• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
  • 漏洞说明
  • 全部
  • 全部
  • 大数据引擎
  • 知了引擎
产品线
搜索
取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式
高级搜索

交换机策略路由

2023-12-12提问
  • 0关注
  • 0收藏,660浏览
粉丝:0人 关注:0人

问题描述:

1.交换机IP 192.168.20.5   有两个上行出口 192.168.20.1 和192.168.20.98

交换机下面有10个 192.168.1.0/24--子网

2. 默认路由是下一条是 0.0.0.0  192.168.20.1

3.新增了策略路由node5 匹配了 acl 3000  rule 1 permit 192.168.1.0 0.0.0.255 备注 apply net-hop 是192.168.20.98 (1网段上网走20.98出去)

4.这样1网段无法访问内网,为了解决此问题,我新增node3 匹配 acl 3001 里面的规则均为 permit ip destnation 192.168.1.0   192.168.2.0 ····(内网网网段) 并 apply net-hop 192.168.20.1

问题:1. 是否node3 不需要添加执行动作?即apply net-hop 192.168.20.1

2.我添加后,解决了可以内部互访的问题,但是出现了部分IP 能学习到mac 但无法学习arp。 使用ping 该IP 后 可学习到ARP ,这是什么原因?

 

4 个回答
粉丝:0人 关注:0人

node 3 要执行的是deny动作,表示不执行策略路由,同时也不需要apply net-hop

------------------------

你把你的配置贴出来,我帮你修改


是的,deny的意思就是不走策略路由转发

陈先森 发表时间:2023-12-13 更多>>

acl 3001的规则rule 6 permit ip destination 192.168.1.0 0.0.0.255 rule 7 permit ip destination 192.168.3.0 0.0.0.255 rule 8 permit ip destination 192.168.4.0 0.0.0.255 rule 9 permit ip destination 192.168.5.0 0.0.0.255 rule 10 permit ip destination 192.168.6.0 0.0.0.255

Cheer Up chanre 发表时间:2023-12-12

不是acl的问题,是要修改pbr,把acl 3001调用的规格改成deny而不是permit ,同时不用apple net-hop

陈先森 发表时间:2023-12-12
回复陈先森:

我这样测试过。出现了所有内网访问异常的情况

Cheer Up chanre 发表时间:2023-12-12
回复陈先森:

看了下官网 应该是 node3 里面 匹配acl 3001 规则写 permit ip destination 这样匹配了后,不执行apply 就根据路由表转发了。

Cheer Up chanre 发表时间:2023-12-12

是的,deny的意思就是不走策略路由转发

陈先森 发表时间:2023-12-13
粉丝:237人 关注:8人

问题1:

在策略路由中,每一个规则都需要明确的动作指令,这些动作指令告诉路由器应该如何转发匹配该规则的数据包。在你的配置中,你在node3的规则中指定了“permit ip destination 192.168.1.0/24 192.168.2.0/24”,但并未指定动作指令,如“net-hop 192.168.20.1”。这可能导致数据包在匹配该规则后并未被正确地转发。

所以,为了解决这个问题,你需要在规则的最后添加动作指令,如“net-hop 192.168.20.1”。

问题2:

当你ping一个IP地址时,你的设备会发送一个ARP请求,询问这个IP地址对应的MAC地址是什么。如果能够成功获取到ARP响应,那么你的设备就可以开始与这个IP地址进行通信。

Xcheng 九段
粉丝:121人 关注:3人

根据描述是配置不合理


建议

1、要么ac拒绝内网流

2、先pbr一个lan到lan的node

Xcheng 发表时间:2023-12-12 更多>>

2、先pbr一个lan到lan的node 这个就是不配置apply net-hop是吧 只在acl 里面写目的地址是内网IP段即可

Cheer Up chanre 发表时间:2023-12-12

Xcheng 发表时间:2023-12-12
粉丝:167人 关注:1人

根据你的描述,你的网络拓扑大概是这样的:


你的问题是:

  1. 是否node3 不需要添加执行动作?即apply net-hop 192.168.20.1

答:node3 需要添加执行动作,即apply net-hop 192.168.20.1。这是因为你的策略路由是基于源地址的,也就是说,你的交换机会根据数据包的源地址来决定下一跳。如果你不添加执行动作,那么交换机会使用默认路由,也就是192.168.20.1,来转发所有的数据包,这样就会导致策略路由失效。你需要添加执行动作,让交换机根据不同的源地址,选择不同的下一跳,这样才能实现你的策略路由的目的。

  1. 我添加后,解决了可以内部互访的问题,但是出现了部分IP 能学习到mac 但无法学习arp。 使用ping 该IP 后 可学习到ARP ,这是什么原因?

答:这可能是因为你的交换机没有三层接口,也就是说,它不能作为网关来进行ARP解析。ARP是一种用于获取目的MAC地址的协议,它需要在网关所在的设备上执行。如果你的交换机没有三层接口,那么它就不能作为网关,也就不能进行ARP解析,所以它只能学习到MAC地址,而不能学习到ARP。当你使用ping 该IP后,你的主机会向网关发送ARP请求,网关会回复ARP应答,这样你的交换机就能学习到ARP了。12



不是,因为192.168.20.5里面有多个Ip 网关,目的地址在路由表里面,我只是需要内部访问的时候 不匹配策略路由node5

Cheer Up chanre 发表时间:2023-12-12 更多>>

不是,因为192.168.20.5里面有多个Ip 网关,目的地址在路由表里面,我只是需要内部访问的时候 不匹配策略路由node5

Cheer Up chanre 发表时间:2023-12-12

编辑答案

你正在编辑答案

如果你要对问题或其他回答进行点评或询问,请使用评论功能。

分享扩散:

提出建议

    +

亲~登录后才可以操作哦!

确定

亲~检测到您登陆的账号未在http://hclhub.h3c.com进行注册

注册后可访问此模块

跳转hclhub

你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作

举报

×

侵犯我的权益 >
对根叔社区有害的内容 >
辱骂、歧视、挑衅等(不友善)

侵犯我的权益

×

泄露了我的隐私 >
侵犯了我企业的权益 >
抄袭了我的内容 >
诽谤我 >
辱骂、歧视、挑衅等(不友善)
骚扰我

泄露了我的隐私

×

您好,当您发现根叔知了上有泄漏您隐私的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您认为哪些内容泄露了您的隐私?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)

侵犯了我企业的权益

×

您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
  • 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
  • 3. 是哪家企业?(营业执照,单位登记证明等证件)
  • 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔社区有害的内容

×

垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载 >
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票

不规范转载

×

举报说明