ACL是路由器和交換機接口的指令列表，用來控制端口進出的數據包。ACL適用于所有的被路由協議，如IP、IPX、AppleTalk等。這張表中包含了匹配關系、條件和查詢語句，表只是一個框架結構，其目的是為了對某種訪問進行控制。

VPN是通過因特網建立一個臨時的、安全的連接，是一條穿過混亂的公用網絡的安全、穩定的隧道。使用這條隧道可以對數據進行幾倍加密達到安全使用互聯網的目的。

下面讓我們看看ACL未指定VPN導致網管失效是怎樣解決的。

網絡環境

如圖所示，在網絡中配置網管業務，通過DMS對NE20E進行管理。

網管組網圖

配置完成后，原來DMS對NE20E可以進行網絡管理，但是配置SNMP讀寫團體名ACL控制后，在DMS上添加該NE20E失敗，導致DMS無法對該設備進行網絡管理。

故障分析

步驟 1     在NE20E上執行display this，查看讀寫團體名ACL。

顯示信息如下：

snmp-agent  
 
snmp-agent local-engineid 3534583904852908502938409203  
 
snmp-agent community read  pub acl 2000  
 
snmp-agent community read  public  
 
snmp-agent community write  >evf;rf acl 2000  
 
snmp-agent sys-info contact R &D Beijing,Huawei Technologies co.,Ltd.  
 
snmp-agent sys-info version v3 

步驟 2     在NE20E上執行ping 10.52.135.40，確認返回信息正常。

步驟 3     在NE20E上執行undo acl number 2000，DMS又可以對NE20E進行網絡管理。

步驟 4     在NE20E上執行debugging snmp-agent header，開啟數據包頭信息調試。

步驟 5     在NE20E上執行debugging snmp-agent packet，開啟數據包信息調試。

步驟 6     在NE20E上執行debugging snmp-agent process，開啟SNMP數據包處理過程調試。

步驟 7     在NE20E上執行debugging snmp-agent trap，開啟告警調試。

輸出調試信息如下：

Apr  9 2008 21:26:22 NE20-NN %%01SNMP/4/SNMP_FAIL(l): Login through SNMP failed(ip=10.52.135.40 times=1).  
 
*0.447064816 NE20-NN SNMP/7/V12HEADERS:  
 
Incoming SNMPv2c packet  
 
community name:public  
 
*0.447064816 NE20-NN SNMP/7/PACKETS_SRC:Packet received from 10.52.135.40<nms> via UDP 

可以確定由于網管通過SNMP登陸NE20E失敗，導致網管無法添加NE20E。

步驟 8     從DMS接口配置上看，DMS與NE20E進行通信的IP地址10.52.135.40接口配置為：

interface GigabitEthernet0/0/1.135  
 
vlan-type dot1q 135  
 
description ***MaintenanceVLAN  
 
ip binding vpn-instance nms  
 
ip address 10.52.135.61 255.255.255.224  
 
traffic-policy assign_mpls_exp_nms inbound 

依據ACL的rule規則，在不指定VPN-instance時，只對公共報文進行處理。在本案例的規則中，只允許公共報文中符合源為10.52.135.40的報文通過，而實際10.52.135.40的網管報文是從VPN實例NMS與NE20進行通信。問題確認。

----結束

處理步驟

在NE20E上執行以下操作：

步驟 1     執行命令system-view，進入系統視圖。

步驟 2     執行命令acl number 2000，進入ACL視圖。

步驟 3     執行命令rule 0 permit vpn-instance nms source 10.52.135.40 0，允許VPN實例通過。

步驟 4     執行命令rule 10 deny，禁止其他來源。

步驟 5     執行命令return退回到用戶視圖，執行命令save，保存對配置的修改。

----結束

指定相應的VPN實例名NMS進行報文過濾后，DMS可以對該NE20E正常管理，故障排除。

案例總結

在配置網管添加設備時，如果需要配置SNMP讀寫團體名ACL，應該注意DMS服務器是否從VPN實例訪問設備。
 

【編輯推薦】

1. 路由故障：傳輸網告警導致整網路由震蕩
2. 路由故障：無法識別備用主控板的CF卡
3. 路由器故障：登錄SSH服務器失敗