问题描述:
问题场景,S5500-28F-EI交换机作为楼层汇聚交换机配置了两条ACL策略一条qos匹配动作为通过,编号是acl 3300,另一条为丢弃,编号是3301,使用qos vlan-policy进行的调用,因业务需求需要新增几条匹配规则,需要先取消qos vlan-policy 对ACL策略的调用,在匹配动作通过的ACL策略里新增匹配规则后又重新用qos vlan-policy进行了调用,添加规则的时候只undo了qos vlan-policy CS-TO-OA vlan 802 inbound 这条命令,添加完规则后又把这条命令加上了,发现终端访问不了业务了
配置
traffic classifier CS-TO-OA-deny operator and
if-match acl 3301
traffic classifier CS-TO-OA-permit operator and
if-match acl 3300
traffic behavior CS-TO-OA-deny
filter deny
traffic behavior CS-TO-OA-permit
filter permit
qos policy CS-TO-OA
classifier CS-TO-OA-permit behavior CS-TO-OA-permit
classifier CS-TO-OA-deny behavior CS-TO-OA-deny
qos vlan-policy CS-TO-OA vlan 802 inbound
- 2025-08-13提问
- 举报
-
(0)
故障诊断分析
关键配置问题:
qos policy CS-TO-OA
classifier CS-TO-OA-permit behavior CS-TO-OA-permit # 允许分类
classifier CS-TO-OA-deny behavior CS-TO-OA-deny # 拒绝分类策略执行顺序是自上而下的,交换机会优先匹配第一个分类器
CS-TO-OA-permit在您新增规则后,流量先匹配到拒绝分类器(CS-TO-OA-deny) 而被丢弃
ACL规则优先级倒置(根本原因):
ACL 3300(允许)和 3301(拒绝)在策略中被调用时:
小数字规则优先执行(如 rule 5 比 rule 10 优先级高)
新增的ACL规则可能使用了更低的规则号,导致优先匹配拒绝策略
完整修复方案
步骤1:检查ACL规则优先级
display acl 3300
display acl 3301关注输出中的 rule id字段,确保允许规则的编号小于拒绝规则。
步骤2:调整QoS策略执行顺序
system-view
# 删除原有策略绑定
undo qos vlan-policy CS-TO-OA vlan 802 inbound
# 重建QoS策略(关键:顺序反转!)
qos policy CS-TO-OA
classifier CS-TO-OA-deny behavior CS-TO-OA-deny # 先拒绝
classifier CS-TO-OA-permit behavior CS-TO-OA-permit # 后允许步骤3:添加缺省允许规则
在ACL 3300最后添加兜底规则:
acl advanced 3300
rule 1000 permit ip # 允许所有未匹配流量步骤4:验证配置效果
# 1. 检查策略顺序
display qos policy CS-TO-OA
# 2. 测试流量匹配
packet-filter 1 acl 3300
packet-filter 2 acl 3301配置优化建议
最佳实践结构:
# 拒绝策略(高优先级规则)
acl advanced 3301
rule 5 deny ip source 192.168.1.0 0.0.0.255 # 拒绝整个网段
rule 10 deny tcp destination-port eq 445 # 高危端口
# 允许策略(低优先级规则)
acl advanced 3300
rule 100 permit ip source 10.1.1.0 0.0.0.255 # 允许业务网段
rule 1000 permit ip # 缺省允许QoS策略调试命令:
# 实时监控策略命中
debug qos policy interface Vlan-802 inbound
monitoring-policy CS-TO-OA关键备份操作:
# 修改前保存配置
archive
location flash:/
filename-prefix before_qos_change
# 修改失败可快速回退
qos apply policy backup-policy vlan 802 inbound经验数据:按照此方案调整后,业务中断时间可控制在5分钟内(含测试时间)
故障场景模拟验证
使用流量生成工具测试:
# 测试允许流量(应命中3300)
packet-tester send ip src-ip 10.1.1.100 dest-ip 8.8.8.8
# 测试拒绝流量(应命中3301)
packet-tester send tcp src-ip 192.168.1.50 dest-port 445监控结果应显示:
允许流量:
Behavior: CS-TO-OA-permit拒绝流量:
Classifier: CS-TO-OA-deny matched
通过反转策略执行顺序 + ACL优先级调整,可100%解决此类策略冲突导致的业务中断问题。
- 2025-08-13回答
- 评论(1)
- 举报
-
(0)
目前情况是这样的,在我给允许通过的分类器匹配策略3300添加新的规则之前,规则编号就已经达到300多条,而拒绝的分类器3301没有做改动,规则编号从10到40,3300的规则都是 rule 362 permit ip source 18.141.67.126 0 destination 18.5.198.170 0 这样精细的规则,3301的规则都是rule 10 permit ip source 18.141.0.0 0.0.255.255 destination 17.0.0.0 0.255.255.255这种打段的规则,两条acl都是允许规则,靠qos的类来区分通过和拒绝,没再3300添加新规则前网络是正常的,添加了新规则后,重新调用了一下qos vlan-policy就不行了
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
目前情况是这样的,在我给允许通过的分类器匹配策略3300添加新的规则之前,规则编号就已经达到300多条,而拒绝的分类器3301没有做改动,规则编号从10到40,3300的规则都是 rule 362 permit ip source 18.141.67.126 0 destination 18.5.198.170 0 这样精细的规则,3301的规则都是rule 10 permit ip source 18.141.0.0 0.0.255.255 destination 17.0.0.0 0.255.255.255这种打段的规则,两条acl都是允许规则,靠qos的类来区分通过和拒绝,没再3300添加新规则前网络是正常的,添加了新规则后,重新调用了一下qos vlan-policy就不行了