S6000E 策略路由不生效

发布时间：2023-04-13

点击量：682

关键词：PBR、ACL计数，抓包

一、故障现象

网关交换机配置外网来回路径策略路由引流，发现外网回应终端流量没有引流流量。

设备型号：S6000C-48GT4XS-E

软件版本：S6000E_RGOS 11.4(1)B12P8

1、涉及到策略路由引流的部分，优先考虑将现场的拓扑环境整理清楚，再将流量路径画出。

2、确定流量经过设备的时候没有匹配策略路由，这个时候可以判断问题出现在交换机上，具体查看配置是否正常下发到底层等信息。

3、若发现流量根本不经过交换机，肯定不会触发策略路由功能，需要根据现场环境判断是否是正常路径还是异常路径。

4、若判断为正常路径，可以与现场沟通具体需求，若判断为异常路径则对流量路径进行排查，具体流量路径发生异常的原因。

一、针对现场的拓扑环境进行整理

1、从拓扑上查看，结合现场的交换机ACL计数匹配流量，发现内网用户访问外网的时候，流量路径是正常的，策略路由也正常匹配

2、从拓扑上查看，结合现场的交换机ACL计数匹配流量，发现外网回应内网用户的时候，流量路径是异常的，流量不经过网关交换机，无法触发策略路由。

3、在终端上进行抓包查看，发现回包的流量源MAC是防火墙，正常情况下应该是网关设备，透传交换机正常按照目的MAC进行查表转发，怀疑防火墙上有终端的MAC信息（二层可达的时候有）

4、在防火墙上查看配置，发现防火墙上存在于终端同VLAN的IP，透传交换机上也正常放通该VLAN，可以判断出回包的时候防火墙封装报文目的MAC填了终端MAC

5、在防火墙上删除了终端用户对于的VLAN参数，最终实现正常的流量路径，策略路由正常生效

故障原因说明：由于现场特殊的组网环境，并且防火墙和终端可以二层互通，导致数据包回包直接被透传交换机转发给终端，没有转发到网关交换机上，最终无法触发回包的策略路由。

1、修改防火墙上的配置，正常情况下需要网关交换机三层转发访问

1、对策略路由功能原因熟悉，从基础的流量是否经过设备进行判断

2、需要整理好现场的流量路径，熟练的使用ACL计数进行判断，不能只听客户描述

3、流量路径异常的时候思考产生的原因

您可能还关注的问题