华为交换中端产品QACL配置案例集

1、华为交换换中端产产品QAACL配配置案例例集由于芯片片结构的的原因，中端产产品的QQACLL配置较较复杂，给用户户使用带带来了一一定的难难度，用用服人员员维护起起来有时时也会较较为棘手手，经常常会有用用户和用用服人员员打电话话过来咨咨询这方方面的配配置的使使用，下下面的配配置案例例全部取取材于665000系列产产品在使使用中的的实际配配置，大大多是客客户的咨咨询， 其中一些些还曾发发生过网网上问题题。将这这些东西西进行总总结，有有利于我我们更好好的使用用65006。【案例11】我想实现现办公网网只有个个别的机机器（8）访问服服务器544，我进进行了如如下

2、配置置，但8依依然无法法访问服服务器，65006是不不是不能能实现这这种需求求啊。acl nummberr 1000 rulle 00 peermiit iip ssou 10.1.00.388 00 ddes 10.1.00.2554 00 ruule 1 ddenyy ippint e2/0/11 paa ipp inn 1000【问题分分析】 这是是个比较较典型的的错误，错误原原因就是是没有搞搞清65506的的acll的其作作用的顺顺序。在在65000系列列产品上上，是根根据规则则的下发发时间顺顺序来决决定起作作用的顺顺序的，最近下下发的规规则我们们认为是是用户最最新

3、的需需求，它它会最新新起作用用。对于于上面的的配置，rulle 00先下发发，ruule 1后下下发，那那么首先先其作用用的是rrulee 1。这样会会将所有有的报文文都过滤滤掉。【解决办办法】 将两两条规则则的配置置顺序对对调。【案例22】我想禁止止2100.311.122.0 0.00.1.2555访问任任何网段段的ICCMP报报文，但但却无法法实现，请帮忙忙检查一一下。acl nummberr 1000 mmatcch-oordeer aautoorulle 00 deeny icmmp ssourrce 2100.311.122.0 0.00.1.2555rulle 11 deeny

4、tcpp soourcce-pportt eqq 1335 ddesttinaatioon-pportt eqq 1335rulle 22 deeny tcpp soourcce-pportt eqq 1335 ddesttinaatioon-pportt eqq 1339rulle 33 deeny tcpp soourcce-pportt eqq 1335 ddesttinaatioon-pportt eqq 44444rulle 44 deeny tcpp soourcce-pportt eqq 1335 ddesttinaatioon-pportt eqq 4445rulle 55 d

5、eeny udpp soourcce-pportt eqq tfftp desstinnatiion-porrt eeq ttftpprulle 66 deeny tcpp soourcce-pportt eqq 10025rulle 88 peermiit iip【问题分分析】又是一个个比较典典型的错错误，用用户认为为要想让让交换机机转发，必须配配置类似似rulle 88的规则则，其实实这是不不必要的的，65506缺缺省有一一条maatchh alll表项项，将交交换机配配置成转转发模式式，再配配置一条条，则覆覆盖了前前面的所所有规则则。【解决办办法】将最后一一条规则则去掉。【案例33】规则

6、如下下，要求求只允许许0/166访问，但但配置后后其他网网段也可可以访问问了，请请问是为为什么？acl nummberr 1001 mmatcch-oordeer aautoorulle 00 deeny ipacl nummberr 1002 mmatcch-oordeer aautoorulle 00 peermiit iip ssourrce 0 0.0.2255.2555 deestiinattionn 0 0.0.00.2555。inteerfaace Ethhernnet22/0/3desscriiptiio

7、n connnecctedd too 5llouporrt llinkk-tyype hybbriddporrt hhybrrid vlaan 11 taaggeedporrt hhybrrid vlaan 220 uuntaaggeedporrt hhybrrid pviid vvlann 200qosspacckett-fiilteer iinbooundd ipp-grroupp 1001 rrulee 0pacckett-fiilteer iinbooundd ipp-grroupp 1002 rrulee 0pacckett-fiilteer iinbooundd ipp-grrou

