S7706上行双出口做策略路由引流导致内网访问不了

发布时间:  2015-09-10 浏览次数:  372 下载次数:  0
问题描述


1、组网描述

现网lsw1指一条默认路由往172.16.120.10方向,vlan90通过策略路由指向172.16.120.5,当lsw1与ar2的链路出故障的时候流量往ar1方向走。

2、故障现象vlan90内的主机访问不了vlan50内的主机

acl number 3003
rule 5 permit ip source 192.168.142.0 0.0.0.255

traffic classifier bangong operator or precedence 20
if-match acl 3003

traffic behavior bangong
redirect ip-nexthop 172.16.120.5

traffic policy bangong
classifier bangong behavior bangong

vlan 90
traffic-policy bangong inbound

告警信息


处理过程

通过ping  vlan50 内的主,AR1接口地址ping正常,通过tracert发现路由被丢到172.16.120.5上去机发现都无法ping通。

根因


通过此现象判断vlan90 内的流量都被策略路由匹配到172.16.120.5方向导致内网无法访问。

解决方案

通过增加配置一条策略路由将需要访问内网的路由先放行

acl number 3004

 rule 5 permit ip destination 192.168.147.0 0.0.0.255

traffic classifier 1 operator or precedence 15

 if-match acl 3004

traffic behavior 1

 permit

traffic policy bangong   (新增加的策略必须放在bangong这条策略路由的前面,才能生效)

 classifier 1 behavior 1

 classifier bangong behavior bangong

vlan 90 
traffic-policy bangong inbound

建议与总结

配置的策略路由会将匹配的源地址全部丢给下一跳,若有访问内网的需求应该向配置一条策略,要先允许放行,才不会导致访问内网的流量也被匹配到下一跳去。

END