路由器故障：ACL配置導(dǎo)致用戶業(yè)務(wù)不正常

網(wǎng)絡(luò)環(huán)境

如圖所示，用戶通過接入設(shè)備連接到RouterA。

圖案例組網(wǎng)圖

配置完畢后，發(fā)現(xiàn)用戶可以正常撥號(hào)，但無法打開客戶端程序。

故障分析

步驟 1     在RouterA上執(zhí)行display current-configuration命令，查看路由的配置情況，發(fā)現(xiàn)接ACL的配置錯(cuò)誤，如下：

<RouterA> display current-configuration  
 
#  
 
acl number 3000  
 
description GSR-TO-NE80E-IN  
 
rule 5 deny tcp destination-port lt ftp-data  
 
rule 10 deny udp destination-port lt 20 

對(duì)于用戶，發(fā)送的數(shù)據(jù)，在傳輸過程中有可能被分片。而端口號(hào)只在UDP，TCP的首部，即只包含在第1個(gè)數(shù)據(jù)分片中，后續(xù)分片將不攜帶端口信息。

由于進(jìn)行了如下配置：

rule 5 deny tcp destination-port lt ftp-data  
 
rule 10 deny udp destination-port lt 20 

將端口號(hào)小于20的數(shù)據(jù)分片全部deny掉了，導(dǎo)致應(yīng)用程序不正常。

----結(jié)束

處理步驟

在路由器RouterA執(zhí)行以下命令：

步驟 1     執(zhí)行system-view命令，進(jìn)入系統(tǒng)視圖。

步驟 2     執(zhí)行acl 3000命令，進(jìn)入ACL視圖。

步驟 3     執(zhí)行命令undo rule 10，將該ACL規(guī)則刪除。

----結(jié)束

執(zhí)行完上面的命令后，用戶可以正常打開客戶端。

案例總結(jié)

因?yàn)樾《丝谔?hào)一般為系統(tǒng)保留使用，建議在配置針對(duì)小端口的ACL時(shí)盡量做到精確匹配，以免造成對(duì)特殊業(yè)務(wù)應(yīng)用的影響。

服務(wù)器租用/服務(wù)器托管中國五強(qiáng)！虛擬主機(jī)域名注冊(cè)頂級(jí)提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]