S5800交换机做策略路由不生效问题
一、 组网:
二、 问题描述:
某客户现有两个业务网段10.25.2.0/24、192.168.1.0/24,S5800上双出口,10网段默认先走vpn设备(10.25.1.1)出去,192.168.1.0网段默认先走U200出去,当其中任何一条线路down掉之后可以通过另外一条线路转发。
而且客户还是要实现网段之间可以互通,即10.25.2.0网段要和192.168.1.0网段之间互访。网关设在S5800上,通过策略路由实现以上需求。部分配置如下:
acl number 3010
description connect-to-VPN
rule 10 deny ip source 10.25.2.0 0.0.0.255 destination 192.168.1.0 0.0.0.255
rule 100 permit ip source 10.25.2.0 0.0.0.255
quit
policy-based-route VPN permit node 1
if-match acl 3010
apply ip-address next-hop 10.25.2.1
quit
interface vlan 25
ip policy-based-route VPN
在S5800上有int vlan 25地址为 10.25.2.254,int vlan 100的地址是 192.168.1.1。
三、 过程分析:
客户的需求是是10.25.2.0网段的流量,除了访问192.168.1.0网段的直接访问路由表,不做路由策略外,其余流量都通过路由策略设置下一跳为10.25.2.1。
路由策略if-match子句中使用了ACL,将忽略ACL规则的permit/deny动作,只使用ACL中的分类域来匹配报文。允许还是拒绝由 policy-based-route VPN permit node 1里的permit/deny字段决定。因而原配置的作用将导致10.25.2.0/24网段的流量全部重定向到10.25.2.1。
四、 解决方法:
更改配置如下:
acl number 3010
description connect-to-VPN
rule 10 permit ip source 10.25.2.0 0.0.0.255
quit
policy-based-route VPN permit node 1
if-match acl 3010
apply ip-address next-hop 10.25.2.1
quit
interface vlan 25
ip policy-based-route VPN
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作