防火墙旁挂pbr引流
- 4关注
- 8收藏,3695浏览
问题描述:
防火墙旁挂核心,为了保证业务安全,要求数据进出数据全部经过防火墙进行监控。采用pbr对上下行流量进行双向引流
问题:
1.当pc4 ping 1.1.1.1发现不通
2.tracert 1.1.1.1 发现流量一直在打环,这是什么原因造成的?有何解决办法?是否为配置错误?
组网及组网描述:
组网:
防火墙旁挂核心,为了保证业务安全,要求数据进出数据全部经过防火墙进行监控。采用pbr对上下行流量进行引流
核心pbr配置:
防火墙配置:
出口配置
- 2021-10-12提问
- 举报
-
(1)
最佳答案
你好,这个问题你解决了吗,我也发现了同样的问题,不知道是不是模拟器bug
- 2021-10-19回答
- 评论(1)
- 举报
-
(0)
没有,我也怀疑是模拟器bug,你可以试一下华为模拟器的,华为是可以的,但是也不稳定,时好时坏得,思路是没问题的。
目前 Comware V7 平台交换机设备缺省均使能了 “快速转发功能”和“ 快速转发负载分担功能”,表项老化时间缺省为30秒。
开启快速转发负载分担功能后,当一条数据流从不同入接口上来进行转发时,不再根据入接口不同区分数据流,根据报文中的信息标识一条数据流。
因此按照上述故障案例,PC to Server 的流量,对于 SW 而言 无论是从 Vlan-interface 11 收到,还是从 Vlan-interface 33收到,缺省 SW 认为是同一个流量,及按照 display ip fast-forwarding cache 快速转发表转发。
要解决上述旁路转发的问题,需要在 SW 上关闭快速转发负载分担功能,及 增加 [SW] undo ip fast-forwarding load-sharing
关闭快速转发负载分担功能后,将会根据入接口的不同对已标识的数据流再次做出区分,即将入接口作为区分数据流的另一特征标识。及从 FW 发回给 SW 的流量将不再直接匹配 display ip fast-forwarding cache 快速转发表转发,而是 SW 重新进行转发计算,将流量从 Server 网关接口发送给 Server。
- 2022-04-12回答
- 评论(1)
- 举报
-
(8)
亲测正解
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
终端到达网关,根据pbr转发给防火墙,防火墙经过默认路由转发给核心,核心根据默认路由发给出口设备,防火墙回包,根据明显路由转发给核心互联地址,触发回流pbr,转发给防火墙,防火墙根据明细再发给核心网关。请问这个有路由环路吗?还思路就是错的?
出口回包,不是防火墙回包