8、pp 1003 rrulee 0pacckett-fiilteer iinbooundd ipp-grroupp 1005 rrulee 2pacckett-fiilteer iinbooundd ipp-grroupp 1005 rrulee 3pacckett-fiilteer iinbooundd ipp-grroupp 1005 rrulee 5pacckett-fiilteer iinbooundd ipp-grroupp 1005 rrulee 6pacckett-fiilteer iinbooundd ipp-grroupp 1005 rrulee 4#【问题分分析】由于ACCL

9、1002的rrulee 0的的原因，只要是是从这个个网段上上来的报报文都会会匹配这这个规则则的前半半部分，但如果果它不是是访问110.889.00.0/16，它不会会匹配上上ACLL1022的ruule 0，本本来希望望它匹配配到ACCL1001的rrulee 0，但是由由于在硬硬件中iip ssourrce 0和ipp anny aany使使用的是是不同的的id，所以AACL1101的的rulle 00也不再再会被匹匹配到。那么报报文会匹匹配到最最后一条条缺省的的mattch alll表项，进行转转发。【解决办办法】把rulle 00 deeny ip变变成ruule 0

10、ddenyy ipp soourcce 110.889.00.0 0.00.2555.2255。【案例44】某银行当当每天造造成重起起65006后，发现有有部分网网段的用用户无法法访问病病毒服务务器（441和），将防防火墙配配置删除除后再下下发问题题消除。配置如如下：acl nummberr 1222desscriiptiion guookurulle 11 deeny ip souurcee anny ddesttinaatioon 112 015rulle 22 peermiit iip ssourrce 160 0.00.0.31 desstinnati

11、ion 112 0.00.0.15rulle 33 peermiit iip ssourrce 112 0.00.0.15 desstinnatiion 112 0.00.0.15rulle 44 peermiit iip ssourrce 208 0.00.0.7 ddesttinaatioon 112 015rulle 55 peermiit iip ssourrce 141 0.00.0.0 ddesttinaatioon 112 015 rulle 66 pe

12、ermiit iip ssourrce 2 0.0.00.0 desstinnatiion 112 0.00.0.15 rulle 77 peermiit iip ssourrce 11 0.0.00.0 desstinnatiion 112 0.00.0.15acl nummberr 1886rulle 11 peermiit iip ssourrce 0 0.0.00.2555 ddesttinaatioon aanyinteerfaace Ethhernnet11/0/48desscriip

13、tiion connnecct_tto_vvlann10000-rrouttertraaffiic-ppriooritty ooutbbounnd iip-ggrouup 1811 ddscpp 466traaffiic-ppriooritty ooutbbounnd iip-ggrouup 1822 ddscpp 344traaffiic-ppriooritty ooutbbounnd iip-ggrouup 1833 ddscpp 266traaffiic-ppriooritty ooutbbounnd iip-ggrouup 1844 ddscpp 188traaffiic-pprioo

14、ritty ooutbbounnd iip-ggrouup 1855 ddscpp 100traaffiic-ppriooritty ooutbbounnd iip-ggrouup 1866 ddscpp 0pacckett-fiilteer iinbooundd ipp-grroupp 1220 nnot-carre-ffor-intterffaceepacckett-fiilteer iinbooundd ipp-grroupp 1221 nnot-carre-ffor-intterffaceepacckett-fiilteer iinbooundd ipp-grroupp 1222 nn

15、ot-carre-ffor-intterffaceepacckett-fiilteer iinbooundd ipp-grroupp 1223 nnot-carre-ffor-intterffaceepacckett-fiilteer iinbooundd ipp-grroupp 1224 nnot-carre-ffor-intterffaceepacckett-fiilteer iinbooundd ipp-grroupp 1225 nnot-carre-ffor-intterffacee【问题分分析】当我们做做完配置置时，软软件对配配置进行行了相应应的记录录，我们们使用ssavee命令就就

16、可以将将这些记记录保存存在配置置文件中中，每次次启动后后按照此此记录的的顺序逐逐条下发发。由于于acll的功能能和下发发顺序密密切相关关，所以以软件上上应该能能够保证证启动后后的配置置顺序和和启动前前的顺序序一致性性。本问题出出在软件件在buuildd ruun时将将acll和qoos的顺顺序进行行了调整整，将qqos的的动作放放在了aacl的的动作之之后，相相当于人人为的提提高了qqos动动作的优优先级，重起后后造成了了部分aacl失失效。将将acll删除后后再下发发，再次次改变了了匹配顺顺序，aacl规规则生效效。由于于软件设设计时将将acll和qoos设计计成了两两个模块块，而bbuil

