• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
  • 漏洞说明
  • 全部
  • 全部
  • 大数据引擎
  • 知了引擎
产品线
搜索
取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式
高级搜索

MSR路由器策略路由不生效问题怎么排查?

2018-12-25 发表
  • 0关注
  • 0收藏 2365浏览
骆翔 九段
粉丝:9人 关注:0人

问题描述

MSR路由器策略路由不生效问题怎么排查?

解决方法

策略路由不生效问题定位故障的思路是:先查看ACL规则是否匹配了流量,查看策略路由下一跳是否可达,最后查看是否配置packet-filter/QOS策略等功能,与策略路由冲突。

  1. 查看ACL规则是否匹配流量

查看ACL规则的配置,确认ACL规则匹配了流量。

命令: display acl

例如:通过命令确认ACL规则是否匹配了需要做策略路由的流量。

文本框: <H3C>display acl 3000&#13;&#10;Advanced ACL  3000, named -none-, 2 rules,&#13;&#10;ACL's step is 5&#13;&#10; rule 0 permit ip source 10.0.0.0 0.0.0.255&#13;&#10; rule 5 permit ip source 20.0.0.0 0.0.0.255 destination 100.0.0.0 0.0.0.255&#13;&#10;

若通过display acl命令,查看规则中所写的rule规格错误,则需要重新下发rule命令,修改rule规则,确保rule规则匹配到流量。如果ACLrule规则没有匹配所需做策略路由的流量,则需新增rule规则匹配该流量。

命令:rule

例如:ACL规则中将需要做策略路由的源IP20.0.0.0/24、目的IP200.0.0.0/24的流量错误写为源IP20.0.0.0/24、目的IP100.0.0.0/24,同时漏写源IP30.0.0.0/24的流量,则需下发命令更正和增加ACL规则。

文本框: [H3C-acl-adv-3000]rule 5 permit ip source 20.0.0.0 0.0.0.255 destination 200.0.0.0 0.0.0.255&#13;&#10;Info: The rule id already exists, and the current operation is modifying the rule.&#13;&#10;[H3C-acl-adv-3000]rule 10 permit ip source 30.0.0.0 0.0.0.255&#13;&#10;[H3C-acl-adv-3000]display this&#13;&#10;#&#13;&#10;acl number 3000&#13;&#10; rule 0 permit ip source 10.0.0.0 0.0.0.255&#13;&#10; rule 5 permit ip source 20.0.0.0 0.0.0.255 destination 200.0.0.0 0.0.0.255&#13;&#10; rule 10 permit ip source 30.0.0.0 0.0.0.255&#13;&#10;#&#13;&#10;return&#13;&#10;[H3C-acl-adv-3000]&#13;&#10;

  1. 检查策略路由下一跳是否可达

检查策略路由配置中下一跳是否可达,如查看接口状态、ARP表项、路由表或PING测试。

命令:display interface

display arp X.X.X.X

      display ip  routing-table X.X.X.X

      ping X.X.X.X

例如:策略路由下一跳配置为100.0.0.2,通过查看接口状态、ARP表项、路由表或ping测试确定策略路由下一跳是否可达。

文本框: <H3C>display  interface GigabitEthernet 2/0/1&#13;&#10; GigabitEthernet2/0/1 current state: UP&#13;&#10; ……&#13;&#10;&#13;&#10;<H3C>display arp 100.0.0.2&#13;&#10;                Type: S-Static    D-Dynamic    A-Authorized    M-Multiport&#13;&#10;IP Address       MAC Address     VLAN ID  Interface              Aging Type&#13;&#10;100.0.0.2        0023-8911-7d00  100      GE2/0/1                N/A   D&#13;&#10;&#13;&#10;<H3C>display ip routing-table 100.0.0.2&#13;&#10;Routing Table : Public&#13;&#10;Summary Count : 1&#13;&#10;&#13;&#10;Destination/Mask    Proto  Pre  Cost         NextHop         Interface&#13;&#10;&#13;&#10;100.0.0.0/24        Direct 0    0            100.0.0.1       Vlan100&#13;&#10;&#13;&#10;<H3C>ping 100.0.0.2&#13;&#10;  PING 100.0.0.2: 56  data bytes, press CTRL_C to break&#13;&#10;    Reply from 100.0.0.2: bytes=56 Sequence=0 ttl=255 time=1 ms&#13;&#10;    Reply from 100.0.0.2: bytes=56 Sequence=1 ttl=255 time=1 ms&#13;&#10;    Reply from 100.0.0.2: bytes=56 Sequence=2 ttl=255 time=1 ms&#13;&#10;    Reply from 100.0.0.2: bytes=56 Sequence=3 ttl=255 time=2 ms&#13;&#10;    Reply from 100.0.0.2: bytes=56 Sequence=4 ttl=255 time=1 ms&#13;&#10;&#13;&#10;  --- 100.0.0.2 ping statistics ---&#13;&#10;    5 packet(s) transmitted&#13;&#10;    5 packet(s) received&#13;&#10;    0.00% packet loss&#13;&#10;    round-trip min/avg/max = 1/1/2 ms&#13;&#10;

