电子文档交易市场
安卓APP | ios版本
电子文档交易市场
安卓APP | ios版本

华为数通操作手册-VRP全系列-VRP故障处理手册-路由器-04-第4章-ACL故障处理

28页
  • 卖家[上传人]:jiups****uk12
  • 文档编号:90650952
  • 上传时间:2019-06-14
  • 文档格式:DOC
  • 文档大小:512.54KB
  • / 28 举报 版权申诉 马上下载
  • 文本预览
  • 下载提示
  • 常见问题
    • 1、通用路由平台VRP 故障处理手册TCP/IP篇目 录目 录第4章 ACL故障处理4-14.1 ACL简介4-14.2 ACL故障处理4-14.2.1 典型组网环境4-14.2.2 配置注意事项4-24.2.3 故障诊断流程4-24.2.4 故障处理步骤4-34.3 故障处理案例4-44.3.1 ACL分片选项的规则没有匹配计数4-44.3.2 ACL6的规则匹配顺序不正确4-84.4 FAQ4-134.5 故障诊断工具4-144.5.1 display命令4-144.5.2 debugging命令4-174.5.3 告警4-224.5.4 日志4-26i通用路由平台VRP 故障处理手册TCP/IP篇第4章 ACL故障处理第4章 ACL故障处理本章包含以下内容:l ACL简介介绍ACL的基本概念。l ACL故障处理针对典型的ACL组网环境,配置注意事项,故障处理的流程和详细的故障处理步骤。l 故障处理案例介绍了2个典型的故障处理案例。l FAQ列出了用户常问的问题,并给出了相应的解答。l 故障诊断工具介绍了进行故障处理所需要的故障诊断工具,包括display命令和debugging命令、

      2、告警信息、日志信息等。4.1 ACL简介路由器使用访问控制列表ACL(Access Control List)定义过滤数据包的规则。访问控制列表是由permit和deny语句组成的一系列有顺序的规则,这些规则根据数据包的源地址、目的地址、端口号等来定义。ACL通过这些规则对数据包分类。ACL应用到路由器接口上,路由器根据ACL中的规则判断哪些数据包可以接收,哪些数据包需要拒绝。ACL包含对IPv4报文过滤的ACL4和对IPv6报文过滤的ACL6。4.2 ACL故障处理4.2.1 典型组网环境ACL组网环境如图4-1所示。某公司通过一台路由器的接口Serial1/0/0访问Internet,路由器与内部网通过以太网接口Ethernet1/0/0连接。公司内部对外提供WWW、FTP和Telnet服务,公司内部子网为129.38.1.0,其中,内部FTP服务器地址为129.38.1.1,内部Telnet服务器地址为129.38.1.2,内部WWW服务器地址为129.38.1.3,公司对外地址为202.38.160.1。图4-1 ACL组网环境通过配置ACL及防火墙,可以实现以下功能:l 外部

      3、网络只有特定用户可以访问内部服务器。l 内部网络只有特定主机可以访问外部网络。4.2.2 配置注意事项配置项子项注意事项配置ACL组创建访问控制列表一定要根据组网的需求来选择号合适的ACL的类型配置ACL组下的规则创建规则根据需求描述规则,一定要考虑清楚组网的应用其他的模块引用配置好的ACL各个模块会不一致见各个模块查看ACL的匹配状态可以查看到被引用了的ACL组下的各个规则有多少个报文被匹配到无4.2.3 故障诊断流程故障诊断流程如所示:图4-2 ACL故障处理流程4.2.4 故障处理步骤概要的故障处理步骤如下:步骤操作1检查引用ACL的模块的配置信息是否正确2检查路由器接收到的报文是否是用户所期望的3引用的ACL的类型是否合理4引用的ACL组下的规则是否合理详细的故障处理步骤如下:1. 检查引用ACL的模块的配置信息是否正确首先应该从最上层检查找问题的原因。确定引用ACL的模块的设置是否正确,相应使能开关应该处于打开或关闭状态,如分片检测开关是否打开。2. 引用的ACL的类型是否合理然后再检查使用的ACL的类型能否满足用户的需求。ACL分为基本ACL(取值范围是20002999)、

      4、高级ACL(取值范围是30003999)、基于接口的ACL(取值范围是10001999)。不同类型的ACL有不同的应用场景,所以,必须根据具体的应用场景选择使用合适的ACL。例如在路由策略中,用ACL对路由进行过滤时,由于高级ACL的选项比较多,配置复杂,有可能达不到预期效果,因此推荐使用编号为20002999的基本ACL。3. 检查路由器接收到的报文是否是用户所期望的如果引用ACL的模块配置上没有问题,但是ACL的匹配不是用户所期望的,这时可以利用ACL提供的过滤功能来将路由器上收发的报文打印出来,以便做进一步的分析定位问题。4. 引用的ACL组下的规则是否合理根据上步得到的报文的数据,分析ACL的规则匹配是否正确,用户是否正确获取到所期望的报文。如果有问题则进行修改。当经过以上的各项检查后ACL还是无法正常工作,可以登陆网站http:/联系华为的技术支持工程师。4.3 故障处理案例4.3.1 ACL分片选项的规则没有匹配计数1. 网络环境图4-3 ACL配置的组网环境RouterA的配置:#interface Ethernet4/2/0 ip address 12.1.1.1 25

