解決內(nèi)網(wǎng)終端無(wú)法訪問(wèn)其他網(wǎng)段故障

■ 云南 盧立云

編者按：?jiǎn)挝粌?nèi)部劃分了三個(gè)網(wǎng)段，路由器有兩個(gè)出口，分別連接電信和移動(dòng)兩個(gè)運(yùn)營(yíng)商，為防止其中一家運(yùn)營(yíng)商網(wǎng)絡(luò)中斷，在出口路由器上配置了策略路由，最近發(fā)現(xiàn)內(nèi)部幾個(gè)網(wǎng)段的終端相互無(wú)法訪問(wèn)，經(jīng)過(guò)排查，是策略路由導(dǎo)致，通過(guò)修改策略故障得到解決。

圖1 單位網(wǎng)絡(luò)拓?fù)鋱D

單位幾年前建設(shè)了互聯(lián)網(wǎng)，采用星型拓?fù)浣Y(jié)構(gòu)，分部在各樓層的互聯(lián)網(wǎng)終端接到樓層的互聯(lián)網(wǎng)交換機(jī)上，樓層互聯(lián)網(wǎng)交換機(jī)通過(guò)光纖接到匯聚交換機(jī)上，匯聚交換機(jī)劃分3個(gè)VLAN，方便用戶上網(wǎng)和管理，匯聚交換機(jī)上聯(lián)端口為T(mén)runk口，它與出口路由器R1采用單臂路由的方式連接，分部的路由器R2下聯(lián)一個(gè)網(wǎng)段，地址為：192.168.2.X，R2上聯(lián)口地址為 ：172.19.21. 2/24，采用NAT方式連接出口路由器R1，R1與R2連接的端口為fa0/0/0,地址為172.19.21.1/24；出口路由器R1的Gi0/0口接電信設(shè)備，出口帶寬500M；R1的Gi0/2口接移動(dòng)設(shè)備，出口帶寬50M，作為備用線路。拓?fù)浣Y(jié)構(gòu)如圖1所示。

為避免其中一家運(yùn)營(yíng)商網(wǎng)絡(luò)故障導(dǎo)致單位互聯(lián)網(wǎng)中斷，業(yè)務(wù)無(wú)法開(kāi)展，在出口路由器R1上配置了策略路由，通過(guò)定時(shí)ping運(yùn)營(yíng)商的地址并檢查回包來(lái)檢測(cè)電信或移動(dòng)鏈路是否可用，一旦電信或移動(dòng)鏈路故障，策略路由就將流量重定向到另一條備用鏈路，保證業(yè)務(wù)不中斷，在鏈路恢復(fù)正常后，策略路由又將流量重定向到首選鏈路上。

策略路由配置好以后，內(nèi)網(wǎng)終端訪問(wèn)互聯(lián)網(wǎng)沒(méi)有問(wèn)題，試著關(guān)閉路由器R1的一個(gè)出端口，策略路由也能及時(shí)切換線路，保證業(yè)務(wù)正常開(kāi)展。但是運(yùn)行一段時(shí)間以后，發(fā)現(xiàn)路由器下端的幾個(gè)VLAN內(nèi)終端無(wú)法相互訪問(wèn)，彼此無(wú)法傳送信息，還有就是用終端對(duì)樓層交換機(jī)無(wú)法進(jìn)行管理。

問(wèn)題發(fā)現(xiàn)

圖2 單位內(nèi)網(wǎng)ping不通其他設(shè)備

圖3 可以ping通網(wǎng)關(guān)

圖4 路由跟蹤

單位內(nèi)部終端上互聯(lián)網(wǎng)沒(méi)有問(wèn)題，最近在VLAN25下的一臺(tái)終端（IP地址：192.168.1.25），要 訪 問(wèn)VLAN20內(nèi)的終端，并對(duì)VLAN27內(nèi)的交換設(shè)備進(jìn)行管理，結(jié)果都無(wú)法訪問(wèn)，ping對(duì)端IP也不通，故障現(xiàn)象如圖2：ping不通其他設(shè)備，試著ping以上VLAN的網(wǎng)關(guān)，都能ping通，如圖3：可以ping通網(wǎng)關(guān)。通過(guò)路由跟蹤，發(fā)現(xiàn)數(shù)據(jù)包并沒(méi)有在內(nèi)網(wǎng)的網(wǎng)段之間轉(zhuǎn)發(fā)，而是直接通過(guò)移動(dòng)鏈路出口到運(yùn)營(yíng)商網(wǎng)絡(luò)中（路由策略針對(duì)該源地址首選移動(dòng)鏈路出口），ping不通也就是必然了，如圖4：路由跟蹤。

