S9706 运用策略路由将访问外网流量进行重定向时,内网的也被重定向

发布时间:  2016-05-30 浏览次数:  188 下载次数:  0
问题描述

要求:内网多网段,双出口,要求对其中一个网段,走一个出口,其余网段走另一个出口;

问题:通过策略路由对该网段进行重定向,并应用在入接口的inbound方向时,导致该网段访问内网其它网段不通。

处理过程

检查所配置的策略路由发现,ACL的源为受控网段,目地为ANY,引用到接口后,导致内网互访也被策略进行了重定向,调度到了外网出口,导致内网访问不通。

建议在策略路由的ACL前,添加内网互访的ACL,并定义新的流分类和流行为,流行为动作为permit,策略中,将内网互访的流分类置于前面优先匹配。

根因
策略路由重定向的ACL目的IP为ANY,导致内网访问流量被错误路由。
解决方案
写两条流分类的ACL,一条目的对应要访问的内网网段,另一条目的对应any,再定义两个流行为分别为允许和重定向,写一个流策略一起引用,并将内网访问的置于前面优先匹配,最后将策略应用到内网访问的入接口上。

END