MA5200F/G由于系统配置的acl顺序不当导致用户无法访问网站

发布时间:  2012-07-26 浏览次数:  138 下载次数:  0
问题描述
版本:与版本无关
现象:系统配置了ACL限制用户只能访问某个站点,配置后发现用户无法访问任何站点。
告警信息

处理过程
1、查看系统配置,发现ACL配置如下:
acl number 100                                                                  
rule 3 net-user permit ip source 203.212.6.2 0 destination 10                  
rule 4 net-user permit ip source 211.98.2.4 0 destination 10                   
rule 0 user-net permit ip source 10 destination 203.212.6.2 0                  
rule 1 user-net deny ip source 10                                              
rule 2 user-net permit ip source 10 destination 211.98.2.4 0 
ACL的各规则定义的都正确,但是此ACL匹配顺序为配置顺序,而且将ucl-group 10不允许访问任何地方的配置“ rule 1 user-net deny ip source 10 ”定义为 rule 1,因此在rule1之后的rule便不会生效了,导致用户无法访问规则中允许访问的站点。
2、将ACL规则中的“rule 1 user-net deny ip source 10 ”定义为rule 5后,问题解决。
3、有关ACL排序规则的说明请参考案例:SC0000158099 。
根因
用户无法防问一些地址,可能的原因有:
1、路由不可达。
2、ACL限制。
由于配置之前用户业务正常,配置后,用户无法访问ACL中允许访问的站点,因此配置问题的可能性比较大。
建议与总结
建议在配置ACL时使用自动匹配顺序(match-order auto),可以避免类似问题的发生。

END