旁路部署设备,策略路由转发,回注流量引起环路
- 0关注
- 0收藏,829浏览
问题描述:
搭建环境:核心下业务通过策略路由将流量发送到旁挂安全设备,安全设备回注流量给核心交换机,之后走核心默认路由到上联设备
本地调用策略路由后,引流的业务网段产生环路在两台设备之间(核心-安全设备)
policy-based-route aaa permit node 5
if-match acl 3000
apply next-hop 192.168.1.2
ip route-static 172.16.0.0 16 172.168.1.2
# acl advanced 3000
rule 0 permit ip source 10.10.10.0 0.0.0.255
- 2023-09-13提问
- 举报
-
(0)
最佳答案
目前 Comware V7 平台交换机设备缺省均使能了 “快速转发功能”和“ 快速转发负载分担功能”,表项老化时间缺省为30秒。
开启快速转发负载分担功能后,当一条数据流从不同入接口上来进行转发时,不再根据入接口不同区分数据流,根据报文中的信息标识一条数据流。
因此按照上述故障案例,PC to Server 的流量,对于 SW 而言 无论是从 Vlan-interface 11 收到,还是从 Vlan-interface 33收到,缺省 SW 认为是同一个流量,及按照 display ip fast-forwarding cache 快速转发表转发。
要解决上述旁路转发的问题,需要在 SW 上关闭快速转发负载分担功能,及 增加 [SW] undo ip fast-forwarding load-sharing
关闭快速转发负载分担功能后,将会根据入接口的不同对已标识的数据流再次做出区分,即将入接口作为区分数据流的另一特征标识。及从 FW 发回给 SW 的流量将不再直接匹配 display ip fast-forwarding cache 快速转发表转发,而是 SW 重新进行转发计算,将流量从 Server 网关接口发送给 Server。
同时可参考以下案例:
https://zhiliao.h3c.com/Theme/details/110739
- 2023-09-13回答
- 评论(0)
- 举报
-
(0)
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论