华为路由怎么关闭过滤功能
今天给各位分享华为路由器ACL过滤的知识,其中也会对华为路由怎么关闭过滤功能进行解释,如果能碰巧解决你现在面临的问题,别忘了关注本站,现在开始吧!
本文目录一览:
1、华为路由器的路由过滤问题
3、在华为路由器中根据acl规则功能的不同,acl被划分为哪几种类型
华为路由器的路由过滤问题
不太懂,从网上搜了一段看看有没有帮助。
l OSPF等cost双链路情况下,不论是到单一不还是随机目的地址的数据流,均无法实现
负载均衡。
l 不支持对virtual-link进行OSPF的MD5认证。
l 在3680平台作rip向OSPF再发布,当对由rip进入的多条路由粘贴不同tag标记时,368
0无法将大于一个以上的tag向外advertise。
l OSPF无法使用filter-policy(类似distribute-list)对进入路由作过滤。OSPF下,fi
lter-policy 仅能控制全局入方向路由,即无法对指定(接口)neighbour作in方向发布控
制。
l Ospf下,几乎所有策略只能在import点作(router-policy无法在OSPF下使用),路由器
无法对其它路由器发布的out方向的路由实施策略。
l Ospf下,在im点为不同路由添加的tag,无法传递到远端,严重问题。
l 在对同一名字route-policy定义了多个seq时,虽然命令提示可以,但实际上不能单独
删除指定seq下的策略,即只能一次删除全部,严重问题。
BGP协议测试分析
l 改变Cisco端BGP AS number 时,QuidwayR3680对应端口通信中断,而端口显示信息正
常,严重问题。
l 改变2630 BGP AS number时,26随机死机。
l 在对同一名字route-policy定义了多个seq时,虽然命令提示可以,但实际上不能单独
删除指定seq下的策略,即只能一次删除全部,严重问题。
l EBGP在作AS number prepend时,严重不正常。如:单一名称多seq 的route-policy被
应用时,若作as number prepending的seq不在第一项,则无法prepending(在远端路由
器看不到被prepending 的as number,如果作as number prepending的seq在第一项,则
所有应该用该route-policy import 入BGP的路由,都会被prepend同样的AS numbers。
l 3680平台,用origin-policy、route-policy对aggregate route 作origin修改,不生
效。
l 3680,bgp,OSPF等动态协议相关统计信息太简单,甚至无neighbour uptime、last
update time之类基本统计信息,维护、排错极不便。
l 3680与2630作IBGP时,2630开启synchronization时,2630所显示的BGP表中,来自36
80的路由next hop显示为null,且无法向另一远端EBGP发布3680的路由,即不向外AS发
布。
l 在无数据流量,起单一BGP进程的情况下,QuidwayR2630 cpu达到27%左右,不正常。
l 3680平台,用suppress-policy、route-policy对aggregate route 作单个major net
单元的supress,结果显示,所有参与aggregation的major net均被suppress。
l 3680平台,BGP(E or I)环境下,无法使用update-source 命令。在两bgp neighbour
存在冗余物理链路时,BGP connection将只能在单一链路上建立,该链路中断则BGPcon
nection中断,无法起到冗余的作用。
l AS100内运行OSPF area 1,在各路由器interface loopback 1 1.0.0.x可互通的情况
下,quidway路由器无法通过对端路由器的1.0.0.x进行IBGP连接。
l AS100内运行OSPF area 1,在各路由器全部自物理接口可互通的情况下,作五个路由
器全IBGP连接时,quidway路由器无法与部分非直接路由器(one of the opposites)的物
理接口进行IBGP连接。
l 在定义多个peer group后,3680会把对其中一个peer group制定的attribute如next-
hop-local(类似cisco的next-hope-self),origin,as prepending等向其它未制定att
