路由器故障：ACL配置導致用戶業務不正常

網絡環境

如圖所示，用戶通過接入設備連接到RouterA。

圖案例組網圖

配置完畢后，發現用戶可以正常撥號，但無法打開客戶端程序。

故障分析

步驟 1     在RouterA上執行display current-configuration命令，查看路由的配置情況，發現接ACL的配置錯誤，如下：

<RouterA> display current-configuration  
 
#  
 
acl number 3000  
 
description GSR-TO-NE80E-IN  
 
rule 5 deny tcp destination-port lt ftp-data  
 
rule 10 deny udp destination-port lt 20 

對于用戶，發送的數據，在傳輸過程中有可能被分片。而端口號只在UDP，TCP的首部，即只包含在第1個數據分片中，后續分片將不攜帶端口信息。

由于進行了如下配置：

rule 5 deny tcp destination-port lt ftp-data  
 
rule 10 deny udp destination-port lt 20 

將端口號小于20的數據分片全部deny掉了，導致應用程序不正常。

----結束

處理步驟

在路由器RouterA執行以下命令：

步驟 1     執行system-view命令，進入系統視圖。

步驟 2     執行acl 3000命令，進入ACL視圖。

步驟 3     執行命令undo rule 10，將該ACL規則刪除。

----結束

執行完上面的命令后，用戶可以正常打開客戶端。

案例總結

因為小端口號一般為系統保留使用，建議在配置針對小端口的ACL時盡量做到精確匹配，以免造成對特殊業務應用的影響。

服務器租用/服務器托管中國五強！虛擬主機域名注冊頂級提供商！15年品質保障！--億恩科技[ENKJ.COM]