防火墙USG9560策略路由无法负载分担

发布时间:  2015-02-13 浏览次数:  116 下载次数:  0
问题描述

USG9560上采用策略路由无法重定向两个下一跳:

traffic classifier dianxin operator or    

 if-match acl 2000

#

traffic behavior dianxin

 redirect ip-nexthop 202.10.10.10     ---------无法配置两个下一跳进行负载分担202.10.10.10和202.10.10.11

#

traffic policy dianxin

 share-mode

 classifier dianxin behavior dianxin

处理过程

traffic classifier dianxin operator or    

 if-match acl 2000

#

traffic behavior dianxin

 redirect ip-nexthop 9.9.9.9     ---------配置一个不存在的目标地址,然后写关于9.9.9.9的静态路由

#

traffic policy dianxin

 share-mode

 classifier dianxin behavior dianxin


ip route-static 9.9.9.0 255.255.255.0 202.10.10.10     -----------两条进行静态路由,下一跳进行负载

ip route-static 9.9.9.0 255.255.255.0 202.10.10.11

原理分析:由于在使用策略路由时无法指定两个下一跳,所以采用归避方式。首先用策略路由修改下一跳为路由器不存在的地址如9.9.9.9,然后写关于9.9.9.9的路由,此时9.9.9.9的路由下一跳必须可达,且配置两个下一跳进行负载分担。当数据包进行进来时下一跳首先被改为9.9.9.9,然后递归查看9.9.9.9的路由,找到两个下一跳进行负载分担。
解决方案



END