ACL配置内部IP隔离

拓扑结构如下：   PC 1属于vlan 10   PC2和PC3 属于vlan 20 

 

Advanced ACL 3000, 4 rules
Acl's step is 5
rule 5 permit ip destination 192.168.100.0 0.0.0.255   #访问100段
rule 50 permit ip destination 192.168.10.1 0                  #访问指定IP
rule 51 permit ip destination 192.168.20.1 0                  #访问指定IP
rule 100 deny ip

traffic-filter vlan 20 inbound acl 3000
traffic-filter vlan 10 inbound acl 3000

 

 

 结果验证 : 1. 所有PC 均能够访问SW1任何接口IP地址， 能够访问R1 , R1也能访问所有PC

                   2. 所有PC 之间均不能互访，（同一vlan20 下PC2和PC3也无法ping通）

 

 

 

 

 

 

ACL中Deny配置导致多条NAT配置中第2条不生效

发布时间:  2014-10-22  |   浏览次数:  817  |   下载次数:  4  |   作者:  SU1001634105  |   文档编号： EKB1000056956

目录

问题描述处理过程根因解决方案建议与总结

问题描述

客户需求：  acl中匹配的网段每个网段指定转化为一组公网地址。
故障描述：客户反馈 192.168.20.0/24 网段无法上网。
配置如下：
#
nat address-group 1 219.148.62.179 219.148.62.179
nat address-group 2 219.148.62.180 219.148.62.180
#
acl number 3000 
rule 5 permit ip source 192.168.10.0 0.0.0.255
rule 10 deny ip
acl number 3001 
rule 5 permit ip source 192.168.20.0 0.0.0.255
rule 10 deny ip
#
interface GigabitEthernet0/0/1
ip address 219.148.62.178 255.255.255.240
nat outbound 3000 address-group 1
nat outbound 3001 address-group 2 

处理过程

可能原因：
1.转化的address-group 2 IP地址冲突
2.acl中的deny选项就数据直接丢弃。
3.nat session转化表异常。

操作过程：
1.查看log日志中并没有IP地址冲突告警。叫客户测试将nat outbound 3000 address-group 1 删除后 192.168.20.0/24网段能上网 排查IP地址冲突的可能性。
2.查看acl匹配表发现：
<Huawei>dis acl 3000
Advanced ACL 3000, 2 rules
Acl's step is 5
rule 5 permit ip source 192.168.10.0 0.0.0.255 (2 matches)
rule 10 deny ip (4  matches)
  rule 10 deny 项有匹配次数。将问题锁定为acl deny项导致。

根因

产品文档中对于ACL  deny 解释为拒绝符合条件的报文。

 

解决方案

将acl3000 和acl3001中 的deny匹配项删除 即可。

建议与总结

多条nat 匹配顺序 按配置顺序。 ACL中的DENY  一般都是就数据直接丢弃，很多产品都是包括交换机、AR系列路由器和防火墙。

多条ACL 匹配顺序 按配置顺序。（如ACL3000 与ACL 3001 谁在前先执行谁）  ACL中的DENY  一般都是就数据直接丢弃，很多产品都是包括交换机、AR系列路由器和防火墙