本帖最后由 云·老刘 于 2019-3-1 14:26 编辑
随便看看,文笔不好 总部子网:10.0.0.0/16,有三层,AF网关, 分支1子网:192.168.0.0/16,有三层,AF网关 分支2子网:172.16.0.0/16,二层,AF网关, 烂图懒得画,凑活看吧
1、总部分别和分之一、分支二进行了某公司对接(感兴趣流全为各地子网),没问题; 2、总部和分支一之间有裸光纤作为主用,某公司 VPN作为备用;裸光纤通过某为三层交换机互连,通过静态路由关联BFD TRACK探测链路有效性; 具体交换机路由如下: 分支1BFD路由: 0.0.0.0/0 下一跳 1.0.0.1(裸光纤)关联BFD TRACK(主用上网及访问总部服务器) 分支1备份路由: 0.0.0.0/0 下一跳 1.1.2.1(AF内网口)优先级120(备用上网) 总部BFD路由:192.168.0.0/16 下一跳 1.0.0.2(裸光纤)关联BFD TRACK(给分支的回包) 总部静态路由:0.0.0.0/0 下一跳1.1.3.2(AF内网口),总部上网路由 1、BFD路由切换无问题,测试了一下基本丢1个包就可以迅速切换路由 2、分之1和总部连接,使用裸光纤时,可以正常访问服务器,但无法上网,经排查总部由于和分支1对接了VPN,所以192.168.0.0/16路由是丢向VPN的,此时完整的数据方向(假设客户端为192.168.0.2)为如下,问题出在红色部分: 192.168.0.2》分支1核心》裸光纤1.0.0.1(总部核心)》防火墙》VPN链路 3、既然发现了路由在返回时没有选择正确的路由,那么启用AF的一个功能应该可以解决,VPN高级设置中的『与专线互备路由』,根据提示得知(引用手册描述): 与专线互备路由功能源于用户网络有专线连接,VPN 需要作为专线的备份的场景。默认情况下,设备上VPN 路由 优先于静态路由,开启了VPN 与专线互备路由功能后,路由优先级调整为:静态路由/动态路由>策略路由(专线)>VPN路由。
4、按照指引进行操作,开启『与专线互备路由』功能,经过拓扑分析决定,只需要在总部设备设定即可,配置了策略路由(192.168.0.0/16,下一跳指向1.1.3.1,开启故障检测,检测地址为裸光纤下一跳1.0.0.2);此时配置好,分支1可以上网,以为大功告成; 5、陆续发现各种问题:分支二无法访问总部服务器,分支一虽可上网,但无法访问总部AF上的双向端口映射; 6、继续排查,总部设备做路由测试得知,由于总部设备有做上网分流的设定,而策略路由分流设置中选择目的地址为全部,导致路由无法正常匹配,因为此时的路由优先级为:静态>策略>VPN 将策略路由的目的地址全部修改为自定义范围:我就不贴了,太多了,除了内网地址段以外的地址范围;此时全部访问正常,但是不得不说,只有太复杂,而且导致设备CPU飙升(不知道是不是路由太多导致,没做排查)
1、策略路由配置引发多次的路由波动,甚至调一下顺序要断网1-2次; 2、策略路由和其他功能配合使用时,所引起的问题可能较多,需要评估实施; 3、启用『与专线互备路由』功能时,同时有多分支互联时,策略路由如果配了上网线路分流,要么停用,要么做很复杂的修改;
其实我觉得这个解决问题的方法有些累人,因为配置过某为的设备,觉得比较方便,希望在策略路由中可以添加一个功能,可定义xxx到xxx不匹配策略路由的。 下图乱入
|