17、ld rrun的的各个模模块是独独立的，所以此此部分更更改起来来需要彻彻底更改改设计方方案，变变动实在在太大。【解决办办法】可以将qqos的的操作移移动到前前面的端端口来做做，由于于buiild runn的顺序序是按照照端口顺顺序来做做的，这这样qoos就会会先行下下发，aacl的的动作后后下发，避免了了覆盖的的发生。对于上面面的例子子，也可可以将aacl1186再再添加两两条如下下蓝色字字体的规规则，acl nummberr 1886 ruule 1 ppermmit ip souurcee 0255 desstinnatiion anyyrulee 5

18、perrmitt ipp soourcce 441 00 deestiinattionn 122 0.0.00.155 ruule 6 ppermmit ip souurcee 00 deestiinattionn 122 0.0.00.155【案例55】我这里用用户有这这样的一一个需求求，请帮帮我确定定一下应应如何配配置：核心使用用65006，边边缘节点点使用五五台35526EE（使用用二层），35526EE和65506之之间使用用truunk模模式，用用户分为为了7个个网段。vlann分别为为288，

19、用户户地址是是1922.1668.221.00277.0。考虑了网网络安全全，用户户需要如如下要求求：21.00：能够够访问iinteerneet网，但不能能访问其其他网段段；22.00：能够够访问其其他网段段，但不不能访问问intternnet网网；。21.00和222.0分分别属于于vlaan2和和3，这这两个网网段内的的用户都都通过一一个35526EE接到665066上，请请协助确确定如何何在65506上上使用访访问控制制策略。多谢。【解决方方案】1根据据需求的的字面意意思来配配置，思思路清晰晰，但比比较浪费费表项。2122 deeny2123 deeny2124 deeny 2125

20、deeny2126 deeny2127 deeny22anyy ddenyy2221 ppeimmit2223 ppeimmit2224 ppeimmit2225 ppeimmit2226 ppeimmit2227 ppermmit2对需需求进行行分析，将网段段加以合合并，可可以节省省表项。3和4聚聚合成AA：1992.1168.22.0/2235和8聚聚合成BB：1992.1168.24.0/222则需求可可以简化化成禁止止2访问问A和BB,只允允许A和和B可以以互访，禁止AA和B访访问其他他网段。denyy 2 to Adenyy 2 to Bdenyy A to anyydenyy B

21、to anyypermmit A tto AApermmit B tto BBpermmit A tto BB配置一个个acll即可：【案例66】我配置了了如下aacl，但下发发时提示示我配置置无法下下发，请请问是为为什么？acl nummberr 1000rulee 1 denny iip desstinnatiion 1922.1668.11.0 0.00.0.2555rulee 111 deeny ip deestiinattionn 1992.1168.0.00 0.0.00.2555rulee 288 peermiit iip ssourrce anyy deestiinattion

22、n 1992.1168.0.00 0.0.00.2555【问题分分析】 规则则11和和28是是同一条条规则，虽然动动作不同同，软件件禁止同同一条规规则重复复下发。【解决办办法】如果想下下发后一一条规则则，应首首先删除除头一条条。【案例77】用户配置置访问列列表禁止止某一网网段在周周一至周周五禁止止上互联联网，在在这一网网段中的的两个iip不受受限，在在运行半半天后，不受限限的两个个ip无无法访问问intternnet。即accl中的的perrmitt失效，denny还起起作用。不做AACL的的网段转转发没有有问题，00330（包包括此版版本）版版本以下下都有此此问题。访问列表表需求如如下：有2

23、个网网段1992.1168.21.0/224 1992.1168.22.0/224在22台30050（分别千千兆上连连到65506）上，现现要求周周一到周周五不能能访问互互联网，但其中中的1992.1168.21/22.9和1192.1688.211/222.100却不受受限制。 我在在65006上做做了2种种配置均均可实现现以上功功能（运运行1/2天以以后必须须重起665066） 第一一种是在在30550上连连到65506的的光纤口口上做访访问列表表第二种是是在65506连连接路由由器的电电口上做做访问列列表（在在这个口口上是为为了考虑虑2个网网段访问问内网方方便-即即访问列列表简单单）ac

