|
ACL是路由器和交換機(jī)接口的指令列表����,用來(lái)控制端口進(jìn)出的數(shù)據(jù)包��。ACL適用于所有的被路由協(xié)議�,如IP、IPX�、AppleTalk等。這張表中包含了匹配關(guān)系���、條件和查詢語(yǔ)句�,表只是一個(gè)框架結(jié)構(gòu)�����,其目的是為了對(duì)某種訪問(wèn)進(jìn)行控制����。
VPN是通過(guò)因特網(wǎng)建立一個(gè)臨時(shí)的��、安全的連接����,是一條穿過(guò)混亂的公用網(wǎng)絡(luò)的安全�、穩(wěn)定的隧道。使用這條隧道可以對(duì)數(shù)據(jù)進(jìn)行幾倍加密達(dá)到安全使用互聯(lián)網(wǎng)的目的���。
下面讓我們看看ACL未指定VPN導(dǎo)致網(wǎng)管失效是怎樣解決的。
網(wǎng)絡(luò)環(huán)境
如圖所示�,在網(wǎng)絡(luò)中配置網(wǎng)管業(yè)務(wù),通過(guò)DMS對(duì)NE20E進(jìn)行管理��。
網(wǎng)管組網(wǎng)圖
配置完成后���,原來(lái)DMS對(duì)NE20E可以進(jìn)行網(wǎng)絡(luò)管理���,但是配置SNMP讀寫(xiě)團(tuán)體名ACL控制后,在DMS上添加該NE20E失敗���,導(dǎo)致DMS無(wú)法對(duì)該設(shè)備進(jìn)行網(wǎng)絡(luò)管理���。
故障分析
步驟 1 在NE20E上執(zhí)行display this����,查看讀寫(xiě)團(tuán)體名ACL����。
顯示信息如下:
- snmp-agent
-
- snmp-agent local-engineid 3534583904852908502938409203
-
- snmp-agent community read pub acl 2000
-
- snmp-agent community read public
-
- snmp-agent community write >evf;rf acl 2000
-
- snmp-agent sys-info contact R &D Beijing,Huawei Technologies co.,Ltd.
-
- snmp-agent sys-info version v3
步驟 2 在NE20E上執(zhí)行ping 10.52.135.40,確認(rèn)返回信息正常��。
步驟 3 在NE20E上執(zhí)行undo acl number 2000����,DMS又可以對(duì)NE20E進(jìn)行網(wǎng)絡(luò)管理。
步驟 4 在NE20E上執(zhí)行debugging snmp-agent header���,開(kāi)啟數(shù)據(jù)包頭信息調(diào)試�����。
步驟 5 在NE20E上執(zhí)行debugging snmp-agent packet���,開(kāi)啟數(shù)據(jù)包信息調(diào)試。
步驟 6 在NE20E上執(zhí)行debugging snmp-agent process����,開(kāi)啟SNMP數(shù)據(jù)包處理過(guò)程調(diào)試����。
步驟 7 在NE20E上執(zhí)行debugging snmp-agent trap��,開(kāi)啟告警調(diào)試�����。
輸出調(diào)試信息如下:
- Apr 9 2008 21:26:22 NE20-NN %%01SNMP/4/SNMP_FAIL(l): Login through SNMP failed(ip=10.52.135.40 times=1).
-
- *0.447064816 NE20-NN SNMP/7/V12HEADERS:
-
- Incoming SNMPv2c packet
-
- community name:public
-
- *0.447064816 NE20-NN SNMP/7/PACKETS_SRC:Packet received from 10.52.135.40<nms> via UDP
可以確定由于網(wǎng)管通過(guò)SNMP登陸NE20E失敗�,導(dǎo)致網(wǎng)管無(wú)法添加NE20E。
步驟 8 從DMS接口配置上看���,DMS與NE20E進(jìn)行通信的IP地址10.52.135.40接口配置為:
- interface GigabitEthernet0/0/1.135
-
- vlan-type dot1q 135
-
- description ***MaintenanceVLAN
-
- ip binding vpn-instance nms
-
- ip address 10.52.135.61 255.255.255.224
-
- traffic-policy assign_mpls_exp_nms inbound
依據(jù)ACL的rule規(guī)則,在不指定VPN-instance時(shí)�����,只對(duì)公共報(bào)文進(jìn)行處理����。在本案例的規(guī)則中,只允許公共報(bào)文中符合源為10.52.135.40的報(bào)文通過(guò)��,而實(shí)際10.52.135.40的網(wǎng)管報(bào)文是從VPN實(shí)例NMS與NE20進(jìn)行通信。問(wèn)題確認(rèn)��。
----結(jié)束
處理步驟
在NE20E上執(zhí)行以下操作:
步驟 1 執(zhí)行命令system-view�����,進(jìn)入系統(tǒng)視圖����。
步驟 2 執(zhí)行命令acl number 2000,進(jìn)入ACL視圖���。
步驟 3 執(zhí)行命令rule 0 permit vpn-instance nms source 10.52.135.40 0���,允許VPN實(shí)例通過(guò)。
步驟 4 執(zhí)行命令rule 10 deny����,禁止其他來(lái)源。
步驟 5 執(zhí)行命令return退回到用戶視圖�����,執(zhí)行命令save,保存對(duì)配置的修改����。
----結(jié)束
指定相應(yīng)的VPN實(shí)例名NMS進(jìn)行報(bào)文過(guò)濾后,DMS可以對(duì)該NE20E正常管理����,故障排除。
案例總結(jié)
在配置網(wǎng)管添加設(shè)備時(shí)�����,如果需要配置SNMP讀寫(xiě)團(tuán)體名ACL�����,應(yīng)該注意DMS服務(wù)器是否從VPN實(shí)例訪問(wèn)設(shè)備��。
本文出自:億恩科技【www.cmtents.com】
服務(wù)器租用/服務(wù)器托管中國(guó)五強(qiáng)�����!虛擬主機(jī)域名注冊(cè)頂級(jí)提供商�!15年品質(zhì)保障!--億恩科技[ENKJ.COM]
|
香港服務(wù)器租用
美國(guó)服務(wù)器租用
電信骨干機(jī)房
聯(lián)通骨干機(jī)房
0371-60135900
