路由器 (AR3200 V200R003C00)防火墙功能ACL地址通配符掩码配置错误导致网络单通

发布时间:  2017-04-10 浏览次数:  149 下载次数:  0
问题描述

基本组网:


故障现象:在防火墙上设置ACL,其中允许所有服务器都能访问外部PC网段,而PC网段中只允许172.16.5.128/25访问服务器。配置后服务器能够pingPC,但PC无法ping通服务器。

告警信息
处理过程

1、检查设备路由。由于服务器能够pingPC,故排除路由问题。

2、从PCtracert服务器,发现报文到了防火墙后中断,判定防火墙数据配置存在问题。

3、检查防火墙配置,根据服务器区域和PC区域之间的ACL应用首先检查ACL配置。

4、检查发现允许PC网段访问服务器的规则中地址网段通配符掩码存在问题。原配置如下:

 

5、将此规则改为 rule 1 permit ip source 172.16.5.128 0.0.0.127PC能够ping通服务器。故障解决。



根因

防火墙ACL配置中IP地址后面需设置通配符掩码,通配符掩码与子网掩码不同,以0表示需要匹配的位,以1表示无需匹配的位。使用时需要将掩码取反,然后与IP地址进行与运算。故对于172.16.5.128/25地址网段,其通配符掩码应为0.0.0.127。而如果配置成0.0.0.128后,导致匹配不正确。

解决方案

更改ACL中的错误配置为:rule 1 permit ip source 172.16.5.128 0.0.0.127 

建议与总结

在配置防火墙ACL时,由于路由器不会提示掩码不正确的提示信息,反而会自动计算和应用反掩码信息。导致设置的ACL地址范围错误。因此需要正确的计算IP地址通配符掩码。才能避免网络不通或者网络单通现象。


END