|
ACL是路由器和交換機接口的指令列表�����,用來控制端口進出的數據包����。ACL適用于所有的被路由協議�,如IP����、IPX��、AppleTalk等�����。這張表中包含了匹配關系����、條件和查詢語句�,表只是一個框架結構����,其目的是為了對某種訪問進行控制�。
VPN是通過因特網建立一個臨時的�����、安全的連接�����,是一條穿過混亂的公用網絡的安全����、穩定的隧道�����。使用這條隧道可以對數據進行幾倍加密達到安全使用互聯網的目的���。
下面讓我們看看ACL未指定VPN導致網管失效是怎樣解決的�����。
網絡環境
如圖所示���,在網絡中配置網管業務��,通過DMS對NE20E進行管理�����。
網管組網圖
配置完成后�,原來DMS對NE20E可以進行網絡管理��,但是配置SNMP讀寫團體名ACL控制后�����,在DMS上添加該NE20E失敗��,導致DMS無法對該設備進行網絡管理���。
故障分析
步驟 1 在NE20E上執行display this�����,查看讀寫團體名ACL����。
顯示信息如下:
- snmp-agent
-
- snmp-agent local-engineid 3534583904852908502938409203
-
- snmp-agent community read pub acl 2000
-
- snmp-agent community read public
-
- snmp-agent community write >evf;rf acl 2000
-
- snmp-agent sys-info contact R &D Beijing,Huawei Technologies co.,Ltd.
-
- snmp-agent sys-info version v3
步驟 2 在NE20E上執行ping 10.52.135.40�,確認返回信息正常�����。
步驟 3 在NE20E上執行undo acl number 2000�,DMS又可以對NE20E進行網絡管理��。
步驟 4 在NE20E上執行debugging snmp-agent header���,開啟數據包頭信息調試����。
步驟 5 在NE20E上執行debugging snmp-agent packet�,開啟數據包信息調試���。
步驟 6 在NE20E上執行debugging snmp-agent process��,開啟SNMP數據包處理過程調試����。
步驟 7 在NE20E上執行debugging snmp-agent trap���,開啟告警調試��。
輸出調試信息如下:
- Apr 9 2008 21:26:22 NE20-NN %%01SNMP/4/SNMP_FAIL(l): Login through SNMP failed(ip=10.52.135.40 times=1).
-
- *0.447064816 NE20-NN SNMP/7/V12HEADERS:
-
- Incoming SNMPv2c packet
-
- community name:public
-
- *0.447064816 NE20-NN SNMP/7/PACKETS_SRC:Packet received from 10.52.135.40<nms> via UDP
可以確定由于網管通過SNMP登陸NE20E失敗����,導致網管無法添加NE20E����。
步驟 8 從DMS接口配置上看����,DMS與NE20E進行通信的IP地址10.52.135.40接口配置為:
- interface GigabitEthernet0/0/1.135
-
- vlan-type dot1q 135
-
- description ***MaintenanceVLAN
-
- ip binding vpn-instance nms
-
- ip address 10.52.135.61 255.255.255.224
-
- traffic-policy assign_mpls_exp_nms inbound
依據ACL的rule規則��,在不指定VPN-instance時�����,只對公共報文進行處理�����。在本案例的規則中�,只允許公共報文中符合源為10.52.135.40的報文通過���,而實際10.52.135.40的網管報文是從VPN實例NMS與NE20進行通信����。問題確認�����。
----結束
處理步驟
在NE20E上執行以下操作:
步驟 1 執行命令system-view�����,進入系統視圖�。
步驟 2 執行命令acl number 2000��,進入ACL視圖����。
步驟 3 執行命令rule 0 permit vpn-instance nms source 10.52.135.40 0��,允許VPN實例通過�。
步驟 4 執行命令rule 10 deny�����,禁止其他來源���。
步驟 5 執行命令return退回到用戶視圖���,執行命令save�,保存對配置的修改���。
----結束
指定相應的VPN實例名NMS進行報文過濾后�����,DMS可以對該NE20E正常管理���,故障排除�。
案例總結
在配置網管添加設備時���,如果需要配置SNMP讀寫團體名ACL���,應該注意DMS服務器是否從VPN實例訪問設備�����。
本文出自:億恩科技【www.endtimedelusion.com】
服務器租用/服務器托管中國五強��!虛擬主機域名注冊頂級提供商��!15年品質保障��!--億恩科技[ENKJ.COM]
|
香港服務器租用
美國服務器租用
電信骨干機房
聯通骨干機房
0371-60135900
