La configuration MQC est invailde

41 0 0 0

Topologie du réseau physique

140121d4kalsa2wwly0awj.png

 

Description du défaut

Comme le montre l'image, le serveur a besoin d'accéder à Internet, le serveur se connecte à la couche d'accès SwitchB, puis accède à la couche principale SwitchC. Afin d'assurer la sécurité des données et du réseau de l'entreprise, les utilisateurs souhaitent assurer la sécurité de tout le trafic Internet vers le serveur. SwitchA est donc suspendu près de SwitchA pour filtrer le trafic en toute sécurité.

Après avoir configuré la politique de trafic, nous constatons que le trafic n'est pas envoyé à SwitchC.

Fichiers de configuration

l    SwitchA

!Software Version V100R005C10SPC200
#
bgp 10088
 peer 102.1.1.1 as-number 10086
 #
 ipv4-family unicast
  import-route direct  
  peer 102.1.1.1 enable
#
ospf 100
 import-route direct
 import-route static
 area 0.0.0.0   
  network 5.5.5.5 0.0.0.0
  network 102.1.1.0 0.0.0.255

l    SwitchB

[~R4U13-CE12800-SWITCH-B]dis cu 

#
traffic classifier test type or
 if-match ipv6 acl 3000
#
ospfv3 100
 area 0.0.0.0
#
interface 10GE3/0/2
 undo portswitch
 mtu 1300
 ipv6 enable
 ip address 107.1.1.2 255.255.255.0
 ipv6 address 100::2/64
 ospfv3 100 area 0.0.0.0
 jumboframe enable 1536
 device transceiver 1000BASE-X
#
interface Tunnel1
 ipv6 enable
 ip address 13.13.13.14 255.255.255.0
 ipv6 address 100:100::100/64
 tunnel-protocol gre
 source 107.1.1.2
 destination 107.1.1.1
 ospfv3 100 area 0.0.0.0
#
ospf 100
 import-route direct
 import-route static
 area 0.0.0.0
  network 5.5.5.5 0.0.0.0
  network 13.13.13.0 0.0.0.255
  network 107.1.1.0 0.0.0.255

l    SwitchC

!Software Version V100R005C10SPC200 

#
traffic classifier test type or
 if-match ipv6 acl 3000
#
traffic behavior test
 redirect interface 10GE3/0/9
#
traffic policy test
 classifier test behavior test precedence 5
#
aaa
 #
 authentication-scheme default
 #
 authorization-scheme default
 #
 accounting-scheme default
 #
 domain default
 #
 domain default_admin
#
ospfv3 100
 area 0.0.0.0
#
interface Tunnel1
 ipv6 enable
 ip address 13.13.13.14 255.255.255.0
 ipv6 address 100:100::100/64
 tunnel-protocol gre
 source 107.1.1.2
 destination 107.1.1.1
 ospfv3 100 area 0.0.0.0
#
bgp 10089
 peer 107.1.1.1 as-number 10086
 #
 ipv4-family unicast
  import-route direct  
  peer 107.1.1.1 enable
#
ospf 100
 import-route direct
 import-route static
 area 0.0.0.0
  network 5.5.5.5 0.0.0.0
  network 13.13.13.0 0.0.0.255
  network 107.1.1.0 0.0.0.255

l    Serveur

!Software Version V100R005C10SPC200
#
ip route-static 0.0.0.0 0.0.0.0 100.100.1.101
#
ipv6 route-static :: 0 1000:1000::1000

P***édure de dépannage

                               Étape 1       Vérifiez le classificateur / comportement / politique de trafic sur le commutateur par la commande " afficher le classificateur de trafic ", " afficher le comportement du trafic " & " Afficher la politique de trafic ":

[~R4U13-CE12800-SWITCH-B]display  traffic classifier
  Traffic Classifier Information:
    Classifier: test
      Type: OR 
      Rule(s):
        if-match ipv6 acl 3000
Total classifier  number is 1

 [~R4U13-CE12800-SWITCH-B]display traffic behavior
  Traffic Behavior Information:
    Behavior: test
      Redirect:
        Redirect interface 10GE3/0/9
Total behavior number is 1

[~R4U13-CE12800-SWITCH-B]display traffic policy
  Traffic Policy Information:
    Policy: test
      Classifier: test
        Type: OR 
      Behavior: test
        Redirect:
          Redirect interface 10GE3/0/9

                               Étape 2       Vérifiez si elle existe dans le moteur de transfert de puce par la commande «affichage système tcam service brief slot 3», nous ne trouvons pas cette règle ACL dans la puce, elle est donc défaillante et cause ce problème.

140121yg44ced4r1jfdxfd.jpg

                               Étape 3       Exécutez la commande display traffic-policy applied-record pour trouver la raison de l'échec des règles ACL.

140122a1xz3h72z4zqitd6.png

Exécutez la commande display system tcam fail-record pour vérifier la raison de l'échec de la politique de trafic.

140123zg4c8cfguah46hhg.png

Pour vous assurer de la cause première, exécutez la commande pour vérifier les informations d'alarme.

140124ul2l6409sosty00n.jpg

----Fin

REMARQUE

t est optimisé uniquement pour réduire les règles ACL sur le commutateur, mais il n'est pas résolu quand il y a tellement d'activités sur le commutateur.

Solution:

1.          Si le problème se produit dans la version V1R5C00 ou avant la version V1R5C00, il s'agit de la version V2R1C00 optimisée, nous vous conseillons de mettre à niveau la version vers V2R1C00 ou la dernière version et de le résoudre.

2.          Nous allons repenser les règles ACL sur le commutateur, il est recommandé de supprimer ses règles ACL pour les règles ACL sans importance ou inutilisées, telles que divers types de statistiques de trafic, statistiques de trafic VLAN, statistiques de trafic d'interface VLAN et statistiques de trafic de tunnel.

Cause première

Sur SwitchA, la politique de trafic est configurée et elle s'appuie sur l'ACL pour terminer l'opération de redirection correspondant aux caractéristiques des paquets, puis rediriger les paquets vers le port sortant correspondant. Pour ce problème, provoqué par des ressources ACL insuffisantes, le flux de trafic n'est pas efficace et les paquets ne correspondent pas aux règles



  • x
  • Standard:

Commentaire

envoyer
Connectez-vous pour répondre. Se connecter | Enregistrer

Remarque Remarque : Afin de protéger vos droits et intérêts légitimes, ceux de la communauté et des tiers, ne divulguez aucun contenu qui pourrait présenter des risques juridiques pour toutes les parties. Le contenu interdit comprend, sans toutefois s'y limiter, le contenu politiquement sensible, le contenu lié à la pornographie, aux jeux d'argent, à l'abus et au trafic de drogues, le contenu qui peut divulguer ou enfreindre la propriété intellectuelle d'autrui, y compris les secrets professionnels, les marques commerciales, les droits d'auteur et les brevets, ainsi que la vie privée personnelle. Ne partagez pas votre nom d'utilisateur ou votre mot de passe avec d'autres personnes. Toutes les opérations effectuées à partir de votre compte seront considérées comme vos propres actions, et toutes les conséquences en découlant vous seront imputées. Pour plus de détails, voir « Politique de confidentialité ».
Si le bouton de la pièce-jointe n'est pas disponible, mettez à jour Adobe Flash Player à la dernière version.
Connectez-vous pour participer à la communication et au partage

Connectez-vous pour participer à la communication et au partage

S'identifier