求usg5310路由環(huán)路問題解決。

xiaojao

網(wǎng)絡(luò)拓?fù)洌?br />
客戶端192.168.9.6 （網(wǎng)關(guān)：192.168.1.1）     -->防火墻usb5310（192.168.1.1 192.168.9.254） ---互聯(lián)網(wǎng)
服務(wù)器192.168.1.17（網(wǎng)關(guān)：192.168.1.1）   --> 內(nèi)部交換機(jī)（192.168.1.254，192.168.9.1） ->      防火墻usb5310（192.168.1.1  192.168.9.254）->  互聯(lián)網(wǎng)  

故障現(xiàn)象：
客戶端192.168.9.6訪問192.168.1.17不通，1.17訪問192.168.9.6不通
如果不設(shè)置策略路由classifier classcmnet behavior tolan，則192.168.1.17直接到互聯(lián)網(wǎng)去找192.168.9.6了。

------------------------------------------------------------------------------------------------------------------------
tracert現(xiàn)象：
在192.168.1.17上執(zhí)行：traceroute 192.168.9.6
traceroute to 192.168.9.6 (192.168.9.6), 30 hops max, 40 byte packets
1  bogon (192.168.1.254)  0.416 ms  1.455 ms  1.666 ms
2  bogon (192.168.9.254)  0.760 ms  0.515 ms  0.508 ms
3  bogon (192.168.9.1)  2.226 ms  2.011 ms  1.807 ms
4  bogon (192.168.9.254)  0.689 ms  0.674 ms  0.635 ms
5  bogon (192.168.9.1)  2.451 ms  2.255 ms  2.598 ms
6  bogon (192.168.9.254)  0.659 ms  0.484 ms  0.442 ms
7  bogon (192.168.9.1)  1.994 ms  1.577 ms  1.748 ms
8  bogon (192.168.9.254)  0.615 ms  0.730 ms  0.537 ms
。。。。。。。。
而192.168.9.6和192.168.1.17訪問其他192.168.9.X 和192.168.1.x均正常。

設(shè)備全部采用靜態(tài)路由，沒有跑路由協(xié)議。

故障原因：應(yīng)該是防火墻策略路由導(dǎo)致，如果不配置192.168.1.17對(duì)內(nèi)網(wǎng)的策略，則192.168.1.17訪問192.168.9.6直接到聯(lián)網(wǎng)去了。
并且，所有網(wǎng)關(guān)為192.168.9.254的192.168.9.X的機(jī)器，均不能訪問配置了策略路由的192.168.1.17的機(jī)器。

如何解決這個(gè)問題呢，為什么用了策略路由，靜態(tài)路由不起作用了呢？

------------------------------------------------------------------------------------
usb5310對(duì)1.17做策略路由如下，對(duì)內(nèi)網(wǎng)訪問全部跳到192.168.1.254，對(duì)外部訪問跳到
acl number 3001
  rule 0 permit ip source 192.168.1.17 0
acl number 3000
rule 10 permit ip source 192.168.1.17 0 destination 192.168.0.0 0.0.255.255

#定義流類別
traffic classifier weixinweb
if-match acl 3001                        
traffic classifier classcmnet
if-match acl 3000
#定義流行為
traffic behavior weixin-route
  remark ip-nexthop 218.29.X.X output-interface GigabitEthernet0/0/2
traffic behavior tolan
  remark ip-nexthop 192.168.9.1 output-interface GigabitEthernet0/0/1
#定義策略
qos policy policy-weixin
classifier classcmnet behavior tolan
classifier weixinweb behavior weixin-route
#應(yīng)用
firewall zone trust
set priority 85
qos apply policy policy-weixin outbound

ip route-static 0.0.0.0 0.0.0.0 GigabitEthernet0/0/0 123.15.X.X
ip route-static 192.168.0.0 255.255.0.0 192.168.1.254 preference 30
ip route-static 192.168.0.0 255.255.0.0 192.168.9.1 preference 40

------------------------
內(nèi)部主干交換機(jī)路由配置：
interface Vlan9
ip address 192.168.9.1 255.255.255.0

interface Vlan1
ip address 192.168.1.254 255.255.255.0

ip route 192.168.9.6 255.255.255.255 192.168.9.254
ip route 0.0.0.0 0.0.0.0 192.168.1.253
--------------------------------------------

xiaojao

自己解決了，看了http://www.72891.cn/thread-1709049-2-1.html，受點(diǎn)啟發(fā)
需要在

在qos里去掉這個(gè)
classifier classcmnet behavior tolan
在acl中增加這個(gè)
  rule 0  deny ip destination 192.168.9.6 0   ------------新增此條即可，這樣，就會(huì)走靜態(tài)路由了