• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
  • 全部
  • 全部
产品线
搜索
取消
案例类型
发布者
是否解决
是否官方
时间
高级搜索

策略路由所引发的思考

2017-06-06 发表
  • 0关注
  • 0收藏,1073浏览
陈立 四段
粉丝:2人 关注:0人

  

一、问题描述

-        客户环境大致如上所示,有多个出口,针对内网网段2.2.2.2做了策略路由,下一跳为电信出口,为防止在RT1内网接口G0/0/0上配置策略路由后导致内网2.2.2.2访问3.3.3.3时数据包也丢到公网侧,故在写感兴趣数据流时将源2.2.2.2到目的3.3.3.3的流量deny掉了,其他的访问外网流量正常丢到公网侧。但是配置后却发现源2.2.2.2到目的3.3.3.3还是不通,这是什么原因导致的呢?客户还在路由器RT1侧配置了dhcp中继,中继到下挂的内dhcp服务器(RT3),内网RT2侧主机dhcp无法拿到ip地址,但是在定义策略路由时将目的地址为广播的流量匹配上,地址就可以拿到了,想到这里,估计应该可以猜出是策略路由在作怪

 

二、组网环境

拓扑:(这里的拓扑和客户实际环境有些区别,客户是交换机外接两个出口路由器,这里测试是路由器外接两个路由器)

 

三、原因分析

-        分析:1)问题一:内网网段间无法访问。首先;在配置策略路由时,策略路由中所调用的acl只是用来匹配感兴趣数据流的,本身并不带允许或者deny动作,如果想要放通内网流量可以单独写一个acl去匹配内网流量,该acl在策略路由中调用时不写具体的apply动作,缺省就可以,另外在写一个acl,该acl可以写permit ip sou any,针对第二个acl感兴趣数据流主要是当第一个内网网段不匹配时,所执行的动作。根据该图客户的需求即其他流量要丢向电信侧,所以需要针对第二个aclapply动作,下一跳为电信地址。2)问题二:dhcp客户端无法拿到ip地址。实际上,策略路由针对dhcp发生的广播包流量也会匹配按照策略路由转发的,所以导致dhcp请求包时间都丢给了公网侧,内网服务器侧无法收到请求包,故客户端获取不到地址

四、设备配置及测试过程:

RT1出口设备配置:

