ACL（访问控制列表）阻止了必要流量

遇到ACL（访问控制列表）阻止了必要流量问题，首先需要了解ACL的配置以及哪些流量被阻止。以下是通用的步骤来排查和解决ACL阻止必要流量问题，并附带了华为、华三（H3C）和锐捷（Ruijie）设备上的配置命令及注释。

1. 确认被阻止的流量

a. 检查ACL配置

查看当前设备上的ACL配置，确认哪些规则可能阻止了必要的流量。

华为：

display acl all

显示设备上所有ACL的配置。

华三（H3C）：

display acl all

显示设备上所有ACL的配置。

锐捷（Ruijie）：

show access-list all

显示设备上所有ACL的配置。

2. 确认ACL应用的位置

确认ACL是应用在哪个接口上的，是入方向还是出方向。

华为：

display interface gigabitethernet 0/0/1

显示接口GigabitEthernet 0/0/1的详细信息，包括ACL应用情况。

华三（H3C）：

display interface gigabitethernet 1/0/1

显示接口GigabitEthernet 1/0/1的详细信息，包括ACL应用情况。

锐捷（Ruijie）：

show running-config interface gigabitethernet 1/0/1

显示接口GigabitEthernet 1/0/1的运行配置，包括ACL应用情况。

3. 修改ACL配置

根据确认的信息，修改或添加ACL规则以允许必要的流量。

a. 添加允许规则（假设需要允许192.168.1.0/24到192.168.2.0/24的流量）

华为：

system-view
acl number 3000
rule 5 permit ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255
# 如果存在拒绝规则，需要确保允许规则在拒绝规则之前

acl number 3000：进入ACL 3000的配置模式。
rule 5 permit ip：添加允许IP从192.168.1.0/24到192.168.2.0/24的规则。

华三（H3C）：

system-view
acl number 3000
rule 5 permit ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255
# 确保允许规则在拒绝规则之前

acl number 3000：进入ACL 3000的配置模式。
rule 5 permit ip：添加允许IP从192.168.1.0/24到192.168.2.0/24的规则。

锐捷（Ruijie）：

configure terminal
access-list 3000
permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
# 确保允许规则在拒绝规则之前

access-list 3000：进入ACL 3000的配置模式。
permit ip：添加允许IP从192.168.1.0/24到192.168.2.0/24的规则。

4. 应用ACL到接口

华为：

system-view
interface gigabitethernet 0/0/1
traffic-filter inbound acl 3000
# 应用ACL 3000到接口GigabitEthernet 0/0/1的入方向

traffic-filter inbound acl 3000：应用ACL 3000到接口的入方向。

华三（H3C）：

system-view
interface gigabitethernet 1/0/1
packet-filter 3000 inbound
# 应用ACL 3000到接口GigabitEthernet 1/0/1的入方向

packet-filter 3000 inbound：应用ACL 3000到接口的入方向。

锐捷（Ruijie）：

configure terminal
interface gigabitethernet 1/0/1
ip access-group 3000 in
# 应用ACL 3000到接口GigabitEthernet 1/0/1的入方向

ip access-group 3000 in：应用ACL 3000到接口的入方向。

5. 验证修改

测试被阻止的流量，确认ACL规则修改生效，必要的流量不再被阻止。

通过这些步骤和命令，你应该能够有效地排查和解决由于ACL配置问题导致的必要流量被阻止的问题。