NE20配置策略路由后有些生效,有些无效

发布时间:  2012-07-26 浏览次数:  259 下载次数:  0
问题描述
用户配置了3个acl(3001、3015、3050),3个acl分别对应3个流分类(classifier c_3001、classifier c_3015、classifier c_3050),3个流分类对应3个流动作(behavior t_3001、behavior t_3015、behavior t_3050);再定义一个策略(traffic policy luyou),关联3个流分类和流动作;最后,入接口下引用策略。发现NE20在配置策略路由后有些生效,有些无效。
      
告警信息

      
处理过程
1、检查配置;
2、测试、确认故障现场;
3、分析故障原因。
      
根因
检查发现3个acl最后一条rule都是:rule 20 deny ip
当数据包从入端口上来后,执行traffic policy  luyou,对于策略下的3个分类和动作,执行顺序与配置顺序无关,只与流分类的acl大小有关(由小到大),这里先执行classifier c_3001 behavior t_3001。一个ip 报文,首先看acl 3001 中能否匹配,能匹配,则执行动作behavior t_3001
, 若不能匹配3001 中的permit项,将被该其最后一条rule deny掉,此时不执行任何特殊动作,走正常路由转发。这样只有匹配上acl 3001种permit项的报文策略路由才会生效,其他的都不生效。
      
建议与总结
1、在配置策略路由时,当一个策略下关联了多个流分类和流动作时,他们执行的顺序是按acl号由小到大执行;
2、配置策略路由时,当一个策略下关联了多个流分类和流动作时,acl中不要配置deny ip 命令,否则只有最小acl号对应的策略才有效。
      

END