免费注册 查看新帖 |

Chinaunix

  平台 论坛 博客 文库
最近访问板块 发新帖
查看: 3576 | 回复: 1

求usg5310路由环路问题解决。 [复制链接]

论坛徽章:
0
发表于 2014-02-17 09:51 |显示全部楼层
本帖最后由 xiaojao 于 2014-02-22 14:24 编辑

网络拓扑:

客户端192.168.9.6 (网关:192.168.1.1)     -->防火墙usb5310(192.168.1.1 192.168.9.254) ---互联网
服务器192.168.1.17(网关:192.168.1.1)   --> 内部交换机(192.168.1.254,192.168.9.1) ->      防火墙usb5310(192.168.1.1  192.168.9.254)->  互联网  

故障现象:
客户端192.168.9.6访问192.168.1.17不通,1.17访问192.168.9.6不通
如果不设置策略路由classifier classcmnet behavior tolan,则192.168.1.17直接到互联网去找192.168.9.6了。

------------------------------------------------------------------------------------------------------------------------
tracert现象:
在192.168.1.17上执行:traceroute 192.168.9.6
traceroute to 192.168.9.6 (192.168.9.6), 30 hops max, 40 byte packets
1  bogon (192.168.1.254)  0.416 ms  1.455 ms  1.666 ms
2  bogon (192.168.9.254)  0.760 ms  0.515 ms  0.508 ms
3  bogon (192.168.9.1)  2.226 ms  2.011 ms  1.807 ms
4  bogon (192.168.9.254)  0.689 ms  0.674 ms  0.635 ms
5  bogon (192.168.9.1)  2.451 ms  2.255 ms  2.598 ms
6  bogon (192.168.9.254)  0.659 ms  0.484 ms  0.442 ms
7  bogon (192.168.9.1)  1.994 ms  1.577 ms  1.748 ms
8  bogon (192.168.9.254)  0.615 ms  0.730 ms  0.537 ms
。。。。。。。。
而192.168.9.6和192.168.1.17访问其他192.168.9.X 和192.168.1.x均正常。

设备全部采用静态路由,没有跑路由协议。

故障原因:应该是防火墙策略路由导致,如果不配置192.168.1.17对内网的策略,则192.168.1.17访问192.168.9.6直接到联网去了。
并且,所有网关为192.168.9.254的192.168.9.X的机器,均不能访问配置了策略路由的192.168.1.17的机器。

如何解决这个问题呢,为什么用了策略路由,静态路由不起作用了呢?

------------------------------------------------------------------------------------
usb5310对1.17做策略路由如下,对内网访问全部跳到192.168.1.254,对外部访问跳到
acl number 3001
  rule 0 permit ip source 192.168.1.17 0
acl number 3000
rule 10 permit ip source 192.168.1.17 0 destination 192.168.0.0 0.0.255.255

#定义流类别
traffic classifier weixinweb
if-match acl 3001                        
traffic classifier classcmnet
if-match acl 3000
#定义流行为
traffic behavior weixin-route
  remark ip-nexthop 218.29.X.X output-interface GigabitEthernet0/0/2
traffic behavior tolan
  remark ip-nexthop 192.168.9.1 output-interface GigabitEthernet0/0/1
#定义策略
qos policy policy-weixin
classifier classcmnet behavior tolan
classifier weixinweb behavior weixin-route
#应用
firewall zone trust
set priority 85
qos apply policy policy-weixin outbound

ip route-static 0.0.0.0 0.0.0.0 GigabitEthernet0/0/0 123.15.X.X
ip route-static 192.168.0.0 255.255.0.0 192.168.1.254 preference 30
ip route-static 192.168.0.0 255.255.0.0 192.168.9.1 preference 40

------------------------
内部主干交换机路由配置:
interface Vlan9
ip address 192.168.9.1 255.255.255.0

interface Vlan1
ip address 192.168.1.254 255.255.255.0

ip route 192.168.9.6 255.255.255.255 192.168.9.254
ip route 0.0.0.0 0.0.0.0 192.168.1.253
--------------------------------------------

论坛徽章:
0
发表于 2014-02-22 15:24 |显示全部楼层
本帖最后由 xiaojao 于 2014-02-22 15:26 编辑

自己解决了,看了http://bbs.chinaunix.net/thread-1709049-2-1.html,受点启发
需要在

在qos里去掉这个
classifier classcmnet behavior tolan
在acl中增加这个
  rule 0  deny ip destination 192.168.9.6 0   ------------新增此条即可,这样,就会走静态路由了
您需要登录后才可以回帖 登录 | 注册

本版积分规则 发表回复

  

北京盛拓优讯信息技术有限公司. 版权所有 京ICP备16024965号-6 北京市公安局海淀分局网监中心备案编号:11010802020122 niuxiaotong@pcpop.com 17352615567
未成年举报专区
中国互联网协会会员  联系我们:huangweiwei@itpub.net
感谢所有关心和支持过ChinaUnix的朋友们 转载本站内容请注明原作者名及出处

清除 Cookies - ChinaUnix - Archiver - WAP - TOP