解决内网终端无法访问其他网段故障

2018-11-22 06:09云南卢立云

网络安全和信息化 2018年11期

■ 云南卢立云

编者按：单位内部划分了三个网段，路由器有两个出口，分别连接电信和移动两个运营商，为防止其中一家运营商网络中断，在出口路由器上配置了策略路由，最近发现内部几个网段的终端相互无法访问，经过排查，是策略路由导致，通过修改策略故障得到解决。

图1 单位网络拓扑图

单位几年前建设了互联网，采用星型拓扑结构，分部在各楼层的互联网终端接到楼层的互联网交换机上，楼层互联网交换机通过光纤接到汇聚交换机上，汇聚交换机划分3个VLAN，方便用户上网和管理，汇聚交换机上联端口为Trunk口，它与出口路由器R1采用单臂路由的方式连接，分部的路由器R2下联一个网段，地址为：192.168.2.X，R2上联口地址为：172.19.21. 2/24，采用NAT方式连接出口路由器R1，R1与R2连接的端口为fa0/0/0,地址为172.19.21.1/24；出口路由器R1的Gi0/0口接电信设备，出口带宽500M；R1的Gi0/2口接移动设备，出口带宽50M，作为备用线路。拓扑结构如图1所示。

为避免其中一家运营商网络故障导致单位互联网中断，业务无法开展，在出口路由器R1上配置了策略路由，通过定时ping运营商的地址并检查回包来检测电信或移动链路是否可用，一旦电信或移动链路故障，策略路由就将流量重定向到另一条备用链路，保证业务不中断，在链路恢复正常后，策略路由又将流量重定向到首选链路上。

策略路由配置好以后，内网终端访问互联网没有问题，试着关闭路由器R1的一个出端口，策略路由也能及时切换线路，保证业务正常开展。但是运行一段时间以后，发现路由器下端的几个VLAN内终端无法相互访问，彼此无法传送信息，还有就是用终端对楼层交换机无法进行管理。

问题发现

图2 单位内网ping不通其他设备

图3 可以ping通网关

图4 路由跟踪

单位内部终端上互联网没有问题，最近在VLAN25下的一台终端（IP地址：192.168.1.25），要访问VLAN20内的终端，并对VLAN27内的交换设备进行管理，结果都无法访问，ping对端IP也不通，故障现象如图2：ping不通其他设备，试着ping以上VLAN的网关，都能ping通，如图3：可以ping通网关。通过路由跟踪，发现数据包并没有在内网的网段之间转发，而是直接通过移动链路出口到运营商网络中（路由策略针对该源地址首选移动链路出口），ping不通也就是必然了，如图4：路由跟踪。

原因分析

基于上面的问题，通过查看路由器配置，仔细查找原因，发现路由器有两个默认路由ip route 0.0.0.0 0.0.0.0 61.138. 215.97 track 1和ip route 0.0.0.0 0.0.0.0 10.120.15.129 20 track 2，但是直连路由优先级比它高，应该不受它影响，路由器还配有策略路由，即：

ipaccess-listextended YD-ACL

permit ip host 192.168.1.25 any

！

route-map 1209-YD permit 10

match ip address YDACL

set ip next-hop verify-availability 10.120.15.129 1 track 2

set ip next-hop verify-availability 61.138.215.97 2 track 1

！

route-map 1209-YD permit 20

set ip next-hop verify-availability 61.138.215.97 1 track 1

set ip next-hop verify-availability 10.120.15.129 2 track 2

！

Route-map中定义了两个序列号10和20，按照自上而下的顺序执行，序列号10是若匹配源地址192.168.1.25，即笔者测试终端的IP ，其流量被重定向到移动链路，如果移动链路中断，流量就走备选电信链路；序列号20即其他情况，所有其它流量被重定向到电信链路，一旦电信线路中断，走备选移动链路。从跟踪的情况看，策略路由优先于其他路由，将测试终端的所有流量都定向到移动链路上了，不管是访问互联网还是访问内网，就造成不能访问内部其他网段设备的情况。

图5 问题解决

问题解决

找到了问题的根源，排除起来就有了思路，只要区分目的地址是访问互联网还是内部网段，在策略路由中进行配置，跳出路由策略即可，具体为：

ipaccess-listextended To-Lan

permitipany172.19.21.00.0.0.255

permitipany172.17.20.00.0.0.255

permitipany172.17.27.00.0.0.255

permitipany192.168.1.00.0.0.255

！

route-map 1209-YD permit 5

match ip address To-Lan

！

在路由器原有配置中添加到内部其他网段的访问列表To-Lan，并在Route-map中添加序列5，按照自上而下顺序执行的原则，序列5优先被执行，只要目的是访问内部网段，就直接跳出Route-map，按照路由表路由，问题就得到解决。

如图5：问题解决。

经验总结

单位互联网络主要是内部终端出口访问互联网，内部终端之间互访的情况较少，但也不是没有，而且为了管理内部网络的交换设备和其他操作，实现内部网络各网段互访是有必要的。

因此，在配置策略路由时要全面考虑，不仅要实现内部终端访问互联网的路由策略，还要实现内部各网段的访问。