一、故障现象描述
PC访问互联网的流量经过旁挂在RSR边上的ACE中转审计后,无法访问互联网。
场景拓扑
ACE旁挂在RSR上。需要实现所有互联网流量都经过ACE审计后上网。具体流量路径如:1.1.1.1访问172.26.5.254,要求数据流按如图箭头方向转发。
二、故障排查分析
-
检查RSR路由器基本配置正确route-map ruijie permit 10 //配置策略路由 set ip next-hop 100.1.1.2 ! interface GigabitEthernet 0/3 //连接运营商接口 ip nat outside ip address 172.26.5.83 255.255.255.0 ! interface VLAN 16 //和ACE互联的上行口 ip nat inside ip address 200.1.1.1 255.255.255.0 ! interface VLAN 17 //和ACE互联的下行口 ip address 100.1.1.1 255.255.255.0 ! interface VLAN 20 //内网口 ip reverse-path ip policy route-map ruijie //从该内网口收到的所有流量发给ACE ip address 1.1.1.254 255.255.255.0 ! ip access-list extended 177 10 permit ip any any ! ip nat pool ruijie prefix-length 24 address interface GigabitEthernet 0/3 match interface GigabitEthernet 0/3 ! ip nat inside source list 177 pool ruijie overload
-
检查流表,观察数据转发是否异常。发现持续发起ping流量的电脑,其流表的icmp表项一出现就立刻消失。分析是从ACE收到该数据流后,因为数据流进出接口不对,导致原先的数据流出现冲突,流表表项消失,nat转换失败。
三、故障根因说明
由于RSR路由器的流表机制,相同五元组的数据流若是从不同接口进入,会导致流表表项冲突,以致数据无法正常nat。
四、故障解决方案
可以通过将路由器G1/20和G1/17加入相同vrf的方式,实现经过ACE前后的数据流被识别为两条数据流来规避这个问题。
show ip f f | in 2048 1 1.1.1.1 172.26.5.214 27949 2048 1 84 84 1 1.1.1.1 (172.26.5.83) 172.26.5.214 27949 2048 0 84 84