- 论坛徽章:
- 0
|
本帖最后由 xiaojao 于 2014-02-22 14:24 编辑
网络拓扑:
客户端192.168.9.6 (网关:192.168.1.1) -->防火墙usb5310(192.168.1.1 192.168.9.254) ---互联网
服务器192.168.1.17(网关:192.168.1.1) --> 内部交换机(192.168.1.254,192.168.9.1) -> 防火墙usb5310(192.168.1.1 192.168.9.254)-> 互联网
故障现象:
客户端192.168.9.6访问192.168.1.17不通,1.17访问192.168.9.6不通
如果不设置策略路由classifier classcmnet behavior tolan,则192.168.1.17直接到互联网去找192.168.9.6了。
------------------------------------------------------------------------------------------------------------------------
tracert现象:
在192.168.1.17上执行:traceroute 192.168.9.6
traceroute to 192.168.9.6 (192.168.9.6), 30 hops max, 40 byte packets
1 bogon (192.168.1.254) 0.416 ms 1.455 ms 1.666 ms
2 bogon (192.168.9.254) 0.760 ms 0.515 ms 0.508 ms
3 bogon (192.168.9.1) 2.226 ms 2.011 ms 1.807 ms
4 bogon (192.168.9.254) 0.689 ms 0.674 ms 0.635 ms
5 bogon (192.168.9.1) 2.451 ms 2.255 ms 2.598 ms
6 bogon (192.168.9.254) 0.659 ms 0.484 ms 0.442 ms
7 bogon (192.168.9.1) 1.994 ms 1.577 ms 1.748 ms
8 bogon (192.168.9.254) 0.615 ms 0.730 ms 0.537 ms
。。。。。。。。
而192.168.9.6和192.168.1.17访问其他192.168.9.X 和192.168.1.x均正常。
设备全部采用静态路由,没有跑路由协议。
故障原因:应该是防火墙策略路由导致,如果不配置192.168.1.17对内网的策略,则192.168.1.17访问192.168.9.6直接到联网去了。
并且,所有网关为192.168.9.254的192.168.9.X的机器,均不能访问配置了策略路由的192.168.1.17的机器。
如何解决这个问题呢,为什么用了策略路由,静态路由不起作用了呢?
------------------------------------------------------------------------------------
usb5310对1.17做策略路由如下,对内网访问全部跳到192.168.1.254,对外部访问跳到
acl number 3001
rule 0 permit ip source 192.168.1.17 0
acl number 3000
rule 10 permit ip source 192.168.1.17 0 destination 192.168.0.0 0.0.255.255
#定义流类别
traffic classifier weixinweb
if-match acl 3001
traffic classifier classcmnet
if-match acl 3000
#定义流行为
traffic behavior weixin-route
remark ip-nexthop 218.29.X.X output-interface GigabitEthernet0/0/2
traffic behavior tolan
remark ip-nexthop 192.168.9.1 output-interface GigabitEthernet0/0/1
#定义策略
qos policy policy-weixin
classifier classcmnet behavior tolan
classifier weixinweb behavior weixin-route
#应用
firewall zone trust
set priority 85
qos apply policy policy-weixin outbound
ip route-static 0.0.0.0 0.0.0.0 GigabitEthernet0/0/0 123.15.X.X
ip route-static 192.168.0.0 255.255.0.0 192.168.1.254 preference 30
ip route-static 192.168.0.0 255.255.0.0 192.168.9.1 preference 40
------------------------
内部主干交换机路由配置:
interface Vlan9
ip address 192.168.9.1 255.255.255.0
interface Vlan1
ip address 192.168.1.254 255.255.255.0
ip route 192.168.9.6 255.255.255.255 192.168.9.254
ip route 0.0.0.0 0.0.0.0 192.168.1.253
--------------------------------------------
|
|