交换机策略路由
- 0关注
- 0收藏,622浏览
问题描述:
1.交换机IP 192.168.20.5 有两个上行出口 192.168.20.1 和192.168.20.98
交换机下面有10个 192.168.1.0/24--子网
2. 默认路由是下一条是 0.0.0.0 192.168.20.1
3.新增了策略路由node5 匹配了 acl 3000 rule 1 permit 192.168.1.0 0.0.0.255 备注 apply net-hop 是192.168.20.98 (1网段上网走20.98出去)
4.这样1网段无法访问内网,为了解决此问题,我新增node3 匹配 acl 3001 里面的规则均为 permit ip destnation 192.168.1.0 192.168.2.0 ····(内网网网段) 并 apply net-hop 192.168.20.1
问题:1. 是否node3 不需要添加执行动作?即apply net-hop 192.168.20.1
2.我添加后,解决了可以内部互访的问题,但是出现了部分IP 能学习到mac 但无法学习arp。 使用ping 该IP 后 可学习到ARP ,这是什么原因?
- 2023-12-12提问
- 举报
-
(0)
node 3 要执行的是deny动作,表示不执行策略路由,同时也不需要apply net-hop
------------------------
你把你的配置贴出来,我帮你修改
- 2023-12-12回答
- 评论(5)
- 举报
-
(0)
acl 3001的规则rule 6 permit ip destination 192.168.1.0 0.0.0.255 rule 7 permit ip destination 192.168.3.0 0.0.0.255 rule 8 permit ip destination 192.168.4.0 0.0.0.255 rule 9 permit ip destination 192.168.5.0 0.0.0.255 rule 10 permit ip destination 192.168.6.0 0.0.0.255
不是acl的问题,是要修改pbr,把acl 3001调用的规格改成deny而不是permit ,同时不用apple net-hop
看了下官网 应该是 node3 里面 匹配acl 3001 规则写 permit ip destination 这样匹配了后,不执行apply 就根据路由表转发了。
是的,deny的意思就是不走策略路由转发
问题1:
在策略路由中,每一个规则都需要明确的动作指令,这些动作指令告诉路由器应该如何转发匹配该规则的数据包。在你的配置中,你在node3的规则中指定了“permit ip destination 192.168.1.0/24 192.168.2.0/24”,但并未指定动作指令,如“net-hop 192.168.20.1”。这可能导致数据包在匹配该规则后并未被正确地转发。
所以,为了解决这个问题,你需要在规则的最后添加动作指令,如“net-hop 192.168.20.1”。
问题2:
当你ping一个IP地址时,你的设备会发送一个ARP请求,询问这个IP地址对应的MAC地址是什么。如果能够成功获取到ARP响应,那么你的设备就可以开始与这个IP地址进行通信。
- 2023-12-12回答
- 评论(0)
- 举报
-
(0)
根据描述是配置不合理
建议
1、要么ac拒绝内网流
2、先pbr一个lan到lan的node
- 2023-12-12回答
- 评论(2)
- 举报
-
(0)
2、先pbr一个lan到lan的node 这个就是不配置apply net-hop是吧 只在acl 里面写目的地址是内网IP段即可
根据你的描述,你的网络拓扑大概是这样的:
你的问题是:
- 是否node3 不需要添加执行动作?即apply net-hop 192.168.20.1
答:node3 需要添加执行动作,即apply net-hop 192.168.20.1。这是因为你的策略路由是基于源地址的,也就是说,你的交换机会根据数据包的源地址来决定下一跳。如果你不添加执行动作,那么交换机会使用默认路由,也就是192.168.20.1,来转发所有的数据包,这样就会导致策略路由失效。你需要添加执行动作,让交换机根据不同的源地址,选择不同的下一跳,这样才能实现你的策略路由的目的。
- 我添加后,解决了可以内部互访的问题,但是出现了部分IP 能学习到mac 但无法学习arp。 使用ping 该IP 后 可学习到ARP ,这是什么原因?
答:这可能是因为你的交换机没有三层接口,也就是说,它不能作为网关来进行ARP解析。ARP是一种用于获取目的MAC地址的协议,它需要在网关所在的设备上执行。如果你的交换机没有三层接口,那么它就不能作为网关,也就不能进行ARP解析,所以它只能学习到MAC地址,而不能学习到ARP。当你使用ping 该IP后,你的主机会向网关发送ARP请求,网关会回复ARP应答,这样你的交换机就能学习到ARP了。12
- 2023-12-12回答
- 评论(1)
- 举报
-
(0)
不是,因为192.168.20.5里面有多个Ip 网关,目的地址在路由表里面,我只是需要内部访问的时候 不匹配策略路由node5
不是,因为192.168.20.5里面有多个Ip 网关,目的地址在路由表里面,我只是需要内部访问的时候 不匹配策略路由node5
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
是的,deny的意思就是不走策略路由转发