      5、5.255.0.0#RouterB的配置:# firewall enable slot 1 firewall enable slot 2 firewall enable slot 3 firewall enable slot 4 firewall enable slot 5 firewall enable slot 7 #acl number 2000 rule 5 permit source 12.1.1.2 0 fragment rule 10 deny#interface Ethernet4/2/0 ip address 12.1.1.2 255.255.0.0 firewall packet-filter 2000 inbound firewall packet-filter 2000 outbound #2. 故障分析RouterA的Ethernet 4/2/0接口MTU值为1500。从RouterA的Ethernet 4/2/0接口向RouterB的Ethernet 4/2/0接口ping大小为8100字节的大包,ping不通,并且RouterB的接口Ethernet 4/

      6、2/0上引用的ACL 2000的规则5的匹配计数为零。(1) 首先在RouterB上执行命令display current-configuration,查看防火墙的使能开关是否打开 display current-configuration# firewall enable slot 2 firewall enable slot 3 firewall enable slot 4 firewall enable slot 5 firewall fragments-inspect slot 2#4号槽的防火墙开关已经打开,排除这个原因。(2) 在RouterB上执行命令display current-configuration,查看防火墙的分片检测开关是否打开 display current-configuration# firewall enable slot 2 firewall enable slot 3 firewall enable slot 4 firewall enable slot 5 firewall fragments-inspect slot 2#4号槽的防火墙分片检

      7、测开关没有打开,排除这个原因。(3) 在RouterB上对与RouterA间的ping报文进行调试 system-viewRouterB acl 3000RouterB-acl-adv-3000 rule 5 permit icmp source 12.1.1.1 0 destination 12.1.1.2 0RouterB-acl-adv-3000 rule 10 permit icmp source 12.1.1.2 0 destination 12.1.1.1 0RouterB-acl-adv-3000 rule 15 deny icmp在用户视图下执行如下命令,打开调试开关,查看调试信息。 debugging ip packet acl 3000 terminal debuggingInfo:Current terminal debugging is on terminal monitorInfo:Current terminal monitor is on *0.14852512 Quidway IP/8/debug_case:Slot=4; Receiving, inte

      8、rface = Ethernet4/2/0, version = 4, headlen = 20, tos = 0, pktlen = 84, pktid = 722, offset = 0, ttl = 255, protocol = 1, checksum = 40658, s = 12.1.1.1, d = 12.1.1.2 prompt: Receiving IP packet from Ethernet4/2/0 *0.14852864 Quidway IP/8/debug_case:Slot=4; Discarding, interface = Ethernet4/2/0, version = 4, headlen = 20, tos = 0, pktlen = 84, pktid = 722, offset = 0, ttl = 255, protocol = 1, checksum = 40658, s = 12.1.1.1, d = 12.1.1.2 prompt: Droped by firewall sec! *0.14854438 Quidway IP/8/debug_case:Slot=4; Receiving, interface = Ethernet4/2/0, version = 4, headlen = 20, tos = 0, pktlen = 84, pktid = 724, offset = 0, ttl = 255, protocol = 1, checksum = 40656, s = 12.1.1.1, d = 12.1.1.2 prompt: Receiving IP packet from Ethernet4/2/0 *0.14854800 Quidway IP/8/debug_case:Slot=4; Discarding, interface = Ethernet4/2/0, version = 4, headlen = 20, tos = 0, pktlen = 84, pktid = 724, offset = 0, ttl = 255, protocol = 1, checksum = 40656, s = 12.1.1.1, d = 12.1.1.2 prompt:

      《华为数通操作手册-VRP全系列-VRP故障处理手册-路由器-04-第4章-ACL故障处理》由会员jiups****uk12分享,可在线阅读,更多相关《华为数通操作手册-VRP全系列-VRP故障处理手册-路由器-04-第4章-ACL故障处理》请在金锄头文库上搜索。

      点击阅读更多内容
    关于金锄头网 - 版权申诉 - 免责声明 - 诚邀英才 - 联系我们
    手机版 | 川公网安备 51140202000112号 | 经营许可证(蜀ICP备13022795号)
    ©2008-2016 by Sichuan Goldhoe Inc. All Rights Reserved.