华为交换中端产品QACL配置案例集

华为交换中端产品 QACL 配置案例集由于芯片结构的原因，中端产品的 QACL 配置较复杂，给用户使用带来了一定的难度，用服人员维护起来有时也会较为棘手，经常会有用户和用服人员打电话过来咨询这方面的配置的使用，下面的配置案例全部取材于 6500 系列产品在使用中的实际配置，大多是客户的咨询， 其中一些还曾发生过网上问题。将这些东西进行总结，有利于我们更好的使用 6506。 【案例 1】我想实现办公网只有个别的机器（10.1.0.38）访问服务器 10.1.0.254，我进行了如下配置，但 10.1.0.38 依然无法访问服务器，6506 是不是不能实现这种需求啊。acl number 100 rule 0 permit ip sou 10.1.0.38 0 des 10.1.0.254 0 rule 1 deny ipint e2/0/1 pa ip in 100【问题分析】 这是个比较典型的错误，错误原因就是没有搞清 6506 的 acl 的其作用的顺序。在 6500系列产品上，是根据规则的下发时间顺序来决定起作用的顺序的，最近下发的规则我们认为是用户最新的需求，它会最新起作用。对于上面的配置，rule 0 先下发，rule 1 后下发，那么首先其作用的是 rule 1。这样会将所有的报文都过滤掉。【解决办法】 将两条规则的配置顺序对调。 【案例 2】我想禁止 210.31.12.0 0.0.1.255 访问任何网段的 ICMP 报文，但却无法实现，请帮忙检查一下。acl number 100 match-order auto rule 0 deny icmp source 210.31.12.0 0.0.1.255 rule 1 deny tcp source-port eq 135 destination-port eq 135 rule 2 deny tcp source-port eq 135 destination-port eq 139 rule 3 deny tcp source-port eq 135 destination-port eq 4444 rule 4 deny tcp source-port eq 135 destination-port eq 445 rule 5 deny udp source-port eq tftp destination-port eq tftp rule 6 deny tcp source-port eq 1025 rule 8 permit ip【问题分析】又是一个比较典型的错误，用户认为要想让交换机转发，必须配置类似 rule 8 的规则，其实这是不必要的，6506 缺省有一条 match all 表项，将交换机配置成转发模式，再配置一条，则覆盖了前面的所有规则。【解决办法】将最后一条规则去掉。 【案例 3】规则如下，要求只允许 10.89.0.0/16 访问 10.1.1.0，但配置后其他网段也可以访问了，请问是为什么？acl number 101 match-order auto rule...