华为交换中端产品QACL配置案例集

1、华为交换中端产品QACL配置案例集由于芯片结构的原因，中端产品的QACL配置较复杂，给用户使用带来了一定的难度，用服人员维护起来有时也会较为棘手，经常会有用户和用服人员打电话过来咨询这方面的配置的使用，下面的配置案例全部取材于6500系列产品在使用中的实际配置，大多是客户的咨询， 其中一些还曾发生过网上问题。将这些东西进行总结，有利于我们更好的使用6506。【案例1】我想实现办办公网只只有个别别的机器器（38）访访问服务务器254，我我进行了了如下配配置，但但10.1.00.388依然无无法访问问服务器器，65506是是不是不不能实现现这种需需求啊。acl

2、nnumbber 1000 rrulee 0 perrmitt ipp soou 8 0 dees 544 0 rulle 11 deeny ipint ee2/00/1 pa ip in 1000【问题分析析】 这是个个比较典典型的错错误，错错误原因因就是没没有搞清清65006的aacl的的其作用用的顺序序。在665000系列产产品上，是是根据规规则的下下发时间间顺序来来决定起起作用的的顺序的的，最近近下发的的规则我我们认为为是用户户最新的的需求，它它会最新新起作用用。对于于上面的的配置，rrulee 0先先下发，rrulee 1后后下发，那那么首先先

3、其作用用的是rrulee 1。这这样会将将所有的的报文都都过滤掉掉。【解决办法法】 将两条条规则的的配置顺顺序对调调。【案例2】我想禁止2 0255访访问任何何网段的的ICMMP报文文，但却却无法实实现，请请帮忙检检查一下下。acl nnumbber 1000 maatchh-orrderr auutorulee 0 denny iicmpp soourcce 2 0255rulee 1 denny ttcp souurcee-poort eq 1355 deestiinattionn-poort eq 1355rulee

4、 2 denny ttcp souurcee-poort eq 1355 deestiinattionn-poort eq 1399rulee 3 denny ttcp souurcee-poort eq 1355 deestiinattionn-poort eq 44444rulee 4 denny ttcp souurcee-poort eq 1355 deestiinattionn-poort eq 4455rulee 5 denny uudp souurcee-poort eq tfttp ddesttinaatioon-pportt eqq tfftprulee 6 denny tt

5、cp souurcee-poort eq 10225rulee 8 perrmitt ipp【问题分析析】又是一个比比较典型型的错误误，用户户认为要要想让交交换机转转发，必必须配置置类似rrulee 8的的规则，其其实这是是不必要要的，665066缺省有有一条mmatcch aall表表项，将将交换机机配置成成转发模模式，再再配置一一条，则则覆盖了了前面的的所有规规则。【解决办法法】将最后一条条规则去去掉。【案例3】规则如下，要要求只允允许100.899.0.0/116访问问，但但配置后后其他网网段也可可以访问问了，请请问是为为什么？acl nnumbber 1011 maa

6、tchh-orrderr auutorulee 0 denny iipacl nnumbber 1022 maatchh-orrderr auutorulee 0 perrmitt ipp soourcce 110.889.00.0 0.00.2555.2255 desstinnatiion 0.00.0.2555。interrfacce EEtheerneet2/0/33desccripptioon cconnnectted to 5loouportt liink-typpe hhybrridportt hyybriid vvlann 1 tagggeddportt hy

7、ybriid vvlann 200 unntagggeddportt hyybriid ppvidd vllan 20qospackket-fillterr innbouund ip-grooup 1011 ruule 0packket-fillterr innbouund ip-grooup 1022 ruule 0packket-fillterr innbouund ip-grooup 1033 ruule 0packket-fillterr innbouund ip-grooup 1055 ruule 2packket-fillterr innbouund ip-grooup 1055

