汇聚层设备使用标签转发导致核心层NE5000E策略路由不生效

发布时间:  2012-07-27 浏览次数:  89 下载次数:  7
问题描述
组网图见附件1。
10.112.0.0网段用户上其它网页正常,但若访问XX运营商第三方出口的网页(如:ping www.jssjys.com  ip:58.213.92.116)无法正常访问
告警信息

处理过程
1、从SE800下带用户PC  trace结果如下:
C:\Documents and Settings\huangfuming>tracert 58.213.92.116
Tracing route to 58.213.92.116 over a maximum of 30 hops
  1    15 ms    15 ms    15 ms  10.112.0.1  //pc网关
  2    15 ms    15 ms    15 ms  218.206.121.30  //se800地址
  3    15 ms    15 ms    15 ms  221.181.255.1   //综合楼NE5000E gi6/0/0接口ip地址
  4    15 ms    15 ms    15 ms  221.181.255.58  //综合楼NE40E 下行口gi1/0/0接口ip
  5     *        *        *     Request timed out.
流量没有在NE5000E上发送到防火墙,而是直接送到NE40E。由此判断NE5000E的策略路由没有生效。
2、检查NE5000E的策略路由配置没有问题。
3、协调客户检查,发现SE800上,到XX运营商的转发使用了标签转发,导致数据到了NE5000E以后无法匹配路由重定向,从而出现10.112.0.0网段用户地址未经过NAT就到了NE40E,无法转发。
根因
分析客户流量规划:参考附件拓扑图,SE800双上行到两台NE5KE,流量负载分担,SE800下带10.112.0.0网段用户访问80端口业务,若流量上行到综合楼NE5KE,则重定向至宿豫NE5KE后再重定向到F5做nat,若上行至宿豫NE5KE,则直接做重定向至F5缓存器后做nat;然后流量从F5回转至NE5KE-2,再经NE40E-2,回转至NE40E-1,从XX运营商第三方出口上网。
SE800下带用户访问其它端口业务上行至NE5KE后直接从E1000做nat转换,流量回转至NEKE后,查找路由上公网。
建议与总结
1、路由器转发数据时优先使用标签,如果使用了标签转发,将不会匹配路由条目和策略。
2、处理问题时一定要对客户网络的流量规划和走向熟悉,遇到问题,先从网络的角度多分析,多验证,这样容易发现问题的所在点。

END