设为首页收藏本站language→→ 语言切换

鸿鹄论坛

 找回密码
 论坛注册

QQ登录

先注册再绑定QQ

查看: 1736|回复: 13
收起左侧

VLAN应用了ACL后设备无法获得IP地址导致无法上网

[复制链接]
发表于 2018-11-12 16:34:05 | 显示全部楼层 |阅读模式
今天早上遇到了一个很奇怪的问题,ACL更改后应用到访客网络的VLAN内,导致了所有所有访问访客网络的设备都无法获得IP地址。
VLAN 300-305都是访客VLAN,访客网段是172.19.0.0/24到172.19.5.0/24,每个网段刚好对应一个VLAN,用核心交换机做DHCP和VLAN间路由,策略也是在这里写的。配置如下。
首先是今天更改之前的配置:
acl number 3000
rule 5 permit ip source 172.19.0.0 0.0.255.255 destination 172.16.0.0 0.15.255.255
rule 10 permit ip source 172.19.0.0 0.0.255.255 destination 192.168.0.0 0.0.255.255
rule 15 permit ip source 172.19.0.0 0.0.255.255 destination 10.0.0.0 0.255.255.255
#
traffic classifier guest operator or precedence 5
if-match acl 3000                        
#
traffic behavior guest
deny
#
traffic policy guest match-order config
classifier guest behavior guest
#
vlan 300
description use 8F.WLAN.guest
traffic-policy guest inbound
vlan 301
description use 8F.WLAN.guest
traffic-policy guest inbound
vlan 302
description use 8F.WLAN.guest
traffic-policy guest inbound

这样没有问题,今天早上配置改成了下面这样:
acl number 3000
rule 10 deny ip source 172.19.0.0 0.0.255.255 destination 172.16.0.0 0.15.255.255
rule 11 deny ip source 172.19.0.0 0.0.255.255 destination 192.168.0.0 0.0.255.255
rule 12 deny ip source 172.19.0.0 0.0.255.255 destination 10.0.0.0 0.255.255.255
rule 20 deny ip source 172.16.0.0 0.15.255.255 destination 172.19.0.0 0.0.255.255
rule 21 deny ip source 192.168.0.0 0.0.255.255 destination 172.19.0.0 0.0.255.255
rule 22 deny ip source 10.0.0.0 0.255.255.255 destination 172.19.0.0 0.0.255.255
rule 30 deny icmp source 172.19.0.0 0.0.255.255 destination 172.16.0.0 0.15.255.255
rule 31 deny icmp source 172.19.0.0 0.0.255.255 destination 192.168.0.0 0.0.255.255
rule 32 deny icmp source 172.19.0.0 0.0.255.255 destination 10.0.0.0 0.255.255.255
rule 40 deny icmp source 172.16.0.0 0.15.255.255 destination 172.19.0.0 0.0.255.255
rule 41 deny icmp source 192.168.0.0 0.0.255.255 destination 172.19.0.0 0.0.255.255
rule 42 deny icmp source 10.0.0.0 0.255.255.255 destination 172.19.0.0 0.0.255.255
#
traffic classifier guest operator or precedence 5
if-match acl 3000
#
traffic behavior guest
deny
#
traffic policy guest match-order config
classifier guest behavior guest
#
vlan 300
description use 8F.WLAN.guest
traffic-policy guest inbound
traffic-policy guest outbound

vlan 301
description use 8F.WLAN.guest
traffic-policy guest inbound
traffic-policy guest outbound
vlan 302
description use 8F.WLAN.guest
traffic-policy guest inbound
traffic-policy guest outbound
vlan 303
description 16F.Wlan.guest
traffic-policy guest inbound
traffic-policy guest outbound
vlan 304
description 16F.Wlan.guest
traffic-policy guest inbound
traffic-policy guest outbound
vlan 305
description 16F.Wlan.guest
traffic-policy guest inbound
traffic-policy guest outbound

