USG6330 双出口网络配置策略路由后只有1条个出口能够上网

发布时间:  2016-10-22 浏览次数:  314 下载次数:  0
问题描述
 

USG6330 双出口(拨号和固定IP)网络,内网两个用户网段,想通过策略路由实现不同的用户网段走不同的出口,但配置策略路由后走固定IP出口的用户无法上网。

 

处理过程

1、让存在问题的终端(172.16.0.6ping运营商网关地址,然后在诊断视图下查看防火墙的双向会话信息如下:

[USG6300-diagnose]display firewall session table verbose-hide both-direction source inside 172.16.0.6 protocol icmp

15:32:00  2016/07/07

 Current Total Sessions : 1

  icmp  VPN:public --> public  ID: a48f3fe4496605c70577e754b

  Zone: trust--> untrust  TTL: 00:00:20  Left: 00:00:16     Input-interface: Vlanif30

  Output-interface: GigabitEthernet1/0/1  NextHop: 0.0.0.0  MAC: 00-00-00-00-00-00

  <--packets:0 bytes:0   -->packets:33 bytes:1980

  172.16.0.6:1[x.x.x.201:2059]--> x.x.x.1:2048

  icmp  VPN:public --> public  ID: a48f3fe4496605c70577e754b

  Zone: untrust--> trust  TTL: 00:00:20  Left: 00:00:16  

  Output-interface: Vlanif30  NextHop: 0.0.0.0  MAC: 00-00-00-00-00-00

  <--packets:0 bytes:0   -->packets:0 bytes:0

  x.x.x.1:2048--> x.x.x.201:2059[172.16.0.6:1]

 

通过上面的信息可知,没有下一跳的IP地址和MAC地址。

 

 

2、查看策略路由的相关配置信息如下

#

policy-based-route

 rule name policy1

  ingress-interface Vlanif10

  source-address 192.168.0.0 mask 255.255.255.0

  action pbr egress-interface Dialer0

 rule name policy2

  ingress-interface Vlanif30

  source-address 172.16.0.0 mask 255.255.255.0

  action pbr egress-interface GigabitEthernet1/0/1

#

通过配置可以看出规则policy2中的动作只指定了报文的发送接口,没有指定报文发送的下一跳IP地址。

 

根因
 

规则policy2中的动作只指定报文的发送接口,没有指定报文发送的下一跳IP地址

 

 

解决方案
 

修改规则policy2中的动作为既指定报文的发送接口,同时也指定报文发送的下一跳IP地址。或者只指定报文发送的下一跳IP地址。操作步骤如下:

< USG6300> system-view

[USG6300] policy-based-route

[USG6300-policy-pbr] rule name policy2

[USG6300-policy-pbr-rule-abc] undo action pbr egress-interface GigabitEthernet1/0/1        //需要先删除之前的动作

[USG6300-policy-pbr-rule-abc] action pbr egress-interface GigabitEthernet1/0/1 next-hop x.x.x.1

或者

[USG6300-policy-pbr-rule-abc] action pbr next-hop x.x.x.1

 

END