访问中国知网
- 0关注
- 0收藏,87浏览
问题描述:
策略路由配置
policy-based-route youxian permit node 0
if-match acl 3010
apply next-hop 教育网
policy-based-route youxian permit node 10
if-match acl 3000
apply next-hop 互联网
object-group ip address aaa
0 network host name ***.***
5 network host name *.cnki.*
10 network host name https://***.***/
#
object-group ip address OA
0 network host name ***.***
10 network host name *.szsy.*
acl advanced 3000
description 专线
rule 1000 permit ip source 172.16.28.0 0.0.1.255
rule 1020 permit ip source 172.16.32.0 0.0.1.255
rule 1090 permit ip destination object-group OA
#
acl advanced 3001
description nat-zhuanxian
rule 0 permit ip source 172.16.28.0 0.0.1.255
rule 5 permit ip source 172.16.30.0 0.0.1.255
rule 10 permit ip source 172.16.32.0 0.0.1.255
rule 15 permit ip source 172.16.34.0 0.0.0.255
rule 20 permit ip source 172.16.35.0 0.0.0.255
rule 25 permit ip source 172.16.36.0 0.0.0.255
rule 30 permit ip source 172.16.37.0 0.0.0.255
rule 35 permit ip source 172.16.38.0 0.0.0.255
rule 40 permit ip source 172.16.39.0 0.0.0.255
#
acl advanced 3010
rule 0 permit ip destination 172.24.12.191 0
rule 10 permit ip destination object-group aaa
rule 15 permit ip destination 121.194.4.13 0
我现在172.16.28.0/23的地址无法访问中国知网,请问是什么原因
根据您提供的信息,172.16.28.0/23地址无法访问中国知网可能有以下几个原因:
1. ACL规则匹配问题:
- 检查ACL 3000和3010是否正确匹配了源地址和目的地址。特别是ACL 3010,它定义了允许访问中国知网的IP地址范围。确保这些规则没有被其他更严格的规则覆盖。
2. NAT配置问题:
- 检查NAT配置是否正确,特别是`nat-zhuanxian` ACL 3001。确保NAT转换规则正确地将内部IP地址转换为外部IP地址。
3. 策略路由应用问题:
- 确保策略路由`youxian`已经正确应用到相应的接口上。可以使用`display policy-based-route interface GigabitEthernet X/Y`命令查看策略路由的应用情况。
4. 路由表问题:
- 检查路由表,确保有正确的默认路由指向互联网。可以使用`display ip routing-table`命令查看路由表。
5. 防火墙和安全策略:
- 检查设备上的防火墙和安全策略,确保没有阻止访问中国知网的规则。
排查步骤:
1. 使用`display acl 3000`和`display acl 3010`命令查看ACL规则。
2. 使用`display nat`命令查看NAT配置。
3. 使用`display policy-based-route interface GigabitEthernet X/Y`命令查看策略路由应用情况。
4. 使用`display ip routing-table`命令查看路由表。
5. 检查设备上的防火墙和安全策略配置。
如有需要,请提供更多信息,如设备型号、错误日志等,以便进一步排查。
祝您工作顺利!
如有需要,请提供更多信息。
可能的原因分析
1. ACL 3010 未能匹配中国知网的流量
策略路由节点0使用ACL 3010匹配目的地址,其中关键规则是:
aaa 中包含:域名格式问题:
*.cnki.*这种带通配符的写法可能不被设备正确解析。H3C设备支持在对象组中使用域名,但通常要求是完整的域名(如***.***)或带有明确通配符的域名(如*.***.***),*.cnki.*过于宽泛且格式可能不合法。域名解析失效:即使格式正确,ACL匹配时会将域名实时解析为IP地址。如果设备DNS配置错误,或知网的IP地址频繁变化,可能导致解析失败或缓存过期,从而无法匹配。
对象组配置错误:对象组中其他条目如
https://***.***/显然不是合法的域名格式,可能影响整个对象组的解析。
2. 流量实际匹配了节点10,走互联网出口
由于节点0未匹配,流量会继续匹配节点10。节点10的ACL 3000包含规则:
3. 策略路由未正确应用或生效
如果策略路由未应用到正确的接口或方向,也可能导致流量不按预期转发。
步骤1:检查策略路由匹配情况
登录设备,查看策略路由的统计信息,确认访问知网的流量具体命中了哪个节点。
步骤2:验证ACL 3010的对象组配置
查看对象组 aaa 的完整配置,并检查其是否能正确解析知网域名。
建议将对象组中的域名改为更具体的格式,例如:
步骤4:检查互联网出口配置
如果流量确实走了互联网出口,需确认:
互联网出口是否配置了NAT(源地址转换),使私网IP能访问公网。
是否有默认路由指向互联网网关,且能到达知网。
为了快速定位,可以临时修改ACL 3010,添加一条针对知网具体IP的规则(如从ping获取的IP),测试是否能匹配并走教育网。如果能通,则证明是域名解析问题。
暂无评论
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论