• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
  • 漏洞说明
  • 全部
  • 全部
  • 大数据引擎
  • 知了引擎
产品线
搜索
取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式
高级搜索

MSR3610 web界面上配置了策略路由不生效

2023-02-11提问
  • 0关注
  • 0收藏,2203浏览
粉丝:0人 关注:0人

问题描述:

路由用了三层子接口连接了三层交换S5500V2,三层划分了Vlan5 192.168.5.1  、  Van6  192.168.6.1

在路由web界面设置了策略路由。指定vlan5:192.168.5.2-192.168.5.254从wan1(GE1)口出

vlan6:192.168.6.2-192.168.6.254从wan2(GE2)口出

结果不生效。


组网及组网描述:

什么环节出问题了?求指教

最佳答案

粉丝:237人 关注:8人

策略路由不生效问题定位故障的思路是:先查看ACL规则是否匹配了流量,查看策略路由下一跳是否可达,最后查看是否配置packet-filter/QOS策略等功能,与策略路由冲突。

  1. 查看ACL规则是否匹配流量

查看ACL规则的配置,确认ACL规则匹配了流量。

命令: display acl

例如:通过命令确认ACL规则是否匹配了需要做策略路由的流量。

文本框: <H3C>display acl 3000&#13;&#10;Advanced ACL  3000, named -none-, 2 rules,&#13;&#10;ACL's step is 5&#13;&#10; rule 0 permit ip source 10.0.0.0 0.0.0.255&#13;&#10; rule 5 permit ip source 20.0.0.0 0.0.0.255 destination 100.0.0.0 0.0.0.255&#13;&#10;

若通过display acl命令,查看规则中所写的rule规格错误,则需要重新下发rule命令,修改rule规则,确保rule规则匹配到流量。如果ACLrule规则没有匹配所需做策略路由的流量,则需新增rule规则匹配该流量。

命令:rule

例如:ACL规则中将需要做策略路由的源IP20.0.0.0/24、目的IP200.0.0.0/24的流量错误写为源IP20.0.0.0/24、目的IP100.0.0.0/24,同时漏写源IP30.0.0.0/24的流量,则需下发命令更正和增加ACL规则。

文本框: [H3C-acl-adv-3000]rule 5 permit ip source 20.0.0.0 0.0.0.255 destination 200.0.0.0 0.0.0.255&#13;&#10;Info: The rule id already exists, and the current operation is modifying the rule.&#13;&#10;[H3C-acl-adv-3000]rule 10 permit ip source 30.0.0.0 0.0.0.255&#13;&#10;[H3C-acl-adv-3000]display this&#13;&#10;#&#13;&#10;acl number 3000&#13;&#10; rule 0 permit ip source 10.0.0.0 0.0.0.255&#13;&#10; rule 5 permit ip source 20.0.0.0 0.0.0.255 destination 200.0.0.0 0.0.0.255&#13;&#10; rule 10 permit ip source 30.0.0.0 0.0.0.255&#13;&#10;#&#13;&#10;return&#13;&#10;[H3C-acl-adv-3000]&#13;&#10;

