51CTO首页
AI.x社区
博客
学堂
精品班
软考社区
免费课
企业培训
鸿蒙开发者社区
WOT技术大会
IT证书
公众号矩阵
移动端
短视频免费课程课程排行直播课软考学堂
全部课程厂商认证IT技术24年11月软考PMP项目管理免费题库
在线学习
文章资源问答课堂专栏直播
51CTO
鸿蒙开发者社区
51CTO技术栈
51CTO官微
51CTO学堂
51CTO博客
CTO训练营
鸿蒙开发者社区订阅号
51CTO软考
51CTO学堂APP
51CTO学堂企业版APP
鸿蒙开发者社区视频号
51CTO软考题库
账号设置 退出

路由故障:ACL未指定VPN实例导致网管失效

作者:佚名
运维 网络运维
网管员必须正确放置ACL,并准确的指定轩昂赢得VPN才能保证正确的网络管理行为。

ACL是路由器和交换机接口的指令列表,用来控制端口进出的数据包。ACL适用于所有的被路由协议,如IP、IPX、AppleTalk等。这张表中包含了匹配关系、条件和查询语句,表只是一个框架结构,其目的是为了对某种访问进行控制。

VPN是通过因特网建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。使用这条隧道可以对数据进行几倍加密达到安全使用互联网的目的。

下面让我们看看ACL未指定VPN导致网管失效是怎样解决的。

网络环境

如图所示,在网络中配置网管业务,通过DMS对NE20E进行管理。

网管组网图

路由故障:ACL未指定VPN实例导致网管失效

配置完成后,原来DMS对NE20E可以进行网络管理,但是配置SNMP读写团体名ACL控制后,在DMS上添加该NE20E失败,导致DMS无法对该设备进行网络管理。

故障分析

步骤 1     在NE20E上执行display this,查看读写团体名ACL。

显示信息如下:

  1. snmp-agent  
  2.  
  3. snmp-agent local-engineid 3534583904852908502938409203  
  4.  
  5. snmp-agent community read  pub acl 2000  
  6.  
  7. snmp-agent community read  public  
  8.  
  9. snmp-agent community write  >evf;rf acl 2000  
  10.  
  11. snmp-agent sys-info contact R &D Beijing,Huawei Technologies co.,Ltd.  
  12.  
  13. snmp-agent sys-info version v3 

 

步骤 2     在NE20E上执行ping 10.52.135.40,确认返回信息正常。

步骤 3     在NE20E上执行undo acl number 2000,DMS又可以对NE20E进行网络管理。

步骤 4     在NE20E上执行debugging snmp-agent header,开启数据包头信息调试。

步骤 5     在NE20E上执行debugging snmp-agent packet,开启数据包信息调试。

步骤 6     在NE20E上执行debugging snmp-agent process,开启SNMP数据包处理过程调试。

步骤 7     在NE20E上执行debugging snmp-agent trap,开启告警调试。

输出调试信息如下:

  1. Apr  9 2008 21:26:22 NE20-NN %%01SNMP/4/SNMP_FAIL(l): Login through SNMP failed(ip=10.52.135.40 times=1).  
  2.  
  3. *0.447064816 NE20-NN SNMP/7/V12HEADERS:  
  4.  
  5. Incoming SNMPv2c packet  
  6.  
  7. community name:public  
  8.  
  9. *0.447064816 NE20-NN SNMP/7/PACKETS_SRC:Packet received from 10.52.135.40<nms> via UDP 

 

可以确定由于网管通过SNMP登陆NE20E失败,导致网管无法添加NE20E。

步骤 8     从DMS接口配置上看,DMS与NE20E进行通信的IP地址10.52.135.40接口配置为:

  1. interface GigabitEthernet0/0/1.135  
  2.  
  3. vlan-type dot1q 135  
  4.  
  5. description ***MaintenanceVLAN  
  6.  
  7. ip binding vpn-instance nms  
  8.  
  9. ip address 10.52.135.61 255.255.255.224  
  10.  
  11. traffic-policy assign_mpls_exp_nms inbound 

