本文主要是介绍ACL配置内部IP隔离,对大家解决编程问题具有一定的参考价值,需要的程序猿们随着小编来一起学习吧!
拓扑结构如下: PC 1属于vlan 10 PC2和PC3 属于vlan 20
Advanced ACL 3000, 4 rules
Acl's step is 5
rule 5 permit ip destination 192.168.100.0 0.0.0.255 #访问100段
rule 50 permit ip destination 192.168.10.1 0 #访问指定IP
rule 51 permit ip destination 192.168.20.1 0 #访问指定IP
rule 100 deny ip
traffic-filter vlan 20 inbound acl 3000
traffic-filter vlan 10 inbound acl 3000
结果验证 : 1. 所有PC 均能够访问SW1任何接口IP地址, 能够访问R1 , R1也能访问所有PC
2. 所有PC 之间均不能互访,(同一vlan20 下PC2和PC3也无法ping通)
ACL中Deny配置导致多条NAT配置中第2条不生效
发布时间: 2014-10-22 | 浏览次数: 817 | 下载次数: 4 | 作者: SU1001634105 | 文档编号: EKB1000056956
目录
问题描述处理过程根因解决方案建议与总结
问题描述
客户需求: acl中匹配的网段每个网段指定转化为一组公网地址。
故障描述:客户反馈 192.168.20.0/24 网段无法上网。
配置如下:
#
nat address-group 1 219.148.62.179 219.148.62.179
nat address-group 2 219.148.62.180 219.148.62.180
#
acl number 3000
rule 5 permit ip source 192.168.10.0 0.0.0.255
rule 10 deny ip
acl number 3001
rule 5 permit ip source 192.168.20.0 0.0.0.255
rule 10 deny ip
#
interface GigabitEthernet0/0/1
ip address 219.148.62.178 255.255.255.240
nat outbound 3000 address-group 1
nat outbound 3001 address-group 2
处理过程
可能原因:
1.转化的address-group 2 IP地址冲突
2.acl中的deny选项就数据直接丢弃。
3.nat session转化表异常。
操作过程:
1.查看log日志中并没有IP地址冲突告警。叫客户测试将nat outbound 3000 address-group 1 删除后 192.168.20.0/24网段能上网 排查IP地址冲突的可能性。
2.查看acl匹配表发现:
<Huawei>dis acl 3000
Advanced ACL 3000, 2 rules
Acl's step is 5
rule 5 permit ip source 192.168.10.0 0.0.0.255 (2 matches)
rule 10 deny ip (4 matches)
rule 10 deny 项有匹配次数。将问题锁定为acl deny项导致。
根因
产品文档中对于ACL deny 解释为拒绝符合条件的报文。
解决方案
将acl3000 和acl3001中 的deny匹配项删除 即可。
建议与总结
多条nat 匹配顺序 按配置顺序。 ACL中的DENY 一般都是就数据直接丢弃,很多产品都是包括交换机、AR系列路由器和防火墙。
多条ACL 匹配顺序 按配置顺序。(如ACL3000 与ACL 3001 谁在前先执行谁) ACL中的DENY 一般都是就数据直接丢弃,很多产品都是包括交换机、AR系列路由器和防火墙
这篇关于ACL配置内部IP隔离的文章就介绍到这儿,希望我们推荐的文章对大家有所帮助,也希望大家多多支持为之网!