  1. 检查策略路由下一跳是否可达

检查策略路由配置中下一跳是否可达,如查看接口状态、ARP表项、路由表或PING测试。

命令:display interface

display arp X.X.X.X

      display ip  routing-table X.X.X.X

      ping X.X.X.X

例如:策略路由下一跳配置为100.0.0.2,通过查看接口状态、ARP表项、路由表或ping测试确定策略路由下一跳是否可达。

文本框: <H3C>display  interface GigabitEthernet 2/0/1&#13;&#10; GigabitEthernet2/0/1 current state: UP&#13;&#10; ……&#13;&#10;&#13;&#10;<H3C>display arp 100.0.0.2&#13;&#10;                Type: S-Static    D-Dynamic    A-Authorized    M-Multiport&#13;&#10;IP Address       MAC Address     VLAN ID  Interface              Aging Type&#13;&#10;100.0.0.2        0023-8911-7d00  100      GE2/0/1                N/A   D&#13;&#10;&#13;&#10;<H3C>display ip routing-table 100.0.0.2&#13;&#10;Routing Table : Public&#13;&#10;Summary Count : 1&#13;&#10;&#13;&#10;Destination/Mask    Proto  Pre  Cost         NextHop         Interface&#13;&#10;&#13;&#10;100.0.0.0/24        Direct 0    0            100.0.0.1       Vlan100&#13;&#10;&#13;&#10;<H3C>ping 100.0.0.2&#13;&#10;  PING 100.0.0.2: 56  data bytes, press CTRL_C to break&#13;&#10;    Reply from 100.0.0.2: bytes=56 Sequence=0 ttl=255 time=1 ms&#13;&#10;    Reply from 100.0.0.2: bytes=56 Sequence=1 ttl=255 time=1 ms&#13;&#10;    Reply from 100.0.0.2: bytes=56 Sequence=2 ttl=255 time=1 ms&#13;&#10;    Reply from 100.0.0.2: bytes=56 Sequence=3 ttl=255 time=2 ms&#13;&#10;    Reply from 100.0.0.2: bytes=56 Sequence=4 ttl=255 time=1 ms&#13;&#10;&#13;&#10;  --- 100.0.0.2 ping statistics ---&#13;&#10;    5 packet(s) transmitted&#13;&#10;    5 packet(s) received&#13;&#10;    0.00% packet loss&#13;&#10;    round-trip min/avg/max = 1/1/2 ms&#13;&#10;

  1. 排查路由

    策略路由下一跳不通,需要排查路由问题。

  2. 检查设备是否配置了packet-filter/QOS策略等功能

    当设备在相关视图下配置了packet-filterQOS策略功能,由于packet-filterQOS策略的优先级比策略路由高,因而策略路由下发不生效。需要结合所需做策略路由的流量ACL规则,对配置进行排查。

    命令: display qos policy

           display packet-filter

    例如:acl number 3000匹配了所需做策略路由的流量,同时在设备上下发了packet-filter/QOS策略功能。packet-filter可以在二/三层物理接口及三层虚接口上下发,设备上可以配置基于接口/vlan/全局/控制平面应用的QOS策略,均需要排查。需注意,如下示例中,acl number 3000同时作为策略路由、packet-filterQOS策略的感兴趣流量匹配条件,并且实际现网中可能存在不同ACL,但是规则匹配相同的流量做packet-filter/QOS策略,也会造成策略路由不生效,因此需要排查不同的ACL中是否有相同的rule规则。

    备注:设备的软件版本为S12500-CMW520-R1335/S9500E-CMW520-R1335之前的版本,策略路由的优先级低于QOS策略,涉及QOS策略功能部分的排查。而设备的软件版本为S12500-CMW520-R1335/S9500E-CMW520-R1335及之后的版本,策略路由的优先级高于QOS策略,不涉及QOS策略功能部分的排查。

     

    文本框: [H3C]dis packet-filter all&#13;&#10;  Interface: Vlan-interface100&#13;&#10;  In-bound Policy:&#13;&#10;    acl 3000, Successful&#13;&#10;  Out-bound Policy:&#13;&#10;[H3C-Vlan-interface100]dis this&#13;&#10;#&#13;&#10;interface Vlan-interface100&#13;&#10; ip address 100.0.0.1 255.255.255.0&#13;&#10; packet-filter 3000 inbound&#13;&#10;ip policy-based-route 1&#13;&#10;#&#13;&#10;return&#13;&#10;&#13;&#10;[H3C]display qos policy interface GigabitEthernet 2/0/1&#13;&#10;  Interface: GigabitEthernet2/0/1&#13;&#10;  Direction: Inbound&#13;&#10;  Policy: 1&#13;&#10;   Classifier: 1&#13;&#10;     Operator: AND&#13;&#10;     Rule(s) : If-match acl 3000&#13;&#10;     Behavior: 1&#13;&#10;      Accounting Enable:&#13;&#10;        0 (Packets)&#13;&#10;     Redirect enable:&#13;&#10;      Redirect type: next-hop&#13;&#10;      Redirect destination:&#13;&#10;        200.0.0.2&#13;&#10;      Redirect fail-action: forward&#13;&#10;[H3C-GigabitEthernet2/0/1]dis this&#13;&#10;#&#13;&#10;interface GigabitEthernet2/0/1&#13;&#10; port link-mode bridge&#13;&#10; port access vlan 100&#13;&#10; qos apply policy 1 inbound&#13;&#10;#&#13;&#10;return&#13;&#10;