 

依据ACL的rule规则,在不指定VPN-instance时,只对公共报文进行处理。在本案例的规则中,只允许公共报文中符合源为10.52.135.40的报文通过,而实际10.52.135.40的网管报文是从VPN实例NMS与NE20进行通信。问题确认。

----结束

处理步骤

在NE20E上执行以下操作:

步骤 1     执行命令system-view,进入系统视图。

步骤 2     执行命令acl number 2000,进入ACL视图。

步骤 3     执行命令rule 0 permit vpn-instance nms source 10.52.135.40 0,允许VPN实例通过。

步骤 4     执行命令rule 10 deny,禁止其他来源。

步骤 5     执行命令return退回到用户视图,执行命令save,保存对配置的修改。

----结束

指定相应的VPN实例名NMS进行报文过滤后,DMS可以对该NE20E正常管理,故障排除。

案例总结

在配置网管添加设备时,如果需要配置SNMP读写团体名ACL,应该注意DMS服务器是否从VPN实例访问设备。
 

【编辑推荐】

  1. 路由故障:传输网告警导致整网路由震荡
  2. 路由故障:无法识别备用主控板的CF卡
  3. 路由器故障:登录SSH服务器失败
责任编辑:佚名 来源: 51CTO整理
ACLVPN
相关推荐
路由故障ACL反掩码配置错误 策略路由失效
ACL适用于所有的被路由协议,如IP、IPX、AppleTalk等。这张表中包含了匹配关系、条件和查询语句,表只是一个框架结构,其目的是为了对某种访问进行控制,本文的介绍主要就是ACL反掩码配置错误导致策略路由失效的故障的解决办法。

2011-04-08 14:53:55

ACL
路由故障ACL配置导致用户业务不正常
ACL的定义也是基于每一种协议的。如果路由器接口配置成为支持三种协议(IP、AppleTalk以及IPX)的情况,那么,用户必须定义三种ACL来分别控制这三种协议的数据包。以下文主要向大家介绍了ACL配置导致用户业务不正常的故障的解决过程。

2011-04-06 17:19:20

ACL
网管学堂:路由故障排错思路
在路由器的使用过程中我们总会遇到一些大大小小的问题,甚至有时让你寝食难安。那么在路由器出问题的时候我们应该有一套系统化的故障排除方法来帮助我们简化修复过程,所以我们今天就一起聊聊路由器故障排除。

2010-08-18 14:28:53

路由器故障
路由故障:黑洞路由导致业务中断
本文主要向大家介绍了黑洞路由导致业务中断的故障的解决过程,希望文章的内容能够帮助到大家。

2011-04-08 18:01:58

路由
路由设置不当 导致VPN无法访问外网
在建设VPN网络时,当你的VPN连接成功后,虽然能访问总部公司的内部网,这时却不能访问外网了,这是怎么一回事呢

2009-01-16 09:06:00

路由故障:BFD for VPN-BFD会话无法建立
BFD是一种高速的独立HELLO协议(类似于那些在路由协议中使用的协议,如开放最短路径优先协议(OSPF),或可以与链路、接口、隧道、路由或其他网络转发部件建立联系的中间系统到中间系统协议)。BFD能够与相邻系统建立对等关系,然后,每个系统以协商的速率监测来自其他系统的BFD速率。监测速率能够以毫秒级增量设定。

2011-03-18 10:51:50

片刻间排除路由VPN故障
排除路由器VPN故障:缺省情况下,NETGEAR路由器的防火墙功能会将WAN口收到的来自因特网的ICMP包丢弃,而您的VPN应用可能将用到ICMP数据包,所以可登录到路由器管理页面选择左边功能列表的WANSetup,在RespondtopingonInternetPort前打勾。

2009-12-18 16:19:08

排除路由器VPN故障
实例:Windows软路由实现VPN双线接入
用Windows软路由实现双线接入,实现VPN的双线接入,从而解决南北互通问题,这是当前很多网管的常见问题,本文通过实际例子进行了剖析。

