AR1200s配置策略路由导致内网PC无法访问内网网关

发布时间:  2015-09-23 浏览次数:  819 下载次数:  0
问题描述

组网概述:

    AR1200S作为网关,下联客户端通过二层交换机上联AR自动获取IP地址上网,AR上联有两个出口,均为PPPOE拨号。其中一个出口为4M,一个出口为20M4M出口为备用链路,主走20M链路。

故障现象:

客户描述网络搭建起正常运行后,正常运行,能够正常访问外网,但是始终无法通过TELNET登陆到设备上去,在内网对设备进行管理,也无法PING通内网网关的地址。

 

 

处理过程

1.由于客户能够正常访问外网不受影响,在客户PC端上将ARP表项清除后再重新访问外网和PING内网网关,能够正常学习到网关ARP,且客户的PC上均未绑定静态的ARP表项。

2.怀疑可能是客户路由器上做了相关ACL过滤了相关报文导致无法PING通内网网关,客户将配置导出后,发现并没有内网网关的相关ACL

3.查看设备配置,发现客户根据源地址做了流策略,将所有内网流量出口重定向到20M出口的拨号口上

 

相关配置如下:

acl number 3001 

rule 5 permit ip source 192.168.102.0 0.0.0.255 destination

traffic classifier rdt2 operator or

if-match acl 3001

traffic behavior rdt

redirect interface Dialer1

traffic policy rdt

classifier rdt behavior rdt

 

怀疑是该策略路由将内网所有流量(包括访问内网网关的流量)重定向到了DIALER,导致PING内网不通

 

根因

查阅产品文档,发现有如下的描述:

当用户需要将到达接口的某些报文通过特定的下一跳地址进行转发时,需要配置接口策略路由。使匹配重定向规则的转发报文通过特定的下一跳出口进行转发,不匹配重定向规则的转发报文根据路由表转发。

 

该说明证实了若做了策略路由以后,匹配该源地址的流量到达AR入接口后,由于命中了策略匹配的抓取流量acl,会不查看路由表直接转发给下一跳DIALER1口,所以下面的设备会出现无法访问网关,但是能正常上外网。确认原因是策略路由的策略导致的。

 

解决方案

对策略路由进行修改,做两个CB对,再嵌套进策略里,由于traffic-POLICY中的流分类和流策略的绑定是从上到下顺序匹配,命中就跳出策略的原则 ,需要对原来的配置进行修改,将对访问内网网关不做策略路由的CB对放在前面,进行优先匹配。

 

修改新增的配置如下:

acl number 3001 

 rule 5 permit ip source 192.168.102.0 0.0.0.255 destination 192.168.102.1 0  //匹配一个目的地址是内网网关的ACL

traffic classifier rdt2 operator or

 if-match acl 3001                       

traffic behavior rdt2

                 //匹配目的地址为内网网关的ACL ,行为为不做策略。

traffic policy rdt

 classifier rdt2 behavior rdt2    //新增的CB对在前,优先匹配。

 classifier rdt behavior rdt     

 

客户按照上述配置完成后,能够正常访问内网的网关

建议与总结

该问题的根因在于配置了策略路由之后,有流量进入路由表,策略路由会被优先匹配,当未匹配到策略路由,才会查找路由表进行路由转发,在数据流量进行转发时,策略路由具有比路由表路由高的优先级。

今后处理类似现象的问题会重点关注策略路由的这个点,可以提高问题处理的效率。

END