求usg5310路由环路问题解决。
本帖最后由 xiaojao 于 2014-02-22 14:24 编辑网络拓扑:
客户端192.168.9.6 (网关:192.168.1.1) -->防火墙usb5310(192.168.1.1 192.168.9.254) ---互联网
服务器192.168.1.17(网关:192.168.1.1) --> 内部交换机(192.168.1.254,192.168.9.1) -> 防火墙usb5310(192.168.1.1192.168.9.254)->互联网
故障现象:
客户端192.168.9.6访问192.168.1.17不通,1.17访问192.168.9.6不通
如果不设置策略路由classifier classcmnet behavior tolan,则192.168.1.17直接到互联网去找192.168.9.6了。
------------------------------------------------------------------------------------------------------------------------
tracert现象:
在192.168.1.17上执行:traceroute 192.168.9.6
traceroute to 192.168.9.6 (192.168.9.6), 30 hops max, 40 byte packets
1bogon (192.168.1.254)0.416 ms1.455 ms1.666 ms
2bogon (192.168.9.254)0.760 ms0.515 ms0.508 ms
3bogon (192.168.9.1)2.226 ms2.011 ms1.807 ms
4bogon (192.168.9.254)0.689 ms0.674 ms0.635 ms
5bogon (192.168.9.1)2.451 ms2.255 ms2.598 ms
6bogon (192.168.9.254)0.659 ms0.484 ms0.442 ms
7bogon (192.168.9.1)1.994 ms1.577 ms1.748 ms
8bogon (192.168.9.254)0.615 ms0.730 ms0.537 ms
。。。。。。。。
而192.168.9.6和192.168.1.17访问其他192.168.9.X 和192.168.1.x均正常。
设备全部采用静态路由,没有跑路由协议。
故障原因:应该是防火墙策略路由导致,如果不配置192.168.1.17对内网的策略,则192.168.1.17访问192.168.9.6直接到联网去了。
并且,所有网关为192.168.9.254的192.168.9.X的机器,均不能访问配置了策略路由的192.168.1.17的机器。
如何解决这个问题呢,为什么用了策略路由,静态路由不起作用了呢?
------------------------------------------------------------------------------------
usb5310对1.17做策略路由如下,对内网访问全部跳到192.168.1.254,对外部访问跳到
acl number 3001
rule 0 permit ip source 192.168.1.17 0
acl number 3000
rule 10 permit ip source 192.168.1.17 0 destination 192.168.0.0 0.0.255.255
#定义流类别
traffic classifier weixinweb
if-match acl 3001
traffic classifier classcmnet
if-match acl 3000
#定义流行为
traffic behavior weixin-route
remark ip-nexthop 218.29.X.X output-interface GigabitEthernet0/0/2
traffic behavior tolan
remark ip-nexthop 192.168.9.1 output-interface GigabitEthernet0/0/1
#定义策略
qos policy policy-weixin
classifier classcmnet behavior tolan
classifier weixinweb behavior weixin-route
#应用
firewall zone trust
set priority 85
qos apply policy policy-weixin outbound
ip route-static 0.0.0.0 0.0.0.0 GigabitEthernet0/0/0 123.15.X.X
ip route-static 192.168.0.0 255.255.0.0 192.168.1.254 preference 30
ip route-static 192.168.0.0 255.255.0.0 192.168.9.1 preference 40
------------------------
内部主干交换机路由配置:
interface Vlan9
ip address 192.168.9.1 255.255.255.0
interface Vlan1
ip address 192.168.1.254 255.255.255.0
ip route 192.168.9.6 255.255.255.255 192.168.9.254
ip route 0.0.0.0 0.0.0.0 192.168.1.253
--------------------------------------------
本帖最后由 xiaojao 于 2014-02-22 15:26 编辑
自己解决了,看了http://bbs.chinaunix.net/thread-1709049-2-1.html,受点启发
需要在
在qos里去掉这个
classifier classcmnet behavior tolan
在acl中增加这个
rule 0deny ip destination 192.168.9.6 0 ------------新增此条即可,这样,就会走静态路由了
页:
[1]