路由器ar1200V200R003配置策略路由以后内网用户无法访问路由器web界面

发布时间:  2014-12-20 浏览次数:  224 下载次数:  0
问题描述
ar1200 v200r003c01spc900
拓扑:
pc--内网---192.168.1.1ar1200----1.1.1.1公网1
                                        |
                               2.2.2.2公网2
pc的ip地址是192.168.1.0网段,网关是192.168.1.1,路由器双上行,一个出口公网1网关是1.1.1.1,另外一个出口公网2网关是2.2.2.2
客户在ar路由器上面配置了策略路由重定向到1.1.1.1,配置如下:
acl number 3000 
rule 5 permit ip source 192.168.1.0 0.0.0.255
traffic classifier c1 operator or
if-match acl 3000
#
traffic behavior b1
redirect ip-nexthop 1.1.1.1
#
traffic policy p1
classifier c1 behavior b1
interface Vlanif1
ip address 192.168.1.1 255.255.255.0
traffic-policy p1 inbound
处理过程
1:内网pc去ping外网网关正常
2:在路由器内网接口上面配置流量统计,发现pc访问路由器的报文路由器有接收到
3:路由器有学习到pc的arp表项
4:在路由器策略路由匹配的acl前面加一条拒绝目的地址到路由器内网口ip的流量不做重定向下一跳,问题解决
根因
pc访问路由器的报文到了路由器以后,由于路由器内网接口配置了策略路由,匹配了该报文的源地址192.168.1.0网段,重定向到下一跳1.1.1.1去了,导致访问路由器的流量也扔到下一跳1.1.1.1设备去了,所以访问失败。
在路由器策略路由的acl里面添加一条拒绝目的地址是到路由器内网ip地址的流量,拒绝让该流量做重定向下一跳操作。
解决方案
acl number 3000 
rule 1 deny ip source 192.168.1.0 0.0.0.255 destination 192.168.1.1 0   ---------在最上面添加一条规则,拒绝该流量做重定向
rule 5 permit ip source 192.168.1.0 0.0.0.255 
配置以后问题解决。

END