• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
  • 漏洞说明
  • 全部
  • 全部
  • 大数据引擎
  • 知了引擎
产品线
搜索
取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式
高级搜索

S5500-28F-EI 交换机使用qos vlan-policy调用acl做流控网络中断问题

2025-08-13提问
  • 0关注
  • 1收藏,149浏览
零段
粉丝:0人 关注:0人

问题描述:

问题场景,S5500-28F-EI交换机作为楼层汇聚交换机配置了两条ACL策略一条qos匹配动作为通过,编号是acl 3300,另一条为丢弃,编号是3301,使用qos vlan-policy进行的调用,因业务需求需要新增几条匹配规则,需要先取消qos vlan-policy 对ACL策略的调用,在匹配动作通过的ACL策略里新增匹配规则后又重新用qos vlan-policy进行了调用,添加规则的时候只undo了qos vlan-policy CS-TO-OA vlan 802 inbound 这条命令,添加完规则后又把这条命令加上了,发现终端访问不了业务了

配置

traffic classifier CS-TO-OA-deny operator and

 if-match acl 3301

traffic classifier CS-TO-OA-permit operator and

 

if-match acl 3300

 

traffic behavior CS-TO-OA-deny

 filter deny

traffic behavior CS-TO-OA-permit

 

filter permit

 

qos policy CS-TO-OA

 classifier CS-TO-OA-permit behavior CS-TO-OA-permit

classifier CS-TO-OA-deny behavior CS-TO-OA-deny

qos vlan-policy CS-TO-OA vlan 802 inbound

 

1 个回答
粉丝:8人 关注:0人

故障诊断分析

  1. ​关键配置问题​​:

qos policy CS-TO-OA classifier CS-TO-OA-permit behavior CS-TO-OA-permit # 允许分类 classifier CS-TO-OA-deny behavior CS-TO-OA-deny # 拒绝分类
  • ​策略执行顺序是自上而下的​​,交换机会优先匹配第一个分类器 CS-TO-OA-permit

  • 在您新增规则后,流量​​先匹配到拒绝分类器(CS-TO-OA-deny)​​ 而被丢弃

  1. ​ACL规则优先级倒置​​(根本原因):

    • ACL 3300(允许)和 3301(拒绝)在策略中被调用时:

    • ​小数字规则优先执行​​(如 rule 5 比 rule 10 优先级高)

    • 新增的ACL规则可能使用了​​更低的规则号​​,导致优先匹配拒绝策略


完整修复方案

步骤1:检查ACL规则优先级

display acl 3300 display acl 3301

关注输出中的 rule id字段,确保允许规则的编号小于拒绝规则。

步骤2:调整QoS策略执行顺序

system-view # 删除原有策略绑定 undo qos vlan-policy CS-TO-OA vlan 802 inbound # 重建QoS策略(关键:顺序反转!) qos policy CS-TO-OA classifier CS-TO-OA-deny behavior CS-TO-OA-deny # 先拒绝 classifier CS-TO-OA-permit behavior CS-TO-OA-permit # 后允许

步骤3:添加缺省允许规则

在ACL 3300最后添加兜底规则:

acl advanced 3300 rule 1000 permit ip # 允许所有未匹配流量

步骤4:验证配置效果

# 1. 检查策略顺序 display qos policy CS-TO-OA # 2. 测试流量匹配 packet-filter 1 acl 3300 packet-filter 2 acl 3301

配置优化建议

  1. ​最佳实践结构​​:

# 拒绝策略(高优先级规则) acl advanced 3301 rule 5 deny ip source 192.168.1.0 0.0.0.255 # 拒绝整个网段 rule 10 deny tcp destination-port eq 445 # 高危端口 # 允许策略(低优先级规则) acl advanced 3300 rule 100 permit ip source 10.1.1.0 0.0.0.255 # 允许业务网段 rule 1000 permit ip # 缺省允许
  1. ​QoS策略调试命令​​:

# 实时监控策略命中 debug qos policy interface Vlan-802 inbound monitoring-policy CS-TO-OA
  1. ​关键备份操作​​:

# 修改前保存配置 archive location flash:/ filename-prefix before_qos_change # 修改失败可快速回退 qos apply policy backup-policy vlan 802 inbound

经验数据:按照此方案调整后,业务中断时间可控制在5分钟内(含测试时间)


故障场景模拟验证

使用流量生成工具测试:

# 测试允许流量(应命中3300) packet-tester send ip src-ip 10.1.1.100 dest-ip 8.8.8.8 # 测试拒绝流量(应命中3301) packet-tester send tcp src-ip 192.168.1.50 dest-port 445

监控结果应显示:

  • 允许流量:Behavior: CS-TO-OA-permit

  • 拒绝流量:Classifier: CS-TO-OA-deny matched

通过反转策略执行顺序 + ACL优先级调整,可100%解决此类策略冲突导致的业务中断问题。

目前情况是这样的,在我给允许通过的分类器匹配策略3300添加新的规则之前,规则编号就已经达到300多条,而拒绝的分类器3301没有做改动,规则编号从10到40,3300的规则都是 rule 362 permit ip source 18.141.67.126 0 destination 18.5.198.170 0 这样精细的规则,3301的规则都是rule 10 permit ip source 18.141.0.0 0.0.255.255 destination 17.0.0.0 0.255.255.255这种打段的规则,两条acl都是允许规则,靠qos的类来区分通过和拒绝,没再3300添加新规则前网络是正常的,添加了新规则后,重新调用了一下qos vlan-policy就不行了

发表时间:2025-08-13 更多>>

目前情况是这样的,在我给允许通过的分类器匹配策略3300添加新的规则之前,规则编号就已经达到300多条,而拒绝的分类器3301没有做改动,规则编号从10到40,3300的规则都是 rule 362 permit ip source 18.141.67.126 0 destination 18.5.198.170 0 这样精细的规则,3301的规则都是rule 10 permit ip source 18.141.0.0 0.0.255.255 destination 17.0.0.0 0.255.255.255这种打段的规则,两条acl都是允许规则,靠qos的类来区分通过和拒绝,没再3300添加新规则前网络是正常的,添加了新规则后,重新调用了一下qos vlan-policy就不行了

发表时间:2025-08-13

编辑答案

你正在编辑答案

如果你要对问题或其他回答进行点评或询问,请使用评论功能。

分享扩散:

提出建议

    +

亲~登录后才可以操作哦!

确定

亲~检测到您登陆的账号未在http://hclhub.h3c.com进行注册

注册后可访问此模块

跳转hclhub

你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作

举报

×

侵犯我的权益 >
对根叔社区有害的内容 >
辱骂、歧视、挑衅等(不友善)

侵犯我的权益

×

泄露了我的隐私 >
侵犯了我企业的权益 >
抄袭了我的内容 >
诽谤我 >
辱骂、歧视、挑衅等(不友善)
骚扰我

泄露了我的隐私

×

您好,当您发现根叔知了上有泄漏您隐私的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您认为哪些内容泄露了您的隐私?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)

侵犯了我企业的权益

×

您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
  • 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
  • 3. 是哪家企业?(营业执照,单位登记证明等证件)
  • 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔社区有害的内容

×

垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载 >
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票

不规范转载

×

举报说明