策略路由导致VLAN间不通

发布时间:  2012-07-17 浏览次数:  192 下载次数:  4
问题描述
问题描述:客户在设备交换接口上划分了三个VLAN,VLAN间互相不能通信。

告警信息
处理过程
处理过程:
得知原因以后,在匹配策略路由的ACL表中,将各vlan间的ip网段互相deny,让各网段的通信不匹配策略路由。这样更改后各vlan间可以互通。修改如下:
acl number 3010
 rule 4 deny ip source 192.168.2.0 0.0.0.255 destination 192.168.3.0 0.0.0.255
 rule 5 deny ip source 192.168.2.0 0.0.0.255 destination 10.0.0.0 0.0.0.255
 rule 10 permit ip source 192.168.2.0 0.0.0.255
acl number 3011
 rule 4 deny ip source 10.0.0.0 0.0.0.255 destination 192.168.3.0 0.0.0.255
 rule 5 deny ip source 10.0.0.0 0.0.0.255 destination 192.168.2.0 0.0.0.255
 rule 10 permit ip source 10.0.0.0 0.0.0.255
 rule 15 permit ip source 10.0.2.0 0.0.0.255
acl number 3030
 rule 4 deny ip source 192.168.3.0 0.0.0.255 destination 192.168.2.0 0.0.0.255
 rule 5 deny ip source 192.168.3.0 0.0.0.255 destination 10.0.0.0 0.0.0.255
 rule 10 permit ip source 192.168.3.0 0.0.0.255
#
route-policy 1 permit node 1
 if-match acl 3010                       
 apply output-interface Dialer1
route-policy 2 permit node 1
 if-match acl 3011
 apply output-interface Dialer2
route-policy 4 permit node 1
 if-match acl 3030
 apply output-interface Dialer2
route-policy 3 permit node 1
 if-match acl 3030
 apply output-interface Dialer1
#
interface Vlanif10
 description to_lan
 ip address 192.168.2.1 255.255.255.0
 ip policy route-policy 1
#
interface Vlanif20
 description to_server
 ip address 10.0.0.1 255.255.255.0
 ip policy route-policy 2
#                                        
interface Vlanif30
 ip address 192.168.3.1 255.255.255.0
 ip policy route-policy 3
#
根因
原因分析:
  1. 配置问题
  2. 版本问题
在检查配置过程中,配置方面没有看出问题,在PING的时候,查看ICMP会话,原地址被转换成了公网IP,在配置中发现客户对每个VLAN接口做了策略路由,所以VLAN间互ping的时候首先匹配策略路由(策略路由优于其他路由),导致vlan间不通。
建议与总结
总结:经过修改ACL表后,问题解决。出现这种情况,要仔细检查配置和使用display查看各种表项。

END