问一下,我这个配置哪里有问题?为什么192.168.10.10不会走另外一个出口默认路由出去?
policy-based-route 139 deny node 0
if-match acl 3011
apply next-hop 192.168.13.245
#
policy-based-route ISP permit node 2
if-match acl 3010
apply next-hop 192.168.13.245
#
Advanced IPv4 ACL 3011, 1 rule,
ACL's step is 5
rule 0 permit ip source 192.168.10.10 0
Advanced IPv4 ACL 3010, 15 rules,
bangongwang
ACL's step is 5
rule 0 permit ip source 192.168.10.0 0.0.0.255
(0)
最佳答案
您好,参考
policy-based-route 139 deny node 0,这个策略的节点号是0,而另一个策略policy-based-route ISP permit node 2的节点号是2。
policy-based-route 139的优先级高于policy-based-route ISP。
policy-based-route 139的规则匹配了流量,流量会被直接拒绝,而不会继续匹配后续的策略。这可能是导致流量没有走policy-based-route ISP的原因。
ACL 3010规则是permit ip source 192.168.10.0 0.0.0.255,这表示允许整个192.168.10.0/24网段的流量。
ACL 3011的规则是permit ip source 192.168.10.10 0,这表示只允许192.168.10.10的流量。
ACL 3010的规则范围更广,可能会覆盖掉ACL 3011的规则,导致流量直接匹配到policy-based-route ISP,而没有进入policy-based-route 139。
deny动作问题
deny动作会直接丢弃匹配的流量,而不是转发它。
policy-based-route 139转发到指定的下一跳,应该使用permit动作,而不是deny。
policy-based-route 139和policy-based-route ISP正确绑定到相应的接口上。如果PBR策略没有绑定到正确的接口,流量可能不会经过策略路由处理。
(0)
所以我想把192.168.10.10走原来的默认路由出去,需要怎么配置?
要让 192.168.10.10 走默认路由,你可以
1. 将node0改为 permit, 不配置nexthop就不走PBR,走默认路由
2. 或者让 ACL 3011 deny 192.168.10.10,不会拒绝流量,也不会匹配到node0 PBR
(0)
policy-based-route 139 deny node 0
if-match acl 3011
139 node0配置的是deny,直接就拒绝了
(0)
是啊
是啊
node 0优先级高于node 2,而且你的node 0还是deny。所以他之间拒绝 了。停止匹配node 2.也就是说你的node 2 没有生效。你改下配置,你的node 0改为permit。
(0)
在网络接口需要
interface GigabitEthernet0/4
ip policy-based-route ISP
需要绑定
策略路由名称要统一。
(0)
策略路由名称统一了,接口也绑定了,没用。裂开
在acl 在加一个rule 2001 deny ip,禁止其它的IP通过
rule 0 permit ip source 192.168.10.10 0与rule 0 permit ip source 192.168.10.0 0.0.0.255 一样的
检查下节点和acl 问题
(0)
我知道哪里有问题的话还需要在这里问?
我知道哪里有问题的话还需要在这里问?
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
抄袭了我的内容
×
原文链接或出处
诽谤我
×
对根叔社区有害的内容
×
不规范转载
×
举报说明
所以我想把192.168.10.10走原来的默认路由出去,需要怎么配置?