华为交换中端产品 QACL 配置案例集由于芯片结构的原因,中端产品的 QACL 配置较复杂,给用户使用带来了一定的难度,用服人员维护起来有时也会较为棘手,经常会有用户和用服人员打电话过来咨询这方面的配置的使用,下面的配置案例全部取材于 6500 系列产品在使用中的实际配置,大多是客户的咨询, 其中一些还曾发生过网上问题。将这些东西进行总结,有利于我们更好的使用 6506。 【案例 1】我想实现办公网只有个别的机器(10.1.0.38)访问服务器 10.1.0.254,我进行了如下配置,但 10.1.0.38 依然无法访问服务器,6506 是不是不能实现这种需求啊。acl number 100 rule 0 permit ip sou 10.1.0.38 0 des 10.1.0.254 0 rule 1 deny ipint e2/0/1 pa ip in 100【问题分析】 这是个比较典型的错误,错误原因就是没有搞清 6506 的 acl 的其作用的顺序。在 6500系列产品上,是根据规则的下发时间顺序来决定起作用的顺序的,最近下发的规则我们认为是用户最新的需求,它会最新起作用。对于上面的配置,rule 0 先下发,rule 1 后下发,那么首先其作用的是 rule 1。这样会将所有的报文都过滤掉。【解决办法】 将两条规则的配置顺序对调。 【案例 2】我想禁止 210.31.12.0 0.0.1.255 访问任何网段的 ICMP 报文,但却无法实现,请帮忙检查一下。acl number 100 match-order auto rule 0 deny icmp source 210.31.12.0 0.0.1.255 rule 1 deny tcp source-port eq 135 destination-port eq 135 rule 2 deny tcp source-port eq 135 destination-port eq 139 rule 3 deny tcp source-port eq 135 destination-port eq 4444 rule 4 deny tcp source-port eq 135 destination-port eq 445 rule 5 deny udp source-port eq tftp destination-port eq tftp rule 6 deny tcp source-port eq 1025 rule 8 permit ip【问题分析】又是一个比较典型的错误,用户认为要想让交换机转发,必须配置类似 rule 8 的规则,其实这是不必要的,6506 缺省有一条 match all 表项,将交换机配置成转发模式,再配置一条,则覆盖了前面的所有规则。【解决办法】将最后一条规则去掉。 【案例 3】规则如下,要求只允许 10.89.0.0/16 访问 10.1.1.0,但配置后其他网段也可以访问了,请问是为什么?acl number 101 match-order auto rule...