原因分析

基于上面的問(wèn)題，通過(guò)查看路由器配置，仔細(xì)查找原因，發(fā)現(xiàn)路由器有兩個(gè)默認(rèn)路由ip route 0.0.0.0 0.0.0.0 61.138. 215.97 track 1和ip route 0.0.0.0 0.0.0.0 10.120.15.129 20 track 2，但是直連路由優(yōu)先級(jí)比它高，應(yīng)該不受它影響，路由器還配有策略路由，即：

ipaccess-listextended YD-ACL

permit ip host 192.168.1.25 any

！

route-map 1209-YD permit 10

match ip address YDACL

set ip next-hop verify-availability 10.120.15.129 1 track 2

set ip next-hop verify-availability 61.138.215.97 2 track 1

！

route-map 1209-YD permit 20

set ip next-hop verify-availability 61.138.215.97 1 track 1

set ip next-hop verify-availability 10.120.15.129 2 track 2

！

Route-map中定義了兩個(gè)序列號(hào)10和20，按照自上而下的順序執(zhí)行，序列號(hào)10是若匹配源地址192.168.1.25，即筆者測(cè)試終端的IP ，其流量被重定向到移動(dòng)鏈路，如果移動(dòng)鏈路中斷，流量就走備選電信鏈路；序列號(hào)20即其他情況，所有其它流量被重定向到電信鏈路，一旦電信線路中斷，走備選移動(dòng)鏈路。從跟蹤的情況看，策略路由優(yōu)先于其他路由，將測(cè)試終端的所有流量都定向到移動(dòng)鏈路上了，不管是訪問(wèn)互聯(lián)網(wǎng)還是訪問(wèn)內(nèi)網(wǎng)，就造成不能訪問(wèn)內(nèi)部其他網(wǎng)段設(shè)備的情況。

圖5 問(wèn)題解決

問(wèn)題解決

找到了問(wèn)題的根源，排除起來(lái)就有了思路，只要區(qū)分目的地址是訪問(wèn)互聯(lián)網(wǎng)還是內(nèi)部網(wǎng)段，在策略路由中進(jìn)行配置，跳出路由策略即可，具體為：

ipaccess-listextended To-Lan

permitipany172.19.21.00.0.0.255

permitipany172.17.20.00.0.0.255

permitipany172.17.27.00.0.0.255

permitipany192.168.1.00.0.0.255

！

route-map 1209-YD permit 5

match ip address To-Lan

！

在路由器原有配置中添加到內(nèi)部其他網(wǎng)段的訪問(wèn)列表To-Lan，并在Route-map中添加序列5，按照自上而下順序執(zhí)行的原則，序列5優(yōu)先被執(zhí)行，只要目的是訪問(wèn)內(nèi)部網(wǎng)段，就直接跳出Route-map，按照路由表路由，問(wèn)題就得到解決。

如圖5：?jiǎn)栴}解決。

經(jīng)驗(yàn)總結(jié)

單位互聯(lián)網(wǎng)絡(luò)主要是內(nèi)部終端出口訪問(wèn)互聯(lián)網(wǎng)，內(nèi)部終端之間互訪的情況較少，但也不是沒(méi)有，而且為了管理內(nèi)部網(wǎng)絡(luò)的交換設(shè)備和其他操作，實(shí)現(xiàn)內(nèi)部網(wǎng)絡(luò)各網(wǎng)段互訪是有必要的。

因此，在配置策略路由時(shí)要全面考慮，不僅要實(shí)現(xiàn)內(nèi)部終端訪問(wèn)互聯(lián)網(wǎng)的路由策略，還要實(shí)現(xiàn)內(nèi)部各網(wǎng)段的訪問(wèn)。