提示
X
本案例来自tskb,请前往tskb修改源内容:立即前往
'>

一、问题概述:静态路由不生效问题的可能原因和排查思路概述

|

问题描述

配置默认/静态路由,但此路由页面显示不生效或者匹配不上

告警信息

一、环境问题
1、需要匹配静态路由的数据未到达防火墙,导致误以为静态路由未成功转发;
//使用抓包工具确认数据有发送到防火墙,若是一个包都没有可抓一下arp数据,确认有学习到内网口对端的MAC
2、防火墙未学习到静态路由下一跳的MAC地址导致不生效;
//老架构使用:arp命令查看MAC表,新架构使用:show arp命令查看MAC表

二、配置问题
1、接口IP/掩码配置错误,导致本身到下一跳就不通;
//检查MAC表,以及测试防火墙本身到下一跳是否正常(可命令行ping一下)
2、路由正常匹配,但是被安全策略拦截;
//开启排障看数据是否有被拦截
3、开启了拨号自动生产默认路由时,自动生成的默认路由优先级会大于手动配置的默认路由,导致手动配置的默认路由不生效
//获取需要匹配路由的源目IP,进行路由模拟匹配测试,确认路由匹配情况
4、静态路由所指的链路故障导致路由无法匹配;
//检查是否有配置该链路的故障检测,且故障检测是否故障
5、双机主备场景未把监听口配全,导致接口双活;
//双机场景请注意检查双机状态是否正常
6、会话数跑满,新会话无法匹配路由
//检查页面的会话数是否跑满

三、产品问题
1、静态路由下发不成功,导致匹配不上

有效排查步骤

1、防火墙内网口抓包确认数据有正常发送到防火墙
2、进行路由模拟匹配确认此数据能够优先匹配上配置的默认/静态路由
3、开启排障,确认是否有策略拦截数据转发
4、若匹配上不通,则需检查路由下一跳的MAC地址是否正常学习到
5、检查路由下一跳的链路是否故障;
6、检查是否双机,配置的监视口不全引起接口双活
7、检查是否路由是否正常下发到设备后台

解决方案

详细排查步骤讲解请参考下一页

我要分享
文档编号: 221631
作者: admin
更新时间: 2023-04-06 18:23
适用版本: