ASG2200配置策略路由后达不到预期效果

发布时间:  2016-05-05 浏览次数:  229 下载次数:  0
问题描述

1. 更换完运营商外线后,调整下了相关映射和策略路由,然后就发现很多用户无法使用邮箱,百度、微博等都无法打开。

解决:将ASG2200设备重启后,用户网络开始恢复正常。

2. 过一会网络恢复后,运维人员连接IDC机房时发现只能有一个人能访问过去,其他人均无法访问、全国分公司网络也无法连接过去,邮件再次不能使用。

排查:刚开始怀疑是运营商问题,后将网线直连到电脑上直接访问发现idc、官网、邮件、全国分公司都能正常访问,说明还是设备有问题。

3. 大量用户也无法访问公交在线办公网络Busonline-office

处理过程

1. 路由与策略路由的相关配置如下:

#

acl number 2000

 rule 5 permit source address-set 视频会议

#

acl number 2003

 rule 5 permit source address-set 无线

#

interface GigabitEthernet5/0/0

 ip address 172.16.2.1 255.255.255.252

#

 load-balance flow source

#

 ip route-static 0.0.0.0 0.0.0.0 GigabitEthernet0/0/1 124.200.111.A

 ip route-static 0.0.0.0 0.0.0.0 124.207.86.B preference 70

 ip route-static 0.0.0.0 0.0.0.0 GigabitEthernet5/0/1 106.2.185.C

 ip route-static 0.0.0.0 0.0.0.0 GigabitEthernet5/0/2 111.202.112.D

 ip route-static 10.0.0.0 255.0.0.0 172.16.2.2

 ip route-static 119.145.15.51 255.255.255.255 124.200.111.A

 ip route-static 192.168.0.0 255.255.0.0 172.16.2.2

#

 policy-based-route 20Mbps permit node 0

  if-match acl 2000

  apply ip-address next-hop 124.207.86.B 

 policy-based-route 20Mbps permit node 6

  if-match acl 2003

  if-match user-group /Busonlineceshi /Busonlineguest

  apply ip-address next-hop 106.2.185.C 

 policy-based-route 20Mbps permit node 10

  if-match user-group /Busoline-office

  apply ip-address next-hop 124.200.111.A 

 policy-based-route 20Mbps permit node 15

  apply ip-address next-hop 111.202.112.D 

#

初步分析配置发现,配置好策略路由后,却没有在内网接口上应用,导致策略路由根本没有生效,由默认路由指导报文转发。由于有3条默认路由的优先级相同(默认优先级为60),因此在实际转发报文时,设备先使用源IP地址计算Hash值,然后通过Hash算法进行选路,因此当选择了去往连接IDC机房链路(111.202.112.D)的时候就会通,选择了其他链路时就不通。

在内网接口下应用策略路由,操作如下:

interface GigabitEthernet5/0/0

ip policy-based-route 20Mbps

 

2. 策略路由应用后,解决了“大量用户也无法访问公交在线办公网络Busonline-office”的问题,但其他问题还存在,再仔细对策略路由的配置进行分析后发现,最后一个节点node15没有配置匹配条件,查询产品文档得知:“如果某一节点不配置if-match子句,则所有报文都不会通过该节点的过滤,继续匹配下一节点。”也就是说,并不会执行此节点apply子句,所以不会达到配置此条策略路由的预期效果。

根因
1.配置好策略路由后没有应用到相应接口上;
2.策略路由的node 15没有配置if-match子句。
解决方案

1种方案:

新增ACL做为策略路由node 15的匹配条件,具体如下:

#

acl 3003

 rule permit ip

#

policy-based-route 20Mbps permit node 15

 if-match acl 3003

apply ip-address next-hop 111.202.112.D 

#

 

2种方案:

修改默认路由的优先级,同时删除策略路由中无用的节点node15,具体如下:

ip route-static 0.0.0.0 0.0.0.0 GigabitEthernet0/0/1 124.200.111.A preference 70

ip route-static 0.0.0.0 0.0.0.0 124.207.86.B preference 70

ip route-static 0.0.0.0 0.0.0.0 GigabitEthernet5/0/1 106.2.185.C preference 70

ip route-static 0.0.0.0 0.0.0.0 GigabitEthernet5/0/2 111.202.112.D

undo policy-based-route 20Mbps node 15

建议与总结

1. 配置好策略路由后要记得应用到接口上;

2. 如果某一节点不配置if-match子句,则所有报文都不会通过该节点的过滤,继续匹配下一节点。也就是说,不会执行此节点apply子句。

END