2009-02-20 10:17:00

路由故障:因路由引入错误导致路由异常
本文主要向大家介绍了因路由引入错误导致路由异常的故障的解决过程,希望文章的内容能够帮助到大家。

2011-04-08 18:17:40

路由OSPF
解决VPN路由设置不当导致外网无法访问
本篇文章通过探究VPN客户机只能访问公司内网而不能访问外网的问题,逐步揭示因为VPN路由设置不当而导致的此类原因,并通过正确设置解决无法访问外网的问题。

2010-09-09 11:09:20

路由故障处理实例详解
路由器故障处理的过程就是检查连接以及设备之间的固有原因的过程,那么路由器故障有很多种,那么这里向你介绍一种,希望对你处理路由器故障有所帮助、有所启发。

2009-09-10 18:55:07

路由故障:传输网告警导致整网路由震荡
路由振荡是一个非常难于解决的问题,由于路由器原理的问题(相对于交换机来说),总有一些时间可能处于较忙的时间,这可能令到单台路由器的延迟增加到100ms以上,这样就会造成多媒体会议系统的质量发生下降。产生这样的情况有时候不见得是由于线路上流量过多造成的,有可能在20%30%的带宽下也会发生这样的事情。这样的问题主要是由于路由器的Buffer设置的...

2011-03-17 15:54:11

路由器的故障实例解析
路由器的故障就是我们常常称为网络的灵魂的路由器经常会发生的故障,我们的网络还离不开它。那么为了避免这样不让我们省心的“灵魂”经常闯祸,我们有什么应对措施么?那么本文就向你介绍一个路由器的故障的案例,希望对你有所帮助。

2009-09-10 16:14:00

路由器的故障
应用实例VPN技术配置及相关路由配置
VPN技术是企业实现安全远程互联的有效方法。本文根据一个应用实例,具体描述VPN技术的配置和实施过程。

2009-12-29 10:04:27

动态路由导致网络访问故障问题
本文主要给大家详细的介绍了对于动态路由出现问题故障导致被阻挡而无法访问网络的问题,给出了详细的解决方案,下面将给大家详细介绍。

2010-08-25 10:24:40

升级导致网络故障 经典案例引发网管员深思
笔者写这篇文章并不仅仅是告诉大家如果排除类似上述的网络故障,而是希望大家能够通过这个案例有所思考,想想网络故障的背后,比如如何进行科学的网络改造等等。

2009-04-15 15:29:47

升级网络故障网管员
讲述VPN配置实例中用用BGP分发路由信息
我们允许每个VPN有各自的地址空间,也就是说,相同的地址可被若干VPN配置实例使用,而在每个VPN配置实例中这个地址代表不同的系统。

2009-12-31 10:28:20

VPN配置实例
VPN配置实例技巧:PE从CE中学习路由
如果不是一个“传输VPN”,一个VPN配置实例则是一个“叶VPN”stubVPN。在此意义上,大多数VPN配置实例,包括几乎所有企业网络,都希望是后者。可能的PECE分发技术有:

2009-12-31 10:49:36

VPN配置实例
路由故障ACL路由过滤未过滤掉一条聚合路由
ACL适用于所有的被路由协议,如IP、IPX、AppleTalk等。这张表中包含了匹配关系、条件和查询语句,表只是一个框架结构,其目的是为了对某种访问进行控制。以下文主要向大家介绍了ACL做路由过滤未过滤掉一条聚合路由的路由器故障的解决过程,希望通过以下的陈述能够帮助大家理解。

2011-04-06 16:58:42

路由器ACL
路由VPN网络常见的一些故障
VPN指的是在公用网络上建立专用网络的技术。其之所以称为虚拟网,主要是因为整个VPN网络的任意两个节点之间的连接并没有传统专网所需的端到端的物理链路,而是架构在公用网络服务商所提供的网络平台,用户数据在逻辑链路中传输,涵盖了跨共享网络或公共网络的封装、加密和身份验证链接的专用网络的扩展。

2012-12-19 11:42:16

路由器VPN
点赞
收藏

51CTO技术栈公众号

业务
速览
在线客服