• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
  • 漏洞说明
  • 全部
  • 全部
  • 大数据引擎
  • 知了引擎
产品线
搜索
取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式
高级搜索

开启出链路负载均衡导致三层业务回环

2024-11-05提问
  • 0关注
  • 0收藏,222浏览
粉丝:0人 关注:0人

问题描述:

按照如下配置 在 loadbalance policy 当中激活对应的 class 和 action 后,产生三层环路。现象:

  - 通过边界防火墙 ping 对端网关:正常; ping 对端内网ip: 正常;且对端设备可以建立会话

  - 本地内网主机 ping 对端网段任意地址都通,但业务不能访问;对端设备无对应会话

抓包发现,本地内网主机 ping 对端IP或内网IP时,防火墙转发包的目的 MAC 地址为防火墙下接的为本地交换机端口(防火墙抓包入下图)

网络安全策略已放通。

- 端口配置

[edge-fw-GigabitEthernet1/0/14]dis th

#

interface GigabitEthernet1/0/14

 port link-mode route

 ip address 100.17.32.4 255.255.255.0

 nat outbound

#

return

- 路由配置

10.30.12.0/24     Static  60  0           100.17.32.1       GE1/0/14

100.17.32.0/16    Static  50  0           100.17.32.1       GE1/0/14

- acl配置

[edge-fw]dis acl 3012

Advanced IPv4 ACL 3012, 2 rules,

ACL's step is 5

 rule 0 permit ip source 172.31.0.0 0.0.255.255 destination 10.30.12.0 0.0.0.255 (8 times matched)

 rule 5 permit ip source 172.31.0.0 0.0.255.255 destination 100.17.0.0 0.0.255.255 (65 times matched)

- 链路组

[edge-fw]loadbalance link zongbu

[edge-fw-lb-link-zongbu]dis th

#

loadbalance link zongbu

 description 'Link connected to zongbu via cmcc static line(GE1/0/14)'

 router ip 100.17.32.1

 link-group zongbu-1

#

return

- 链路

[edge-fw]loadbalance link-group zongbu-1

[edge-fw-lb-lgroup-zongbu-1]dis th

#

loadbalance link-group zongbu-1

 description 'Links connected to zongbu intranet 10.30.12.0/24 and 100.17.32.0/16'

 probe egress-lb-eth-1

#

return

- 负载均衡类

[edge-fw]loadbalance class zongbu-liuliang

[edge-fw-lbc-link-generic-zongbu-liuliang]dis th

#

loadbalance class zongbu-liuliang type link-generic

 description 'Stick zongbu traffic to interface GE1/0/14'

 match 1 acl 3012

#

return

- 负载均衡动作

[edge-fw]loadbalance action zongbu-zhuanfa

[edge-fw-lba-link-generic-zongbu-zhuanfa]dis th

#

loadbalance action zongbu-zhuanfa type link-generic

 description 'Direct forward data to zongbu fixed line'

 link-group zongbu-1

#

return

 

组网及组网描述:

F1000-AK1150 防火墙 GE1/0/14 口直连专线网关,对端为总部网关。专线本地分配地址 100.17.32.4  网关 100.17.32.1,总部内网地址段 10.30.12.0/24

防火墙其它端口连接上网宽带,为了防止到总部流量通过互联网出口,做出链路负载均衡策略,限制到对端IP/内网的流量通过 GE1/0/14 端口转发。

 

最佳答案

TCPDumpDown 知了小白
粉丝:0人 关注:0人

补充截图

暂无评论

0 个回答

该问题暂时没有网友解答

编辑答案

你正在编辑答案

如果你要对问题或其他回答进行点评或询问,请使用评论功能。

分享扩散:

提出建议

    +

亲~登录后才可以操作哦!

确定

亲~检测到您登陆的账号未在http://hclhub.h3c.com进行注册

注册后可访问此模块

跳转hclhub

你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作

举报

×

侵犯我的权益 >
对根叔社区有害的内容 >
辱骂、歧视、挑衅等(不友善)

侵犯我的权益

×

泄露了我的隐私 >
侵犯了我企业的权益 >
抄袭了我的内容 >
诽谤我 >
辱骂、歧视、挑衅等(不友善)
骚扰我

泄露了我的隐私

×

您好,当您发现根叔知了上有泄漏您隐私的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您认为哪些内容泄露了您的隐私?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)

侵犯了我企业的权益

×

您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
  • 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
  • 3. 是哪家企业?(营业执照,单位登记证明等证件)
  • 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔社区有害的内容

×

垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载 >
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票

不规范转载

×

举报说明