S7706交换机网管业务出现带内网管一半不通故障

发布时间:  2014-11-27 浏览次数:  163 下载次数:  0
问题描述
版本信息:该问题和版本无关
组网拓扑:
关键配置:
#
acl number 3001
rule 5 permit ip source 192.168.200.0 0.0.0.255
acl number 3002
rule 5 permit ip source 192.168.202.0 0.0.0.255
#
traffic classifier wan-202.0.0.16 operator and precedence 10
if-match acl 3001                       
traffic classifier wan-202.0.0.79 operator and precedence 15
if-match acl 3002
#
traffic behavior 202.0.0.16
redirect ip-nexthop 192.168.254.9
traffic behavior 202.0.0.79
redirect ip-nexthop 192.168.254.1
#
traffic policy wan
classifier wan-202.0.0.16 behavior 202.0.0.16
classifier wan-202.0.0.79 behavior 202.0.0.79

故障现象:网络调整前,网络中为S7706单上行至1台ASG2200和1台USG5150,USG5150连接公网,做基于源地址的NAT。网络调整后。S7706上做重定向分流,USG5150上做基于接口的源NAT。调整后内带内网管(IP:192.168.202.100)只能和ASG2200-1和USG5150-1互通。和ASG2200-1和USG5150-2不通。
告警信息
处理过程
将测试PC连接至192.168.200.0/24的网段,发现能够和ASG2200-2和USG5150-2互通,但是和ASG2200-1和USG5150-1不通。怀疑是重定向原因造成。于是在S7706上增加配置,将访问目的地址为192.168.254.0/29和192.168.254.8/29的流不做重定向,再测试后问题解决。

新增配置后关键配置,新增配置需要注意precedence,如果序号排在原有配置序号后面,会因为优先匹配原有流量而导致问题不能解决。
#
acl number 3001
rule 5 permit ip source 192.168.200.0 0.0.0.255
acl number 3002
rule 5 permit ip source 192.168.202.0 0.0.0.255
acl number 3011
rule 10 permit ip destination 192.168.254.0 0.0.0.7
rule 15 permit ip destination 192.168.254.8 0.0.0.7
#
traffic classifier Guanli operator or precedence 5
if-match acl 3011
traffic classifier wan-202.0.0.1 operator and precedence 10
if-match acl 3001                       
traffic classifier wan-202.0.0.65 operator and precedence 15
if-match acl 3002
#
traffic behavior 202.0.0.1
redirect ip-nexthop 192.168.254.9
traffic behavior 202.0.0.65
redirect ip-nexthop 192.168.254.1
traffic behavior Guanli
permit
#
traffic policy wan
classifier Guanli behavior Guanli
classifier wan-202.0.0.1 behavior 60.6.239.1
classifier wan-202.0.0.65 behavior 60.6.239.65
#
根因
对组网情况没有深刻了解,将访问带内网管流量和访问公网流量没有区分考虑
建议与总结
仔细了解网络信息。避免需求分析不到位导致问题出现。

END