错误理解ACL导致交换机策略路由失效

发布时间:  2014-09-12 浏览次数:  1493 下载次数:  0
问题描述

如上图所以,客户采用策略路由重定向访问Internet的下一跳为192.168.3.2,访问内部server的流量不匹配策略路由。完成配置后,客户发现访问Internet正常,访问内部server不通。
告警信息
处理过程
根据客户需求,有如下两种方案:
1. 不配置策略路由,通过路由优先级来实现转发不同目的的报文采用不同的下一跳:
[Switch]ip route-static 192.168.254.0 0.0.0.255 192.168.2.2
[Switch]ip route-static 0.0.0.0 0.0.0.255 192.168.3.2
2. 如果必须采用策略路由,可以针对不同的目的网段配置不同的下一跳:
Acl 3000
rule 5 permit ip source 192.168.1.0 0.0.0.255 destination 192.168.254.0 0.0.0.255
#
Acl 3001
rule 5 permit ip source 192.168.1.0 0.0.0.255
#
traffic classifier SERVER1 operator or precedence 10
if-match acl 3000
#
traffic classifier Internet  operator or precedence 10
if-match acl 3001
#
traffic behavior SERVER1
redirect ip-nexthop 192.168.2.2
#
traffic behavior Internet
redirect ip-nexthop 192.168.3.2
#
traffic policy P1
classifier SERVER1 behavior SERVER1
classifier Internet behavior Internet
#
interface GigabitEthernet0/0/1
port link-type access
port default vlan 1
traffic-policy P1 inbound
根因
查看当前策略路由配置如下:
Acl 3000
rule 2 deny ip source 192.168.1.0 0.0.0.255 destination 192.168.254.0 0.0.255.255
rule 5 permit ip source 192.168.1.0 0.0.0.255
#
traffic classifier SERVER1 operator or precedence 10
if-match acl 3000
#
traffic behavior SERVER1
redirect ip-nexthop 192.168.252.254
#
traffic policy SERVER1
classifier SERVER1 behavior SERVER1
#
华为交换机配置策略路由特性时,ACL中的deny不仅仅代表不做重定向,还将丢弃匹配条件的报文。
建议与总结
交换机配置策略路由时,acl中的deny表示丢包。

END