ACL是路由器和交換機(jī)接口的指令列表，用來(lái)控制端口進(jìn)出的數(shù)據(jù)包。ACL適用于所有的被路由協(xié)議，如IP、IPX、AppleTalk等。這張表中包含了匹配關(guān)系、條件和查詢(xún)語(yǔ)句，表只是一個(gè)框架結(jié)構(gòu)，其目的是為了對(duì)某種訪問(wèn)進(jìn)行控制。

VPN是通過(guò)因特網(wǎng)建立一個(gè)臨時(shí)的、安全的連接，是一條穿過(guò)混亂的公用網(wǎng)絡(luò)的安全、穩(wěn)定的隧道。使用這條隧道可以對(duì)數(shù)據(jù)進(jìn)行幾倍加密達(dá)到安全使用互聯(lián)網(wǎng)的目的。

下面讓我們看看ACL未指定VPN導(dǎo)致網(wǎng)管失效是怎樣解決的。

網(wǎng)絡(luò)環(huán)境

如圖所示，在網(wǎng)絡(luò)中配置網(wǎng)管業(yè)務(wù)，通過(guò)DMS對(duì)NE20E進(jìn)行管理。

網(wǎng)管組網(wǎng)圖

配置完成后，原來(lái)DMS對(duì)NE20E可以進(jìn)行網(wǎng)絡(luò)管理，但是配置SNMP讀寫(xiě)團(tuán)體名ACL控制后，在DMS上添加該NE20E失敗，導(dǎo)致DMS無(wú)法對(duì)該設(shè)備進(jìn)行網(wǎng)絡(luò)管理。

故障分析

步驟 1     在NE20E上執(zhí)行display this，查看讀寫(xiě)團(tuán)體名ACL。

顯示信息如下：

snmp-agent  
 
snmp-agent local-engineid 3534583904852908502938409203  
 
snmp-agent community read  pub acl 2000  
 
snmp-agent community read  public  
 
snmp-agent community write  >evf;rf acl 2000  
 
snmp-agent sys-info contact R &D Beijing,Huawei Technologies co.,Ltd.  
 
snmp-agent sys-info version v3 

步驟 2     在NE20E上執(zhí)行ping 10.52.135.40，確認(rèn)返回信息正常。

步驟 3     在NE20E上執(zhí)行undo acl number 2000，DMS又可以對(duì)NE20E進(jìn)行網(wǎng)絡(luò)管理。

步驟 4     在NE20E上執(zhí)行debugging snmp-agent header，開(kāi)啟數(shù)據(jù)包頭信息調(diào)試。

步驟 5     在NE20E上執(zhí)行debugging snmp-agent packet，開(kāi)啟數(shù)據(jù)包信息調(diào)試。

步驟 6     在NE20E上執(zhí)行debugging snmp-agent process，開(kāi)啟SNMP數(shù)據(jù)包處理過(guò)程調(diào)試。

步驟 7     在NE20E上執(zhí)行debugging snmp-agent trap，開(kāi)啟告警調(diào)試。

輸出調(diào)試信息如下：

Apr  9 2008 21:26:22 NE20-NN %%01SNMP/4/SNMP_FAIL(l): Login through SNMP failed(ip=10.52.135.40 times=1).  
 
*0.447064816 NE20-NN SNMP/7/V12HEADERS:  
 
Incoming SNMPv2c packet  
 
community name:public  
 
*0.447064816 NE20-NN SNMP/7/PACKETS_SRC:Packet received from 10.52.135.40<nms> via UDP 

可以確定由于網(wǎng)管通過(guò)SNMP登陸NE20E失敗，導(dǎo)致網(wǎng)管無(wú)法添加NE20E。

步驟 8     從DMS接口配置上看，DMS與NE20E進(jìn)行通信的IP地址10.52.135.40接口配置為：

interface GigabitEthernet0/0/1.135  
 
vlan-type dot1q 135  
 
description ***MaintenanceVLAN  
 
ip binding vpn-instance nms  
 
ip address 10.52.135.61 255.255.255.224  
 
traffic-policy assign_mpls_exp_nms inbound 

依據(jù)ACL的rule規(guī)則，在不指定VPN-instance時(shí)，只對(duì)公共報(bào)文進(jìn)行處理。在本案例的規(guī)則中，只允許公共報(bào)文中符合源為10.52.135.40的報(bào)文通過(guò)，而實(shí)際10.52.135.40的網(wǎng)管報(bào)文是從VPN實(shí)例NMS與NE20進(jìn)行通信。問(wèn)題確認(rèn)。

----結(jié)束

處理步驟

在NE20E上執(zhí)行以下操作：

步驟 1     執(zhí)行命令system-view，進(jìn)入系統(tǒng)視圖。

步驟 2     執(zhí)行命令acl number 2000，進(jìn)入ACL視圖。

步驟 3     執(zhí)行命令rule 0 permit vpn-instance nms source 10.52.135.40 0，允許VPN實(shí)例通過(guò)。

步驟 4     執(zhí)行命令rule 10 deny，禁止其他來(lái)源。

步驟 5     執(zhí)行命令return退回到用戶(hù)視圖，執(zhí)行命令save，保存對(duì)配置的修改。

----結(jié)束

指定相應(yīng)的VPN實(shí)例名NMS進(jìn)行報(bào)文過(guò)濾后，DMS可以對(duì)該NE20E正常管理，故障排除。

案例總結(jié)

在配置網(wǎng)管添加設(shè)備時(shí)，如果需要配置SNMP讀寫(xiě)團(tuán)體名ACL，應(yīng)該注意DMS服務(wù)器是否從VPN實(shí)例訪問(wèn)設(shè)備。
 

【編輯推薦】

1. 路由故障：傳輸網(wǎng)告警導(dǎo)致整網(wǎng)路由震蕩
2. 路由故障：無(wú)法識(shí)別備用主控板的CF卡
3. 路由器故障：登錄SSH服務(wù)器失敗