中端产品QACL配置案例集
由于芯片结构的原因,中端产品的QACL配置较复杂,给用户使用带来了一定的难度,用服人员维护起来有时也会较为棘手,经常会有用户和用服人员打电话过来咨询这方面的配置的使用,下面的配置案例全部取材于6500系列产品在使用中的实际配置,大多是客户的咨询,其中一些还曾发生过网上问题。将这些东西进行总结,有利于我们更好的使用6506。
【案例1】
我想实现办公网只有个别的机器(10.1.0.38)访问服务器10.1.0.254,我进行了如下配置,但10.1.0.38依然无法访问服务器,6506是不是不能实现这种需求啊。
acl number 100
rule 0 permit ip sou 10.1.0.38 0 des 10.1.0.254 0
rule 1 deny ip
int e2/0/1
pa ip in 100
【问题分析】
这是个比较典型的错误,错误原因就是没有搞清6506的acl的其作用的顺序。在6500系列产品上,是根据规则的下发时间顺序来决定起作用的顺序的,最近下发的规则我们认为是用户最新的需求,它会最新起作用。对于上面的配置,rule 0先下发,rule 1后下发,那么首先其作用的是rule 1。这样会将所有的报文都过滤掉。
【解决办法】
将两条规则的配置顺序对调。
【案例2】
我想禁止210.31.12.0 0.0.1.255访问任何网段的ICMP报文,但却无法实现,请帮忙检查一下。
acl number 100 match-order auto
rule 0 deny icmp source 210.31.12.0 0.0.1.255
rule 1 deny tcp source-port eq 135 destination-port eq 135
rule 2 deny tcp source-port eq 135 destination-port eq 139
rule 3 deny tcp source-port eq 135 destination-port eq 4444
rule 4 deny tcp source-port eq 135 destination-port eq 445
rule 5 deny udp source-port eq tFTP destination-port eq tftp
rule 6 deny tcp source-port eq 1025
rule 8 permit ip
【问题分析】
又是一个比较典型的错误,用户认为要想让交换机转发,必须配置类似rule 8的规则,其实这是不必要的,6506缺省有一条match all表项,将交换机配置成转发模式,再配置一条,则覆盖了前面的所有规则。
【解决办法】
将最后一条规则去掉。
【案例3】
规则如下,要求只答应10.89.0.0/16访问10.1.1.0,但配置后其他网段也可以访问了,请问是为什么?
acl number 101 match-order auto
rule 0 deny ip
acl number 102 match-order auto
rule 0 permit ip source 10.89.0.0 0.0.255.255 destination 10.1.1.0 0.0.0.255
。。。
。。。
。。。
interface Ethernet2/0/3
description connected to 5lou
port link-type hybrid
port hybrid vlan 1 tagged
port hybrid vlan 20 untagged
port hybrid pvid vlan 20
qos
packet-filter inbound ip-group 101 rule 0
packet-filter inbound ip-group 102 rule 0
packet-filter inbound ip-group 103 rule 0
packet-filter inbound ip-group 105 rule 2
packet-filter inbound ip-group 105 rule 3
packet-filter inbound ip-group 105 rule 5
packet-filter inbound ip-group 105 rule 6
packet-filter inbound ip-group 105 rule 4
#
【问题分析】
由于ACL102的rule 0的原因,只要是从这个网段上来的报文都会匹配这个规则的前半部分,但假如它不是访问10.89.0.0/16,它不会匹配上ACL102的rule 0,本来希望它匹配到ACL101的rule 0,但是由于在硬件中ip source 10.89.0.0和ip any any使用的是不同的id,所以ACL101的rule 0也不再会被匹配到。那么报文会匹配到最后一条缺省的match all表项,进行转发。
【解决办法】
把rule 0 deny ip变成rule 0 deny ip source 10.89.0.0 0.0.255.255。
【案例4】
某银行当天天造成重起6506后,发现有部分网段的用户无法访问病毒服务器(11.8.14.141和11.8.14.2),将防火墙配置删除后再下发问题消除。配置如下:
acl number 122
description guoku
rule 1 deny ip source any destination 11.8.20.112 0.0.0.15
rule 2 permit ip source 11.8.20.160 0.0.0.31 destination 11.8.20.112 0.0.0.15
rule 3 permit ip source 11.8.20.112 0.0.0.15 destination 11.8.20.112 0.0.0.15
