华为交换中端产品QACL配置案例集(1)

由于芯片结构的原因，中端产品的QACL配置较复杂，给用户使用带来了一定的难度，用服人员维护起来有时也会较为棘手，经常会有用户和用服人员打电话过来咨询这方面的配置的使用，下面的配置案例全部取材于6500系列产品在使用中的实际配置，大多是客户的咨询，其中一些还曾发生过网上问题。将这些东西进行总结，有利于我们更好的使用6506。

【案例1】
我想实现办公网只有个别的机器（10.1.0.38）访问服务器10.1.0.254，我进行了如下配置，但10.1.0.38依然无法访问服务器，6506是不是不能实现这种需求啊。
aclnumber100
rule0permitipsou10.1.0.380des10.1.0.2540
rule1denyip
inte2/0/1
paipin100
【问题分析】
这是个比较典型的错误，错误原因就是没有搞清6506的acl的其作用的顺序。在6500系列产品上，是根据规则的下发时间顺序来决定起作用的顺序的，最近下发的规则我们认为是用户最新的需求，它会最新起作用。对于上面的配置，rule0先下发，rule1后下发，那么首先其作用的是rule1。这样会将所有的报文都过滤掉。
【解决办法】
将两条规则的配置顺序对调。

【案例2】
我想禁止210.31.12.00.0.1.255访问任何网段的ICMP报文，但却无法实现，请帮忙检查一下。
aclnumber100match-orderauto
rule0denyicmpsource210.31.12.00.0.1.255
rule1denytcpsource-porteq135destination-porteq135
rule2denytcpsource-porteq135destination-porteq139
rule3denytcpsource-porteq135destination-porteq4444
rule4denytcpsource-porteq135destination-porteq445
rule5denyudpsource-porteqtFTPdestination-porteqtftp
rule6denytcpsource-porteq1025
rule8permitip
【问题分析】
又是一个比较典型的错误，用户认为要想让交换机转发，必须配置类似rule8的规则，其实这是不必要的，6506缺省有一条matchall表项，将交换机配置成转发模式，再配置一条，则覆盖了前面的所有规则。
【解决办法】
将最后一条规则去掉。

【案例3】
规则如下，要求只允许10.89.0.0/16访问10.1.1.0，但配置后其他网段也可以访问了，请问是为什么？
aclnumber101match-orderauto
rule0denyip
aclnumber102match-orderauto
rule0permitipsource10.89.0.00.0.255.255destination10.1.1.00.0.0.255
。。。
。。。
。。。
interfaceEthernet2/0/3
descriptionconnectedto5lou
portlink-typehybrid
porthybridvlan1tagged
porthybridvlan20untagged
porthybridpvidvlan20
qos
packet-filterinboundip-group101rule0
packet-filterinboundip-group102rule0
packet-filterinboundip-group103rule0
packet-filterinboundip-group105rule2
packet-filterinboundip-group105rule3
packet-filterinboundip-group105rule5
packet-filterinboundip-group105rule6
packet-filterinboundip-group105rule4
#
【问题分析】
由于ACL102的rule0的原因，只要是从这个网段上来的报文都会匹配这个规则的前半部分，但如果它不是访问10.89.0.0/16，它不会匹配上ACL102的rule0，本来希望它匹配到ACL101的rule0，但是由于在硬件中ipsource10.89.0.0和ipanyany使用的是不同的id，所以ACL101的rule0也不再会被匹配到。那么报文会匹配到最后一条缺省的matchall表项，进行转发。
【解决办法】
把rule0denyip变成rule0denyipsource10.89.0.00.0.255.255。

【案例4】
某银行当每天造成重起6506后，发现有部分网段的用户无法访问病毒服务器（11.8.14.141和11.8.14.2），将防火墙配置删除后再下发问题消除。配置如下：
aclnumber122
descriptionguoku
rule1denyipsourceanydestination11.8.20.1120.0.0.15
rule2permitipsource11.8.20.1600.0.0.31destination11.8.20.1120.0.0.15
rule3permitipsource11.8.20.1120.0.0.15destination11.8.20.1120.0.0.15
rule4permitipsource11.8.20.2080.0.0.7destination11.8.20.1120.0.0.15
rule5permitipsource11.8.14.1410.0.0.0destination11.8.20.1120.0.0.15
rule6permitipsource11.8.14.20.0.0.0destination11.8.20.1120.0.0.15
rule7permitipsource11.8.2.110.0.0.0destination11.8.20.1120.0.0.15
aclnumber186
rule1permitipsource11.8.14.00.0.0.255destinationany
interfaceEthernet1/0/48
descriptionconnect_to_vlan1000-router
traffic-priorityoutboundip-group181dscp46
traffic-priorityoutboundip-group182dscp34
traffic-priorityoutboundip-group183dscp26
traffic-priorityoutboundip-group184dscp18
traffic-priorityoutboundip-group185dscp10
traffic-priorityoutboundip-group186dscp0
packet-filterinboundip-group120not-care-for-interface
packet-filterinboundip-group121not-care-for-interface
packet-filterinboundip-group122not-care-for-interface
packet-filterinboundip-group123not-care-for-interface
packet-filterinboundip-group124not-care-for-interface
packet-filterinboundip-group125not-care-for-interface
【问题分析】
当我们做完配置时，软件对配置进行了相应的记录，我们使用save命令就可以将这些记录保存在配置文件中，每次启动后按照此记录的顺序逐条下发。由于acl的功能和下发顺序密切相关，所以软件上应该能够保证启动后的配置顺序和启动前的顺序一致性。
本问题出在软件在buildrun时将acl和qos的顺序进行了调整，将qos的动作放在了acl的动作之后，相当于人为的提高了qos动作的优先级，重起后造成了部分acl失效。将acl删除后再下发，再次改变了匹配顺序，acl规则生效。由于软件设计时将acl和qos设计成了两个模块，而buildrun的各个模块是独立的，所以此部分更改起来需要彻底更改设计方案，变动实在太大。
【解决办法】
可以将qos的操作移动到前面的端口来做，由于buildrun的顺序是按照端口顺序来做的，这样qos就会先行下发，acl的动作后下发，避免了覆盖的发生。
对于上面的例子，也可以将acl186再添加两条如下蓝色字体的规则，
aclnumber186
rule1permitipsource11.8.14.00.0.0.255destinationany
rule5permitipsource11.8.14.1410.0.0.0destination11.8.20.1120.0.0.15
rule6permitipsource11.8.14.20.0.0.0destination11.8.20.1120.0.0.15