华为S7550交换机上ACL问题,请老师指教
我在交换机上定义了3001这一访问控制列表其中:aclnumber3001rule4permitipsource192.168.21.00.0.0.255destinat...
我在交换机上定义了3001这一访问控制列表
其中:
acl number 3001
rule 4 permit ip source 192.168.21.0 0.0.0.255 destination 192.168.21.0 0.0.0.255
...............
rule 21 deny ip source 192.168.0.0 0.0.255.255 destination 192.168.0.0 0.0.255.255
请问我这样的策略 rule 4 能不能实现 192.168.21.0网段内所有IP互通?
还有 rule 21 能不能达到真正的拒绝 192.168.0.255 -192.168.255.255 整个范围网段内的IP通信
其中rule 4 的反子网掩码 0.0.255.255 是不是真可以代表192.168.1.0到192.168.255.0这个网段?
导致故障的大概原因找到了
用 AM user-bind ip addr 绑定IP+MA后
就会导致VLAN21内所绑定的主机无法ping通VLAN21内其他主机
但却不知道基本 原因是为什么
难道QOS和 AM 不能同时应用在S7502交换机上
很烦,不知道该怎么解决,MAC地址绑定是必须的
但绑了又不能使用部门内的网络打印机
也不可能再对交换机配置做出大改动
哪位前辈帮帮哦
交换机配置不能拷出来哦
客户是军工企业,涉密的 展开
其中:
acl number 3001
rule 4 permit ip source 192.168.21.0 0.0.0.255 destination 192.168.21.0 0.0.0.255
...............
rule 21 deny ip source 192.168.0.0 0.0.255.255 destination 192.168.0.0 0.0.255.255
请问我这样的策略 rule 4 能不能实现 192.168.21.0网段内所有IP互通?
还有 rule 21 能不能达到真正的拒绝 192.168.0.255 -192.168.255.255 整个范围网段内的IP通信
其中rule 4 的反子网掩码 0.0.255.255 是不是真可以代表192.168.1.0到192.168.255.0这个网段?
导致故障的大概原因找到了
用 AM user-bind ip addr 绑定IP+MA后
就会导致VLAN21内所绑定的主机无法ping通VLAN21内其他主机
但却不知道基本 原因是为什么
难道QOS和 AM 不能同时应用在S7502交换机上
很烦,不知道该怎么解决,MAC地址绑定是必须的
但绑了又不能使用部门内的网络打印机
也不可能再对交换机配置做出大改动
哪位前辈帮帮哦
交换机配置不能拷出来哦
客户是军工企业,涉密的 展开
3个回答
展开全部
首先你要明确一点,访问控制列表的掩码可以不连续, 也就是说访问控制列表为了达到精确匹配,因此可以不连续,下面我们来做这个题目:
我们把192.168.1.0的最后一位写成2进制为00000000,如果要为奇数,只需要最后一位置1即可!也就是说00000001,0的部分可以随便变动,1的部分不能变!这样形成的数肯定是奇数,所以我们可以这样匹配,192.168.1.1 255.255.255.1,那么访问控制列表就很容易写出了!
Router(config)#access-list 1 permit 192.168.1.1 255.255.255.1
由于默认跟随了一句deny any,所以就用一句,放行奇数IP就可以了!然后在接口下应用就OK了!
回答完毕!
我们把192.168.1.0的最后一位写成2进制为00000000,如果要为奇数,只需要最后一位置1即可!也就是说00000001,0的部分可以随便变动,1的部分不能变!这样形成的数肯定是奇数,所以我们可以这样匹配,192.168.1.1 255.255.255.1,那么访问控制列表就很容易写出了!
Router(config)#access-list 1 permit 192.168.1.1 255.255.255.1
由于默认跟随了一句deny any,所以就用一句,放行奇数IP就可以了!然后在接口下应用就OK了!
回答完毕!
本回答由提问者推荐
已赞过
已踩过<
评论
收起
你对这个回答的评价是?
展开全部
1.可以
2。是的
3.是的
2。是的
3.是的
已赞过
已踩过<
评论
收起
你对这个回答的评价是?