8、ruule 3packket-fillterr innbouund ip-grooup 1055 ruule 5packket-fillterr innbouund ip-grooup 1055 ruule 6packket-fillterr innbouund ip-grooup 1055 ruule 4#【问题分析析】由于ACLL1022的ruule 0的原原因，只只要是从从这个网网段上来来的报文文都会匹匹配这个个规则的的前半部部分，但但如果它它不是访访问100.899.0.0/116，它它不会匹匹配上AACL1102的的rulle 00，本来来希望它它匹配到到ACLL1011的ruule

9、 0，但但是由于于在硬件件中ipp soourcce 110.889.00.0和和ip anyy anny使用用的是不不同的iid，所所以ACCL1001的rrulee 0也也不再会会被匹配配到。那那么报文文会匹配配到最后后一条缺缺省的mmatcch aall表表项，进进行转发发。【解决办法法】把rulee 0 denny iip变成成rulle 00 deeny ip souurcee 100.899.0.0 00.0.2555.2555。【案例4】某银行当每每天造成成重起665066后，发发现有部部分网段段的用户户无法访访问病毒毒服务器器（411和）

10、，将将防火墙墙配置删删除后再再下发问问题消除除。配置置如下：acl nnumbber 1222desccripptioon gguokkurulee 1 denny iip ssourrce anyy deestiinattionn 122 0.0.00.155rulee 2 perrmitt ipp soourcce 660 031 ddesttinaatioon 112 015rulee 3 perrmitt ipp soourcce 112 015 ddesttinaatioon 112 015rulee 4 p

11、errmitt ipp soourcce 008 07 deestiinattionn 122 0.0.00.155rulee 5 perrmitt ipp soourcce 441 00 deestiinattionn 122 0.0.00.155 rulee 6 perrmitt ipp soourcce 0.00.0.0 ddesttinaatioon 112 015 rulee 7 perrmitt ipp soourcce 1 0.00.0.0 ddesttinaatioon 112

12、 015acl nnumbber 1866rulee 1 perrmitt ipp soourcce 0.00.0.2555 deestiinattionn annyinterrfacce EEtheerneet1/0/448desccripptioon cconnnectt_too_vllan110000-roouteertraffficc-prriorrityy ouutbooundd ipp-grroupp 1181 dsscp 46traffficc-prriorrityy ouutbooundd ipp-grroupp 1182 dsscp 34traffficc-pr

13、riorrityy ouutbooundd ipp-grroupp 1183 dsscp 26traffficc-prriorrityy ouutbooundd ipp-grroupp 1184 dsscp 18traffficc-prriorrityy ouutbooundd ipp-grroupp 1185 dsscp 10traffficc-prriorrityy ouutbooundd ipp-grroupp 1186 dsscp 0packket-fillterr innbouund ip-grooup 1200 noot-ccaree-foor-iinteerfaacepackke

14、t-fillterr innbouund ip-grooup 1211 noot-ccaree-foor-iinteerfaacepackket-fillterr innbouund ip-grooup 1222 noot-ccaree-foor-iinteerfaacepackket-fillterr innbouund ip-grooup 1233 noot-ccaree-foor-iinteerfaacepackket-fillterr innbouund ip-grooup 1244 noot-ccaree-foor-iinteerfaacepackket-fillterr innbo

15、uund ip-grooup 1255 noot-ccaree-foor-iinteerfaace【问题分析析】当我们做完完配置时时，软件件对配置置进行了了相应的的记录，我我们使用用savve命令令就可以以将这些些记录保保存在配配置文件件中，每每次启动动后按照照此记录录的顺序序逐条下下发。由由于accl的功功能和下下发顺序序密切相相关，所所以软件件上应该该能够保保证启动动后的配配置顺序序和启动动前的顺顺序一致致性。本问题出在在软件在在buiild runn时将aacl和和qoss的顺序序进行了了调整，将将qoss的动作作放在了了acll的动作作之后，相相当于人人为的提提高了qqos动动作的优优

