

qos

packet-filter

inbound

ip-group

101

rule

0

packet-filter

inbound

ip-group

102

rule

0

packet-filter

inbound

ip-group

103

rule

0

packet-filter

inbound

ip-group

105

rule

2

packet-filter

inbound

ip-group

105

rule

3

packet-filter

inbound

ip-group

105

rule

5

packet-filter

inbound

ip-group

105

rule

6

packet-filter

inbound

ip-group

105

rule

4

#

【问题分析】

由于ACL102

的rule

0的原因,

只要是从这个网段上来的报文都会匹配这个规则的前半部

分，但如果它不是访问10.89.0.0/16,它不会匹配上ACL102的rule0,本来希望它匹配到A

CL101的rule0,但是由于在硬件中ipsource10.89.0.0和ipanyany使用的是不同的id,

所以ACL101的rule0也不再会被匹配到。

那么报文会匹配到最后一条缺省的matchall表

项，进行转发。

【解决办法】

把rule0denyip变成rule0denyipsource10.89.0.00.0.255.255。

【案例4】

某银行当每天造成重起6506后，发现有部分网段的用户无法访问病毒服务器（11.8.14.141

和11.8.14.2），将防火墙配置删除后再下发问题消除。

配置如下：

aclnumber122

descriptionguoku

rule1denyipsourceanydestination11.8.20.1120.0.0.15

rule2permitipsource11.8.20.1600.0.0.31destination11.8.20.1120.0.0.15

aclnumber186

interfaceEthernet1/0/48

descriptionconnect_to_vlan1000-router

traffic-priority

outbound

ip-group

181

dscp46

traffic-priority

outbound

ip-group

182

dscp34

traffic-priority

outbound

ip-group

183

dscp26

traffic-priority

outbound

ip-group

184

dscp18

traffic-priority

outbound

ip-group

185

dscp10

traffic-priority

outbound

ip-group

186

dscp0

packet-filter

inbound

ip-group

120

not-care-for-interface

packet-filter

inbound

ip-group

121

not-care-for-interface

packet-filter

inbound

ip-group

122

not-care-for-interface

packet-filter

inbound

ip-group

123

not-care-for-interface

packet-filter

inbound

ip-group

124

not-care-for-interface

packet-filter

inbound

ip-group

125

not-care-for-interface

【问题分析】

当我们做完配置时，软件对配置进行了相应的记录，我们使用save命令就可以将这些记录

保存在配置文件中，每次启动后按照此记录的顺序逐条下发。

由于acl的功能和下发顺序密

切相关，所以软件上应该能够保证启动后的配置顺序和启动前的顺序一致性。

本问题出在软件在buildrun时将acl和qos的顺序进行了调整，将qos的动作放在了acl的动作之后，相当于人为的提高了qos动作的优先级，重起后造成了部分acl失效。

将acl删

除后再下发，再次改变了匹配顺序，acl规则生效。

由于软件设计时将acl和qos设计成了两个模块，而buildrun的各个模块是独立的，所以此部分更改起来需要彻底更改设计方案，变动实在太大。

【解决办法】

可以将qos的操作移动到前面的端口来做，由于buildrun的顺序是按照端口顺序来做的，

这样qos就会先行下发，acl的动作后下发，避免了覆盖的发生。

对于上面的例子，也可以将acl186再添加两条如下蓝色字体的规则，

aclnumber186

rule1permitipsource11.8.14.00.0.0.255destinationany

rule5permitipsource11.8.14.1410.0.0.0destination11.8.20.1120.0.0.15

rule6permitipsource11.8.14.20.0.0.0destination11.8.20.1120.0.0.15

【案例5】

我这里用户有这样的一个需求，请帮我确定一下应如何配置：

核心使用6506，边缘节点使用五台3526E（使用二层），3526E和6506之间使用trunk模

式，用户分为了7个网段。

vlan分别为2-8,用户地址是192.168.21.0-27.0。

考虑了网络安全，用户需要如下要求：

21.0:

能够访问internet网，但不能访问其他网段；

22.0:

能够访问其他网段，但不能访问internet网；

。

。

。

。

。

。

。

。

21.0和22.0分别属于vlan2和3，这两个网段内的用户都通过一个3526E接到6506上，请

协助确定如何在6506上使用访问控制策略。

多谢。

【解决方案】

1•根据需求的字面意思来配置，思路清晰，但比较浪费表项。

2122deny

2123deny

2124deny

2125deny

2126deny

2127deny

22anydeny

2221peimit

2223peimit

2224peimit

22——25peimit

2226peimit

2227permit

2•对需求进行分析，将网段加以合并，可以节省表项。

3和4聚合成A:

192.168.22.0/23

5和8聚合成B:

192.168.24.0/22

则需求可以简化成禁止2访问A和B,只允许A和B可以互访，禁止A和B访问其他网段。

deny2toA

deny2toB

denyAtoany

denyBtoany

permitAtoA

permitBtoB

permitAtoB

配置一个acl即可:

