USG作为SACG用子接口与对端设备对接和策略路由配置案例

发布时间:  2012-07-18 浏览次数:  144 下载次数:  9
问题描述

USG2220作为SACG和客户的核心交换机H3C 5500对接,因为物理接口不够,需要使用子接口,但双方设备配置完成后,直连地址都无法ping通;
告警信息
处理过程
1.  H3C交换机新增2个VLAN-IF(分别是501、502),同时物理口 起TRUNK模式,允许vlan 501、502通讯;3层接口分别配置VLAN 501 IP:10.1.1.1/30;VLAN 502 IP:10.1.1.5/30;
2.  USG 上配置,G0/0/0.1 封装VLAN 501,对应IP 10.1.1.2/30; G0/0/0.2封装VLAN 502对应 10.1.1.6/30;
也就是对端物理接口要起TRUNK,配VLAN-IF,Trunk允许相应VLAN通讯;而我司USG子接口的配置的VLAN号要跟对端一致;
根因

1. H3C设备上和我司USG设备对接的G1/0/0口并不是配置的TRANK,而是在3层接口VLAN-IF下起了主地址和SUB子地址;
2. 而USG 设备配置子接口,必须配置子接口封装的VLAN ID,如vlan-type dot1q 501;所以对端设备必须也必须保持一致要配相应的VLAN ID;
3. 如果在H3C交换机上新增了VLAN 501 、502来和我USG子接口对接;而在USG 对应的子接口上封装的VLAN ID和对端不一致,也会造成通讯失败;

建议与总结
1. 兴业银行是使用的EUDEMON 1000E作为SACG,有的局点也是使用的子接口,在SACG有子接口场景下,建议开启策略路由,保证从哪台交换机过来的流量仍然回注到哪台交换机;参考下面配置;
traffic classifier TSM_1
if-match acl 3001
traffic classifier TSM_2
if-match acl 3002
#
traffic behavior secospace_1
remark ip-nexthop 103.46.70 output-interface GigabitEthernet1/0/0.2
traffic behavior secospace_2
remark ip-nexthop 10.3.46.86 output-interface GigabitEthernet1/0/1.2
#
qos policy secospaceTSM_1
classifier TSM_1 behavior secospace_1
qos policy secospaceTSM_2
classifier TSM_2 behavior secospace_2
2. 如下文 EUDEMON的策略路由可以应用zone域下;
firewall zone trust
set priority 85
qos apply policy secospaceTSM_1 outbound
add interface GigabitEthernet1/0/0.1
3. 而USG的策略路由无法应用到zone域下,只能应用到Vlan-if接口下,如下文
interface Vlanif30
ip address 192.168.1.9 255.255.255.252
qos apply policy T0-switch-2 outbound

END