这个时候就会发现新的设备已经连接不上访客网络了,如果自动分配IP地址的话,通过ipconfig查看,一直都是169开头的系统自动分配的IP地址,之前连接上访客网络的设备也ping不通各个网关,但是可以正常上网(IP地址租期没有过期)。如果自己手动配置相应网段的ip地址也不行,虽然IP地址更改了,但是并不能上网也不能ping通网关。
私接路由器的可能性已经排除了,我们在接入层都开启了DHCP Snooping,网络崩掉也排除了,因为AC和AP接入的交换机都可以Ping通各个VLAN的网关,后来试着把每个VLAN下的traffic-policy guest outbound删除掉立刻就可以获取到IP地址,也可以ping通网关了。
思来想去也没有想通为什么,DHCP请求好像确实需要ICMP报文,但是ACL中的策略应该会不符合不阻止啊。
有哪位大神讲讲这个是什么原因导致的

 楼主| 发表于 2018-11-12 17:39:24 | 显示全部楼层
沉了吗···
沙发 2018-11-12 17:39:24 回复 收起回复
回复 支持 反对

使用道具 举报

 楼主| 发表于 2018-11-13 10:39:44 | 显示全部楼层
0.0为啥子我发的都没有人回··
板凳 2018-11-13 10:39:44 回复 收起回复
回复 支持 反对

使用道具 举报

发表于 2019-1-25 13:45:03 | 显示全部楼层
我不確定這是哪家的設備,acl有沒有隱藏的deny any的策略(cisco是有這筆的),導致你前面沒有開允許特定流量,全部擋光光
地板 2019-1-25 13:45:03 回复 收起回复
回复 支持 反对

使用道具 举报

发表于 2019-2-1 10:25:58 | 显示全部楼层
172.16.0.0/192.168.0.0/10.0.0.0这三个段是干嘛的?你打开outbond,生效的是acl 20/21/22和40/41/42。所以是不是那三个段控制着什么
5# 2019-2-1 10:25:58 回复 收起回复
回复 支持 反对

使用道具 举报

发表于 2019-2-12 13:48:55 | 显示全部楼层
不知你是哪家的设备,正如楼上说的,思科的设备后会默认有一条deny 所有,还有就是你确定的 172.19.0.0-172.19.5.0 的网段,为何在acl中使用 172.19,0.0 0.0.255.255,建议在精确抓取一些
6# 2019-2-12 13:48:55 回复 收起回复
回复 支持 反对

使用道具 举报

 楼主| 发表于 2019-3-19 17:14:44 | 显示全部楼层
这个问题早都解决了,没有及时回复,针对上面朋友们的问题说明一下大概情况。
第一个:172.16/16,192.168/16,10.0.0.0/8这三个网段分别是总公司,服务器和隧道接口地址。
第二个:用的是华为设备,华为的默认是有一个隐式permit
第三个:最后找到的问题是因为acl 3000策略里面直接禁止了所有的icmp报文,导致dhcp报文无法通过,后来通过增加
acl number 3001
description guest_Wlan
rule 10 permit udp source-port eq bootpc destination-port eq bootps
rule 11 permit udp source-port eq bootps destination-port eq bootpc
这个命令,并且在写流策略的时候把if-match 3001的流行为卸载前面就可以了。

补充内容 (2019-9-27 17:21):
纠正一点,当时着急写错了,不是禁止了icmp报文导致DHCP无法使用,而是禁止了ip报文,导致dhcp无法使用
7# 2019-3-19 17:14:44 回复 收起回复
回复 支持 反对

使用道具 举报

发表于 2019-6-3 15:59:48 | 显示全部楼层
寻求设备供应商配置调试
8# 2019-6-3 15:59:48 回复 收起回复
回复 支持 反对

使用道具 举报

发表于 2019-8-22 11:38:51 | 显示全部楼层
maowen295340923 发表于 2019-3-19 17:14
这个问题早都解决了,没有及时回复,针对上面朋友们的问题说明一下大概情况。
第一个:172.16/16,192.168/ ...

