高端交换机策略路由不生效问题排查
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
版权所有:杭州华三通信技术有限公司
高端交换机策略路由不生效问题排查
一、开始
策略路由不生效问题定位故障的思路是:先查看ACL 规则是否匹配了流量,ACL 资源是否超规格,之后查看策略路由下一跳是否可达,最后查看是否配置packet-filter/QOS 策略等功能,与策略路由冲突。
1、查看ACL 规则是否匹配流量
查看ACL规则的配置,确认ACL规则匹配了流量。
命令: display acl
例如:通过命令确认ACL规则是否匹配了需要做策略路由的流量。
2、修改/增加ACL规则若通过display
acl命令,查看规则中所写的rule规格错误,则需要重新下发rule命令,修改rule规则,确保rule规则匹配到流量。
如果ACL中rule规则没有匹配所需做策略路由的流量,则需新增rule规则匹配该流量。
命令:rule
例如:ACL规则中将需要做策略路由的源IP为20.0.0.0/24、目的IP为200.0.0.0/24的流量错误写为源IP为20.0.0.0/24、目的IP为100.0.0.0/24,同时漏写源IP为30.0.0.0/24的流量,则需下发命令更正和增加ACL规则。
3、检查ACL资源是否超规格
查看单板ACL资源利用情况,判断ACL资源是否已被耗尽,导致下发的ACL规则实际没有生效。
V5平台命令: display acl resource V7平台命令: dis qos-acl resource
例如:通过下发命令查看,各个槽位单板ACL资源利用情况。
V5:
版权所有:杭州华三通信技术有限公司
V7:
版权所有:杭州华三通信技术有限公司
ACL资源是按芯片划分的,并且inbound/outbound方向共用芯片ACL资源。
通过displ ay acl
resource命令可以看到所有槽位芯片ACL资源的利用情况,如上V5所示,2槽位单板的GE2/0/1至GE2/0/24属于同一个芯片,2048的ACL资源由这24个接口共用。
从示例中看到2槽位单板2048的ACL资源已利用了96%,已接近ACL资源耗尽,会导致涉及ACL下发的功能正常应用,包括策略路由的使用。
而3槽位的XG3/0/1和XG3/0/2属于同一个芯片,共用8192的ACL资源,当前ACL资源利用率为1%,ACL资源充足。
XG3 /0/3和XG3/0/4类似。
V7平台的情况一样。
4、检查策略路由下一跳是否可达
检查策略路由配置中下一跳是否可达,如查看接口状态、ARP表项、路由表或PING 测试。
命令:display interface display arp X.X.X.X display ip routing-table X.X.X.X ping X.X.X.X
例如:策略路由下一跳配置为100.0.0.2,通过查看接口状态、ARP表项、路由表或ping 测试确定策略路由下一跳是否可达。
版权所有:杭州华三通信技术有限公司
5、排查路由
策略路由下一跳不通,需要排查路由问题。
6、检查设备是否配置了packet-
filter/QOS策略等功能当设备在相关视图下配置了packet-
filter或QOS策略功能,由于packet-
filter和QOS策略的优先级比策略路由高,因而策略路由下发不生效。
需要结合所需做策略路由的流量ACL规则,对配置进行排查。
命令: display qos policy display packet-filter 例如:acl number
3000匹配了所需做策略路由的流量,同时在设备上下发了packet-
filter/QOS策略功能。
packet-
版权所有:杭州华三通信技术有限公司
filter可以在二/三层物理接口及三层虚接口上下发,设备上可以配置基于接口/vlan/全局/控制平面应用的QOS策略,均需要排查。
需注意,如下示例中,acl number 3000同时作为策略路由、packet-
filter、QOS策略的感兴趣流量匹配条件,并且实际现网中可能存在不同ACL,但是规则匹配相同的流量做packet-
filter/QOS策略,也会造成策略路由不生效,因此需要排查不同的ACL中是否有相同的rule规则。
备注:设备的软件版本为S12500-CMW520-R1335/S9500E-CMW520-
R1335之前的版本,策略路由的优先级低于QOS策略,涉及QOS策略功能部分的排查。
而设备的软件版本为S12500-CMW520-R1335/S9500E-CMW520-
R1335及之后的版本,策略路由的优先级高于QOS策略,不涉及QOS策略功能部分的排查。
版权所有:杭州华三通信技术有限公司
7、修改配置通过上一步的排查发现策略路由与packet-
filter/QOS策略同时下发,导致策略路由不生效,需修改配置。
1)策略路由与packet-filter同时下发的情况:
版权所有:杭州华三通信技术有限公司
包过滤下发在inbound方向时,将导致策略路由感兴趣的流量在执行策略路由动作之前被过滤掉。
包过滤下发在outbound方向时,将导致策略路由动作执行完后,报文被过滤掉,流量仍无法按策略路由需求转发出去。
在上述两种情况下,均需要在packet-filter的ACL规则中,将需要正常转发的流量rule规则去掉。
2)策略路由与QOS策略同时下发的情况
策略路由感兴趣的流量先由QOS策略匹配后处理了。
该种情况下,需重新了解和细化需求,是否可以通过细化QOS策略ACL规则和策略路由ACL规则,使两个ACL规则不冲突,流量能区分出来按不同的功能执行动作。
备注:设备的软件版本为S12500-CMW520-R1335/S9500E-CMW520-
R1335之前的版本,策略路由的优先级低于QOS策略,涉及QOS策略功能部分的排查。
而设备的软件版本为S12500-CMW520-R1335/S9500E-CMW520-
R1335及之后的版本,策略路由的优先级高于QOS策略,不涉及QOS策略功能部分的排查。
请拨打热线400-810-0504
版权所有:杭州华三通信技术有限公司。