策略路由解决互联网多出口上网问题

发布时间:  2014-09-11 浏览次数:  485 下载次数:  0
问题描述
某局点有电信、移动2个互联网出口,要求所有用户上网都走电信出口。客户配置互联网明细路由后,发现内网用户不能访问互联网部分网站。
告警信息
处理过程
由于客户要求所有用户上网都只能走电信出口,因此在内网域内配置策略路由,强制所有内网用户强制走电信出口,这样就避免了查明细路由访问移动网站走移动接口的问题。
配置思路如下:内网接口属于trust区域,内网网段为172.16.100.0/24,在trust域内做策略路由,强制源地址是172.16.100.0/24的网段下一跳地址是电信出口202.115.110.1。
根因
通过检查内网用户不能访问的网站信息,发现均为移动公网IP地址的网站。由于客户新配置了互联网明细路由表,故检查路由表,发现内网用户在访问移动网站的时候查了互联网明细路由表走的是移动出口。又检查移动出口和内网域间的配置,发现在该域间并未配置NAT outbound,因此内网用户在访问移动网站的时候没有进行地址转换,所以导致访问不通。
建议与总结
由于NAT多出口涉及到路由问题,而各营运商明细路由又存在更新不及时等问题,不能根本解决防火墙NAT多出口问题,因此需要灵活应用策略路由满足NAT多出口的复杂需求。

END