所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级
案例库

CE-FWA 虚墙访问出口 没有命中策略路由

发布时间:  2018-09-28  |   浏览次数:  553  |   下载次数:  13  |   作者:  cWX576531  |   文档编号: EKB1001886115

目录

问题描述

型号CE-FWA防火墙单板

版本CE-FWA V500R002C00SPC100

组网为   (内网PC172.21.1.2)——(172.21.1.100)SW(172.18.4.2)——(172.18.4.1)vpls4——public——VPLS6(出口)

                                                                                            public(172.20.1.2)——(172.20.1.1)设备——(外网20.20.20.20)

 

目前public墙的默认路由指向vpls6,需要在public墙上做一条策略路由 又虚墙vpls4过来的内网网段172.21.1.0下一跳指向新出口172.20.1.1

配置如下:

 rule name cs
  ingress-interface Virtual-if0
  source-address address-set 172.21.1.0/
  action pbr egress-interface Eth-Trunk1.17 next-hop 172.20.1.1

 

 

从内网PC 分别ping 172.20.1.1 和 20.20.20.20;发现能ping通172.20.1.1 ,不能ping通20.20.20.20。

 

处理过程

在VPLS4上做流统

 测试结果:

 

流统结果为到20.20.20.20没有收到反向包。

结果:策略路由未命中,没有生效。


根因

策略路由不参与快转:

防火墙为了减少资源占用,在VSYSA上第一次查路由指向public,然后在public上查找引流表和路由表,如果发现是另一个VSYS上,则直接生成VSYSA-VSYSB的会话(快转),这样减少在public上的一次转发流程。而策略路由不会参与快转,因此表现出来的是策略路由不生效。

    VSYSA
查路由到PUBLIC,然后进行第二次路由迭代:

1)第二次路由迭代的过程没有匹配上路由或者引流表时,会生成VSYSA-PUBLIC的会话;然后在VSYSA走完转发流程之后,会再PUBLIC上重走一遍转发流程,此时会匹配策略路由。

2)路由迭代过程匹配上路由或者引流表,如果是VSYSB,则生成VSYSA-VSYSB的会话,在VSYSA走完转发流程之后绕过PUBLIC上的转发流程,在VSYSB上进行第二次转发流程。

 

 

如上 ping包从vpls4到达public后,发现默认路由指向VPLS6,直接生成VPLS4-VPLS6的会话(快转),策略路由不会参与快转,所以不生效。

解决方案

最后,把默认出口从VPLS6上迁移到了public上,问题解决。