问题描述:
控制列表ACL、策略路由配置如下
acl number 3000
rule 10 permit ip source 172.17.7.0 0.0.0.255 destionation 172.16.0.0 0.12.255.255
acl number 3010
rule 10 permit ip source 172.17.7.0 0.0.0.255
police-based-route test permit node 10
if-match acl 3000
police-based-route test permit node 20
if-match acl 3010
apply next-hop 192.168.1.1
在接口调用策略路由后,发现源为172.17.7.0/24的终端访问目的为172.16.0.0/12的流量不会走默认路由(即node 10),而是走了192.168.1.1(即node 20),是否策略路由使用控制列表匹配是不能根据目的地址来匹配?
组网及组网描述:
- 2023-07-13提问
- 举报
-
(0)
您好,精细化匹配,你这个是24位的优先级高吧
我看你那个是12位的掩码?
还有你的node10也没有下一跳的配置
- 2023-07-13回答
- 评论(1)
- 举报
-
(0)
node 10没有配置下一跳,按html文档上描述,那我应该是按路由表转发,但实际情况是node 10 的没匹配到,直接按node 20 转发了
过滤路由需要配置空节点
- 2023-07-13回答
- 评论(2)
- 举报
-
(0)
空节点?请教下这个怎么配置呢?
police-based-route test permit node 30
node10没有匹配下一跳。
PBR节点之间的关系是“或”关系。
没有匹配node 10 会继续匹配node20,所以走的是node20
- 2023-07-13回答
- 评论(2)
- 举报
-
(0)
访问流量是与node 10的控制列表匹配,但为何还是会匹配到了node20 这之间是有什么匹配原则么?
node 10 只匹配了acl,但是node 10里没有执行的动作。 node 20 匹配了acl,同时也有执行动作apply next-hop 192.168.1.1。所以会选择node 20.
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
node 10没有配置下一跳,按html文档上描述,那我应该是按路由表转发,但实际情况是node 10 的没匹配到,直接按node 20 转发了
设备上,报文的基本转发流程为: (1) 首先根据配置的策略路由,查找满足匹配条件的节点。 (2) 若找到了匹配的节点,并且该节点是permit(允许)模式: a. 根据策略路由中配置的下一跳指导报文转发。 b. 若节点未配置下一跳,或根据下一跳指导报文转发失败,则根据路由表中除缺省路由之外的路由来转发报文。 c. 若未找到除缺省路由之外的路由,或路由转发失败,则根据策略路由中配置的缺省下一跳指导报文转发。 d. 若节点未配置缺省下一跳,或根据缺省下一跳指导报文转发失败,则根据缺省路由来转发报文。 (3) 若找不到匹配的节点,或找到了匹配的节点,但该节点是deny(拒绝)模式,则根据路由表指导报文转发
html文档就是这样描述,按我所述情况,流量是符合d的情况,应该按路由表中缺省路由转发,但实际中并没有,而且按了node 20来转发,所以就有了这个疑问,是否策略路由不支持目的地址匹配