双出口出现单链路故障时策略路由依然生效

发布时间:  2014-09-12 浏览次数:  239 下载次数:  0
问题描述

USG5300作为出口设备,分别有两个出口到运营商isp1和isp2。内部两个网段通过策略路由实现从不同的出口访问外网,到两个运营商路由使用默认路由,当其中一条链路出现故障后,希望能够从另一条出口访问外网。但是,一个出接口isp1出现故障后,内部的一个网段不能访问外网,策略路由依然生效,配置如下:

#
 ip-link check enable
 ip-link 1 destination 221.214.164.97 mode icmp
 ip-link 2 destination 60.212.47.1 mode icmp

#
traffic classifier class2
 if-match acl 3002
traffic classifier class1
 if-match acl 3001
#
traffic behavior behavior1
  remark ip-nexthop 221.214.164.97 output-interface GigabitEthernet0/0/1
traffic behavior behavior2
  remark ip-nexthop 60.212.47.1 output-interface GigabitEthernet0/0/2
#
qos policy mypolicy
 classifier class1 behavior behavior1
 classifier class2 behavior behavior2

#
 ip route-static 0.0.0.0 0.0.0.0 221.214.164.97
 ip route-static 0.0.0.0 0.0.0.0 60.212.47.1

告警信息
处理过程

1、检查配置无问题。

2、用户配置了ip-link检测,查看ip-link状态:

[USG5320]disp ip-link
20:00:15  2012/06/01
num state timer mode  vpn-instance        ip-address       interface-name
1   up    3     icmp                      221.214.164.97 

虽然ips1接口已经down,但是ip-link状态依然是up的,导致策略路由依然生效。

3、修改ip-link的配置为:

ip-link 1 destination 221.214.164.97 interface GigabitEthernet0/0/1 mode icmp
ip-link 2 destination 60.212.47.1 interface GigabitEthernet0/0/2 mode icmp

再次查看isp1的链路状态:

[USG5320]disp ip-link
20:00:15  2012/06/01
num state timer mode  vpn-instance        ip-address       interface-name
1   down    3     icmp                      221.214.164.97 

ip-link状态正常,策略路由不在生效,内网能够从另外一个接口访问出去。

根因

1、配置问题

2、版本问题

3、其他

建议与总结
策略路由和ip-link状态相关联,ip-link的状态决定策略路由是否生效。

END