路由故障:ACL未指定VPN实例导致网管失效

运维 网络运维
网管员必须正确放置ACL,并准确的指定轩昂赢得VPN才能保证正确的网络管理行为。

ACL是路由器和交换机接口的指令列表,用来控制端口进出的数据包。ACL适用于所有的被路由协议,如IP、IPX、AppleTalk等。这张表中包含了匹配关系、条件和查询语句,表只是一个框架结构,其目的是为了对某种访问进行控制。

VPN是通过因特网建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。使用这条隧道可以对数据进行几倍加密达到安全使用互联网的目的。

下面让我们看看ACL未指定VPN导致网管失效是怎样解决的。

网络环境

如图所示,在网络中配置网管业务,通过DMS对NE20E进行管理。

网管组网图

路由故障:ACL未指定VPN实例导致网管失效

配置完成后,原来DMS对NE20E可以进行网络管理,但是配置SNMP读写团体名ACL控制后,在DMS上添加该NE20E失败,导致DMS无法对该设备进行网络管理。

故障分析

步骤 1     在NE20E上执行display this,查看读写团体名ACL。

显示信息如下:

  1. snmp-agent  
  2.  
  3. snmp-agent local-engineid 3534583904852908502938409203  
  4.  
  5. snmp-agent community read  pub acl 2000  
  6.  
  7. snmp-agent community read  public  
  8.  
  9. snmp-agent community write  >evf;rf acl 2000  
  10.  
  11. snmp-agent sys-info contact R &D Beijing,Huawei Technologies co.,Ltd.  
  12.  
  13. snmp-agent sys-info version v3 

 

步骤 2     在NE20E上执行ping 10.52.135.40,确认返回信息正常。

步骤 3     在NE20E上执行undo acl number 2000,DMS又可以对NE20E进行网络管理。

步骤 4     在NE20E上执行debugging snmp-agent header,开启数据包头信息调试。

步骤 5     在NE20E上执行debugging snmp-agent packet,开启数据包信息调试。

步骤 6     在NE20E上执行debugging snmp-agent process,开启SNMP数据包处理过程调试。

步骤 7     在NE20E上执行debugging snmp-agent trap,开启告警调试。

输出调试信息如下:

  1. Apr  9 2008 21:26:22 NE20-NN %%01SNMP/4/SNMP_FAIL(l): Login through SNMP failed(ip=10.52.135.40 times=1).  
  2.  
  3. *0.447064816 NE20-NN SNMP/7/V12HEADERS:  
  4.  
  5. Incoming SNMPv2c packet  
  6.  
  7. community name:public  
  8.  
  9. *0.447064816 NE20-NN SNMP/7/PACKETS_SRC:Packet received from 10.52.135.40<nms> via UDP 

 

可以确定由于网管通过SNMP登陆NE20E失败,导致网管无法添加NE20E。

步骤 8     从DMS接口配置上看,DMS与NE20E进行通信的IP地址10.52.135.40接口配置为:

  1. interface GigabitEthernet0/0/1.135  
  2.  
  3. vlan-type dot1q 135  
  4.  
  5. description ***MaintenanceVLAN  
  6.  
  7. ip binding vpn-instance nms  
  8.  
  9. ip address 10.52.135.61 255.255.255.224  
  10.  
  11. traffic-policy assign_mpls_exp_nms inbound 

 

依据ACL的rule规则,在不指定VPN-instance时,只对公共报文进行处理。在本案例的规则中,只允许公共报文中符合源为10.52.135.40的报文通过,而实际10.52.135.40的网管报文是从VPN实例NMS与NE20进行通信。问题确认。

----结束

处理步骤

在NE20E上执行以下操作:

步骤 1     执行命令system-view,进入系统视图。

步骤 2     执行命令acl number 2000,进入ACL视图。

步骤 3     执行命令rule 0 permit vpn-instance nms source 10.52.135.40 0,允许VPN实例通过。

步骤 4     执行命令rule 10 deny,禁止其他来源。

步骤 5     执行命令return退回到用户视图,执行命令save,保存对配置的修改。

----结束

指定相应的VPN实例名NMS进行报文过滤后,DMS可以对该NE20E正常管理,故障排除。

案例总结

在配置网管添加设备时,如果需要配置SNMP读写团体名ACL,应该注意DMS服务器是否从VPN实例访问设备。
 

【编辑推荐】

  1. 路由故障:传输网告警导致整网路由震荡
  2. 路由故障:无法识别备用主控板的CF卡
  3. 路由器故障:登录SSH服务器失败
责任编辑:佚名 来源: 51CTO整理
相关推荐

2011-04-08 14:53:55

ACL

2011-04-06 17:19:20

ACL

2010-08-18 14:28:53

路由器故障

2011-04-08 18:01:58

路由

2009-12-18 16:19:08

排除路由器VPN故障

2011-03-18 10:51:50

2009-02-20 10:17:00

2009-01-16 09:06:00

2011-04-08 18:17:40

路由OSPF

2010-09-09 11:09:20

2009-09-10 18:55:07

2009-09-10 16:14:00

路由器的故障

2009-12-29 10:04:27

2011-03-17 15:54:11

2009-04-15 15:29:47

升级网络故障网管员

2010-08-25 10:24:40

2009-12-31 10:28:20

VPN配置实例

2009-12-31 10:49:36

VPN配置实例

2011-04-02 10:26:04

2012-12-19 11:42:16

路由器VPN
点赞
收藏

51CTO技术栈公众号