网络故障排除培训讲义课件

网络故障排除网络故障排除1目录第一章VLAN原理及基本配置第二章ACL原理及基本配置第三章常用维护方法和命令第四章案例分析目录第一章VLAN原理及基本配置2VLAN的产生原因－广播风暴……广播传统的以太网是广播型网络，网络中的所有主机通过HUB或交换机相连，处在同一个广播域中VLAN的产生原因－广播风暴……广播传统的以太网是广播型网络3通过路由器隔离广播域路由器……广播通过路由器隔离广播域路由器……广播4通过VLAN划分广播域BroadcastDomain1VLAN10BroadcastDomain2VLAN20BroadcastDomain3VLAN30市场部工程部财务部通过VLAN划分广播域BroadcastDomain1B5以太网端口的链路类型Accesslink：只能允许某一个VLAN的untagged数据流通过。Trunklink：允许多个VLAN的tagged数据流和某一个VLAN的untagged数据流通过。Hybridlink：允许多个VLAN的tagged数据流和多个VLAN的untagged数据流通过。Hybrid端口可以允许多个VLAN的报文发送时不携带标签，而Trunk端口只允许缺省VLAN的报文发送时不携带标签。三种类型的端口可以共存在一台设备上以太网端口的链路类型Accesslink：只能允许某一个V6AccessLink和TrunkLinkAccesslinkTrunklinkAccessLink和TrunkLinkAccessl7TrunkLink和VLANVLAN10VLAN2VLAN10VLAN3VLAN2VLAN10VLAN5VLAN5VLAN2VLAN5广播报文发送TrunkLinkTrunkLink和VLANVLAN10VLAN2VLAN8VLAN2VLAN3VLAN3VLAN2带有VLAN3标签的以太网帧带有VLAN2标签的以太网帧不带VLAN标签的以太网帧数据帧在网络通信中的变化VLAN2VLAN3VLAN3VLAN2带有VLAN3标签的9第一章VLAN原理及基本配置第二章ACL原理及基本配置第三章常用维护方法和命令第四章案例分析目录第一章VLAN原理及基本配置目录10ACL访问控制列表为了过滤通过网络设备的数据包，需要配置一系列的匹配规则，以识别需要过滤的对象。在识别出特定的对象之后，网络设备才能根据预先设定的策略允许或禁止相应的数据包通过。访问控制列表（AccessControlList，ACL）就是用来实现这些功能。ACL通过一系列的匹配条件对数据包进行分类，这些条件可以是数据包的源地址、目的地址、端口号等。ACL可应用在交换机全局或端口上，交换机根据ACL中指定的条件来检测数据包，从而决定是转发还是丢弃该数据包。ACL访问控制列表为了过滤通过网络设备的数据11以太网访问列表主要作用:在整个网络中分布实施接入安全性Internet服务器部门

A部门

BIntranet以太网访问列表主要作用:在整个网络中分布实施接入安全性Int访问控制列表ACL对到达端口的数据包进行分类，并打上不同的动作标记访问列表作用于交换机的所有端口访问列表的主要用途：包过滤镜像流量限制流量统计分配队列优先级访问控制列表ACL对到达端口的数据包进行分类，并打上不同的动13流分类通常选择数据包的包头信息作为流分类项2层流分类项以太网帧承载的数据类型源/目的MAC地址以太网封装格式VlanID入/出端口3/4层流分类项协议类型源/目的IP地址源/目的端口号DSCP流分类通常选择数据包的包头信息作为流分类项14IP数据包过滤IPheaderTCPheaderApplication-levelheaderData应用程序和数据源/目的端口号源/目的IP地址L3/L4过滤应用网关TCP/IP包过滤元素IP数据包过滤IPheaderTCPheaderApp15访问控制列表的构成Rule（访问控制列表的子规则）Time-range（时间段机制）ACL=rules[+time-range]（访问控制列表由一系列规则组成，有必要时会和时间段结合）访问控制列表策略:ACL1策略:ACL2策略:ACL3...策略:ACLN访问控制列表的构成Rule（访问控制列表的子规则）访问控制列16时间段的相关配置在系统视图下，配置时间段:time-rangetime-name[start-timetoend-time][days-of-the-week][fromstart-date][toend-date]

在系统视图下，删除时间段:undotime-rangetime-name[start-timetoend-time][days-of-the-week][fromstart-date][toend-date]

假设管理员需要在从2002年12月1日上午8点到2003年1月1日下午18点的时间段内实施安全策略，可以定义时间段名为denytime，具体配置如下:[System]time-rangedenytimefrom8:0012-01-2002to18:0001-01-2003

