■ 云南 盧立云

編者按：單位內(nèi)部劃分了三個網(wǎng)段，路由器有兩個出口，分別連接電信和移動兩個運營商，為防止其中一家運營商網(wǎng)絡中斷，在出口路由器上配置了策略路由，最近發(fā)現(xiàn)內(nèi)部幾個網(wǎng)段的終端相互無法訪問，經(jīng)過排查，是策略路由導致，通過修改策略故障得到解決。

圖1 單位網(wǎng)絡拓撲圖

單位幾年前建設了互聯(lián)網(wǎng)，采用星型拓撲結(jié)構(gòu)，分部在各樓層的互聯(lián)網(wǎng)終端接到樓層的互聯(lián)網(wǎng)交換機上，樓層互聯(lián)網(wǎng)交換機通過光纖接到匯聚交換機上，匯聚交換機劃分3個VLAN，方便用戶上網(wǎng)和管理，匯聚交換機上聯(lián)端口為Trunk口，它與出口路由器R1采用單臂路由的方式連接，分部的路由器R2下聯(lián)一個網(wǎng)段，地址為：192.168.2.X，R2上聯(lián)口地址為 ：172.19.21. 2/24，采用NAT方式連接出口路由器R1，R1與R2連接的端口為fa0/0/0,地址為172.19.21.1/24；出口路由器R1的Gi0/0口接電信設備，出口帶寬500M；R1的Gi0/2口接移動設備，出口帶寬50M，作為備用線路。拓撲結(jié)構(gòu)如圖1所示。

為避免其中一家運營商網(wǎng)絡故障導致單位互聯(lián)網(wǎng)中斷，業(yè)務無法開展，在出口路由器R1上配置了策略路由，通過定時ping運營商的地址并檢查回包來檢測電信或移動鏈路是否可用，一旦電信或移動鏈路故障，策略路由就將流量重定向到另一條備用鏈路，保證業(yè)務不中斷，在鏈路恢復正常后，策略路由又將流量重定向到首選鏈路上。

策略路由配置好以后，內(nèi)網(wǎng)終端訪問互聯(lián)網(wǎng)沒有問題，試著關閉路由器R1的一個出端口，策略路由也能及時切換線路，保證業(yè)務正常開展。但是運行一段時間以后，發(fā)現(xiàn)路由器下端的幾個VLAN內(nèi)終端無法相互訪問，彼此無法傳送信息，還有就是用終端對樓層交換機無法進行管理。

問題發(fā)現(xiàn)

圖2 單位內(nèi)網(wǎng)ping不通其他設備

圖3 可以ping通網(wǎng)關

圖4 路由跟蹤

單位內(nèi)部終端上互聯(lián)網(wǎng)沒有問題，最近在VLAN25下的一臺終端（IP地址：192.168.1.25），要 訪 問VLAN20內(nèi)的終端，并對VLAN27內(nèi)的交換設備進行管理，結(jié)果都無法訪問，ping對端IP也不通，故障現(xiàn)象如圖2：ping不通其他設備，試著ping以上VLAN的網(wǎng)關，都能ping通，如圖3：可以ping通網(wǎng)關。通過路由跟蹤，發(fā)現(xiàn)數(shù)據(jù)包并沒有在內(nèi)網(wǎng)的網(wǎng)段之間轉(zhuǎn)發(fā)，而是直接通過移動鏈路出口到運營商網(wǎng)絡中（路由策略針對該源地址首選移動鏈路出口），ping不通也就是必然了，如圖4：路由跟蹤。

原因分析

基于上面的問題，通過查看路由器配置，仔細查找原因，發(fā)現(xiàn)路由器有兩個默認路由ip route 0.0.0.0 0.0.0.0 61.138. 215.97 track 1和ip route 0.0.0.0 0.0.0.0 10.120.15.129 20 track 2，但是直連路由優(yōu)先級比它高，應該不受它影響，路由器還配有策略路由，即：

ipaccess-listextended YD-ACL

permit ip host 192.168.1.25 any

！

route-map 1209-YD permit 10

match ip address YDACL

set ip next-hop verify-availability 10.120.15.129 1 track 2

set ip next-hop verify-availability 61.138.215.97 2 track 1

！

route-map 1209-YD permit 20

set ip next-hop verify-availability 61.138.215.97 1 track 1

set ip next-hop verify-availability 10.120.15.129 2 track 2

！

Route-map中定義了兩個序列號10和20，按照自上而下的順序執(zhí)行，序列號10是若匹配源地址192.168.1.25，即筆者測試終端的IP ，其流量被重定向到移動鏈路，如果移動鏈路中斷，流量就走備選電信鏈路；序列號20即其他情況，所有其它流量被重定向到電信鏈路，一旦電信線路中斷，走備選移動鏈路。從跟蹤的情況看，策略路由優(yōu)先于其他路由，將測試終端的所有流量都定向到移動鏈路上了，不管是訪問互聯(lián)網(wǎng)還是訪問內(nèi)網(wǎng)，就造成不能訪問內(nèi)部其他網(wǎng)段設備的情況。

圖5 問題解決

問題解決

找到了問題的根源，排除起來就有了思路，只要區(qū)分目的地址是訪問互聯(lián)網(wǎng)還是內(nèi)部網(wǎng)段，在策略路由中進行配置，跳出路由策略即可，具體為：

ipaccess-listextended To-Lan

permitipany172.19.21.00.0.0.255

permitipany172.17.20.00.0.0.255

permitipany172.17.27.00.0.0.255

permitipany192.168.1.00.0.0.255

！

route-map 1209-YD permit 5

match ip address To-Lan

！

在路由器原有配置中添加到內(nèi)部其他網(wǎng)段的訪問列表To-Lan，并在Route-map中添加序列5，按照自上而下順序執(zhí)行的原則，序列5優(yōu)先被執(zhí)行，只要目的是訪問內(nèi)部網(wǎng)段，就直接跳出Route-map，按照路由表路由，問題就得到解決。

如圖5：問題解決。

經(jīng)驗總結(jié)

單位互聯(lián)網(wǎng)絡主要是內(nèi)部終端出口訪問互聯(lián)網(wǎng)，內(nèi)部終端之間互訪的情況較少，但也不是沒有，而且為了管理內(nèi)部網(wǎng)絡的交換設備和其他操作，實現(xiàn)內(nèi)部網(wǎng)絡各網(wǎng)段互訪是有必要的。

因此，在配置策略路由時要全面考慮，不僅要實現(xiàn)內(nèi)部終端訪問互聯(lián)網(wǎng)的路由策略，還要實現(xiàn)內(nèi)部各網(wǎng)段的訪問。