基于MAC的acl配置错误,导致双出口的ip-link检测状态错误

发布时间:  2013-07-21 浏览次数:  266 下载次数:  0
问题描述


如图所示:该USG2220,版本为V1R5。接入电信和联通双出口。并分别与ip-link1和ip-link2绑定。客户反映的问题是目前电信线路为正常(进线直接连PC可以正常上网)。但是,在USG上面ip-link检测状态为down,带申请的电信源ip地址ping下一跳也不通。


告警信息
处理过程
1.通过直连PC发现可以正常上网,排除电信线路的问题。
2.查看ip-link状态:
[USG] display ip-link
num state timer vpn-instance     ip-address      interface-name  mode  vgmp next
-hop
1   down    3                      1.1.2.1                         icmp  none
2        up    3                      1.1.3.1                         icmp  none
 
3.带源地址ping不通下一跳,查看arp也没学到,怀疑是否包过滤或则策略的问题。
4.检查包过滤和域间策略发现配置正确,排除该怀疑。
5.检查配置时发现在出口下有一条ACL应用在in方向,该acl如下:
acl number 4000
rule 5 permit type arp source-mac 1234-4321-2134 00ff-00ff-0000

该MAC地址根本就不是下一条的MAC地址,怀疑问客户错误配置,取消该ACL在接口下的应用后。ip-link 状态正常,故障解决。
USG] display ip-link
num state timer vpn-instance     ip-address      interface-name  mode  vgmp next
-hop
1  up    3                      1.1.2.1                         icmp  none
2  up    3                      1.1.3.1                         icmp  none

根因
1.通过直连PC发现可以正常上网,排除电信线路的问题。
2.查看到IP-Link状态为down,然后带源地址ping不通下一跳,查看arp也没学到,怀疑是否包过滤或则策略的问题。
4.检查包过滤和域间策略发现配置正确,排除该怀疑。
5.检查具体配置时发现在该接口下有一条ACL应用在in方向,通过查看该acl发现该acl配置有误。
建议与总结

END