ACL过MSTP专线后有问题
- 0关注
- 1收藏,1474浏览
问题描述:
客户反馈使用ACL做包过滤有问题,具体情况如下:
客户有新老两个厂区,其中服务器挂在老厂区下,网关其在老厂区核心交换机上面,新老厂区通过mstp专线互联。再老厂区核心做接口下基于ACL的包过滤,相同网段情况下老厂区终端访问服务器正常,新厂区则无法连接服务,此时新老厂区使用的vlan相同及业务网段相同,且新厂区ping服务器地址正常。将vlan接口下的包过滤配置删除则两边都能访问。
组网及组网描述:
拓扑图如上图,ACL 配置如下:
acl number 2002
rule 0 permit source 192.168.98.10 0
rule 1 deny source 192.168.98.0 0.0.0.255
rule 5 permit source 192.168.20.0 0.0.0.255
rule 6 deny
其中服务器地址为192.168.98.10,业务网段为192.168.20.0 网关都起在老厂区核心设备之上,新厂区到老厂区采用vlan透传的方式。
- 2021-01-13提问
- 举报
-
(0)
最佳答案
在做ACL之后抓包查看一下数据,及分析一下是什么原因导致的。
- 2021-01-13回答
- 评论(2)
- 举报
-
(0)
会有可能市MSTP链路的问题吗,感觉我是基于IP去限制的,ping没问题按时访问服务器应该一点问题都没有的
个人建议查一下ACL 通过描述判断
您好,请知:
新厂区的网段是192.168.20.0网段,从策略上看在rule 1这里已经将192.168.98.0网段给拒绝了。然后新厂区的网段在rule 1的下一条策略。因此在匹配完rule 1以后,rule 2的策略就不会往下匹配了。因为192.168.98.0网段已经被过滤。
因此在ACL内将rule 1删掉后,新厂区的192.168.20.0网段应该就能访问了。参考命令如下:
acl number 2002
undo rule 1
quit
除了检查策略外,还需要检查acl的应用方向是否准确。
- 2021-01-13回答
- 评论(3)
- 举报
-
(0)
可是我的老厂区同一网段访问没问题呀,都是用的20网段访问
少描述了下 过滤都是再192.168.20.0网段下做的,不会出现你说的状况,另外我只是访问服务器不同,但是ping是没问题的,证明ACL并没有限制互访。
您好,那就要检查服务器上系统防火墙有没有放通192.168.20这个地址段了。也就是针对服务的端口号那块
可是我的老厂区同一网段访问没问题呀,都是用的20网段访问
你好,看配置应该是rule 1 deny掉了,建议如下操作,删掉rule 1测试下:
acl number 2002
undo rule 1
再一点一般我们建议写高级acl,这样可以精确到源和目的,最好把要permit的访问需求先放在前面的rule ,最后再加上一条deny 所有的规则!
希望可以帮助到你!
- 2021-01-13回答
- 评论(0)
- 举报
-
(1)
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
个人建议查一下ACL 通过描述判断