本帖最后由 陈璨 于 2021-3-29 13:53 编辑
标识表示: \\后为描述内容 ----后为po主说的话 【前言】
这个是上周偶遇的小问题,一度怀疑自己。 【环境描述】 客户AC网关部署,一条专线,两条PPPOE线路。内网两条LAN口 【问题描述】 客户:割接上了新的AC之后,有个网站就不能访问了。 ----您之前是怎么样可以访问的呢? 客户:就这样可以访问啊,我也不知道你们 ----那我这边给您排查一下看看,辛苦给个远程 客户:好的 \\(上网行为策略新增允许、开启全局排除IP、开启定向直通)排查三连 \\然而并没有什么用,客户反馈依然不能正常访问 ----您之前是只有专线去访问这个网站吧?现在我看是加了两条pppoe线路 客户:对,应该是这样。之前是用专线访问的。 ----好的我这边帮您把访问这个网站的线路固定到专线上试一下 \\配置了一条优先负载策略路由
\\网口选择ETH3(专线)
\\依然是不能正常访问网页 \\通过tracert追路由发现,做策略路由之后,仍然通过pppoe线路访问网站,而不是通过专线。也就是通过ETH5 14.x.x.x出去到公网访问网站的,而不是ETH3的59.x.x.x
\\开始怀疑人生,策略路由咋就不生效?也没配错啊
----您好,您这边也PC直连专线试一下,看能不能访问网站 客户:好的,我这边试了一下。可以正常访问的
\\基于以上情况,判断是AC上路由问题,开始具体排查策略。 \\基于路由优先顺序,配置一条静态路由 目的指向网站IP,下一跳 设置为专线出口的网关
\\配置完静态路由之后即刻可以访问,于是仔细检查配置的策略,发现了一个小问题。接口区域中的区域与线路的对应关系和优先负载策略中的区域与线路对应关系不一致。导致我在策略中选择ETH3,实际上选择的是WAN1区域的线路,也就是pppoe5。这个问题造成了策略路由不按配置的走专线(ETH3/WAN2)。
【规避方法】 1、该问题比较少见,按照网口所在区域选择网口即可 |