【案例6】

我配置了如下acl，但下发时提示我配置无法下发，请问是为什么？

aclnumber100

rule1denyipdestination192.168.1.00.0.0.255

rule11denyipdestination192.168.0.00.0.0.255

rule28permitipsourceanydestination192.168.0.00.0.0.255

【问题分析】

规则11和28是同一条规则，虽然动作不同，软件禁止同一条规则重复下发。

【解决办法】

如果想下发后一条规则，应首先删除头一条。

【案例7】

用户配置访问列表禁止某一网段在周一至周五禁止上互联网，在这一网段中的两个ip不受

限，在运行半天后，不受限的两个ip无法访问internet。

即acl中的permit失效，deny还起作用。

不做ACL的网段转发没有问题，0030（包括此版本）版本以下都有此问题。

访问列表需求如下：

有2个网段192.168.21.0/24192.168.22.0/24在2台3050（分别千兆上连到6506）上，现

要求周一到周五不能访问互联网，但其中的192.168.21/22.9和192.168.21/22.10却不受限制。

我在6506上做了2种配置均可实现以上功能（运行1/2天以后必须重起6506）

第一种是在3050上连到6506的光纤口上做访问列表

第二种是在6506连接路由器的电口上做访问列表（在这个口上是为了考虑2个网段访问内

网方便----即访问列表简单）

aclnumber101

rule0denyipsource192.168.21.00.0.0.255time-rangestunet

rule1permitipsource192.168.21.00.0.0.255destination192.168.31.00.0.0.255

rule2permitipsource192.168.21.100

rule3permitipsource192.168.21.90

aclnumber102

rule0denyipsource192.168.22.00.0.0.255time-rangestunet

rule1permitipsource192.168.22.00.0.0.255destination192.168.31.00.0.0.255

rule2permitipsource192.168.22.100

rule3permitipsource192.168.22.90

time-rangestunet08:

00to22:

00working-day

#

【问题分析】

防火墙可以配置时间段，这样规则就可以在一段规定的时间内发生作用。

这是对防火墙功能

的进一步提升。

交换机的时间段功能是通过软件中的定时器在规定的时间段范围内下发到硬件中来完成的，在其他时间硬件中没有配置带有时间段的acl。

当在规定的时间段之外，软件会将规则从硬

件中删除，到达时间后再次下发。

但这里会存在一个问题，就是我们已经默认后下发的规则优先，这就人为的提供了带有时间段的规则的优先级。

以至使得其它不带有时间段的规则失

效。

上面的问题就是一例。

【解决办法】

将同一条acl的所有规则都配上相同的时间段。

【案例8】

用户反映，配置了访问控制列表后不知道如何查看是否有匹配上该规则的机器。

应该如何查

看呢？

【解答】

可以配置流统计来实现这个功能。

命令为接口模式下配置traffic-statics。

然后使用disqos-interface命令来显示统计结果。

但可是如果我配置的规则是DENY则不能下发。

【案例9】

请在全局配置模式下进行下列配置。

表1-7选择ACL模式

操作命令

选择ACL模式aclmode{12|13}

那么是说

缺省情况下，选择使用L3流分类规则。

那么是说5516不能同时使用2层和3层的acl吗？

换句话说是不是不能同时起用二层和三层的规则，如果已经配置了三层规则，又想再配置二

层规则，唯一的方法就是把三层规则取消掉？

【解答】

5516和6506不能同时使用2层和3层的acl。

不需要把三层规则取消掉，只需选择生效模式，硬件会自动选择二层或三层规则进行匹配。

【案例10】

路由器下面接6506，6506下面挂两个vlan，一边是学生，一边是老师，老师和学生的带宽

无论什么时候都各是2M。

也就是基于vlan的限速。

如果参看配置手册中下面的配置，实现起来应该没有什么问题吧。

（1）定义工资服务器向外发送的流量

[Quidway]aclnametraffic-of-payserveradvaneedip

#定义traffic-of-payserver这条高级访问控制列表的规则。

[Quidway-acl-adv-traffic-of-payserver]rule1permitipsource129.110.1.20.0.0.0destinationany

（2）对访问工资服务器的流量进行流量限制

#限制工资服务器向外发送报文的平均速率为20M。

[Quidway-Ethernet1/0/1]traffic-limitinboundip-grouptraffic-of-payserver20

【错误分析】6506实现的是出端口限速，请勿配置入端口限速。

规则实用案例:

rule0denyipdestination192.168.0.10禁止目标地址协议的192.168.0.1访问（封本地ip）

rule0denyipdestination192.168.0.00.0.0.255destinationany

规则编号0禁止ip来源192.168.0.0到所有目标地址（封封本地一个ip段,慎用）

rule0denyipsource192.168.0.00.0.0.255destinationany

规则编号0禁止ip来源192.168.0.0到所有目标地址（封外网一个ip段）

rule0denyipsource192.168.0.10

规则编号0禁止ip来源192.168.0.10（封外网ip）

rule0prrmitipsource192.168.0.10destinationany

允许所有ip来源192.168.0.1访问所有目标地址

rule0denytcpdestination192.168.0.10

禁止目标地址tcp协议的192.168.0.1访问（封本地ip）

rule0denytcpdestination192.168.0.10destination-porteq80

禁止目标地址tcp协议的ip192.168.0.1的目标端口等于80访问