ER5200G3-X,有两个外网,两个VLAN,做了策略路由后,两个VLAN间的电脑不能互通了,这个怎么回事
- 0关注
- 0收藏,26浏览
排查步骤:1. 执行display ip policy-based-route查看策略节点,确认是否有规则匹配VLAN间流量;2. 执行display policy-based-route interface检查策略应用的接口(是否误应用到内网VLAN入接口);3. 执行display ip routing-table确认内网直连/静态路由正常。
解决:在策略路由中添加例外节点,通过ACL匹配VLAN间互访流量,配置apply local,确保互访走内网路由。
暂无评论
策略路由的优先级非常高。当你在路由器上配置了策略路由(例如 VLAN1 走 WAN1,VLAN2 走 WAN2)时,如果策略中的“目的 IP 地址段”设置为了默认的
0.0.0.0-255.255.255.255(即所有地址),那么当 VLAN1 的电脑去访问 VLAN2 的电脑时,流量会先匹配到这条策略路由,被强行导向了 WAN1 外网出口,而不会在路由器内部进行正常的内网路由转发,从而导致内网互访失败。你需要修改策略路由的配置,在策略中排除掉内网互访的流量。具体操作步骤如下:
修改策略路由,放行内网流量
- 登录 ER5200G3-X 的 Web 管理界面,进入 “高级选项” > “策略路由”。
- 找到你为 VLAN1 配置的策略路由,点击“修改”。
- 重点修改 “目的IP地址段” 这一项:
- 原来的设置:
0.0.0.0-255.255.255.255(代表所有流量都走这条策略)。 - 修改为:排除掉你所有内网 VLAN 的网段。例如,如果你的内网有 VLAN1(192.168.1.0/24)和 VLAN2(192.168.2.0/24),你需要将目的地址段改为除了这两个网段之外的所有地址。
- 注:由于 ER 系列路由器的 Web 界面通常不支持直接输入“排除”逻辑,你需要通过添加多条策略来实现。
- 原来的设置:
推荐的最佳配置方案(拆分为两条策略)
- 策略 1(内网互通优先):
- 接口:VLAN1
- 源IP:
192.168.1.1-192.168.1.254 - 目的IP:
192.168.2.1-192.168.2.254(填写你另一个内网VLAN的网段) - 出接口:LAN(或者选择“不指定”、“本地路由”,视固件版本而定,目的是让流量走内部转发)
- 策略 2(外网分流):
- 接口:VLAN1
- 源IP:
192.168.1.1-192.168.1.254 - 目的IP:
0.0.0.0-255.255.255.255 - 出接口:WAN1
- 策略 3(内网互通优先):
- 接口:VLAN2
- 源IP:
192.168.2.1-192.168.2.254 - 目的IP:
192.168.1.1-192.168.1.254 - 出接口:LAN
- 策略 4(外网分流):
- 接口:VLAN2
- 源IP:
192.168.2.1-192.168.2.254 - 目的IP:
0.0.0.0-255.255.255.255 - 出接口:WAN2
暂无评论
一句话结论:策略路由(PBR)优先级高于普通路由,你现在把两个 VLAN 的流量都 “强制往外网走”,没有放过 VLAN→VLAN 的内网流量,所以互访被 PBR 拦截了。
一、为什么会不通(原理)
ER5200G3-X 默认:
两个 VLAN 接口配了 IP → 直连路由自动生成,VLAN 间默认互通
你做了策略路由:
VLAN10 → 走 WAN1
VLAN20 → 走 WAN2
问题:PBR 是先匹配、先转发。VLAN10→VLAN20 的流量,进入路由器后先被 PBR 匹配,直接发给 WAN1,不会走内网直连路由,导致互访失败。
二、Web 界面快速解决(推荐)
思路:策略路由里先放行内网互访,再做外网强制
假设:
VLAN10:192.168.10.0/24
VLAN20:192.168.20.0/24
WAN1、WAN2 为两条外网
1)先建 ACL,匹配 “VLAN 间互访流量”
菜单:高级配置 → ACL → 新建 ACL(高级 ACL 3000)
规则 1:允许 192.168.10.0/24 → 192.168.20.0/24
规则 2:允许 192.168.20.0/24 → 192.168.10.0/24
动作:允许
2)修改策略路由,加 “内网优先” 节点
菜单:高级配置 → 路由 → 策略路由
找到你原来的策略(假设叫 PBR-WAN),插入 / 新增一个靠前节点(node 5):
节点 5(permit):
匹配:ACL 3000(VLAN 互访流量)
不配置 apply next-hop / 出接口 → 意思:不强制往外,交给普通路由(内网互通)
原来的节点(node 10/20)保持不变:
匹配 VLAN10 → 走 WAN1
匹配 VLAN20 → 走 WAN2
3)保存并应用
确保策略路由应用在两个 VLAN 接口入方向
测试:VLAN10 ↔ VLAN20 能通,同时各自走指定外网
三、命令行对照(Console/SSH)
bash
运行
# 1. 定义ACL放行互访
acl advanced 3000
rule permit ip source 192.168.10.0 0.0.0.255 destination 192.168.20.0 0.0.0.255
rule permit ip source 192.168.20.0 0.0.0.255 destination 192.168.10.0 0.0.0.255
quit
# 2. 策略路由:先放行内网,再强制外网
policy-based-route PBR-WAN permit node 5
if-match acl 3000
# 不写apply,即走普通路由
quit
policy-based-route PBR-WAN permit node 10
if-match ip-prefix VLAN10
apply output-interface WAN1
quit
policy-based-route PBR-WAN permit node 20
if-match ip-prefix VLAN20
apply output-interface WAN2
quit
# 3. 在VLAN接口应用
interface Vlan-interface 10
ip policy-based-route PBR-WAN
quit
interface Vlan-interface 20
ip policy-based-route PBR-WAN
quit
四、常见漏配检查
ACL 是否双向:必须同时允许 VLAN10→20 和 20→10
节点顺序:内网放行节点(node5)一定要在强制外网节点之前
是否应用错接口:PBR 要应用在VLAN 三层接口,不是物理口
防火墙是否拦截:安全专区→防火墙→出站策略,别误加了拒绝 VLAN 间的规则
暂无评论
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论