时间段的相关配置在系统视图下，配置时间段:假设管理员需要在从17访问控制列表的类型2000～2999：表示基本ACL。只根据数据包的源IP地址制定规则。3000～3999：表示高级ACL（3998与3999是系统为集群管理预留的编号，用户无法配置）。根据数据包的源IP地址、目的IP地址、IP承载的协议类型、协议特性等三、四层信息制定规则。4000～4999：表示二层ACL。根据数据包的源MAC地址、目的MAC地址、802.1p优先级、二层协议类型等二层信息制定规则。5000～5999：表示用户自定义ACL。以数据包的头部为基准，指定从第几个字节开始与掩码进行“与”操作，将从报文提取出来的字符串和用户定义的字符串进行比较，找到匹配的报文。访问控制列表的类型2000～2999：表示基本ACL。只根据18定义访问控制列表在系统视图下，定义ACL并进入访问控制列表视图:acl{numberacl-number|nameacl-namebasic|advanced|interface|link}[match-order{config|auto}]在系统视图下，删除ACL:undoacl{numberacl-number|nameacl-name|all}

定义访问控制列表在系统视图下，定义ACL并进入访问控制列表19基本访问控制列表的规则配置在基本访问控制列表视图下，配置相应的规则rule[rule-id]{permit|deny}[sourcesource-addrsource-wildcard|any][fragment][time-rangetime-range-name]

在基本访问控制列表视图下，删除一条子规则undorulerule-id[source][fragment][time-range]基本访问控制列表的规则配置在基本访问控制列表视图下，配置相应20高级访问控制列表的规则配置在高级访问控制列表视图下，配置相应的规则rule[rule-id]{permit|deny}protocol[sourcesource-addrsource-wildcard|any][destinationdest-addrdest-mask|any][soure-portoperatorport1[port2]][destination-portoperatorport1[port2]][icmp-typeicmp-type

icmp-code][established][precedenceprecedence][tostos]|[dscpdscp][fragment][time-rangetime-range-name]

在高级访问控制列表视图下，删除一条子规则undorulerule-id[source][destination][soure-port][destination-port][precedence][tos]|[dscp][fragment][time-range]

高级访问控制列表的规则配置在高级访问控制列表视图下，配置相应21端口操作符及语法TCP/UDP协议支持的端口操作符及语法操作符及语法含义eqportnumber等于portnumbergtportnumber大于portnumberltportnumber小于portnumberneqportnumber不等于portnumberrangeportnumber1portnumber2介于端口号portnumber1和portnumber2之间端口操作符及语法TCP/UDP协议支持的端口操作符及语法操作接口访问控制列表的规则配置在接口访问控制列表视图下，配置相应的规则rule[rule-id]{permit|deny}[interface{interface-name|interface-type

interface-num|any}][time-rangetime-range-name]

在接口访问控制列表视图下，删除一条子规则undorulerule-id接口访问控制列表的规则配置在接口访问控制列表视图下，配置相应23二层访问控制列表的规则配置在二层访问控制列表视图下，配置相应的规则rule[rule-id]

{permit|deny}[protocol][cosvlan-pri]ingress{{[source-vlan-id][source-mac-addr

source-mac-wildcard][interface{interface-name|interface-typeinterface-num}]}|any}egress{{[dest-mac-addr

dest-mac-wildcard][interface{interface-name|interface-typeinterface-num}]}|any}[time-rangetime-range-name]

在二层访问控制列表视图下，删除一条子规则undorulerule-id二层访问控制列表的规则配置在二层访问控制列表视图下，配置相应24自定义访问控制列表的规则配置在自定义访问控制列表视图下，配置相应的规则rule[rule-id]{permit|deny}{rule-string

rule-mask

offset}&<1-20>[time-rangetime-range-name]

在自定义访问控制列表视图下，删除一条子规则undorulerule-id用户自定义访问控制列表的数字标识取值范围为5000～5999自定义访问控制列表的规则配置在自定义访问控制列表视图下，配置25规则匹配原则一条访问控制列表往往会由多条规则组成，这样在匹配一条访问控制列表的时候就存在匹配顺序的问题。在华为系列交换机产品上，支持下列两种匹配顺序：Config：指定匹配该规则时按用户的配置顺序（后下发先生效）Auto：指定匹配该规则时系统自动排序（按“深度优先”的顺序）规则匹配原则一条访问控制列表往往会由多条规则组成，这样在匹配26激活访问控制列表在系统视图下，激活ACL:packet-filter{user-group{acl-number|acl-name}[rulerule]|{[ip-group{acl-number|acl-name}[rulerule]][link-group{acl-number|acl-name}[rulerule]]}}

在系统视图下，取消激活ACL:undopacket-filter{user-group{acl-number|acl-name}[rulerule]|{[ip-group{acl-number|acl-name}[rulerule]][link-group{acl-number|acl-name}[rulerule]]}}

激活访问控制列表在系统视图下，激活ACL:27配置ACL进行包过滤的步骤综上所述，在System交换机上配置ACL进行包过滤的步骤如下：配置时间段（可选）定义访问控制列表（四种类型：基本、高级、基于接口、基于二层和用户自定义）激活访问控制列表配置ACL进行包过滤的步骤综上所述，在System交换机上配28访问控制列表配置举例一要求配置高级ACL，禁止员工在工作日8:00～18:00的时间段内访问新浪网站（61.172.201.194）1.定义时间段[System]time-rangetest8:00to18:00working-day2.定义高级ACL3000，配置目的IP地址为新浪网站的访问规则。[System]aclnumber3000[System-acl-adv-3000]rule1denyipdestination61.172.201.1940time-rangetest3.在端口Ethernet1/0/15上应用ACL3000。[System]interfaceEthernet1/0/15[System-Ethernet1/0/15]packet-filterinboundip-group3000访问控制列表配置举例一要求配置高级ACL，禁止员工在工作日829访问控制列表配置举例二配置防病毒ACL1.定义高级ACL3000[System]aclnumber3000[System-acl-adv-3000]rule1denyudpdestination-porteq335[System-acl-adv-3000]rule3denytcpsource-porteq3365[System-acl-adv-3000]rule4denyudpsource61.22.3.00.0.0.255destination-porteq38752.在端口Ethernet1/0/1上应用ACL3000[System-Ethernet1/0/1]packet-filterinboundip-group3000访问控制列表配置举例二配置防病毒ACL30第一章VLAN原理及基本配置第二章ACL原理及基本配置第三章常用维护方法和命令第四章案例分析目录第一章VLAN原理及基本配置目录31故障排除常用方法分层故障排除法分块故障排除法分段故障排除法替换法故障排除常用方法分层故障排除法32分层故障排除法。。。。物理层数据链路层网络层所有的技术都是分层的！关注电缆、连接头、信号电平、编码、时钟和组帧

关注封装协议和相关参数、链路利用率等关注地址分配、路由协议参数等分层故障排除法。。。。物理层数据链路层网络层所有的技33分块故障排除法配置文件分为以下部分：管理部分（路由器名称、口令、服务、日志等）端口部分（地址、封装、cost、认证等）路由协议部分（静态路由、RIP、OSPF、BGP、路由引入等）策略部分（路由策略、策略路由、安全配置等）接入部分（主控制台、Telnet登录或哑终端、拨号等）其他应用部分（语言配置、VPN配置、Qos配置等）分块故障排除法配置文件分为以下部分：34分段故障排除法网络分为若干段，逐段测试，缩小故障范围，逐段定位网络故障，并排除。中继线路ModemModemModemModemDDN节点DDN节点分段故障排除法网络分为若干段，逐段测试，缩小故障范围，逐段定35网络连通性测试命令操作命令说明检查IP网络中的指定地址是否可达ping[ip][-a

source-ip|-c

count|-f|-h

ttl|-i

interface-typeinterface-number|-m

interval|-n|-p

pad|-q|-r|-s

packet-size|-t

timeout|-tos

tos|-v|-vpn-instancevpn-instance-name]*remote-system可选网络层协议为IPv4时使用可在任意视图下执行pingipv6[-a

source-ipv6|-c

count|-m

interval|-s

packet-size|-t

timeout]*remote-system[-i

interface-typeinterface-number]可选网络层协议为IPv6时使用可在任意视图下执行查看当前设备到目的设备的路由tracert[-a

source-ip|-f

first-ttl|-m

max-ttl|-p

port|-q

packet-number|-vpn-instance

vpn-instance-name|-w

timeout]*remote-system可选网络层协议为IPv4时使用可在任意视图下执行tracertipv6[-f

first-ttl|-m

max-ttl|-p

port|-q

packet-number|-w

timeout]*remote-system可选网络层协议为IPv6时使用可在任意视图下执行网络连通性测试命令操作命令说明检查IP网络中的指定地址是否可36ping命令参数（1）ip：支持IPv4协议。-a

source-ip：指定ICMP回显请求报文中的源IP地址。该地址必须是设备上已配置的合法IP地址。-c

count：指定发送ICMP回显请求报文的数目，取值范围为1～4294967295，缺省值为5。-f：将长度大于接口MTU的报文直接丢弃，即不允许对发送的ICMP回显请求报文进行分片。-h

ttl：指定ICMP回显请求报文中的TTL值，取值范围为1～255，缺省值为255。-iinterface-typeinterface-number：指定发送报文的接口的类型和编号。在指定出接口的情况下，只能ping直连网段地址。-m

interval：指定发送ICMP回显请求报文的时间间隔，取值范围为1～65535，单位为毫秒，缺省值为200毫秒。－如果在timeout时间内收到目的主机的响应报文，则下次ICMP回显请求报文的发送时间间隔为报文的实际响应时间与interval之和；－如果在timeout时间内没有收到目的主机的响应报文，则下次ICMP回显请求报文的发送时间间隔为timeout与interval之和。-n：不进行域名解析。缺省情况下，系统将对hostname进行域名解析。ping命令参数（1）ip：支持IPv4协议。37ping命令参数-p

pad：指定ICMP回显请求报文的填充字节，格式为16进制。比如将“pad”设置为ff，则报文将被全部填充为ff。缺省情况下，填充的字节从0x01开始，逐渐递增，直到0x09，然后又从0x01开始循环填充。-q：除统计信息外，不显示其它详细信息。缺省情况下，系统将显示包括统计信息在内的全部信息。-r：记录路由。缺省情况下，系统不记录路由。-spacket-size：指定发送的ICMP回显请求报文的长度（不包括IP和ICMP报文头），取值范围为20～8100，单位为字节，缺省值为56字节。-ttimeout：指定ICMP回显应答报文的超时时间，取值范围为1～65535，单位为毫秒，缺省值为2000毫秒。-tos

tos：指定ICMP回显请求报文中的ToS（TypeofService，服务类型）域的值，取值范围为0～255，缺省值为0。-v：显示接收到的非回显应答的ICMP报文。缺省情况下，系统不显示非回显应答的ICMP报文。-vpn-instancevpn-instance-name：指定MPLSVPN的实例名称，是一个长度为1～31个字符的字符串，不区分大小写。remote-system：目的设备的IP地址或主机名（主机名为1～20个字符的字符串）。ping命令参数-ppad：指定ICMP回显请求报文的填充38ping命令用来检查指定IP地址是否可达，并输出相应的统计信息。

[systeme]ping11.1.1.1PING11.1.1.1:56databytes,pressCTRL_CtobreakReplyfrom11.1.1.1:bytes=56Sequence=0ttl=255time=31msReplyfrom11.1.1.1:bytes=56Sequence=1ttl=255time=31msReplyfrom11.1.1.1:bytes=56Sequence=2ttl=255time=32msReplyfrom11.1.1.1:bytes=56Sequence=3ttl=255time=31msReplyfrom11.1.1.1:bytes=56Sequence=4ttl=255time=31ms---11.1.1.1pingstatistics---

5packetstransmitted5packetsreceived0.00%packetlossround-tripmin/avg/max=31/31/32msping命令用来检查指定IP地址是否可达，并输出相应的统计信39tracert命令参数-a

source-ip：指明tracert报文的源IP地址。该地址必须是设备上已配置的合法IP地址。-ffirst-ttl：指定一个初始TTL，即第一个报文所允许的跳数。取值范围为1～255，且小于最大TTL，缺省值为1。-mmax-ttl：指定一个最大TTL，即一个报文所允许的最大跳数。取值范围为1～255，且大于初始TTL，缺省值为30。-pport：指明目的设备的UDP端口号，取值范围为1～65535，缺省值为33434。用户一般不需要更改此选项。-q

packet-number：指明每次发送的探测报文个数，取值范围为1～65535，缺省值为3。-vpn-instance

vpn-instance-name：指定MPLSVPN的实例名称，是一个长度为1～31个字符的字符串。-wtimeout：指定等待探测报文响应的报文的超时时间，取值范围是1～65535，单位为毫秒，缺省值为5000毫秒。remote-system：目的设备的IP地址或主机名（主机名是长度为1～20的字符串）。tracert命令参数-asource-ip：指明trac40tracert命令用来查看IPv4报文从当前设备传到目的设备所经过的路径。<Sysname>tracert18.26.0.115tracerouteto18.26.0.115(18.26.0.115)30hopsmax,40bytespacket,pressCTRL_Ctobreak1128.3.112.110ms10ms10ms2128.32.210.119ms19ms19ms3128.32.216.139ms19ms19ms4128.32.136.2319ms39ms39ms5128.32.168.2220ms39ms39ms6128.32.197.459ms119ms39ms7131.119.2.559ms59ms39ms8129.140.70.1380ms79ms99ms9129.140.71.6139ms139ms159ms10129.140.81.7199ms180ms300ms11129.140.72.17300ms239ms239ms12***13128.121.54.72259ms499ms279ms14***15***16***17***1818.26.0.115339ms279ms279mstracert命令用来查看IPv4报文从当前设备传到目的设备41displayinterface（1）<Sysname>displayinterfaceethernet1/0/1Ethernet1/0/1currentstate:DOWNIPSendingFrames'FormatisPKTFMT_ETHNT_2,Hardwareaddressis0012-a990-2240Mediatypeistwistedpair,loopbacknotsetPorthardwaretypeis100_BASE_TX100Mbps-speedmode,full-duplexmodeLinkspeedtypeisforcelink,linkduplextypeisforcelinkFlow-controlisenabledTheMaximumFrameLengthis9216BroadcastMAX-pps:500UnicastMAX-ratio:100%MulticastMAX-ratio:100%AllowjumboframetopassPVID:1Mditype:auto

Portlink-type:accessTaggedVLANID:noneUntaggedVLANID:1displayinterface（1）<Sysname>42displayinterface（2）

Last300secondsinput:0packets/sec0bytes/secLast300secondsoutput:0packets/sec0bytes/secInput(total):0packets,0bytes

0broadcasts,0multicasts,0pausesInput(normal):-packets,-bytes-broadcasts,-multicasts,-pausesInput:0inputerrors,0runts,0giants,-throttles,0CRC0frame,-overruns,0aborts,0ignored,-parityerrorsOutput(total):0packets,0bytes

0broadcasts,0multicasts,0pausesOutput(normal):-packets,-bytes-broadcasts,-multicasts,-pausesOutput:0outputerrors,-underruns,-bufferfailures0aborts,0deferred,0collisions,0latecollisions0lostcarrier,-nocarrierdisplayinterface（2）Last30043displaymac-address用来显示MAC地址转发表的信息，包括MAC地址所对应VLAN和以太网端口、地址状态（静态还是动态）、是否处在老化时间内等信息#显示MAC地址000f-e20f-0101的信息。<Sysname>displaymac-address000f-e20f-0101MACADDRVLANIDSTATEPORTINDEXAGINGTIME(s)000f-e20f-01011LearnedEthernet1/0/1AGING#显示端口Ethernet1/0/4的MAC地址转发表内容。<Sysname>displaymac-addressinterfaceEthernet1/0/4MACADDRVLANIDSTATEPORTINDEXAGINGTIME(s)000d-88f6-44ba1 LearnedEthernet1/0/4AGING000d-88f7-9f7d1LearnedEthernet1/0/4AGING000d-88f7-b0941LearnedEthernet1/0/4AGING000f-e200-00cc1LearnedEthernet1/0/4AGING000f-e200-22011LearnedEthernet1/0/4AGING000f-e207-f2e01LearnedEthernet1/0/4AGING000f-e209-ecf91LearnedEthernet1/0/4AGING---7macaddress(es)foundonportEthernet1/0/4---displaymac-address用来显示MAC地址转发44displayarp用来显示ARP表项<Sysname>displayarpType:S-StaticD-DynamicIPAddressMACAddressVLANIDPortName/ALIDAgingType10.2.72.162000a-000a-0aaaN/AN/AN/AS192.168.0.770000-e8f5-6a4a1Ethernet1/0/213D192.168.0.2000014-222c-9d6a1Ethernet1/0/214D192.168.0.45000d-88f6-44c11Ethernet1/0/215D192.168.0.1100011-4301-991e1Ethernet1/0/215D192.168.0.320000-e8f5-73ee1Ethernet1/0/216D192.168.0.30014-222c-aa691Ethernet1/0/216D192.168.0.17000d-88f6-379c1Ethernet1/0/217D192.168.0.115000d-88f7-9f7d1Ethernet1/0/218D192.168.0.43000c-760a-172d1Ethernet1/0/218D192.168.0.5000f-e280-2b381Ethernet1/0/220D

---11entriesfound---displayarp用来显示ARP表项45displayenvironment#显示设备环境信息。<Quidway>displayenvironmentSystemtemperatureinformation(degreecentigrade):----------------------------------------------------BoardTemperatureLowerlimitUpperlimit033104523510654341065displayenvironment#显示设备环境信息。46displayfan命令用来显示交换机的内置风扇的工作状态信息。可以通过此命令来显示风扇的工作状态是否正常。#显示风扇的工作状态。<Quidway>displayfanFan1State:Normaldisplaymemory命令用来显示交换机的内存使用状态。#显示交换机0槽位的内存使用状态。<Quidway>displaymemoryslot0SystemTotalMemory(bytes):197932416TotalUsedMemory(bytes):65234704UsedRate:32%displayfan命令用来显示交换机的内置风扇的工作状态47第一章VLAN原理及基本配置第二章ACL原理及基本配置第三章设备管理基本配置第四章案例分析目录第一章VLAN原理及基本配置目录48网络故障排除培训讲义49网络故障排除培训讲义50网络故障排除培训讲义51网络故障排除培训讲义52网络故障排除培训讲义53网络故障排除培训讲义54网络故障排除培训讲义55网络故障排除培训讲义56网络故障排除培训讲义57网络故障排除培训讲义58谢谢大家！谢谢大家！59演讲完毕，谢谢观看！演讲完毕，谢谢观看！60网络故障排除网络故障排除61目录第一章VLAN原理及基本配置第二章ACL原理及基本配置第三章常用维护方法和命令第四章案例分析目录第一章VLAN原理及基本配置62VLAN的产生原因－广播风暴……广播传统的以太网是广播型网络，网络中的所有主机通过HUB或交换机相连，处在同一个广播域中VLAN的产生原因－广播风暴……广播传统的以太网是广播型网络63通过路由器隔离广播域路由器……广播通过路由器隔离广播域路由器……广播64通过VLAN划分广播域BroadcastDomain1VLAN10BroadcastDomain2VLAN20BroadcastDomain3VLAN30市场部工程部财务部通过VLAN划分广播域BroadcastDomain1B65以太网端口的链路类型Accesslink：只能允许某一个VLAN的untagged数据流通过。Trunklink：允许多个VLAN的tagged数据流和某一个VLAN的untagged数据流通过。Hybridlink：允许多个VLAN的tagged数据流和多个VLAN的untagged数据流通过。Hybrid端口可以允许多个VLAN的报文发送时不携带标签，而Trunk端口只允许缺省VLAN的报文发送时不携带标签。三种类型的端口可以共存在一台设备上以太网端口的链路类型Accesslink：只能允许某一个V66AccessLink和TrunkLinkAccesslinkTrunklinkAccessLink和TrunkLinkAccessl67TrunkLink和VLANVLAN10VLAN2VLAN10VLAN3VLAN2VLAN10VLAN5VLAN5VLAN2VLAN5广播报文发送TrunkLinkTrunkLink和VLANVLAN10VLAN2VLAN68VLAN2VLAN3VLAN3VLAN2带有VLAN3标签的以太网帧带有VLAN2标签的以太网帧不带VLAN标签的以太网帧数据帧在网络通信中的变化VLAN2VLAN3VLAN3VLAN2带有VLAN3标签的69第一章VLAN原理及基本配置第二章ACL原理及基本配置第三章常用维护方法和命令第四章案例分析目录第一章VLAN原理及基本配置目录70ACL访问控制列表为了过滤通过网络设备的数据包，需要配置一系列的匹配规则，以识别需要过滤的对象。在识别出特定的对象之后，网络设备才能根据预先设定的策略允许或禁止相应的数据包通过。访问控制列表（AccessControlList，ACL）就是用来实现这些功能。ACL通过一系列的匹配条件对数据包进行分类，这些条件可以是数据包的源地址、目的地址、端口号等。ACL可应用在交换机全局或端口上，交换机根据ACL中指定的条件来检测数据包，从而决定是转发还是丢弃该数据包。ACL访问控制列表为了过滤通过网络设备的数据71以太网访问列表主要作用:在整个网络中分布实施接入安全性Internet服务器部门

A部门

BIntranet以太网访问列表主要作用:在整个网络中分布实施接入安全性Int访问控制列表ACL对到达端口的数据包进行分类，并打上不同的动作标记访问列表作用于交换机的所有端口访问列表的主要用途：包过滤镜像流量限制流量统计分配队列优先级访问控制列表ACL对到达端口的数据包进行分类，并打上不同的动73流分类通常选择数据包的包头信息作为流分类项2层流分类项以太网帧承载的数据类型源/目的MAC地址以太网封装格式VlanID入/出端口3/4层流分类项协议类型源/目的IP地址源/目的端口号DSCP流分类通常选择数据包的包头信息作为流分类项74IP数据包过滤IPheaderTCPheaderApplication-levelheaderData应用程序和数据源/目的端口号源/目的IP地址L3/L4过滤应用网关TCP/IP包过滤元素IP数据包过滤IPheaderTCPheaderApp75访问控制列表的构成Rule（访问控制列表的子规则）Time-range（时间段机制）ACL=rules[+time-range]（访问控制列表由一系列规则组成，有必要时会和时间段结合）访问控制列表策略:ACL1策略:ACL2策略:ACL3...策略:ACLN访问控制列表的构成Rule（访问控制列表的子规则）访问控制列76时间段的相关配置在系统视图下，配置时间段:time-rangetime-name[start-timetoend-time][days-of-the-week][fromstart-date][toend-date]

在系统视图下，删除时间段:undotime-rangetime-name[start-timetoend-time][days-of-the-week][fromstart-date][toend-date]

假设管理员需要在从2002年12月1日上午8点到2003年1月1日下午18点的时间段内实施安全策略，可以定义时间段名为denytime，具体配置如下:[System]time-rangedenytimefrom8:0012-01-2002to18:0001-01-2003

时间段的相关配置在系统视图下，配置时间段:假设管理员需要在从77访问控制列表的类型2000～2999：表示基本ACL。只根据数据包的源IP地址制定规则。3000～3999：表示高级ACL（3998与3999是系统为集群管理预留的编号，用户无法配置）。根据数据包的源IP地址、目的IP地址、IP承载的协议类型、协议特性等三、四层信息制定规则。4000～4999：表示二层ACL。根据数据包的源MAC地址、目的MAC地址、802.1p优先级、二层协议类型等二层信息制定规则。5000～5999：表示用户自定义ACL。以数据包的头部为基准，指定从第几个字节开始与掩码进行“与”操作，将从报文提取出来的字符串和用户定义的字符串进行比较，找到匹配的报文。访问控制列表的类型2000～2999：表示基本ACL。只根据78定义访问控制列表在系统视图下，定义ACL并进入访问控制列表视图:acl{numberacl-number|nameacl-namebasic|advanced|interface|link}[match-order{config|auto}]在系统视图下，删除ACL:undoacl{numberacl-number|nameacl-name|all}

定义访问控制列表在系统视图下，定义ACL并进入访问控制列表79基本访问控制列表的规则配置在基本访问控制列表视图下，配置相应的规则rule[rule-id]{permit|deny}[sourcesource-addrsource-wildcard|any][fragment][time-rangetime-range-name]

在基本访问控制列表视图下，删除一条子规则undorulerule-id[source][fragment][time-range]基本访问控制列表的规则配置在基本访问控制列表视图下，配置相应80高级访问控制列表的规则配置在高级访问控制列表视图下，配置相应的规则rule[rule-id]{permit|deny}protocol[sourcesource-addrsource-wildcard|any][destinationdest-addrdest-mask|any][soure-portoperatorport1[port2]][destination-portoperatorport1[port2]][icmp-typeicmp-type

icmp-code][established][precedenceprecedence][tostos]|[dscpdscp][fragment][time-rangetime-range-name]

在高级访问控制列表视图下，删除一条子规则undorulerule-id[source][destination][soure-port][destination-port][precedence][tos]|[dscp][fragment][time-range]

高级访问控制列表的规则配置在高级访问控制列表视图下，配置相应81端口操作符及语法TCP/UDP协议支持的端口操作符及语法操作符及语法含义eqportnumber等于portnumbergtportnumber大于portnumberltportnumber小于portnumberneqportnumber不等于portnumberrangeportnumber1portnumber2介于端口号portnumber1和portnumber2之间端口操作符及语法TCP/UDP协议支持的端口操作符及语法操作接口访问控制列表的规则配置在接口访问控制列表视图下，配置相应的规则rule[rule-id]{permit|deny}[interface{interface-name|interface-type

interface-num|any}][time-rangetime-range-name]

在接口访问控制列表视图下，删除一条子规则undorulerule-id接口访问控制列表的规则配置在接口访问控制列表视图下，配置相应83二层访问控制列表的规则配置在二层访问控制列表视图下，配置相应的规则rule[rule-id]

{permit|deny}[protocol][cosvlan-pri]ingress{{[source-vlan-id][source-mac-addr

source-mac-wildcard][interface{interface-name|interface-typeinterface-num}]}|any}egress{{[dest-mac-addr

dest-mac-wildcard][interface{interface-name|interface-typeinterface-num}]}|any}[time-rangetime-range-name]

在二层访问控制列表视图下，删除一条子规则undorulerule-id二层访问控制列表的规则配置在二层访问控制列表视图下，配置相应84自定义访问控制列表的规则配置在自定义访问控制列表视图下，配置相应的规则rule[rule-id]{permit|deny}{rule-string

rule-mask

offset}&<1-20>[time-rangetime-range-name]

在自定义访问控制列表视图下，删除一条子规则undorulerule-id用户自定义访问控制列表的数字标识取值范围为5000～5999自定义访问控制列表的规则配置在自定义访问控制列表视图下，配置85规则匹配原则一条访问控制列表往往会由多条规则组成，这样在匹配一条访问控制列表的时候就存在匹配顺序的问题。在华为系列交换机产品上，支持下列两种匹配顺序：Config：指定匹配该规则时按用户的配置顺序（后下发先生效）Auto：指定匹配该规则时系统自动排序（按“深度优先”的顺序）规则匹配原则一条访问控制列表往往会由多条规则组成，这样在匹配86激活访问控制列表在系统视图下，激活ACL:packet-filter{user-group{acl-number|acl-name}[rulerule]|{[ip-group{acl-number|acl-name}[rulerule]][link-group{acl-number|acl-name}[rulerule]]}}

在系统视图下，取消激活ACL:undopacket-filter{user-group{acl-number|acl-name}[rulerule]|{[ip-group{acl-number|acl-name}[rulerule]][link-group{acl-number|acl-name}[rulerule]]}}

激活访问控制列表在系统视图下，激活ACL:87配置ACL进行包过滤的步骤综上所述，在System交换机上配置ACL进行包过滤的步骤如下：配置时间段（可选）定义访问控制列表（四种类型：基本、高级、基于接口、基于二层和用户自定义）激活访问控制列表配置ACL进行包过滤的步骤综上所述，在System交换机上配88访问控制列表配置举例一要求配置高级ACL，禁止员工在工作日8:00～18:00的时间段内访问新浪网站（61.172.201.194）1.定义时间段[System]time-rangetest8:00to18:00working-day2.定义高级ACL3000，配置目的IP地址为新浪网站的访问规则。[System]aclnumber3000[System-acl-adv-3000]rule1denyipdestination61.172.201.1940time-rangetest3.在端口Ethernet1/0/15上应用ACL3000。[System]interfaceEthernet1/0/15[System-Ethernet1/0/15]packet-filterinboundip-group3000访问控制列表配置举例一要求配置高级ACL，禁止员工在工作日889访问控制列表配置举例二配置防病毒ACL1.定义高级ACL3000[System]aclnumber3000[System-acl-adv-3000]rule1denyudpdestination-porteq335[System-acl-adv-3000]rule3denytcpsource-porteq3365[System-acl-adv-3000]rule4denyudpsource61.22.3.00.0.0.255destination-porteq38752.在端口Ethernet1/0/1上应用ACL3000[System-Ethernet1/0/1]packet-filterinboundip-group3000访问控制列表配置举例二配置防病毒ACL90第一章VLAN原理及基本配置第二章ACL原理及基本配置第三章常用维护方法和命令第四章案例分析目录第一章VLAN原理及基本配置目录91故障排除常用方法分层故障排除法分块故障排除法分段故障排除法替换法故障排除常用方法分层故障排除法92分层故障排除法。。。。物理层数据链路层网络层所有的技术都是分层的！关注电缆、连接头、信号电平、编码、时钟和组帧

关注封装协议和相关参数、链路利用率等关注地址分配、路由协议参数等分层故障排除法。。。。物理层数据链路层网络层所有的技93分块故障排除法配置文件分为以下部分：管理部分（路由器名称、口令、服务、日志等）端口部分（地址、封装、cost、认证等）路由协议部分（静态路由、RIP、OSPF、BGP、路由引入等）策略部分（路由策略、策略路由、安全配置等）接入部分（主控制台、Telnet登录或哑终端、拨号等）其他应用部分（语言配置、VPN配置、Qos配置等）分块故障排除法配置文件分为以下部分：94分段故障排除法网络分为若干段，逐段测试，缩小故障范围，逐段定位网络故障，并排除。中继线路ModemModemModemModemDDN节点DDN节点分段故障排除法网络分为若干段，逐段测试，缩小故障范围，逐段定95网络连通性测试命令操作命令说明检查IP网络中的指定地址是否可达ping[ip][-a

source-ip|-c

count|-f|-h

ttl|-i

interface-typeinterface-number|-m

interval|-n|-p

pad|-q|-r|-s

packet-size|-t

timeout|-tos

tos|-v|-vpn-instancevpn-instance-name]*remote-system可选网络层协议为IPv4时使用可在任意视图下执行pingipv6[-a

source-ipv6|-c

count|-m

interval|-s

packet-size|-t

timeout]*remote-system[-i

interface-typeinterface-number]可选网络层协议为IPv6时使用可在任意视图下执行查看当前设备到目的设备的路由tracert[-a

source-ip|-f

first-ttl|-m

max-ttl|-p

port|-q

packet-number|-vpn-instance

vpn-instance-name|-w

timeout]*remote-system可选网络层协议为IPv4时使用可在任意视图下执行tracertipv6[-f

first-ttl|-m

max-ttl|-p

port|-q

packet-number|-w

timeout]*remote-system可选网络层协议为IPv6时使用可在任意视图下执行网络连通性测试命令操作命令说明检查IP网络中的指定地址是否可96ping命令参数（1）ip：支持IPv4协议。-a

source-ip：指定ICMP回显请求报文中的源IP地址。该地址必须是设备上已配置的合法IP地址。-c

count：指定发送ICMP回显请求报文的数目，取值范围为1～4294967295，缺省值为5。-f：将长度大于接口MTU的报文直接丢弃，即不允许对发送的ICMP回显请求报文进行分片。-h

ttl：指定ICMP回显请求报文中的TTL值，取值范围为1～255，缺省值为255。-iinterface-typeinterface-number：指定发送报文的接口的类型和编号。在指定出接口的情况下，只能ping直连网段地址。-m

interval：指定发送ICMP回显请求报文的时间间隔，取值范围为1～65535，单位为毫秒，缺省值为200毫秒。－如果在timeout时间内收到目的主机的响应报文，则下次ICMP回显请求报文的发送时间间隔为报文的实际响应时间与interval之和；－如果在timeout时间内没有收到目的主机的响应报文，则下次ICMP回显请求报文的发送时间间隔为timeout与interval之和。-n：不进行域名解析。缺省情况下，系统将对hostname进行域名解析。ping命令参数（1）ip：支持IPv4协议。97ping命令参数-p

pad：指定ICMP回显请求报文的填充字节，格式为16进制。比如将“pad”设置为ff，则报文将被全部填充为ff。缺省情况下，填充的字节从0x01开始，逐渐递增，直到0x09，然后又从0x01开始循环填充。-q：除统计信息外，不显示其它详细信息。缺省情况下，系统将显示包括统计信息在内的全部信息。-r：记录路由。缺省情况下，系统不记录路由。-spacket-size：指定发送的ICMP回显请求报文的长度（不包括IP和ICMP报文头），取值范围为20～8100，单位为字节，缺省值为56字节。-ttimeout：指定ICMP回显应答报文的超时时间，取值范围为1～65535，单位为毫秒，缺省值为2000毫秒。-tos

tos：指定ICMP回显请求报文中的ToS（TypeofService，服务类型）域的值，取值范围为0～255，缺省值为0。-v：显示接收到的非回显应答的ICMP报文。缺省情况下，系统不显示非回显应答的ICMP报文。-vpn-instancevpn-instance-name：指定MPLSVPN的实例名称，是一个长度为1～31个字符的字符串，不区分大小写。remote-system：目的设备的IP地址或主机名（主机名为1～20个字符的字符串）。ping命令参数-ppad：指定ICMP回显请求报文的填充98ping命令用来检查指定IP地址是否可达，并输出相应的统计信息。

[systeme]ping11.1.1.1PING11.1.1.1:56databytes,pressCTRL_CtobreakReplyfrom11.1.1.1:bytes=56Sequence=0ttl=255time=31msReplyfrom11.1.1.1:bytes=56Sequence=1ttl=255time=31msReplyfrom11.1.1.1:bytes=56Sequence=2ttl=255time=32msReplyfrom11.1.1.1:bytes=56Sequence=3ttl=255time=31msReplyfrom11.1.1.1:bytes=56Sequence=4ttl=255time=31ms---11.1.1.1pingstatistics---

5packetstransmitted5packetsreceived0.00%packetlossrou