路由器为SR6604,GRE隧道上业务全都是带vpn实例的,客户需要实现某一个vpn业务能放通,其他都不放通的效果,现场用qos实现。Acl匹配不放通的vpn-instance,并在traffic behavior中拒绝。
检查代理商的配置如下:
Advanced IPv4 ACL 3000, 6 rules,
ACL's step is 5
rule 0 permit ip vpn-instance DOS115
rule 5 permit ip vpn-instance FAS125
rule 10 permit ip vpn-instance ION171
rule 15 permit ip vpn-instance NRTS110
rule 20 permit ip vpn-instance VCS151
rule 25 permit ip vpn-instance VSS161
#
traffic classifier 1 operator and
if-match acl 3000
#
traffic behavior 1
filter deny
#
qos policy 1
classifier 1 behavior 1
interface Tunnel1 mode gre
ip address 1.1.1.2 255.255.255.252
mpls enable
mpls ldp enable
qos apply policy 1 outbound
source 192.168.20.2
destination 192.168.10.2
发现正确配置了类和流行为,也在qos策略中配置了CB对。
但是当带着需要拒绝的vpn实例ping测试时,发现第一个包总能ping通不会被拒绝,接下来的几个包能够被正常拒绝。
检查配置无误,通过长ping检测是随机丢包还是固定只丢第一个,发现不管ping多少个包,都只会通第一个,后面的都会被拒绝。
ping5个包测试,查看qos匹配的次数
dis qos policy interface Tunnel 1
Interface: Tunnel1
Direction: Outbound
Policy: 1
Classifier: 1
Matched : 4 (Packets) 352 (Bytes)
5-minute statistics:
Forwarded: 0/0 (pps/bps)
Dropped : 0/9 (pps/bps)
Operator: AND
Rule(s) :
If-match acl 3001
Behavior: 2
Filter enable: Deny
发现qos只匹配到了四个包,第一个包没有匹配到qos策略。
后来了解到,该原因是设备实现机制的问题:到达隧道口的报文已经是带vpn实例的报文,ACL要匹配的是 IP VPN ,但是只有快转情况才能匹配IP VPN,慢转不匹配IP VPN 。Ping报文的首报文是走慢转,因此无法匹配IP VPN ACL, 后续报文都是快转了,因此能匹配IP VPN 的 ACL 。
每一个五元组的首报文(没有建立快转的报文)无法匹配IP VPN ACL,会出现第一个包能通的现象,但其实不影响业务。 和客户沟通过后客户也表示理解,确实不影响业务。
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作