某局点在S12708部署策略路由,发现策略路由不生效

发布时间:  2016-12-09 浏览次数:  138 下载次数:  0
问题描述
某局点在S12708部署策略路由,发现策略路由不生效
处理过程

一、查看traffic policy的配置命令

1.流分类配置情况

traffic classifier QH operator or precedence 1
if-match acl 3000


2、流行为配置情况

traffic behavior QH
redirect ip-nexthop 10.0.20.1

3、流策略配置情况
traffic policy QH

classifier QH behavior QH

4、ACL 3000配置情况

acl  3000
rule 1 deny ip source 192.168.141.0 0.0.0.255 destination 10.0.0.0 0.255.255.255
rule 2 deny ip source 192.168.141.0 0.0.0.255 destination 172.16.0.0 0.0.255.255
rule 3 deny ip source 192.168.141.0 0.0.0.255 destination 192.168.0.0 0.0.255.255
rule 4 deny ip source 192.168.140.55 0 destination 10.0.0.0 0.255.255.255
rule 5 deny ip source 192.168.140.55 0 destination 172.16.0.0 0.0.255.255
rule 6 deny ip source 192.168.140.55 0 destination 192.168.0.0 0.0.255.255
rule 7 deny ip source 192.168.140.56 0 destination 10.0.0.0 0.255.255.255
rule 8 deny ip source 192.168.140.56 0 destination 172.16.0.0 0.0.255.255
rule 9 deny ip source 192.168.140.56 0 destination 192.168.0.0 0.0.255.255
rule 10 deny ip source 192.168.141.0 0.0.0.255 destination 172.25.48.0 0.0.0.255
rule 11 deny ip source 192.168.140.55 0 destination 172.25.48.0 0.0.0.255
rule 12 deny ip source 192.168.140.56 0 destination 172.25.48.0 0.0.0.255
rule 20 permit ip source 192.168.141.0 0.0.0.255
rule 21 permit ip source 192.168.140.55
rule 22 permit ip source 192.168.140.56 0

5、查看接口调用情况时,发现接口上启用了traffic-policy和traffic-filter。

同时traffic-filter所匹配acl如下:



根因

1、在一个接口上既调用traffic-filter又调用traffic-policy,此时traffic-filer优先级更高。

2.策略路由的数据因为匹配上了traffic-filter的最后一条规则 permit ip any,所以不再继续往下执行traffic-policy动作。所以traffic-policy在这里是不生效的。



解决方案

traffic-filter下匹配的acl最后一条permit ip any去掉,因为这里面不需要加这条,traffic-filter匹配acl,如果acl动作是deny,则丢弃这个数据,如果是permit,则继续往下执行,如果是没有匹配任何策略,则不做任何动作,按照正在规则转发。



建议与总结

1、如果一个接口上既调用了traffic-filtertraffic-policy,则traffic-filter优先级高于traffic-policy

2、Traffic-filter匹配的aclacl规则是deny,则直接丢弃这个数据,如果是permit,则执行相应动作,如果没有匹配任何规则,则不做任何动作,按照正在规则转发。



END