在内网接口下应用策略路由后往往出现无法访问内网管理地址的现象,该举例给出解决办法。
解决方案
acl number 3000 //第一个网段地址
rule 5 permit ip source 192.168.1.0 0.0.0.255
acl number 3001 //第二个网段地址
rule 5 permit ip source 192.168.2.0 0.0.0.255
acl number 3002 //两个网段地址允许访问其网关
rule 5 permit ip source 192.168.1.0 0.0.0.255 destination 192.168.1.1 0
rule 10 permit ip source 192.168.2.0 0.0.0.255 destination 192.168.2.1 0
traffic classifier c0 if-match acl 3002
traffic classifier c1 if-match acl 3000
traffic classifier c2
if-match acl 3001
traffic behavior b0
permit //该条命令在配置成功后不会显示
traffic behavior b1
redirect ip-nexthop 10.10.10.1 //双出口之一
traffic behavior b2
redirect ip-nexthop 20.20.20.1 //双出口之一
traffic policy p1 //顺序很重要
classifier c0 behavior b0 //分类匹配行为 网段允许访问其网关
classifier c1 behavior b1 //分类匹配行为 192.168.1.0 网段重定向到 10.10.10.1
classifier c2 behavior b2 //分类匹配行为 192.168.2.0 网段重定向到 20.20.20.1
interface GigabitEthernet0/0/0
traffic-policy p1 inbound //内网接口入方向应用策略
特别注意:在此vlan的接口中应用以上策略还需注意,接口地址池无法DHCP自动获取IP地址的问题
因为此流量重定向后,DHCP的UDP 67,68号端口也需要放行,不然中断将无法通过DHCP获取地址
rule 5 permit udp source-port eq 67
rule 6 permit udp destination-port eq 67
rule 7 permit udp source-port eq 68
rule 8 permit udp destination-port eq 68
实际应用实例