rule 4 permit ip source 11.8.20.208 0.0.0.7 destination 11.8.20.112 0.0.0.15
rule 5 permit ip source 11.8.14.141 0.0.0.0 destination 11.8.20.112 0.0.0.15
rule 6 permit ip source 11.8.14.2 0.0.0.0 destination 11.8.20.112 0.0.0.15
rule 7 permit ip source 11.8.2.11 0.0.0.0 destination 11.8.20.112 0.0.0.15
acl number 186
rule 1 permit ip source 11.8.14.0 0.0.0.255 destination any
interface Ethernet1/0/48
description connect_to_vlan1000-router
traffic-priority outbound ip-group 181 dscp 46
traffic-priority outbound ip-group 182 dscp 34
traffic-priority outbound ip-group 183 dscp 26
traffic-priority outbound ip-group 184 dscp 18
traffic-priority outbound ip-group 185 dscp 10
traffic-priority outbound ip-group 186 dscp 0
packet-filter inbound ip-group 120 not-care-for-interface
packet-filter inbound ip-group 121 not-care-for-interface
packet-filter inbound ip-group 122 not-care-for-interface
packet-filter inbound ip-group 123 not-care-for-interface
packet-filter inbound ip-group 124 not-care-for-interface
packet-filter inbound ip-group 125 not-care-for-interface
【问题分析】
当我们做完配置时,软件对配置进行了相应的记录,我们使用save命令就可以将这些记录保存在配置文件中,每次启动后按照此记录的顺序逐条下发。由于acl的功能和下发顺序密切相关,所以软件上应该能够保证启动后的配置顺序和启动前的顺序一致性。
本问题出在软件在build run时将acl和qos的顺序进行了调整,将qos的动作放在了acl的动作之后,相当于人为的提高了qos动作的优先级,重起后造成了部分acl失效。将acl删除后再下发,再次改变了匹配顺序,acl规则生效。由于软件设计时将acl和qos设计成了两个模块,而build run的各个模块是独立的,所以此部分更改起来需要彻底更改设计方案,变动实在太大。
【解决办法】
可以将qos的操作移动到前面的端口来做,由于build run的顺序是按照端口顺序来做的,这样qos就会先行下发,acl的动作后下发,避免了覆盖的发生。
对于上面的例子,也可以将acl186再添加两条如下蓝色字体的规则,
acl number 186
rule 1 permit ip source 11.8.14.0 0.0.0.255 destination any
rule 5 permit ip source 11.8.14.141 0.0.0.0 destination 11.8.20.112 0.0.0.15
rule 6 permit ip source 11.8.14.2 0.0.0.0 destination 11.8.20.112 0.0.0.15
【案例5】
我这里用户有这样的一个需求,请帮我确定一下应如何配置:
核心使用6506,边缘节点使用五台3526E(使用二层),3526E和6506之间使用trunk模式,用户分为了7个网段。
vlan分别为2-8,用户地址是192.168.21.0-27.0。
考虑了网络安全,用户需要如下要求:
21.0:能够访问internet网,但不能访问其他网段;
22.0:能够访问其他网段,但不能访问internet网;
。。。。
。。。。
21.0和22.0分别属于vlan2和3,这两个网段内的用户都通过一个3526E接到6506上,请协助确定如何在6506上使用访问控制策略。
多谢。
【解决方案】
1.根据需求的字面意思来配置,思路清楚,但比较浪费表项。
21--22 deny
21--23 deny
21--24 deny
21--25 deny
21--26 deny
21--27 deny
22--any deny
22--21 peimit
22--23 peimit
22--24 peimit
22--25 peimit
22--26 peimit
22--27 permit
2.对需求进行分析,将网段加以合并,可以节省表项。
3和4聚合成A:192.168.22.0/23
5和8聚合成B:192.168.24.0/22
则需求可以简化成禁止2访问A和B,只答应A和B可以互访,禁止A和B访问其他网段。
deny 2 to A
deny 2 to B
deny A to any
deny B to any
permit A to A
permit B to B
permit A to B
配置一个acl即可:
【案例6】
我配置了如下acl,但下发时提示我配置无法下发,请问是为什么?
