策略路由导致用户不能上网

发布时间:  2012-07-20 浏览次数:  96 下载次数:  0
问题描述
用户使用的是usg5360,版本为V100R003C01SPC007的防火墙,在该防火墙上面做了3出口的设置,2个固定的公网IP地址出口,一个ADSL拨号的出口。并配置了出口的路由策略,经过测试用户发现acl 3002 下面说包含的内网网段都不能访问公网,其它的2个出口下面的用户业务都是正常的。
告警信息
处理过程

route-policy 1 permit node 2
  if-match acl 3002
 apply output-interface GigabitEthernet0/0
 apply ip-address next-hop 180.168.41.245
route-policy 1 permit node 10
 if-match acl 3003
 apply output-interface Dialer1
route-policy 2 permit node 20

通过查看该路由策略发现在该node 2下面的设置路由信息中使用了接口和下一跳IP地址,当用户把 apply output-Internet GigabitEthernet0/0 删除以后,只保留一下一条为IP地址不使用接口,ACL 3002下面的用户业务恢复正常。

根因
经过查看ACL 3002 该ACL也有命中次数,并且取消该路由策略1,使用一个dialer拨号的出口和一个固定公网IP的出口情况下,该3002的acl下的用户能够正常的访问公网,这说明三层交换机和防火墙上面的基本路由配置是没有问题的,对于这样的现象初步判断是路由策略的问题。
建议与总结

在配置路由侧路的时候如果既配置了使用接口做出口和一下跳IP地址做出口的时候,接口的优先级是高于一下跳IP地址的,此时如果要使用接口来做出口,除了路由策略里面要配置出去的接口以外,防火墙上面的静态路由的下一条也要配置成接口,如果静态路由下一条是ip地址,就会出现这个情况,策略路由和静态路由的配置类型必须一样,同时使用一下跳IP地址或者是接口。

建议:在配置路由的出口最好使用下一条为IP地址,最好不要使用接口来做,因为使用接口会通过接口发送大量的arp请求对设备的性能是有影响的。

END