16、先级，重重起后造造成了部部分accl失效效。将aacl删删除后再再下发，再再次改变变了匹配配顺序，aacl规规则生效效。由于于软件设设计时将将acll和qoos设计计成了两两个模块块，而bbuilld rrun的的各个模模块是独独立的，所所以此部部分更改改起来需需要彻底底更改设设计方案案，变动动实在太太大。【解决办法法】可以将qoos的操操作移动动到前面面的端口口来做，由由于buuildd ruun的顺顺序是按按照端口口顺序来来做的，这这样qoos就会会先行下下发，aacl的的动作后后下发，避避免了覆覆盖的发发生。对于上面的的例子，也也可以将将acll1866再添加加两条如如下蓝色色字体的的规

17、则，acl nnumbber 1866 rulle 11 peermiit iip ssourrce 0 0.0.00.2555 ddesttinaatioon aanyrule 5 ppermmit ip souurcee 411 0.0.00.0 desstinnatiion 112 0.00.0.15 rulle 66 peermiit iip ssourrce 2 0.0.00.0 desstinnatiion 112 0.00.0.15【案例5】我这里用户户有这样样的一个个需求，请请帮

18、我确确定一下下应如何何配置：核心使用665066，边缘缘节点使使用五台台35226E（使使用二层层），335266E和665066之间使使用trrunkk模式，用用户分为为了7个个网段。vlan分分别为228，用用户地址址是1992.1168.21.0227.00。考虑了网络络安全，用用户需要要如下要要求：21.0：能够访访问innterrnett网，但但不能访访问其他他网段；22.0：能够访访问其他他网段，但但不能访访问innterrnett网；。21.0和和22.0分别别属于vvlann2和33，这两两个网段段内的用用户都通通过一个个35226E接接到65506上上，请协协助确定定如何在在

19、65006上使使用访问问控制策策略。多谢。【解决方案案】1根据需需求的字字面意思思来配置置，思路路清晰，但但比较浪浪费表项项。21222 denny21223 denny21224 denny 21225 denny21226 denny21227 denny22aany deeny22221 peeimiit22223 peeimiit22224 peeimiit22225 peeimiit22226 peeimiit22227 peermiit2对需求求进行分分析，将将网段加加以合并并，可以以节省表表项。3和4聚合合成A：1922.1668.222.00/2335和8聚合合成B：1922.

20、1668.224.00/222则需求可以以简化成成禁止22访问AA和B,只允许许A和BB可以互互访，禁禁止A和和B访问问其他网网段。deny 2 tto AAdeny 2 tto BBdeny A tto aanydeny B tto aanypermiit AA too Apermiit BB too Bpermiit AA too B配置一个aacl即即可：【案例6】我配置了如如下accl，但但下发时时提示我我配置无无法下发发，请问问是为什什么？acl nnumbber 1000rule 1 ddenyy ipp ddesttinaatioon 1192.1688.1.0 0

21、255rule 11 denny iip desstinnatiion 1922.1668.00.0 0.00.0.2555rule 28 perrmitt ipp soourcce aany desstinnatiion 1922.1668.00.0 0.00.0.2555【问题分析析】 规则111和228是同同一条规规则，虽虽然动作作不同，软软件禁止止同一条条规则重重复下发发。【解决办法法】如果想下发发后一条条规则，应应首先删删除头一一条。【案例7】用户配置访访问列表表禁止某某一网段段在周一一至周五五禁止上上互联网网，在这这一网段段中的两两个ipp不受限限，在运运行半天天后，不不受限的的两

22、个iip无法法访问iinteerneet。即即acll中的ppermmit失失效，ddenyy还起作作用。不不做ACCL的网网段转发发没有问问题，000300（包括括此版本本）版本本以下都都有此问问题。访问列表需需求如下下：有2个网段段1922.1668.221.00/244 1922.1668.222.00/244在2台台30550（分分别千兆兆上连到到65006）上上，现要要求周一一到周五五不能访访问互联联网，但但其中的的1922.1668.221/222.99和1992.1168.21/22.10却却不受限限制。 我在665066上做了了2种配配置均可可实现以以上功能能（运行行1/22天