acl number 100
rule 1 deny ip destination 192.168.1.0 0.0.0.255
rule 11 deny ip destination 192.168.0.0 0.0.0.255
rule 28 permit ip source any destination 192.168.0.0 0.0.0.255
【问题分析】
规则11和28是同一条规则,虽然动作不同,软件禁止同一条规则重复下发。
【解决办法】
假如想下发后一条规则,应首先删除头一条。
【案例7】
用户配置访问列表禁止某一网段在周一至周五禁止上互联网,在这一网段中的两个ip不受限,在运行半天后,不受限的两个ip无法访问internet。即acl中的permit失效,deny还起作用。不做ACL的网段转发没有问题,0030(包括此版本)版本以下都有此问题。
访问列表需求如下:
有2个网段192.168.21.0/24 192.168.22.0/24在2台3050(分别千兆上连到6506)上,现要求周一到周五不能访问互联网,但其中的192.168.21/22.9和192.168.21/22.10却不受限制。
我在6506上做了2种配置均可实现以上功能(运行1/2天以后必须重起6506)
第一种是在3050上连到6506的光纤口上做访问列表
第二种是在6506连接路由器的电口上做访问列表(在这个口上是为了考虑2个网段访问内网方便----即访问列表简单)
acl number 101
rule 0 deny ip source 192.168.21.0 0.0.0.255 time-range stunet
rule 1 permit ip source 192.168.21.0 0.0.0.255 destination 192.168.31.0 0.0.0.255
rule 2 permit ip source 192.168.21.10 0
rule 3 permit ip source 192.168.21.9 0
acl number 102
rule 0 deny ip source 192.168.22.0 0.0.0.255 time-range stunet
rule 1 permit ip source 192.168.22.0 0.0.0.255 destination 192.168.31.0 0.0.0.255
rule 2 permit ip source 192.168.22.10 0
rule 3 permit ip source 192.168.22.9 0
time-range stunet 08:00 to 22:00 working-day
#
【问题分析】
防火墙可以配置时间段,这样规则就可以在一段规定的时间内发生作用。这是对防火墙功能的进一步提升。
交换机的时间段功能是通过软件中的定时器在规定的时间段范围内下发到硬件中来完成的,在其他时间硬件中没有配置带有时间段的acl。当在规定的时间段之外,软件会将规则从硬件中删除,到达时间后再次下发。但这里会存在一个问题,就是我们已经默认后下发的规则优先,这就人为的提供了带有时间段的规则的优先级。以至使得其它不带有时间段的规则失效。上面的问题就是一例。
【解决办法】
将同一条acl的所有规则都配上相同的时间段。
【案例8】
用户反映,配置了访问控制列表后不知道如何查看是否有匹配上该规则的机器。应该如何查看呢?
【解答】
可以配置流统计来实现这个功能。命令为接口模式下配置traffic-statics。
然后使用dis qos-interface命令来显示统计结果。
但可是假如我配置的规则是DENY则不能下发。
【案例9】
可以通过下面的命令来选择使用L2或L3模式的流分类规则。
请在全局配置模式下进行下列配置。
表1-7 选择ACL模式
操作 命令
选择ACL模式 acl mode { l2 l3 }
那么是说
缺省情况下,选择使用L3流分类规则。
那么是说5516不能同时使用2层和3层的acl吗?
换句话说是不是不能同时起用二层和三层的规则,假如已经配置了三层规则,又想再配置二层规则,唯一的方法就是把三层规则取消掉?
【解答】
5516和6506不能同时使用2层和3层的acl。
不需要把三层规则取消掉,只需选择生效模式,硬件会自动选择二层或三层规则进行匹配。
【案例10】
路由器下面接6506,6506下面挂两个vlan,一边是学生,一边是老师,老师和学生的带宽无论什么时候都各是2M。也就是基于vlan的限速。
假如参看配置手册中下面的配置,实现起来应该没有什么问题吧。
(1) 定义工资服务器向外发送的流量
[Quidway] acl name traffic-of-payserver advanced ip
# 定义traffic-of-payserver这条高级访问控制列表的规则。
[Quidway-acl-adv-traffic-of-payserver] rule 1 permit ip source 129.110.1.2 0.0.0.0 destination any
(2) 对访问工资服务器的流量进行流量限制
# 限制工资服务器向外发送报文的平均速率为20M。
[Quidway-Ethernet1/0/1] traffic-limit inbound ip-group traffic-of-payserver 20
【错误分析】6506实现的是出端口限速,请勿配置入端口限速。