路由故障：ACL未指定VPN實例導(dǎo)致網(wǎng)管失效

VPN是通過因特網(wǎng)建立一個臨時的、安全的連接，是一條穿過混亂的公用網(wǎng)絡(luò)的安全、穩(wěn)定的隧道。使用這條隧道可以對數(shù)據(jù)進(jìn)行幾倍加密達(dá)到安全使用互聯(lián)網(wǎng)的目的。

下面讓我們看看ACL未指定VPN導(dǎo)致網(wǎng)管失效是怎樣解決的。

網(wǎng)絡(luò)環(huán)境

如圖所示，在網(wǎng)絡(luò)中配置網(wǎng)管業(yè)務(wù)，通過DMS對NE20E進(jìn)行管理。

網(wǎng)管組網(wǎng)圖

配置完成后，原來DMS對NE20E可以進(jìn)行網(wǎng)絡(luò)管理，但是配置SNMP讀寫團(tuán)體名ACL控制后，在DMS上添加該NE20E失敗，導(dǎo)致DMS無法對該設(shè)備進(jìn)行網(wǎng)絡(luò)管理。

故障分析

步驟 1     在NE20E上執(zhí)行display this，查看讀寫團(tuán)體名ACL。

顯示信息如下：

snmp-agent  
 
snmp-agent local-engineid 3534583904852908502938409203  
 
snmp-agent community read  pub acl 2000  
 
snmp-agent community read  public  
 
snmp-agent community write  >evf;rf acl 2000  
 
snmp-agent sys-info contact R &D Beijing,Huawei Technologies co.,Ltd.  
 
snmp-agent sys-info version v3 

步驟 2     在NE20E上執(zhí)行ping 10.52.135.40，確認(rèn)返回信息正常。

步驟 3     在NE20E上執(zhí)行undo acl number 2000，DMS又可以對NE20E進(jìn)行網(wǎng)絡(luò)管理。

步驟 4     在NE20E上執(zhí)行debugging snmp-agent header，開啟數(shù)據(jù)包頭信息調(diào)試。

步驟 5     在NE20E上執(zhí)行debugging snmp-agent packet，開啟數(shù)據(jù)包信息調(diào)試。

步驟 6     在NE20E上執(zhí)行debugging snmp-agent process，開啟SNMP數(shù)據(jù)包處理過程調(diào)試。

步驟 7     在NE20E上執(zhí)行debugging snmp-agent trap，開啟告警調(diào)試。

輸出調(diào)試信息如下：

Apr  9 2008 21:26:22 NE20-NN %%01SNMP/4/SNMP_FAIL(l): Login through SNMP failed(ip=10.52.135.40 times=1).  
 
*0.447064816 NE20-NN SNMP/7/V12HEADERS:  
 
Incoming SNMPv2c packet  
 
community name:public  
 
*0.447064816 NE20-NN SNMP/7/PACKETS_SRC:Packet received from 10.52.135.40<nms> via UDP 

可以確定由于網(wǎng)管通過SNMP登陸NE20E失敗，導(dǎo)致網(wǎng)管無法添加NE20E。

步驟 8     從DMS接口配置上看，DMS與NE20E進(jìn)行通信的IP地址10.52.135.40接口配置為：

interface GigabitEthernet0/0/1.135  
 
vlan-type dot1q 135  
 
description ***MaintenanceVLAN  
 
ip binding vpn-instance nms  
 
ip address 10.52.135.61 255.255.255.224  
 
traffic-policy assign_mpls_exp_nms inbound 

依據(jù)ACL的rule規(guī)則，在不指定VPN-instance時，只對公共報文進(jìn)行處理。在本案例的規(guī)則中，只允許公共報文中符合源為10.52.135.40的報文通過，而實際10.52.135.40的網(wǎng)管報文是從VPN實例NMS與NE20進(jìn)行通信。問題確認(rèn)。

----結(jié)束

處理步驟

在NE20E上執(zhí)行以下操作：

步驟 1     執(zhí)行命令system-view，進(jìn)入系統(tǒng)視圖。

步驟 2     執(zhí)行命令acl number 2000，進(jìn)入ACL視圖。

步驟 3     執(zhí)行命令rule 0 permit vpn-instance nms source 10.52.135.40 0，允許VPN實例通過。

步驟 4     執(zhí)行命令rule 10 deny，禁止其他來源。

步驟 5     執(zhí)行命令return退回到用戶視圖，執(zhí)行命令save，保存對配置的修改。

----結(jié)束

指定相應(yīng)的VPN實例名NMS進(jìn)行報文過濾后，DMS可以對該NE20E正常管理，故障排除。

案例總結(jié)

在配置網(wǎng)管添加設(shè)備時，如果需要配置SNMP讀寫團(tuán)體名ACL，應(yīng)該注意DMS服務(wù)器是否從VPN實例訪問設(shè)備。

服務(wù)器租用/服務(wù)器托管中國五強(qiáng)！虛擬主機(jī)域名注冊頂級提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]