交换机
园区网交换机
数据中心与云计算交换机
行业精选交换系列
工业交换机
意图网络指挥官
无线
放装型无线接入点
墙面型无线接入点
智分无线接入点
室外无线接入点
场景化无线
无线控制器
行业精选无线系列
物联网
安全
大数据安全平台
下一代防火墙
安全网关
检测管理安全
安全服务
安全云
统一运维
身份管理
服务产品
运营商
政府
金融
互联网
电力能源
制造业
高教/职教
医疗卫生
交通
地产酒店文旅·连锁服务
公共安全
关键词:PBR、ACL计数,抓包
网关交换机配置外网来回路径策略路由引流,发现外网回应终端流量没有引流流量。
设备型号:S6000C-48GT4XS-E
软件版本:S6000E_RGOS 11.4(1)B12P8
1、涉及到策略路由引流的部分,优先考虑将现场的拓扑环境整理清楚,再将流量路径画出。
2、确定流量经过设备的时候没有匹配策略路由,这个时候可以判断问题出现在交换机上,具体查看配置是否正常下发到底层等信息。
3、若发现流量根本不经过交换机,肯定不会触发策略路由功能,需要根据现场环境判断是否是正常路径还是异常路径。
4、若判断为正常路径,可以与现场沟通具体需求,若判断为异常路径则对流量路径进行排查,具体流量路径发生异常的原因。
一、针对现场的拓扑环境进行整理
1、从拓扑上查看,结合现场的交换机ACL计数匹配流量,发现内网用户访问外网的时候,流量路径是正常的,策略路由也正常匹配
2、从拓扑上查看,结合现场的交换机ACL计数匹配流量,发现外网回应内网用户的时候,流量路径是异常的,流量不经过网关交换机,无法触发策略路由。
3、在终端上进行抓包查看,发现回包的流量源MAC是防火墙,正常情况下应该是网关设备,透传交换机正常按照目的MAC进行查表转发,怀疑防火墙上有终端的MAC信息(二层可达的时候有)
4、在防火墙上查看配置,发现防火墙上存在于终端同VLAN的IP,透传交换机上也正常放通该VLAN,可以判断出回包的时候防火墙封装报文目的MAC填了终端MAC
5、在防火墙上删除了终端用户对于的VLAN参数,最终实现正常的流量路径,策略路由正常生效
故障原因说明:由于现场特殊的组网环境,并且防火墙和终端可以二层互通,导致数据包回包直接被透传交换机转发给终端,没有转发到网关交换机上,最终无法触发回包的策略路由。
1、 修改防火墙上的配置,正常情况下需要网关交换机三层转发访问
1、 对策略路由功能原因熟悉,从基础的流量是否经过设备进行判断
2、 需要整理好现场的流量路径,熟练的使用ACL计数进行判断,不能只听客户描述
3、 流量路径异常的时候思考产生的原因