既然有默认的permit any,为何还要单独添加
9# 2019-8-22 11:38:51 回复 收起回复
回复 支持 反对

使用道具 举报

 楼主| 发表于 2019-9-27 17:20:09 | 显示全部楼层
小瓶雪碧 发表于 2019-8-22 11:38
既然有默认的permit any,为何还要单独添加

因为目的是为了隔绝guest和内网,所以前面写了deny ip source,这样就导致外网设备无法用内网dhcp通信,因此需要单独的流分类和流行为,并且在流策略中的优先级要比deny高,这样才能获取到ip地址正常上网。
11# 2019-9-27 17:20:09 回复 收起回复
回复 支持 反对

使用道具 举报

 楼主| 发表于 2019-9-27 17:20:17 | 显示全部楼层
小瓶雪碧 发表于 2019-8-22 11:38
既然有默认的permit any,为何还要单独添加

因为目的是为了隔绝guest和内网,所以前面写了deny ip source,这样就导致外网设备无法用内网dhcp通信,因此需要单独的流分类和流行为,并且在流策略中的优先级要比deny高,这样才能获取到ip地址正常上网。
12# 2019-9-27 17:20:17 回复 收起回复
回复 支持 反对

使用道具 举报

 楼主| 发表于 2020-3-27 17:07:00 | 显示全部楼层
再次更新一下,今天刚好不忙,只是为了给大家讲的更加详细一点。
先贴上一个dhcp请求过程的图,详细的dhcp原理大家可以自己百度。

                               
登录/注册后可看大图

重点就在于更改后的rule 20这条命令,之前所有的acl规则都是rule 5 permit ip source 172.19.0.0 0.0.255.255 destination 172.16.0.0 0.15.255.255这样的,这个并不会影响到访客网络的终端获取ip地址的过程,只会拒绝访客终端访问内网。
但是更改之后的规则:rule 20 deny  ip source 172.16.0.0 0.15.255.255 des 172.19.0.0 0.0.255.255,我们可以看到在dhcp第二阶段,dhcp offer的包,服务器返回的包目的地址已经变成了会被分配的地址。(为了偷懒,没有建两个网段,但是大家主要理解服务器返回的包目的地址是要分配的地址就行了),这个时候rule 20就会生效,阻止所有内网网段向访客网段发送包,然后这个包就会直接被丢弃掉。
所以新建的acl3001比acl3000首先命中,就是为了保证整个dhcp的整个过程没有问题。

                               
登录/注册后可看大图


                               
登录/注册后可看大图

同时这里面有一个特殊的地方,要给大家说一下,访客网络直接也是不能互相ping通和通信的,为什么呢?
因为172.19.0.0这个网段包含在172.16.0.0 0.15.255.255这个里面,所以它自己也把到自己的网段通信过滤了。不过都是访客网段,没有什么特殊需求,没有必要互相通信。

13# 2020-3-27 17:07:00 回复 收起回复
回复 支持 反对

使用道具 举报

 楼主| 发表于 2020-3-27 17:08:18 | 显示全部楼层
maowen295340923 发表于 2020-3-27 17:07
再次更新一下,今天刚好不忙,只是为了给大家讲的更加详细一点。
先贴上一个dhcp请求过程的图,详细的dhcp ...

凸(艹皿艹 ),我的图呢····
大家可以自己用wireshark抓包看看,懒得折腾了
14# 2020-3-27 17:08:18 回复 收起回复
回复 支持 反对

使用道具 举报

您需要登录后才可以回帖 登录 | 论坛注册

本版积分规则

QQ|Archiver|手机版|小黑屋|sitemap|鸿鹄论坛 ( 京ICP备14027439号 )  

GMT+8, 2024-3-29 18:21 , Processed in 0.071249 second(s), 7 queries , Redis On.  

  Powered by Discuz!

  © 2001-2024 HH010.COM

快速回复 返回顶部 返回列表