  1. 排查路由

    策略路由下一跳不通,需要排查路由问题。

  2. 检查设备是否配置了packet-filter/QOS策略等功能

    当设备在相关视图下配置了packet-filterQOS策略功能,由于packet-filterQOS策略的优先级比策略路由高,因而策略路由下发不生效。需要结合所需做策略路由的流量ACL规则,对配置进行排查。

    命令: display qos policy

           display packet-filter

    例如:acl number 3000匹配了所需做策略路由的流量,同时在设备上下发了packet-filter/QOS策略功能。packet-filter可以在二/三层物理接口及三层虚接口上下发,设备上可以配置基于接口/vlan/全局/控制平面应用的QOS策略,均需要排查。需注意,如下示例中,acl number 3000同时作为策略路由、packet-filterQOS策略的感兴趣流量匹配条件,并且实际现网中可能存在不同ACL,但是规则匹配相同的流量做packet-filter/QOS策略,也会造成策略路由不生效,因此需要排查不同的ACL中是否有相同的rule规则。

    备注:设备的软件版本为S12500-CMW520-R1335/S9500E-CMW520-R1335之前的版本,策略路由的优先级低于QOS策略,涉及QOS策略功能部分的排查。而设备的软件版本为S12500-CMW520-R1335/S9500E-CMW520-R1335及之后的版本,策略路由的优先级高于QOS策略,不涉及QOS策略功能部分的排查。

     

    文本框: [H3C]dis packet-filter all&#13;&#10;  Interface: Vlan-interface100&#13;&#10;  In-bound Policy:&#13;&#10;    acl 3000, Successful&#13;&#10;  Out-bound Policy:&#13;&#10;[H3C-Vlan-interface100]dis this&#13;&#10;#&#13;&#10;interface Vlan-interface100&#13;&#10; ip address 100.0.0.1 255.255.255.0&#13;&#10; packet-filter 3000 inbound&#13;&#10;ip policy-based-route 1&#13;&#10;#&#13;&#10;return&#13;&#10;&#13;&#10;[H3C]display qos policy interface GigabitEthernet 2/0/1&#13;&#10;  Interface: GigabitEthernet2/0/1&#13;&#10;  Direction: Inbound&#13;&#10;  Policy: 1&#13;&#10;   Classifier: 1&#13;&#10;     Operator: AND&#13;&#10;     Rule(s) : If-match acl 3000&#13;&#10;     Behavior: 1&#13;&#10;      Accounting Enable:&#13;&#10;        0 (Packets)&#13;&#10;     Redirect enable:&#13;&#10;      Redirect type: next-hop&#13;&#10;      Redirect destination:&#13;&#10;        200.0.0.2&#13;&#10;      Redirect fail-action: forward&#13;&#10;[H3C-GigabitEthernet2/0/1]dis this&#13;&#10;#&#13;&#10;interface GigabitEthernet2/0/1&#13;&#10; port link-mode bridge&#13;&#10; port access vlan 100&#13;&#10; qos apply policy 1 inbound&#13;&#10;#&#13;&#10;return&#13;&#10;

  3. 修改配置

    通过上一步的排查发现策略路由与packet-filter/QOS策略同时下发,导致策略路由不生效,需修改配置。

  1. 策略路由与packet-filter同时下发的情况:

包过滤下发在inbound方向时,将导致策略路由感兴趣的流量在执行策略路由动作之前被过滤掉。包过滤下发在outbound方向时,将导致策略路由动作执行完后,报文被过滤掉,流量仍无法按策略路由需求转发出去。在上述两种情况下,均需要在packet-filterACL规则中,将需要正常转发的流量rule规则去掉。

  1. 策略路由与QOS策略同时下发的情况

    策略路由感兴趣的流量先由QOS策略匹配后处理了。该种情况下,需重新了解和细化需求,是否可以通过细化QOS策略ACL规则和策略路由ACL规则,使两个ACL规则不冲突,流量能区分出来按不同的功能执行动作。

备注:设备的软件版本为S12500-CMW520-R1335/S9500E-CMW520-R1335之前的版本,策略路由的优先级低于QOS策略,涉及QOS策略功能部分的排查。而设备的软件版本为S12500-CMW520-R1335/S9500E-CMW520-R1335及之后的版本,策略路由的优先级高于QOS策略,不涉及QOS策略功能部分的排查。


该案例对您是否有帮助:

您的评价:1

若您有关于案例的建议,请反馈:

0 个评论

该案例暂时没有网友评论

编辑评论

举报

×

侵犯我的权益 >
对根叔知了社区有害的内容 >
辱骂、歧视、挑衅等(不友善)

侵犯我的权益

×

泄露了我的隐私 >
侵犯了我企业的权益 >
抄袭了我的内容 >
诽谤我 >
辱骂、歧视、挑衅等(不友善)
骚扰我

泄露了我的隐私

×

您好,当您发现根叔知了上有泄漏您隐私的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您认为哪些内容泄露了您的隐私?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)

侵犯了我企业的权益

×

您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
  • 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
  • 3. 是哪家企业?(营业执照,单位登记证明等证件)
  • 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔知了社区有害的内容

×

垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载 >
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票

不规范转载

×

举报说明

提出建议

    +

亲~登录后才可以操作哦!

确定

亲~检测到您登陆的账号未在http://hclhub.h3c.com进行注册

注册后可访问此模块

跳转hclhub

你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作