博客首页 注册 建议与交流 排行榜 加入友情链接
推荐 投诉 搜索: 帮助

大萝卜的博客

   bu.cublog.cn
关于作者   
姓名:      大萝卜
职业:      听人说,技术支持是IT业最鸡肋的职业,于是我便开始郁闷起来!
个性签名:   我以为我们同属于/30,Ping出Timed out才明白处于不同的Vlan。我尝试着用爱做为Route,并用Traceroute来验证,可是Netstat的Syn_received结果让我无比伤心。于是我选择了deny any和deny ip any any,但是我心里一直期待着Vpn那天的到来,请将我放在你的Acl之内。
Mailto:bxz1981#gmail.com

我的分类  




huawei s6502 switch 一个调试经验
网络拓扑及问题:核心交换机S6502,接入层交换机S3026,pc ip 地址为192.168.2.x,并在接口下发ACL.同网段192.168.2.x机器无法互相访问.
s6502 configure:
 
            
 acl number 3003
 rule 0 deny ip
 rule 1 permit ip source 192.168.2.0 0.0.0.255 destination 10.138.0.0 0.1.255.25
5
 rule 2 deny ip source 192.168.2.0 0.0.0.255 destination 10.139.165.0 0.0.0.255
 rule 3 permit tcp source 192.168.2.0 0.0.0.255 destination 10.139.165.2 0 desti
nation-port eq www
 rule 4 permit ip source 192.168.2.0 0.0.0.255 destination 10.139.165.1 0
 rule 5 permit ip source 192.168.2.0 0.0.0.255 destination 10.139.165.8 0
 rule 6 permit ip source 192.168.2.0 0.0.0.255 destination 10.139.165.3 0
 rule 7 permit ip source 192.168.2.0 0.0.0.255 destination 10.139.165.4 0
 rule 8 permit ip source 192.168.2.0 0.0.0.255 destination 10.139.165.5 0
 rule 9 permit ip source 192.168.2.0 0.0.0.255 destination 10.139.165.253 0
 rule 10 permit ip source 192.168.2.1 0
 rule 11 permit ip source 192.168.2.2 0
 rule 12 permit ip source 192.168.2.3 0
 rule 13 permit ip source 192.168.2.4 0
 rule 14 permit ip destination 10.139.165.222 0
 
interface GigabitEthernet0/0/3
 port access vlan 3
 qos
 packet-filter inbound ip-group 3003 rule 0 system-index 1
 packet-filter inbound ip-group 3003 rule 1 system-index 2
 packet-filter inbound ip-group 3003 rule 2 system-index 3
 packet-filter inbound ip-group 3003 rule 3 system-index 4
 packet-filter inbound ip-group 3003 rule 4 system-index 5
 packet-filter inbound ip-group 3003 rule 5 system-index 6
 packet-filter inbound ip-group 3003 rule 6 system-index 7
 packet-filter inbound ip-group 3003 rule 7 system-index 8
 packet-filter inbound ip-group 3003 rule 8 system-index 9
 packet-filter inbound ip-group 3003 rule 9 system-index 10
 packet-filter inbound ip-group 3003 rule 10 system-index 11
 packet-filter inbound ip-group 3003 rule 11 system-index 12
 packet-filter inbound ip-group 3003 rule 12 system-index 13
 packet-filter inbound ip-group 3003 rule 13 system-index 14
 packet-filter inbound ip-group 3003 rule 14 system-index 82
              
S3026上没有做任何配置,运行时发现,S3026交换机下每台PC,竟然无法访问.一时纳闷,在同一交换机上竟然无法访问,奇怪!
而且PING测试时,发现第一个数据包是通的,接着就无法PING通了.
从H3论坛也得知,华为65..交换机本来就比较特别,下发ACL也是与其他设备不一样.于是再分析,客户机发现PING测试,首先发现ARP请求到网关,在这里也就是S6502交换机的一个接口,此时同样执行所在接口下发的ACL,发现192.168.2.x访问同网段的ACL 没有,是不是还要在接口下发访问同网段的ACL RULE呢.
于是:
acl nu 3003 ma confg
rule 15 permit sour ip 192.168.2.0 0.0.0.255 des 192.168.2.0 0.0.0.255
再重新下发到接口,
int g0/0/3
qos
pa in i 300 rule 15
测试通过.

 发表于: 2006-07-15,修改于: 2006-07-15 19:02 已浏览2049次,有评论6条 推荐 投诉

  网友评论
  本站网友 时间:2006-07-17 09:00:23 IP地址:219.140.165.★
学习了~~谢谢
  frank 时间:2006-07-17 09:04:27 IP地址:218.98.38.★
楼主能够把经验分享,赞一个
  本站网友 时间:2006-07-17 09:28:15 IP地址:210.21.75.★
好。谢谢!
  本站网友 时间:2006-07-18 08:35:02 IP地址:61.142.212.★
好东西,收藏了,
  本站网友 时间:2006-07-20 22:36:10 IP地址:60.166.217.★
谢谢楼主,经验之谈,收下了.

  zhuyong0523 时间:2007-03-30 18:04:57 IP地址:218.240.91.★
呵呵,今天也碰到这个问题了,想了好久都没想通,最终打800才找到,郁闷,要是早点看到就好了!

  发表评论



Copyright © 2001-2006 ChinaUnix.net All Rights Reserved

感谢所有关心和支持过ChinaUnix的朋友们
页面生成时间:0.4027

京ICP证041476号