E300做SACG和两台S9300 单机双旁挂做SACG策略路由引流及主备链路切换配置案例

发布时间:  2012-07-18 浏览次数:  108 下载次数:  0
问题描述

用户一台E300做SACG和两台S9300 联动,实现单SACG双旁挂。其中两台S9300是通过ospf 的cost值实现部分业务做主备,部分业务做负载均衡。E300旁挂在两台S9300上,下行S5300数据流经过S9300的引流后到达E300实现SACG联动。
故障现象:如果S9300-A设备宕机,S5300的数据流能够通过S9300-B和E300联动成功,但是如果是S9300某条链路故障,S5300的数据流能够到达E300,但是不能回注到S9300-B,联动失败。用户需求是要实现单台S5300和S9300-A的链路出现故障时能够切换到S9300-B,不能出现故障时全部切换。

组网:

  
注:1属于Trust区域,3属于Trust1区域,2属于Untrust域,4属于Untrust2域

  
告警信息
处理过程

1、查看S9300的配置无问题
2、检查E300的配置,发现策略路由引用错误,qos引用规则为应用在数据流的入接口,下一跳指向数据流出接口。
3、由于用户S9300-A和S9300-B上既有运行有负载均衡的数据流也有主备的数据流,因此当S9300和下行某一S5300链路出现故障时,不能将下行所有设备数据流都切换到S93备上,即不能配置Monitor Link组功能。要实现单故障点TSM数据流的主备切换,而不是所有数据流的主备切换,从S9300-A和S9300-B进入E300的两个接口应该划分成不同安全区域,需要优化E300的配置。
4、E300的优化配置如下几点:
A、将与S9300-A和S9300-B相连的四个接口分别划分到不同安全区域,便于使用QOS控制数据流。
B、使用QOS将需要控制TSM的数据流分别应用到下行的两个安全区域。
C、到S9300-A和S9300-B的数据流采用浮动路由方式,主走S9300-A,E300和S9300-A链路出现故障时走S9300-B,由于策略路由优先于默认路由,保证数据流从主进主出、备进备出。

调整后配置:

E300主要配置:
  #
traffic classifier test001
 if-match acl 3050
#
traffic behavior test002
  remark ip-nexthop 10.200.250.45 output-interface GigabitEthernet1/0/1
traffic behavior test003
  remark ip-nexthop 10.200.250.53 output-interface GigabitEthernet2/0/1
#
qos policy testpolicy001                 
 classifier test001 behavior test002
qos policy testpolicy002
 classifier test001 behavior test003
#
interface GigabitEthernet1/0/0
 description to_9303A_in
 ip address 10.200.250.42 255.255.255.252
 link-group 1
#
interface GigabitEthernet1/0/1
 description to_9303A_out
 ip address 10.200.250.46 255.255.255.252
 link-group 1
#                                        
interface GigabitEthernet2/0/0
 description to-9303B_in
 ip address 10.200.250.50 255.255.255.252
 link-group 2
#
interface GigabitEthernet2/0/1
 description to_9303B_out
 ip address 10.200.250.54 255.255.255.252
 link-group 2
#
firewall zone trust                      
 set priority 85
 add interface GigabitEthernet1/0/0
qos apply policy testpolicy001 outbound
#
firewall zone trust1                      
 set priority 80
add interface GigabitEthernet2/0/0
qos apply policy testpolicy002 outbound
#
firewall zone untrust
 set priority 5
 add interface GigabitEthernet1/0/1
#
firewall zone name untrust2
 set priority 12
 add interface GigabitEthernet2/0/1
#
firewall interzone trust untrust
 packet-filter 3099 inbound              
#
firewall interzone trust1 untrust2
 packet-filter 3099 inbound
#
 ip route-static 0.0.0.0 0.0.0.0 10.200.250.45
 ip route-static 0.0.0.0 0.0.0.0 10.200.250.53 preference 80
#
right-manager server-group
 default acl 3099
 server ip 10.200.9.10 port 3288 shared-key xlmy
 right-manager server-group enable
 right-manager status-detect enable
 local ip 10.200.250.18                  
 right-manager authentication url http://10.200.9.10:8080/OPMUI/jsp/secospace/agent_down.tsm

S9300-A主要配置
#
traffic classifier tsminput operator or precedence 5
 if-match acl 3099
#
traffic behavior redirect
 redirect ip-nexthop 10.200.250.42
#
traffic policy tsmliandong
 classifier tsminput behavior redirect
#
interface Vlanif4081
 description TO-TSM-Liandong-Edumen300
 ip address 10.200.250.41 255.255.255.252
#
interface Vlanif4087
 description TO-TSM-Liandong-Edumen300
 ip address 10.200.250.45 255.255.255.252
#
S9300-B配置类似

  
根因
1、S9300策略路由引流不正确
2、E300路由配置不正确
3、配置规划不合理  
建议与总结

END