<RT1>dis cu

#

 version 5.20, Release H3C

#

 sysname RT1

#

 undo voice vlan mac-address 00e0-bb00-0000

#

 dhcp relay server-group 10 ip 10.1.13.3

#

 domain default enable system

#

 rpr mac-address timer aging 100

#

acl number 3000

 rule 0 permit ip source 2.2.2.2 0 destination 3.3.3.3 0

 rule 5 permit ip destination 255.255.255.255 0

acl number 3001

 rule 0 permit ip

#

vlan 1

#

domain system

 access-limit disable

 state active  

 idle-cut disable

 self-service-url disable

#              

user-group system

#

wlan rrm

 dot11a mandatory-rate 6 12 24

 dot11a supported-rate 9 18 36 48 54

 dot11b mandatory-rate 1 2

 dot11b supported-rate 5.5 11

 dot11g mandatory-rate 1 2 5.5 11

 dot11g supported-rate 6 9 12 18 24 36 48 54

#

attack-defense policy 1

#

interface Serial0/1/0

 link-protocol ppp

#

interface Serial0/1/1

 link-protocol ppp

#

interface Serial0/1/2

 link-protocol ppp

#

interface Serial0/1/3

 link-protocol ppp

#              

interface NULL0

#

interface Ethernet0/4/0

 port link-mode bridge

#

interface Ethernet0/4/1

 port link-mode bridge

#

interface Ethernet0/4/2

 port link-mode bridge

#

interface Ethernet0/4/3

 port link-mode bridge

#

interface Ethernet0/4/4

 port link-mode bridge

#

interface Ethernet0/4/5

 port link-mode bridge

#

interface Ethernet0/4/6

 port link-mode bridge

#              

interface Ethernet0/4/7

 port link-mode bridge

#

interface GigabitEthernet0/0/0

 port link-mode route

 ip address 10.1.12.1 255.255.255.0

 dhcp select relay

 dhcp relay server-select 10

 ip policy-based-route celue

#

interface GigabitEthernet0/0/1

 port link-mode route

 ip address 10.1.13.1 255.255.255.0

#

interface GigabitEthernet0/0/2

 port link-mode route

 nat outbound

 ip address 10.1.14.1 255.255.255.0

#

interface GigabitEthernet0/0/3

 port link-mode route

 nat outbound

 ip address 10.1.15.1 255.255.255.0

#

policy-based-route celue permit node 10

   if-match acl 3000

policy-based-route celue permit node 20

   if-match acl 3001

   apply ip-address next-hop 10.1.14.4

#

 ip route-static 0.0.0.0 0.0.0.0 10.1.14.4

 ip route-static 0.0.0.0 0.0.0.0 10.1.15.5

 ip route-static 2.2.2.2 255.255.255.255 10.1.12.2

 ip route-static 3.3.3.3 255.255.255.255 10.1.13.3

#

 dhcp enable

#

 load xml-configuration

#

 load tr069-configuration

#

user-interface con 0

user-interface vty 0 4

#

Return

RT2配置:

<RT2>dis cu

#

 version 5.20, Release H3C

#

 sysname RT2

#

 undo voice vlan mac-address 00e0-bb00-0000

#

 domain default enable system

#

 rpr mac-address timer aging 100

#

vlan 1

#

domain system

 access-limit disable

 state active

 idle-cut disable

 self-service-url disable

#

user-group system

#

wlan rrm

 dot11a mandatory-rate 6 12 24

 dot11a supported-rate 9 18 36 48 54

 dot11b mandatory-rate 1 2

 dot11b supported-rate 5.5 11

 dot11g mandatory-rate 1 2 5.5 11

 dot11g supported-rate 6 9 12 18 24 36 48 54

#

attack-defense policy 1

#

interface Serial0/1/0

 link-protocol ppp

#

interface Serial0/1/1

 link-protocol ppp

#

interface Serial0/1/2

 link-protocol ppp

#

interface Serial0/1/3

 link-protocol ppp

#

interface NULL0

#

interface LoopBack0

 ip address 2.2.2.2 255.255.255.255

#

interface Ethernet0/4/0

 port link-mode bridge

#

interface Ethernet0/4/1

 port link-mode bridge

#

interface Ethernet0/4/2

 port link-mode bridge

#

interface Ethernet0/4/3

 port link-mode bridge

#

interface Ethernet0/4/4

 port link-mode bridge

#

interface Ethernet0/4/5

 port link-mode bridge

#

interface Ethernet0/4/6

 port link-mode bridge

#

interface Ethernet0/4/7

 port link-mode bridge

#

interface GigabitEthernet0/0/0

 port link-mode route

 ip address dhcp-alloc

#

interface GigabitEthernet0/0/1

 port link-mode route

 ip address dhcp-alloc

#

interface GigabitEthernet0/0/2

 port link-mode route

#

interface GigabitEthernet0/0/3

 port link-mode route

#

 ip route-static 0.0.0.0 0.0.0.0 10.1.12.1

#

 load xml-configuration

#

 load tr069-configuration

#

user-interface con 0

user-interface vty 0 4

#

Return

RT3配置:

<RT3>dis cu

#

 version 5.20, Release H3C

#

 sysname RT3

#

 undo voice vlan mac-address 00e0-bb00-0000

#

 domain default enable system

#

 rpr mac-address timer aging 100

#

vlan 1

#

domain system

 access-limit disable

 state active

 idle-cut disable

 self-service-url disable

#

dhcp server ip-pool 10

 network 10.1.12.0 mask 255.255.255.0

 gateway-list 10.1.12.1

#

user-group system

#

wlan rrm

 dot11a mandatory-rate 6 12 24

 dot11a supported-rate 9 18 36 48 54

 dot11b mandatory-rate 1 2

 dot11b supported-rate 5.5 11

 dot11g mandatory-rate 1 2 5.5 11

 dot11g supported-rate 6 9 12 18 24 36 48 54

#

attack-defense policy 1

#

interface Serial0/1/0

 link-protocol ppp

#

interface Serial0/1/1

 link-protocol ppp

#

interface Serial0/1/2

 link-protocol ppp

#

interface Serial0/1/3

 link-protocol ppp

#              

interface NULL0

#

interface LoopBack0

 ip address 3.3.3.3 255.255.255.255

#

interface Ethernet0/4/0

 port link-mode bridge

#

interface Ethernet0/4/1

 port link-mode bridge

#

interface Ethernet0/4/2

 port link-mode bridge

#

interface Ethernet0/4/3

 port link-mode bridge

#

interface Ethernet0/4/4

 port link-mode bridge

#

interface Ethernet0/4/5

 port link-mode bridge

#              

interface Ethernet0/4/6

 port link-mode bridge

#

interface Ethernet0/4/7

 port link-mode bridge

#

interface GigabitEthernet0/0/0

 port link-mode route

#

interface GigabitEthernet0/0/1

 port link-mode route

 ip address 10.1.13.3 255.255.255.0

#

interface GigabitEthernet0/0/2

 port link-mode route

#

interface GigabitEthernet0/0/3

 port link-mode route

#

 ip route-static 0.0.0.0 0.0.0.0 10.1.13.1

#

 dhcp enable

#              

 load xml-configuration

#

 load tr069-configuration

#

user-interface con 0

user-interface vty 0 4

#

return

 

测试过程:

RT1上策略路由配置方法:

acl number 3000

 rule 0 permit ip source 2.2.2.2 0 destination 3.3.3.3 0

 rule 5 permit ip destination 255.255.255.255 0

acl number 3001

 rule 0 permit ip

dhcp relay server-group 10 ip 10.1.13.3

interface GigabitEthernet0/0/0

 port link-mode route

 ip address 10.1.12.1 255.255.255.0

 dhcp select relay

dhcp relay server-select 10

 ip policy-based-route celue

 清空RT1上的acl统计数目,在RT2ping测试看是否有包匹配到:

 

 可以清晰的看到有包匹配到,内网将互访没有问题

Dhcp测试分析:

RT2接口地址改为自动获取:(配置为自动获取地址前先清空下acl统计数目,看广播流量是否匹配到)

 

RT1上可以清晰看到广播流量也被匹配到了,这也就是dhcp客户端为什么拿不到地址的原因了

          五、注意事项

-        特别注意策略路由中的acl只是用来匹配流量使用,其acl中的动作并没有实际意义。可以理解为和MQCacl的作用一致。

-        策略路由优先于路由表,虽然可以手动来干预路由的转发,但是需要注意,他有时也会带来问题,需要结合客户现网环境做灵活部署。

0 个评论

该案例暂时没有网友评论

编辑评论

举报

×

侵犯我的权益 >
对根叔知了社区有害的内容 >
辱骂、歧视、挑衅等(不友善)

侵犯我的权益

×

泄露了我的隐私 >
侵犯了我企业的权益 >
抄袭了我的内容 >
诽谤我 >
辱骂、歧视、挑衅等(不友善)
骚扰我

泄露了我的隐私

×

您好,当您发现根叔知了上有泄漏您隐私的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您认为哪些内容泄露了您的隐私?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)

侵犯了我企业的权益

×

您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
  • 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
  • 3. 是哪家企业?(营业执照,单位登记证明等证件)
  • 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔知了社区有害的内容

×

垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载 >
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票

不规范转载

×

举报说明

提出建议

    +
<

亲~登录后才可以操作哦!

确定

你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作