• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
  • 全部
  • 全部
产品线
搜索
取消
案例类型
发布者
是否解决
是否官方
时间
高级搜索

S7500E交换机策略路由转发不通经验案例

2019-10-30 发表
  • 0关注
  • 1收藏,407浏览
粉丝:0人 关注:0人

组网及说明

  用户、安全审计设备和服务器的网关都在网关交换机上。

问题描述

PC访问服务器的流量要到安全审计设备上绕行一圈,网关上配置策略路由将来回流量都引到安全审计设备上。但是配置策略路由后无法访问服务器。

policy-based-route back permit node 6

 if-match acl 2001

 apply next-hop 172.16.17.1

#

policy-based-route in permit node 5

 if-match acl 2000

 apply next-hop 172.16.17.1

#

acl basic 2000

 rule 0 permit source 172.16.8.0 0.0.0.255

#

acl basic 2001

 rule 0 permit source 172.16.0.0 0.0.0.255

#

interface Vlan-interface8

 ip address 172.16.8.254 255.255.255.0

 ip policy-based-route in

#

interface Vlan-interface10

 ip address 172.16.0.254 255.255.255.0

 ip policy-based-route back

过程分析

pctracert服务器地址发现流量一直在安全设备和网关之间来回。

<pc>tracert 172.16.0.31

traceroute to 172.16.0.31 (172.16.0.31), 30 hops at most, 40 bytes each packet, press CTRL_C to break

 1  172.16.8.254 (172.16.8.254)  1.000 ms  2.000 ms  0.000 ms

 2  172.16.17.1 (172.16.17.1)  1.000 ms  1.000 ms  1.000 ms

 3  172.16.17.2 (172.16.17.2)  1.000 ms  1.000 ms  1.000 ms

 4  172.16.17.1 (172.16.17.1)  1.000 ms  1.000 ms  2.000 ms

 5  172.16.17.2 (172.16.17.2)  2.000 ms  4.000 ms  2.000 ms

 6  172.16.17.1 (172.16.17.1)  1.000 ms  1.000 ms  2.000 ms

 7  172.16.17.2 (172.16.17.2)  1.000 ms  1.000 ms *

 8  172.16.17.1 (172.16.17.1)  3.000 ms  3.000 ms  1.000 ms

 9  * 172.16.17.2 (172.16.17.2)  3.000 ms  3.000 ms

10  172.16.17.1 (172.16.17.1)  3.000 ms  2.000 ms  3.000 ms

在连接安全审计设备的接口抓包现象和tracert结果一致

                                                                .

                                                                .

流量到达核心交换机后为何会重新发回安全审计设备呢?应该是匹配了某个表项。查看快速转发表后发现,流量到达交换机后快速转发表

<hexin>display ip fast-forwarding cache

Total number of fast-forwarding entries: 4

SIP             SPort DIP             DPort Pro Input_If    Output_If   Flg

172.16.8.1      203   172.16.0.31     2048  1   Vlan8       Vlan100     1

172.16.17.2     0     172.16.8.1      2816  1   InLoop0     Vlan8       1

172.16.0.31     203   172.16.8.1      0     1   Vlan100     Vlan8       3

172.16.8.1      0     172.16.17.2     0     1   Vlan8       N/A         1

默认情况下,快速转发表不关心流量的入接口,按照流量的五元组信息来匹配流量进行转发。


解决方法

关闭快速转发负载分担功能undo ip fast-forwarding load-sharing

关闭快速转发负载分担功能后,将会根据入接口的不同对五元组标识的数据流再次做出区分,即将入接口作为区分数据流的另一特征标识。

开启快速转发负载分担功能后,当一条数据流从不同入接口上来进行转发时,不再根据入接口不同区分数据流,根据五元组标识一条数据流。缺省情况下,快速转发负载分担功能处于开启状态。

0 个评论

该案例暂时没有网友评论

编辑评论

举报

×

侵犯我的权益 >
对根叔知了社区有害的内容 >
辱骂、歧视、挑衅等(不友善)

侵犯我的权益

×

泄露了我的隐私 >
侵犯了我企业的权益 >
抄袭了我的内容 >
诽谤我 >
辱骂、歧视、挑衅等(不友善)
骚扰我

泄露了我的隐私

×

您好,当您发现根叔知了上有泄漏您隐私的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您认为哪些内容泄露了您的隐私?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)

侵犯了我企业的权益

×

您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
  • 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
  • 3. 是哪家企业?(营业执照,单位登记证明等证件)
  • 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔知了社区有害的内容

×

垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载 >
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票

不规范转载

×

举报说明

提出建议

    +
<

亲~登录后才可以操作哦!

确定

你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作