24、l nummberr 1001 rrulee 0 denny iip ssourrce 1922.1668.221.00 0.0.00.2555 ttimee-raangee sttuneet rulee 1 perrmitt ipp soourcce 1192.1688.211.0 0.00.0.2555 deestiinattionn 1992.1168.31.0 0255 rulee 2 perrmitt ipp soourcce 1192.1688.211.100 0 rrulee 3 perrmitt ipp soourcce 1192.1688.211.9 0 acl

25、 nummberr 1002 rrulee 0 denny iip ssourrce 1922.1668.222.00 0.0.00.2555 ttimee-raangee sttuneet rrulee 1 perrmitt ipp soourcce 1192.1688.222.0 0.00.0.2555 deestiinattionn 1992.1168.31.0 0255 rrulee 2 perrmitt ipp soourcce 1192.1688.222.100 0 rrulee 3 perrmitt ipp soourcce 1192.1688.222.9 0 ti

26、mee-raangee sttuneet 008:000 tto 222:000 wworkkingg-daay #【问题分分析】防火墙可可以配置置时间段段，这样样规则就就可以在在一段规规定的时时间内发发生作用用。这是是对防火火墙功能能的进一一步提升升。交换机的的时间段段功能是是通过软软件中的的定时器器在规定定的时间间段范围围内下发发到硬件件中来完完成的，在其他他时间硬硬件中没没有配置置带有时时间段的的acll。当在在规定的的时间段段之外，软件会会将规则则从硬件件中删除除，到达达时间后后再次下下发。但但这里会会存在一一个问题题，就是是我们已已经默认认后下发发的规则则优先，这就人人为的提提供了带

27、带有时间间段的规规则的优优先级。以至使使得其它它不带有有时间段段的规则则失效。上面的的问题就就是一例例。【解决办办法】将同一条条acll的所有有规则都都配上相相同的时时间段。【案例88】用户反映映，配置置了访问问控制列列表后不不知道如如何查看看是否有有匹配上上该规则则的机器器。应该该如何查查看呢？【解答】可以配置置流统计计来实现现这个功功能。命命令为接接口模式式下配置置traaffiic-sstatticss。然后使用用diss qoos-iinteerfaace命命令来显显示统计计结果。但可是如如果我配配置的规规则是DDENYY则不能能下发。【案例99】可以通过过下面的的命令来来选择使使用L

28、22或L33模式的的流分类类规则。请在全局局配置模模式下进进行下列列配置。表1-77 选择择ACLL模式操作 命令令选择ACCL模式式 accl mmodee l2 | ll3 那么是说说缺省情况况下，选选择使用用L3流流分类规规则。那么是说说55116不能能同时使使用2层层和3层层的accl吗？换句话说说是不是是不能同同时起用用二层和和三层的的规则，如果已已经配置置了三层层规则，又想再再配置二二层规则则，唯一一的方法法就是把把三层规规则取消消掉？【解答】55166和65506不不能同时时使用22层和33层的aacl。不需要把把三层规规则取消消掉，只只需选择择生效模模式，硬硬件会自自动选择择二

29、层或或三层规规则进行行匹配。【案例110】路由器下下面接665066，65506下下面挂两两个vllan，一边是是学生，一边是是老师，老师和和学生的的带宽无无论什么么时候都都各是22M。也也就是基基于vllan的的限速。如果参看看配置手手册中下下面的配配置，实实现起来来应该没没有什么么问题吧吧。(1) 定义工工资服务务器向外外发送的的流量 Quuidwway accl nnamee trrafffic-of-payyserrverr addvanncedd ipp# 定义义traaffiic-oof-ppaysservver这这条高级级访问控控制列表表的规则则。Quiidwaay-aacl-advv-trrafffic-of-payyserrverr rrulee 1 perrmitt ipp soourcce 1129.1100.1.2 00 deestiinatti