展开全部
可以将配置文件贴上来,如果不方便可以讲配置文件发送到我邮箱里。wlcol@126.com
我是H3C(华为)代理商工程师,可以帮你看看。
因为使用ACL的时候,是要根据具体情况来定义源和目的的acl,和在接口的in方向还是out方向应用都是有说道的。
#########################
看了你的图片。我初步判断为acl问题与mac地址学习问题。
1.mac地址学习功能。在连接pc的端口下,不能配置成0,学习不到任何mac地址。此时交换机端口mac地址表项里没有对应的信息。交
换无法转发数据,也不建议将此值调的太小。连接到其他交换机的端口如trunk口一定要将此值调的很大,最好不限制。因为交换机
会维护整个网络里所有的mac与端口对应表项。如果你将TRUNK限制小了从此端口上来的对端所有pc机mac地址到达限制数就不学习了
。也就没有表项。没有对应表项,二层就不可能通信,就更别说三层了。
建议将连接pc的端口设置成10,连接其他交换机的端口(trunk)不做限制。要把此功能关闭。注意,对于trunk口两边的交换要设置
成一样。
使用dis mac-address 和 dis arp all查看mac地址与端口的对应关系,就知道那个端口是否学习上来了mac地址。没有学习上来地址
就肯定不能通信。
2.acl问题。你设置的acl3001有很大的问题。华为的acl是从最大的rule开始匹配的,也就是说先执行rule22 在往上执行rule。因为
有版本的问题,有的交换如果在最后设置了deny在往上的话permit是不好用的,你的rule22在你lan内就相当于了全部deny。S7502我
没有设置过这样的应用。所有说全都deny掉还是不清楚。我建议你这样配置。
把permit换成deny 而acl最后不做permit全部允许规则。
例:
在一个access端口下。它属于vlan21.只允许访问本网段,而不允许访问vlan25。
acl num 3021
rule 1 deny ip sou 192.168.21.0 0.0.0.255 de 192.168.25.0 0.0.0.255
在端口下
qos
pack ip in acl 3021
一定要在in方向,in方向是从此端口流入的数据,在acl里就是source。如果是ou方向在acl里就de目的地址。
还有就是你说的领导单向访问问题。
这个是没有办法实现的,也很不现实。从数据的角度上来看,数据包是双向的这样才能建立起一个连接,tcp或者udp的。只有去的数
据,在经过端口的时候被acl规则里的deny掉回来的数据。这个连接是建立不起来的。也就无法通信。
说个最简单的例子。我在vlan21里pingvlan25的地址,我把arp请求到mac地址的那部分省略掉。ping是使用icmp报文。首先发送一个
icmp请求报文。经过交换的是三层路由请求到了对方pc,对方pc返回了一个icmp报文,在经过连接他的端口时被acl规则deny掉了。
而我一直也没有收到对方的icmp返回报文,经过计时器时间,确认丢失。返回Request timed out.
如此连最基础的icmp报文都不通,就别说tcp、udp报文了。
所以单向访问是不可行的。
如果还有什么问题可以直接发邮件给我。
我是H3C(华为)代理商工程师,可以帮你看看。
因为使用ACL的时候,是要根据具体情况来定义源和目的的acl,和在接口的in方向还是out方向应用都是有说道的。
#########################
看了你的图片。我初步判断为acl问题与mac地址学习问题。
1.mac地址学习功能。在连接pc的端口下,不能配置成0,学习不到任何mac地址。此时交换机端口mac地址表项里没有对应的信息。交
换无法转发数据,也不建议将此值调的太小。连接到其他交换机的端口如trunk口一定要将此值调的很大,最好不限制。因为交换机
会维护整个网络里所有的mac与端口对应表项。如果你将TRUNK限制小了从此端口上来的对端所有pc机mac地址到达限制数就不学习了
。也就没有表项。没有对应表项,二层就不可能通信,就更别说三层了。
建议将连接pc的端口设置成10,连接其他交换机的端口(trunk)不做限制。要把此功能关闭。注意,对于trunk口两边的交换要设置
成一样。
使用dis mac-address 和 dis arp all查看mac地址与端口的对应关系,就知道那个端口是否学习上来了mac地址。没有学习上来地址
就肯定不能通信。
2.acl问题。你设置的acl3001有很大的问题。华为的acl是从最大的rule开始匹配的,也就是说先执行rule22 在往上执行rule。因为
有版本的问题,有的交换如果在最后设置了deny在往上的话permit是不好用的,你的rule22在你lan内就相当于了全部deny。S7502我
没有设置过这样的应用。所有说全都deny掉还是不清楚。我建议你这样配置。
把permit换成deny 而acl最后不做permit全部允许规则。
例:
在一个access端口下。它属于vlan21.只允许访问本网段,而不允许访问vlan25。
acl num 3021
rule 1 deny ip sou 192.168.21.0 0.0.0.255 de 192.168.25.0 0.0.0.255
在端口下
qos
pack ip in acl 3021
一定要在in方向,in方向是从此端口流入的数据,在acl里就是source。如果是ou方向在acl里就de目的地址。
还有就是你说的领导单向访问问题。
这个是没有办法实现的,也很不现实。从数据的角度上来看,数据包是双向的这样才能建立起一个连接,tcp或者udp的。只有去的数
据,在经过端口的时候被acl规则里的deny掉回来的数据。这个连接是建立不起来的。也就无法通信。
说个最简单的例子。我在vlan21里pingvlan25的地址,我把arp请求到mac地址的那部分省略掉。ping是使用icmp报文。首先发送一个
icmp请求报文。经过交换的是三层路由请求到了对方pc,对方pc返回了一个icmp报文,在经过连接他的端口时被acl规则deny掉了。
而我一直也没有收到对方的icmp返回报文,经过计时器时间,确认丢失。返回Request timed out.
如此连最基础的icmp报文都不通,就别说tcp、udp报文了。
所以单向访问是不可行的。
如果还有什么问题可以直接发邮件给我。
已赞过
已踩过<
评论
收起
你对这个回答的评价是?
推荐律师服务:
若未解决您的问题,请您详细描述您的问题,通过百度律临进行免费专业咨询
