AR路由器重定向导致设备无法从内网远程管理故障

发布时间:  2015-03-18 浏览次数:  211 下载次数:  0
问题描述
网络结构:

   外网1(1.1.1.1)------AR1200---------(2.2.2.2)外网2

                          |eth0/0/1(3.3.3.1/30)

                          |(3.3.3.2/30)

    192.168.1.0---------SW-1-------192.168.2.0/24

                        
要求192.168.1.0重定向到外网1出去:

 
重定向配置如下:

 

acl number 3000

rule 10 permit ip source  192.168.1.0 0.0.0.255   内网网段地址192.168.1.0/24

#

traffic classifier c1 operator and

if-match acl 3000

#

traffic behavior b1

   redirect ip-nexthop 1.1.1.1             一个外网接口网关地址1.1.1.1

#

traffic policy p1

 classifier c1 behavior b1

#

interface ethernet0/0/1

    traffic-policy p1 inbound

#
 

问题现象:

   没有加策略之前,内网192.168.1.0/24网段是以正常telnet AR内网IP3.3.3.1,并对AR进行配置等;加上策略之后,该网段PC telnet 3.3.3.1时,登入报错

处理过程

acl number 3000

由故障现象判断:Traffic-policy影响到192.168.1/24内用户远程管理Ar.

1,查看Traffic-policy,对业务重定向配置,无问题;

2,抓包时,发现命中Acl3000的业务流量(包括对ARtelnet 3.3.3.1登入的流量)全被重定向到外网1口出去了;

3,调整traffic-policy 配置,在其classifier c1 behavior b1 对之前先执行一步允许访问本地本路由器3.3.3.1的动作。

根因
traffic-policy 在重定向内网流量时,将命中Acl3000的所有流量(包括对ARtelnet 3.3.3.1登入的流量)全被重定向到外网1口出去了。
解决方案

acl number 3002

    rule 10 permit ip destination  3.3.3.1 0.0.0.0  AR内网IP地址:3.3.3.1

#

traffic classifier c2 operator and

   if-match acl 3002

#

traffic behavior b2

    permit          允许

#

traffic policy p1                 traffic policy 在执行时,先执行c2,b2 ,如果需要,再执行c1,b1

 classifier c2 behavior b2

 classifier c1 behavior b1

#

END