路由器故障:ACL配置導致用戶業務不正常
作者:佚名
ACL的定義也是基于每一種協議的。如果路由器接口配置成為支持三種協議(IP、AppleTalk以及IPX)的情況,那么,用戶必須定義三種ACL來分別控制這三種協議的數據包。以下文主要向大家介紹了ACL配置導致用戶業務不正常的故障的解決過程。
ACL配置問題導致用戶業務不正常的故障解決方法如下:
網絡環境
如圖所示,用戶通過接入設備連接到RouterA。
圖案例組網圖
配置完畢后,發現用戶可以正常撥號,但無法打開客戶端程序。
故障分析
步驟 1 在RouterA上執行display current-configuration命令,查看路由的配置情況,發現接ACL的配置錯誤,如下:
- <RouterA> display current-configuration
- #
- acl number 3000
- description GSR-TO-NE80E-IN
- rule 5 deny tcp destination-port lt ftp-data
- rule 10 deny udp destination-port lt 20
對于用戶,發送的數據,在傳輸過程中有可能被分片。而端口號只在UDP,TCP的首部,即只包含在第1個數據分片中,后續分片將不攜帶端口信息。
由于進行了如下配置:
- rule 5 deny tcp destination-port lt ftp-data
- rule 10 deny udp destination-port lt 20
將端口號小于20的數據分片全部deny掉了,導致應用程序不正常。
----結束
處理步驟
在路由器RouterA執行以下命令:
步驟 1 執行system-view命令,進入系統視圖。
步驟 2 執行acl 3000命令,進入ACL視圖。
步驟 3 執行命令undo rule 10,將該ACL規則刪除。
----結束
執行完上面的命令后,用戶可以正常打開客戶端。
案例總結
因為小端口號一般為系統保留使用,建議在配置針對小端口的ACL時盡量做到精確匹配,以免造成對特殊業務應用的影響。
【編輯推薦】
- 路由器故障:鏈路不穩定
- 路由器故障:鏈路丟包嚴重
- 路由器故障:廣域網故障處理分析
- 路由器故障:網段沖突導致部分業務不通
- 路由器故障:ATM接口做備份接口鏈路層無法Up
- 路由器故障:ACL做路由過濾未過濾掉一條聚合路由
責任編輯:佚名
來源:
51CTO
