Print

不同vpn实例间通过路由策略引入部分直连路由不成功

2021-04-15 发表

组网及说明


g1/0/1属于neiwang实例,g1/0/2属于waiwang实例


问题描述

neiwang实例引入waiwang实例全部直连路由,waiwang实例引入neiwang实例部分直连路由

neiwang实例路由表正常


外网实例路由表引入不成功


过程分析

分析配置

  [H3C]dis cu configuration vpn
#
ip vpn-instance neiwang
 #
 address-family ipv4
  route-replicate from vpn-instance waiwang protocol direct
#
ip vpn-instance waiwang
 #
 address-family ipv4
  route-replicate from vpn-instance neiwang protocol direct route-policy neiwang
#

 [H3C]dis cu configuration route-policy
#
route-policy neiwang permit node 10
 if-match ip address acl 3001
#  

[H3C]dis acl 3001
Advanced IPv4 ACL 3001, 1 rule,
ACL"s step is 5
 rule 0 permit ip vpn-instance neiwang source 1.1.1.0 0.0.0.255
乍一看没什么问题,但是查询手册路由策略章节会发现if-match语句

路由策略使用非VPN的ACL进行路由过滤

解决方法

重新改写acl 3001

[H3C]acl advanced 3001
[H3C-acl-ipv4-adv-3001]rule 10 permit ip source 1.1.1.0 0.0.0.0  

此时查看waiwang实例路由表