riute的peer group传递,严重问题。。
l ACL、route-policy协作问题。
当acl后加deny any 项时,且route-policy启用时,所有外出路由将在本地路由器的ou
t方向被filte掉,严重不正常。
l Router-reflector工作不正常。在分别用3680、2630b作router-reflector时,各自所
下连client学不到其它client的路由。如72学不到2630b的路由,3680学不到2630a的路
由等,严重问题。若去掉两client对应端口IGP配置,则可以reflect,工作不正常。
l 测试bgp confederation 时,发现如下情况:
1. 每个路由器分别不能看到两个非直接路由器之一的loop段。如3680上看不到26a的in
terface loopback 1 的ip address所属网段。此时该loopback1接口开启OSPF。
2. 在26a loopback1接口关启ospf时,3680可以学到该loopback1所属网段,但同时,两
Cisco路由器之间bgp connection不能建立。
l 无BGP backdoor功能。
vrrp运行分析
l 0105版本下,在3680E、3640平台上对E口作vrrp,下连PC及路由器本身无法ping通浮
动地址。即vrrp工作不正常。
l 升级后至0108版本后,3680VRRP virtual ip可以被VRRPgroup所在segment 的Pcping
通,virtual MAC地址显示正常,符合RFC3678 00-00-5e-00-01-vrid定义,但在路由器
上ping不能,且显示mac空,经查验RFC3768,此行为该标准并未作过多说明,但实际运
行中,这一点将给监控、排错造成诸多不便。
l Display命令对VRRP的显示将显示所有VRRP组信息,无法显示单个组,且统计信息过于
简单。
l
NAT运行分析
l 华为路由器3680在作NAT时,fe-inside,serial-outside,以proxyhunter发包,当流
量增至200k/bps时,华为路由器CPU增至100%利用率,极不正常。
l 部分语法提示有问题,如nat server global等。
l 在3640平台上无法用nat server 语句实现global outside--àlocal inside 的stat
ic nat。
低端接入交换机试用结果
l 华为quidwayS3026同时在access int、trunk int运行同等优先级STP,当access int
位于小端口(priority 较优先)时,stp算法将block trunk int,造成trunk线路中断。
l quidwayS3026交换机不自动开启STP,默认情况下冗余TOPO将引起流量风暴。
关于华为的一台MSR路由器上的ACL规则
firewall enable 应用防火墙
firewall default deny 默认拒绝所有流量
acl number 3002 ACL的编号
rule 0 deny tcp 这个是第一条规则,执行的动作时拒绝所有TCP流量
interface Serial0/0 进入串行接口模式
link-protocol ppp 广域网采用的连接协议时PPP
firewall packet-filter 3002inbound 将包过滤(ACL3002) 应用到路由器入站接口
firewall packet-filter 3002 outbound将包过滤(ACL3002)应用到路由器出站接口
不清楚你说的最后一条是哪条?
最后两条的意思都是一样的,目的都是为了使你设定的防火墙规则生效
打个比方:你是某城门守将,制定了一个进出城门的规定。
但是你的规定制定出来了,用在哪座城池上呢?
使用在城门的出口还是入口呢?
这些要交代清楚,不然的话 下面的人不好做事
同理,这个防火墙规则也要交代清楚用在什么地方,使用在出接口还是入接口
在华为路由器中根据acl规则功能的不同,acl被划分为哪几种类型
基于ACL规则定义方式,可以将ACL分为基本ACL、高级ACL、二层ACL等种类。基本ACL根据源IP地址、分片信息和生效时间段等信息来定义规则,对IPv4报文进行过滤。如果只需要根据源IP地址对报文进行过滤,可以配置基本ACL。
基本acl 2000~2999 可以对源ip限制
高级acl 3000~3999 可以对源ip,目标ip,协议,端口限制
华为路由器ACL过滤的介绍就聊到这里吧,感谢你花时间阅读本站内容,更多关于华为路由怎么关闭过滤功能、华为路由器ACL过滤的信息别忘了在本站进行查找喔。