  3. 修改配置

    通过上一步的排查发现策略路由与packet-filter/QOS策略同时下发,导致策略路由不生效,需修改配置。

  1. 策略路由与packet-filter同时下发的情况:

包过滤下发在inbound方向时,将导致策略路由感兴趣的流量在执行策略路由动作之前被过滤掉。包过滤下发在outbound方向时,将导致策略路由动作执行完后,报文被过滤掉,流量仍无法按策略路由需求转发出去。在上述两种情况下,均需要在packet-filterACL规则中,将需要正常转发的流量rule规则去掉。

  1. 策略路由与QOS策略同时下发的情况

    策略路由感兴趣的流量先由QOS策略匹配后处理了。该种情况下,需重新了解和细化需求,是否可以通过细化QOS策略ACL规则和策略路由ACL规则,使两个ACL规则不冲突,流量能区分出来按不同的功能执行动作。

备注:设备的软件版本为S12500-CMW520-R1335/S9500E-CMW520-R1335之前的版本,策略路由的优先级低于QOS策略,涉及QOS策略功能部分的排查。而设备的软件版本为S12500-CMW520-R1335/S9500E-CMW520-R1335及之后的版本,策略路由的优先级高于QOS策略,不涉及QOS策略功能部分的排查。

1 个回答
已采纳
粉丝:108人 关注:1人

策略路由指定的下一跳可达吗?不可达是不生效的。如果是指定的是拨号接口,要求拨号接口是正常up才行


MSR830-WiNetV7)系列路由器策略路由(命令行)配置方法

目录

MSR830-WiNetV7)系列路由器策略路由(命令行)配置方法 1

1 配置需求或说明 1

1.1适用产品系列 1

1.2配置需求及实现的效果 1

2 组网图 1

3 配置步骤 2

3.1配置路由器基本上网 2

3.2配置策略路由 2

4 保存配置信息 3

 

1 配置需求或说明

1.1适用产品系列

本案例适用于Comware V5 软件平台MSR WiNet系列路由器,如MSR830-10BEI-WiNet MSR830-6EI-WiNet MSR830-5BEI-WiNet MSR830-6BHI-WiNet MSR830-10BHI-WiNet

1.2配置需求及实现效果

MSR路由器双WAN口上网,WAN口1采用静态地址,地址为1.1.1.1(网关1.1.1.254)WAN口2采用PPPoE拨号上网,拨号口为Dialer 1。内网有两个网段,VLAN1网段为192.168.1.0/24VLAN2网段为 192.168.2.0/24,网关都设置在MSR路由器上(VLAN1的网关为192.168.1.1,VLAN2网关为192.168.2.1)。需要实现192.168.1.0/24网段通过拨号口WAN2上网192.168.2.0/24网段通过固定地址接口WAN1上网。

2 组网图

 

 

3 配置步骤

3.1配置路由器基本上网

路由器PPPOE拨号上网配置步骤请参考“2.1.1路由器外网使用PPPoE拨号方式配置方法 章节中“MSR830-WiNet(V7)系列路由器使用PPPoE拨号方式上网(命令行)配置方法案例, 路由器静态地址上网配置步骤请参考“2.1.2路由器外网使用静态地址方式配置方法章节“MSR830-WiNet(V7)系列路由器使用静态地址方式上网(命令行)配置方法”案例

3.2配置策略路由

# 进入系统视图,配置两条默认路由,并且修改PPPoe拨号线路的默认路由优先级80(默认路由优先级为60,值越大优先级越低),这样内网流量会全部从固定地址接口WAN口1出去。

<H3C>system-view

System View: return to User View with Ctrl+Z.

