MA5200F在全局下错误引用ACL导致业务不通的问题

发布时间:  2012-07-26 浏览次数:  82 下载次数:  5
问题描述
组网图:见附件
现    象:MA5200F下挂的所有用户均无法正常上网,从运营商机房的PC可以telnet登录MA5200F,但是在设备上无法ping通外部网络(radius服务器和DNS服务器等),但是可以ping通与其直连的三层交换机端口地址。从某台公网IP(非机房网络)的主机可以tracert到MA5200F上,但是无法ping通。
告警信息

处理过程
1、检查MA5200F的路由配置,是通过一条默认路由指向上层设备(三层交换机)。
2、检查三层交换机的配置,配置了达到MA5200F地址以及MA5200F上地址池网段的静态路由,并引入到OSPF协议中。
3、检查三层交换机的上行设备,可以通过ospf学习到目的地址为MA5200F及其地址池的路由信息。
4、从某公网IP的主机tracert该MA5200F,可达。反过来,从MA5200F ping 该主机的IP,则不通。
5、在MA5200F ping 与其直连的三层交换机接口,可通,但是ping该三层交换机的loopback地址就不通了。
6、只有在运营商机房网络的地址可以telnet登录MA5200F,在MA5200F上也能ping通机房的主机。
7、MA5200F和机房主机之间的互访途中经过许多设备,但是MA5200F却都ping不通这些地址,于是判  断可能是在网络设备上做了一些访问限制。
8、仔细检查了各网络设备的ACL配置,发现了问题所在,运营商的维护人员误将一条用来限制telnet登录的ACL引用到了全局。
正确配置应为:
#访问控制列表#
acl number 1 match-order auto
 rule 1 permit source 220.177.240.1 0            //三层交换机的接口地址    
 rule 2 permit source 220.177.242.1 0.0.0.255      //机房主机的网段
 rule 4 deny
#设置telnet属性#
user-interface vty 0 4
 acl 1 inbound                                                              //引用ACL限制telnet登录的地址,客户错误的将这条ACL在全局下引用了,导致了上述的奇怪现象
 authentication-mode scheme default
 user privilege level 3
根因
1、上行设备路由配置改动(缺少回程路由等)导致MA5200F无法正常与外部网络通信。
2、MA5200F的上行光口存在问题。
3、MA5200F本身存在异常配置。
建议与总结

END