|
ACL配置問題導致用戶業(yè)務不正常的故障解決方法如下:
網絡環(huán)境
如圖所示���,用戶通過接入設備連接到RouterA。
圖案例組網圖
配置完畢后�,發(fā)現用戶可以正常撥號��,但無法打開客戶端程序�。
故障分析
步驟 1 在RouterA上執(zhí)行display current-configuration命令�,查看路由的配置情況,發(fā)現接ACL的配置錯誤��,如下:
- <RouterA> display current-configuration
-
- #
-
- acl number 3000
-
- description GSR-TO-NE80E-IN
-
- rule 5 deny tcp destination-port lt ftp-data
-
- rule 10 deny udp destination-port lt 20
對于用戶��,發(fā)送的數據�,在傳輸過程中有可能被分片。而端口號只在UDP���,TCP的首部,即只包含在第1個數據分片中���,后續(xù)分片將不攜帶端口信息����。
由于進行了如下配置:
- rule 5 deny tcp destination-port lt ftp-data
-
- rule 10 deny udp destination-port lt 20
將端口號小于20的數據分片全部deny掉了,導致應用程序不正常�。
----結束
處理步驟
在路由器RouterA執(zhí)行以下命令:
步驟 1 執(zhí)行system-view命令,進入系統(tǒng)視圖�����。
步驟 2 執(zhí)行acl 3000命令�,進入ACL視圖。
步驟 3 執(zhí)行命令undo rule 10�,將該ACL規(guī)則刪除。
----結束
執(zhí)行完上面的命令后�����,用戶可以正常打開客戶端����。
案例總結
因為小端口號一般為系統(tǒng)保留使用,建議在配置針對小端口的ACL時盡量做到精確匹配��,以免造成對特殊業(yè)務應用的影響���。
本文出自:億恩科技【1tcdy.com】
服務器租用/服務器托管中國五強���!虛擬主機域名注冊頂級提供商!15年品質保障����!--億恩科技[ENKJ.COM]
|
香港服務器租用
美國服務器租用
電信骨干機房
聯通骨干機房
0371-60135900
