问题描述:
拓扑: 总部-分局核心-接入交换机-电脑
分局这边电脑需要访问总部服务器8088端口,使用cmd命令进行telnet 服务器IP 8088,我的电脑不行,另外两个同事可以,我们三台都可以ping通服务器IP,分局核心通过三层和总部互联,分局核心出接口下面有qos ,qos名称是loudong,loudong引用策略是acl3996,行为是deny ,acl3996下面全是permit策略,我的理解就是acl3996下面的permit的行为都是拒绝,acl3996下面关于8088的策略两条:permit tcp des-port eq 8080
permit udp des-port eq 8080
我在acl3996最上面加了一条deny去往服务器8088cel开启了counting 没有匹配到,还有什么办法可以放分部的电脑全部都可以去访问服务器
最佳答案
问
分局能 ping 通总部、个别端口通、唯独 8088 不通,同网段别人能通你不能通 根因 + 解决
- 三台电脑都能 ping 通总部服务器 IP → 三层路由、互通没问题
- 同事电脑能通 8088,只有你电脑不通
- 分局核心出接口有 QoS:QOS 引用 ACL3996,行为 deny
- ACL3996 里只有 permit tcp/udp 目的端口 8080,没有 8088
- 你在 ACL3996 加了 deny 8088,计数器没匹配 → 根本不是被这条 ACL 拦截
一、先讲你这个 QoS+ACL 的逻辑(你理解错了)
QOS策略 loudong
引用 acl 3996
行为 deny
- permit tcp dst-port 8080
- permit udp dst-port 8080
二、同网段别人能通、就你不能通,99% 是这 4 个原因
1. 你电脑本地防火墙 / 杀毒拦截了 8088 出站
2. 你电脑有静态路由 / 错误网关、DNS 异常
3. 总部服务器防火墙 / 安全组 限制了你的电脑 IP
4. 分局接入交换机 端口安全 / ACL/IP-MAC 绑定
三、立刻落地排查步骤(按顺序来)
第一步:你电脑临时关闭系统防火墙 + 杀毒
- Windows 设置 → 更新和安全 → Windows Defender → 关闭实时防护、防火墙
- 退出 360 / 火绒 / 企业杀毒 全部退出
- 再试:
telnet 总部服务器IP 8088
第二步:对比三台电脑配置
- IP、子网、网关、DNS 是否完全一致
- 你是不是手动设了静态 IP、有多余静态路由cmd 执行:
route print
第三步:测试替换法(最快定位)
- 把你的网线插到同事能通的电脑 → 看能不能通 8088
- 能通:线路 / 交换机没问题,问题在你电脑本身
- 把同事能通的电脑 换到你的网口 → 看能不能通
- 不能通:你接入交换机端口有策略限制
第四步:总部侧排查
- 系统防火墙入站规则 是否放行 8088
- 有无 IP 白名单,只放同事 IP,拒绝了你 IP
四、你现在要做的全局放行方案(一次性解决所有分局电脑)
1. 在分局核心 ACL3996 最前面加(允许总部服务器整段所有端口)
acl number 3996
rule 0 permit ip destination 总部服务器网段 反掩码
rule 0 permit ip destination 10.50.10.0 0.0.0.255
2. 如果你想单独放行 8088 端口
rule 0 permit tcp destination-port eq 8088
rule 1 permit udp destination-port eq 8088
五、一句话总结
- 现有 ACL3996+QoS 只拦 8080,不拦 8088,不是设备侧拦截。
- 同网段别人能通就你不能,99% 你本地电脑防火墙 / 杀毒、或服务器端 IP 白名单限制。
- 不用乱改 QoS,先关你电脑防火墙测试,立刻定位。
1. 先在你本机执行arp -a确认网关MAC和正常电脑一致,临时关闭本机系统防火墙,排除本地出站拦截问题。
2. 登录分局核心执行display acl 3996 all查看完整规则,核对你本机IP是否命中了某条未指定端口的permit全IP/全流量条目。
3. 执行display qos policy interface 核心连接总部的出接口查看丢包计数,确认你本机发往服务器8088的流量命中deny规则。
故障根因
你当前配置逻辑是反的:匹配ACL3996中permit的所有流量,都会触发QoS的deny动作被丢弃,ACL未命中的流量才会放行。你本机IP大概率命中了ACL3996里某条未贴出来的全流量permit条目,所以所有访问总部的流量都被丢弃,另外两台电脑IP没命中该条目所以正常。
修复建议:调整QoS逻辑,单独新建ACL放需要封堵的流量,绑定deny动作,不要用反向匹配逻辑。
暂无评论
看到你的问题,关键在于你对“QoS策略”里 behavior 和 ACL 规则搭配的理解存在一个常见误区。简单来说:当 behavior 是 deny 时,ACL 里被匹配到的 permit 规则反而会“抓取”流量去执行最终的拒绝操作,而不是放行它们。
流量在华为设备(包括H3C)的QoS策略处理流程如下:
第一步(ACL匹配):
ACL里的permit/deny在这里仅作为流量分类器,抓取感兴趣的流量。第二步(Behavior执行):被
ACL抓取到的流量,会交给关联的behavior去执行最终动作(允许或拒绝)。当behavior配置为deny时,这些流量就会被全部丢弃。
因此,你添加的精确 deny 规则没有被匹配,是因为流量在规则列表中被排在前面的 permit 规则抓走了。你可以通过以下两种方式来解决:
方法一:调整规则优先级(首选方案)
若需在现有策略内修复,可将明确的deny规则排在所有permit规则之前。H3C设备默认按规则的rule-id从小到大匹配,命中即停止。补丁命令示例:
方法二:为特定设备创建放行策略(更优实践)
为保障安全策略清晰,建议新建一个专用classifier和behavior精确放行访问服务器的流量,并利用策略优先级保证其先于当前的deny策略被处理。关键配置思路如下:
暂无评论
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论