交换机
园区网交换机
数据中心与云计算交换机
中小网络精简型交换机
工业交换机
意图网络指挥官
无线
放装型无线接入点
墙面型无线接入点
智分无线接入点
室外无线接入点
场景化无线
无线控制器
小锐A系列
统一运维
身份管理
服务产品
运营商
政府
金融
互联网
电力能源
制造业
高教/职教
医疗卫生
交通
地产酒店文旅·连锁服务
公共安全
1)故障描述
vlan 10 内的用户IP地址为:172.21.235.0和10.127.76.0,希望这两个网段的用户访问公网通过RSR20(192.168.173.1),同时可以通过防火墙(192.168.174.253)访问A和B网段。
在S3760上增加了指向防火墙的A,B网段的静态路由,具体如下:
ip route 10.37.0.0 255.255.0.0 192.168.174.253
ip route 10.37.31.0 255.255.255.0 192.168.174.253
ip route 10.37.31.101 255.255.255.255 192.168.174.253
ip route 10.80.0.0 255.255.0.0 192.168.174.253
ip route 10.127.78.0 255.255.255.0 192.168.174.253
同时策略路由修改为:set ip default netx-hop 192.168.173.1,指向RSR20路由器, 但是发现vlan 10 内的用户访问A,B网段时,仍然会转发到RSR20上去
2)原因及规避方案
a、 S3760,S5760,s78系列产品不能支持策略路由优先级低于普通路由(包括静态路由,动态路由,缺省路由),因此,一直以来的 S3760,S5760,s78系列产品均是策略路由优先级高于普通路由,即市场反馈的那种情况,s3760配置set ip default next-hop xx不生效。
b、若要解决用户场景要求问题,可以对vlan10的两个网段用户也配置访问A,B网段的策略路由,且配置优先级比访问外网的RSR20的策略优先级高。
按现场的数据流走向需求,可以按如下配置PBR
ip access-list extended 100
permit ip 172.21.25.0 0.0.0.255 10.37.0.0 0.0.255.255
permit ip 172.21.25.0 0.0.0.255 10.80.0.0 0.0.255.255
permit ip 172.21.25.0 0.0.0.255 10.127.78.0 0.0.0.255
permit ip 10.127.76.0 0.0.0.255 10.37.0.0 0.0.255.255
permit ip 10.127.76.0 0.0.0.255 10.80.0.0 0.0.255.255
permit ip 10.127.76.0 0.0.0.255 10.127.78.0 0.0.0.255
ip access-list extended 110
permit ip 172.21.235.0 0.0.0.255 any
permit ip 10.127.76.0 0.0.0.255 any
route-map test permit 10
match ip address 100
set ip next-hop 192.168.174.253
route-map test permit 20
match ip address 110
set ip next-hop 192.168.173.1
interface vlan 10
ip policy route-map test
3)注意事项
a、在10.4以上的软件版本上,接口上如果应用了set ip default next-hop xx的route-map时,软件会报错,类似于Jun 30 10:27:49: %PBR-4-CHIP_UNSUPPORTED_ACTION: Set ip default next-hop in sequence 10 of route-map xx unsupported by chip.的日志提示。
b、10.3以下的版本没有错误的日志提示,需要注意。