23、以后后必须重重起65506） 第一种种是在330500上连到到65006的光光纤口上上做访问问列表第二种是在在65006连接接路由器器的电口口上做访访问列表表（在这这个口上上是为了了考虑22个网段段访问内内网方便便-即访访问列表表简单）acl nnumbber 1011 ruule 0 ddenyy ipp soourcce 1192.1688.211.0 0.00.0.2555 tiime-rannge stuunett rule 1 ppermmit ip souurcee 1992.1168.21.0 0255 desstinnatiion 1922.1668.331.00

24、 0.0.00.2555 rule 2 ppermmit ip souurcee 1992.1168.21.10 0 ruule 3 ppermmit ip souurcee 1992.1168.21.9 00 acl nnumbber 1022 ruule 0 ddenyy ipp soourcce 1192.1688.222.0 0.00.0.2555 tiime-rannge stuunett ruule 1 ppermmit ip souurcee 1992.1168.22.0 0255 desstinnatiion 1922.1668.331.00 0.0.00.255

25、5 ruule 2 ppermmit ip souurcee 1992.1168.22.10 0 ruule 3 ppermmit ip souurcee 1992.1168.22.9 00 time-rannge stuunett 088:000 too 222:000 woorkiing-dayy #【问题分析析】防火墙可以以配置时时间段，这这样规则则就可以以在一段段规定的的时间内内发生作作用。这这是对防防火墙功功能的进进一步提提升。交换机的时时间段功功能是通通过软件件中的定定时器在在规定的的时间段段范围内内下发到到硬件中中来完成成的，在在其他时时间硬件件中没有有配置带带有时间间段的aac

26、l。当当在规定定的时间间段之外外，软件件会将规规则从硬硬件中删删除，到到达时间间后再次次下发。但但这里会会存在一一个问题题，就是是我们已已经默认认后下发发的规则则优先，这这就人为为的提供供了带有有时间段段的规则则的优先先级。以以至使得得其它不不带有时时间段的的规则失失效。上上面的问问题就是是一例。【解决办法法】将同一条aacl的的所有规规则都配配上相同同的时间间段。【案例8】用户反映，配配置了访访问控制制列表后后不知道道如何查查看是否否有匹配配上该规规则的机机器。应应该如何何查看呢呢？【解答】可以配置流流统计来来实现这这个功能能。命令令为接口口模式下下配置ttraffficc-sttatiic

27、s。然后使用ddis qoss-innterrfacce命令令来显示示统计结结果。但可是如果果我配置置的规则则是DEENY则则不能下下发。【案例9】可以通过下下面的命命令来选选择使用用L2或或L3模模式的流流分类规规则。请在全局配配置模式式下进行行下列配配置。表1-7 选择AACL模模式操作 命令选择ACLL模式 acll moode ll2 | l33 那么是说缺省情况下下，选择择使用LL3流分分类规则则。那么是说555166不能同同时使用用2层和和3层的的acll吗？换句话说是是不是不不能同时时起用二二层和三三层的规规则，如如果已经经配置了了三层规规则，又又想再配配置二层层规则，唯唯一的方

28、方法就是是把三层层规则取取消掉？【解答】5516和和65006不能能同时使使用2层层和3层层的accl。不需要把三三层规则则取消掉掉，只需需选择生生效模式式，硬件件会自动动选择二二层或三三层规则则进行匹匹配。【案例100】路由器下面面接65506，665066下面挂挂两个vvlann，一边边是学生生，一边边是老师师，老师师和学生生的带宽宽无论什什么时候候都各是是2M。也也就是基基于vllan的的限速。如果参看配配置手册册中下面面的配置置，实现现起来应应该没有有什么问问题吧。(1) 定定义工资资服务器器向外发发送的流流量 Quiidwaay acll naame traaffiic-oof-ppaysservver advvancced ip# 定义ttraffficc-off-paayseerveer这条条高级访访问控制制列表的的规则。Quiddwayy-accl-aadv-traaffiic-oof-ppaysservver ruule 1 ppermmit ip souurcee 1229.1110.1.22 0.0.00.0 desstinnatiion anyy (2) 对对访问工工资