[H3C]ip route-static 0.0.0.0 0 1.1.1.254 

[H3C]ip route-static 0.0.0.0 0 Dialer 1 preference 80

定义访问控制列表3000,用来匹配内网源地址为192.168.1.0/24网段的数据流

[H3C]acl advanced 3000 

[H3C-acl-adv-3000]rule permit ip source 192.168.1.0 0.0.0.255 

[H3C-acl-adv-3000]quit

定义访问控制列表3001,用来匹配内网192.168.1.0/24网段去访问内网192.168.2.0/24网段数据流

[H3C]acl advanced 3001

[H3C-acl-adv-3001]rule permit ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255

[H3C-acl-adv-3001]quit

创建策略路由,名称aaa,节点10,匹配acl 3001的数据流,不设置apply动作(如果不设置动作,则匹配到的数据转发时根据路由表来进行转,且不再匹配下一节点,配置这个节点的作用是实现内网不同网段之间互访的流量不匹配策略路由,达到可以互访的目的。备注:默认情况下网关在路由器上的不同网段是可以互相访问的

[H3C]policy-based-route aaa permit node 10

[H3C-pbr-aaa-10]if-match acl 3001 

[H3C-pbr-aaa-10]quit

创建策略路由aaa的节点20,匹配acl 3000的数据流设置apply动作,指定数据的出口PPPoE拨号口Dialer 1(如果出口是固定地址的,则配置命令为:apply next-hop x.x.x.x)。

[H3C]policy-based-route aaa permit node 20

[H3C-pbr-aaa-20]if-match acl 3000

[H3C-pbr-aaa-20]apply output-interface Dialer 1 

[H3C-pbr-aaa-20]quit

在内网VLAN接口(网关)上应用策略路由。

[H3C]interface Vlan-interface 1

[H3C-Vlan-interface2]ip address 192.168.1.1 24

[H3C-Vlan-interface2]ip policy-based-route aaa

[H3C-Vlan-interface2]quit

# 配置完成后,可以实现1.0网段访问公网的流量PPPoe拨号的出口WAN2上网,2.0网段访问公网的流量从固定地址的出口WAN1上网

 

4 保存配置信息

        [H3C]save force

那应该没放错,gig0/3.1就是路由的子接口 连接三层交换机的

zhiliao_Vp1nKk 发表时间:2023-02-11 更多>>

试过这个,有个疑问是{在内网VLAN虚接口(网关)上应用策略路由}这点。我不确认是应用在哪个位置。网关是用三层的

zhiliao_Vp1nKk 发表时间:2023-02-11

[H3C]acl advanced 3000 [H3C-acl-adv-3000]rule permit ip source 192.168.5.0 0.0.0.255 [H3C-acl-adv-3000]quit [H3C]policy-based-route aaa permit node 20 [H3C-pbr-aaa-20]if-match acl 3000 [H3C-pbr-aaa-20]apply output-interface g0/1 [H3C-pbr-aaa-20]quit 我应用在连接三层的接口上,不知道应用在哪正确 [H3C]interface gig0/3.1 ip policy-based-route aaa

zhiliao_Vp1nKk 发表时间:2023-02-11

策略路由应用在路由器对接交换机的三层接口上。就是流量进入路由器的接口

种春风 发表时间:2023-02-11

那应该没放错,gig0/3.1就是路由的子接口 连接三层交换机的

zhiliao_Vp1nKk 发表时间:2023-02-11

编辑答案

你正在编辑答案

如果你要对问题或其他回答进行点评或询问,请使用评论功能。

分享扩散:

提出建议

    +

亲~登录后才可以操作哦!

确定

亲~检测到您登陆的账号未在http://hclhub.h3c.com进行注册

注册后可访问此模块

跳转hclhub

你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作

举报

×

侵犯我的权益 >
对根叔社区有害的内容 >
辱骂、歧视、挑衅等(不友善)

侵犯我的权益

×

泄露了我的隐私 >
侵犯了我企业的权益 >
抄袭了我的内容 >
诽谤我 >
辱骂、歧视、挑衅等(不友善)
骚扰我

泄露了我的隐私

×

您好,当您发现根叔知了上有泄漏您隐私的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您认为哪些内容泄露了您的隐私?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)

侵犯了我企业的权益

×

您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
  • 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
  • 3. 是哪家企业?(营业执照,单位登记证明等证件)
  • 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔社区有害的内容

×

垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载 >
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票

不规范转载

×

举报说明