策略路由配置故障

发布时间:  2014-06-21 浏览次数:  278 下载次数:  0
问题描述



1、客户组网如上图,电信和联通为客户外网出口,政务和教育为客户内部专线,针对楼层1-4层,客户需要采取分流配置,1、2层、未切换的cisco核心下联数据中心的11网走电信,3、4层走联通。段由于无法获取目的公网网段ip,所以采用策略路由直接指定下一条。客户完成配置后,发现策略路由无法生效,查看acl无命中,客户以为是产品问题导致。
2、协助可以解决下一条问题后开始割接,割接后发现网络访问外网都正常,但是无法访问位于联通出口的OA 服务器,割接失败。

告警信息
处理过程
1、核心1上配置修改下一条为核心2和核心1的互联口的51.2,再在核心2配置,在与核心1的互联口上引用策略路由指定下一条解决策略路由不生效问题。
2、由于客户这台server比较特殊,固配置基于目的的acl,下一条丢到核心的51.1上,且优先级优于基于源的acl调用。
acl number 3003
description dx
rule 50 permit ip source 172.16.1.0 0.0.0.255
rule 60 permit ip source 172.16.2.0 0.0.0.255
rule 70 permit ip source 172.16.11.0 0.0.0.255

acl number 3005
description lt
rule 70 permit ip source 172.16.3.0 0.0.0.255
rule 80 permit ip source 172.16.4.0 0.0.0.255

acl number 3008
description to neiwanghufang
rule 50 permit ip destination 172.16.1.0 0.0.0.255
rule 60 permit ip destination 172.16.2.0 0.0.0.255
rule 70 permit ip destination 172.16.3.0 0.0.0.255
rule 80 permit ip destination 172.16.4.0 0.0.0.255
rule 90 permit ip destination 172.16.11.0 0.0.0.255
rule 100 permit ip destination 172.16.5.0 0.0.0.255




traffic classifier neiwang operator or precedence 30
if-match acl 3008
traffic classifier dx operator or precedence 40
if-match acl 3003
traffic classifier lt operator or precedence 50
if-match acl 3003

traffic behavior neiwang
permit
redirect ip-nexthop 172.16.5.1
traffic behavior dx
permit
redirect ip-nexthop 172.16.5.18
traffic behavior lt
permit
redirect ip-nexthop 172.16.5.26



traffic policy ww
classifier neiwang behavior neiwang
classifier ww behavior dx
classifier ww behavior lt
政务外网原理一样,需要根据内网需求配置。
根因
1、通过现场配置查看,核心之间运行ospf,由于客户楼层还需要政务和教育,所以定义了策略指定下一条为核心2的51.9,由于策略路由不能跨设备指定下一条,导致策略路由不生效。
2、割接后内网访问外网都无问题,除了一台位于联通的oa server,进行和客户沟通分析后,发现这台oa服务器比较特殊,它的web服务器和数据库服务器不在一个网段区域,web在位于联通防火墙下挂的DMZ区域,数据库服务器位于还未割接过来的cisco设备下挂的数据中心,而数据中心之前是配置基于源的acl,走电信网络,服务器回复包直接配置策略路由丢到电信,导致访问失败。
建议与总结
1、在进行配置和割接前应熟习产品配置,在割接前应充分做好准备,对内网进行透彻的分析,尽可能的考虑全面,避免因为小的失误导致割接失败,影响网络运行。
2、配置acl和分配优先级时,应尽量设置的大一点,如步长等,便于后期维护插入策略。

END