策略路由配置不严谨导致内网用户访问不了映射的服务器

发布时间:  2014-11-27 浏览次数:  272 下载次数:  0
问题描述
        客户配置了策略路由让服务器数据全部从教育网出口出去,在外网可以通过域名正常访问。内网用户不能通过域名访问映射的服务器。
组网:


告警信息
处理过程
a.首先查看域内nat的配置,未见异常。
 查看会话发现域间关系是错误的:


b.查看策略路由发现未将内网访问服务器的流量排除掉,导致内网访问的数据匹配策略路由走向外网:

acl number 3001
rule 7 permit ip source 58.129.184.7 0
rule 8 permit ip source 58.129.184.8 0
rule 9 permit ip source 58.129.184.9 0
rule 10 permit ip source 58.129.184.10 0
rule 11 permit ip source 58.129.184.11 0
rule 12 permit ip source 58.129.184.12 0

c.将内网网段访问服务器的数据排除掉后问题解决:

acl number 3001
rule 5 deny ip source 58.129.184.0 0.0.0.255  destination 58.129.184.0 0.0.0.255
rule 6 deny ip source 172.16.0.0  0.0.255.255  destination 58.129.184.0 0.0.0.255

rule 7 permit ip source 58.129.184.7 0
rule 8 permit ip source 58.129.184.8 0
rule 9 permit ip source 58.129.184.9 0
rule 10 permit ip source 58.129.184.10 0
rule 11 permit ip source 58.129.184.11 0
rule 12 permit ip source 58.129.184.12 0

根因
策略路由里未将内网访问的数据流排除掉。
解决方案
在策略路由里将内网网段访问服务器的流量排除掉。
建议与总结

END