策略路由引流不生效
- 0关注
- 1收藏,1840浏览
问题描述:
用户环境:数据从核心交换机经trunk进入汇聚交换机,再从汇聚交换机下联trunk线路访问到内部服务器VLAN199,此过程通过二层寻址方式访问服务器
业务需求:在汇聚交换机单独划多一个VLAN200,当访问服务器流量进入汇聚交换机时,会通过策略路由引流至新建VLAN200指定IP上面,该IP再将流量返回给服务器,当服务器返回数据经过汇聚交换机时,再次甩给该IP,最后该IP将数据返回给发送者
交换机配置:
acl 3001 目的IP+目的端口 = 1.1.1.1:80
acl 3002 源IP+源端口 = 1.1.1.1:80
policy-based-route test permit node 1
if-match acl 3001
apply ip-address next-hop 2.2.2.1(vlan200)
policy-based-route test permit node 2
if-match acl 3002
apply ip-address next-hop 2.2.2.1(vlan200)
int vlan 199 (服务器段)
ip policy-based-route test
1、从核心交换机进来,外部IP访问1.1.1.1:80的流量是否会匹配到acl 3001
2、从VLAN200回来,外部IP访问1.1.1.1:80的流量是否会匹配到acl 3001
3、从汇聚交换机下联口进来,1.1.1.1:80访问外部IP的流量是否会匹配到acl 3002
4、从VLAN200回来,1.1.1.1:80访问外部IP的流量是否会匹配到acl 3002
因为不清楚在vlan199下面的acl策略路由匹配逻辑是怎么样的,所以对以上几点比较疑惑
- 2019-05-21提问
- 举报
-
(0)
最佳答案
为什么要将流量引到vlan 200,vlan200连的是防火墙吗?相当于流量绕行一圈又回来?
- 2019-05-21回答
- 评论(2)
- 举报
-
(0)
是的,流量要过一遍防火墙做清洗,不知道可以实现吗
可以实现啊。首先要保证汇聚上有目的地址到服务器,下一跳为2.2.2.1的静态路由,在汇聚连接核心的接口下发策略路由匹配acl3001,这样会让进入汇聚的流量绕行到vlan200,然后进入服务器。对于回程的流量,在汇聚连接服务器的接口下发策略路由匹配acl3002,再绕行到防火墙,同样也要保证回程存在静态路由。
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
可以实现啊。首先要保证汇聚上有目的地址到服务器,下一跳为2.2.2.1的静态路由,在汇聚连接核心的接口下发策略路由匹配acl3001,这样会让进入汇聚的流量绕行到vlan200,然后进入服务器。对于回程的流量,在汇聚连接服务器的接口下发策略路由匹配acl3002,再绕行到防火墙,同样也要保证回程存在静态路由。