PBR调用ACL,问一下,我这个配置哪里有问题?
- 0关注
- 0收藏,592浏览
问题描述:
问一下,我这个配置哪里有问题?为什么192.168.10.10不会走另外一个出口默认路由出去?
policy-based-route 139 deny node 0
if-match acl 3011
apply next-hop 192.168.13.245
#
policy-based-route ISP permit node 2
if-match acl 3010
apply next-hop 192.168.13.245
#
Advanced IPv4 ACL 3011, 1 rule,
ACL's step is 5
rule 0 permit ip source 192.168.10.10 0
Advanced IPv4 ACL 3010, 15 rules,
bangongwang
ACL's step is 5
rule 0 permit ip source 192.168.10.0 0.0.0.255
- 2025-04-08提问
- 举报
-
(0)
最佳答案
您好,参考
1. PBR策略的优先级问题
您的配置中有一个policy-based-route 139 deny node 0,这个策略的节点号是0,而另一个策略policy-based-route ISP permit node 2的节点号是2。
在策略路由中,节点号越小的策略优先级越高。因此,policy-based-route 139的优先级高于policy-based-route ISP。
如果policy-based-route 139的规则匹配了流量,流量会被直接拒绝,而不会继续匹配后续的策略。这可能是导致流量没有走policy-based-route ISP的原因。
2. ACL规则的范围问题
您的ACL 3010规则是permit ip source 192.168.10.0 0.0.0.255,这表示允许整个192.168.10.0/24网段的流量。
而ACL 3011的规则是permit ip source 192.168.10.10 0,这表示只允许192.168.10.10的流量。
如果ACL 3010的规则范围更广,可能会覆盖掉ACL 3011的规则,导致流量直接匹配到policy-based-route ISP,而没有进入policy-based-route 139。
3. PBR策略的deny动作问题
policy-based-route 139 deny node 0的deny动作会直接丢弃匹配的流量,而不是转发它。
如果您希望流量通过policy-based-route 139转发到指定的下一跳,应该使用permit动作,而不是deny。
4. PBR策略的绑定问题
确保policy-based-route 139和policy-based-route ISP正确绑定到相应的接口上。如果PBR策略没有绑定到正确的接口,流量可能不会经过策略路由处理。
- 2025-04-08回答
- 评论(1)
- 举报
-
(0)
所以我想把192.168.10.10走原来的默认路由出去,需要怎么配置?
要让 192.168.10.10 走默认路由,你可以
1. 将node0改为 permit, 不配置nexthop就不走PBR,走默认路由
2. 或者让 ACL 3011 deny 192.168.10.10,不会拒绝流量,也不会匹配到node0 PBR
- 2025-04-08回答
- 评论(0)
- 举报
-
(0)
policy-based-route 139 deny node 0
if-match acl 3011
139 node0配置的是deny,直接就拒绝了
- 2025-04-08回答
- 评论(1)
- 举报
-
(0)
是啊
是啊
node 0优先级高于node 2,而且你的node 0还是deny。所以他之间拒绝 了。停止匹配node 2.也就是说你的node 2 没有生效。你改下配置,你的node 0改为permit。
- 2025-04-08回答
- 评论(3)
- 举报
-
(0)
在网络接口需要
interface GigabitEthernet0/4
ip policy-based-route ISP
需要绑定
策略路由名称要统一。
- 2025-04-08回答
- 评论(12)
- 举报
-
(0)
策略路由名称统一了,接口也绑定了,没用。裂开
在acl 在加一个rule 2001 deny ip,禁止其它的IP通过
rule 0 permit ip source 192.168.10.10 0与rule 0 permit ip source 192.168.10.0 0.0.0.255 一样的
检查下节点和acl 问题
- 2025-04-08回答
- 评论(1)
- 举报
-
(0)
我知道哪里有问题的话还需要在这里问?
我知道哪里有问题的话还需要在这里问?
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
所以我想把192.168.10.10走原来的默认路由出去,需要怎么配置?