本帖最后由 sangfor_2261 于 2017-11-20 22:30 编辑
1、问题现象确认 ①基于源、目IP选路异常 ②基于目标域名选路异常 ③智能路由页面提示下发策略有效性列表失败 2、版本确认 AD各版本均可以参考 3、基于源、目IP选路异常对应处理方法 1)检查智能路由配置是否合理 ①智能路由中TOS是否保持默认值0;TOS功能是AC或其它设备打TOS标签,AD根据TOS值实现应用选路;普通智能路由中,TOS保持默认值0即可。 ②基于源IP地址选路异常,确认终端IP网段是否被智能路由源IP地址范围匹配住,若终端IP被SNAT后到AD,则不会匹配该智能路由条目;AD抓包可以检测终端是否被中间设备SNAT,在AD webconsole页面中执行抓包命令,如tcpdump -i any 9.9.9.9 -nn ;执行命令同时在电脑长ping外网某IP,ping 9.9.9.9 -t,检查AD上收到的数据源IP是否与终端电脑IP是否一致。 ③智能路由条目位置是否合理,智能路由匹配顺序从上往下匹配,将位置挪至头条测试。 2)智能路由之前正常,后续异常如IPSEC对接、邮件服务器需要指定线路出去 ①检查智能路由配置中链路调度失败的默认动作是否为丢弃,在IPSEC对接指定线路出去,智能路由链路调度失败的默认动作需要配置丢弃,繁忙保护为禁用;若配置为匹配下一条或启用繁忙保护,检查线路是否有离线日志,流量是否有达到繁忙值。 ②问题原因:由于IPSEC业务特殊性和AD设备转发机制,VPN设备高频率发数据包建立连接,在AD设备上生成的连接跟踪记录不断触发更新倒计时导致连接不会老化,选路会根据连接记录进行转发(连接记录优先级高于路由查找),最后导致走其它链路出去无法建立VPN连接。 解决办法:方法1,重启AD设备,清除所有连接记录;方法2,中间设备或AD设备上配置ACL拦截VPN设备UDP 500数据包,时间5-10分钟后取消ACL进行测试;方法3,VPN设备拔线或停止服务5-10分钟。 最后调整配置,智能路由链路调度失败的默认动作需要配置丢弃,繁忙保护为禁用,避免后续再次出现。 3)智能路由测试提示命中缓存 若命中缓存,请点击路由测试左侧出站高级配置,将出站会话保持子网掩码长度改变,点击更新,即可清除缓存。 4)智能路由配置目标ISP走对应ISP链路,少量目的IP选路不正确 原因:运营商IP归属划分的调整和AD设备ISP地址库非百分百准确,可以在 AD设备webconsole执行whoisp x.x.x.x命令,查看x.x.x.xIP是否有在AD对应ISP地址库内,可以手动配置基于此目标IP智能路由选路放置头条优先匹配即可。 4、基于目标域名选路异常对应处理方法 基于目标域名选路,AD域名对应IP表数量有限制,若智能路由中存在多个目的泛域名,建议拆开配置成多条智能路由,智能路由条目位置移动靠前。 5、智能路由页面提示下发策略有效性列表失败对应处理方法 下发策略有效性列表失败请联系400处理。
三、信息获取 转400请提供如下信息 当前网络环境: 设备是否可升级: 是否不支持场景: 是否打补丁包(Appversion可选): 四、维护说明 如对本场景使用有建议或疑问可以进行回贴反馈,我们会及时进行优化或答疑。 | 
发表于 2017-11-20 22:32
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
