您的配置存在以下不匹配:
策略路由有Track关联:PBR的apply next-hop后面有track 1和track 2
静态路由无Track关联:静态路由只是简单的优先级设置,没有与Track绑定
结果:PBR控制的流量(ACL 3100匹配的)能正常切换,但其他流量(不匹配PBR的)仍然走默认的静态路由
解决方案
您需要将静态路由也与Track关联,让静态路由也能感知链路状态。这里有两种方案:
方案一:修改静态路由绑定Track(推荐)
这是最直接的解决方案:
# 删除原来的静态路由
undo ip route-static 0.0.0.0 0 223.99.*.233
undo ip route-static 0.0.0.0 0 153.58.*.89 preference 70
# 添加绑定Track的静态路由
ip route-static 0.0.0.0 0 223.99.*.233 track 1
ip route-static 0.0.0.0 0 153.58.*.89 preference 70 track 2
配置解释:
主路由(移动):绑定track 1,只有当track 1状态为Positive(NQA检测正常)时,这条路由才生效
备路由(联通):绑定track 2,只有当track 2状态为Positive时,这条路由才生效
优先级70确保主路由优先
当移动线路逻辑故障时,track 1变为Negative,主路由失效,系统自动切换到备路由
方案二:完全依赖PBR(如果所有流量都要主备切换)
如果您的网络所有流量都需要主备切换,可以扩大PBR的匹配范围:
# 创建一个匹配所有流量的ACL
acl advanced 3200
rule 0 permit ip
# 在现有PBR中添加新节点(放在前面)
policy-based-route all_traffic permit node 5
if-match acl 3200
apply next-hop 223.99.*.233 track 1
policy-based-route all_traffic permit node 6
if-match acl 3200
apply next-hop 153.58.*.89 track 2
# 应用到内网口
interface GigabitEthernet1/0/16
ip policy-based-route all_traffic
完整配置建议
基于您的现有配置,我建议这样调整:
# 1. 首先确认Track状态
# 在故障时检查:dis track all
# 应该看到track 1状态为Negative,track 2为Positive
# 2. 修改静态路由绑定Track
undo ip route-static 0.0.0.0 0 223.99.*.233
undo ip route-static 0.0.0.0 0 153.58.*.89 preference 70
ip route-static 0.0.0.0 0 223.99.*.233 track 1
ip route-static 0.0.0.0 0 153.58.*.89 preference 70 track 2
# 3. 可选:优化PBR配置,添加默认节点
policy-based-route live_streaming permit node 30
apply next-hop 223.99.*.233 track 1
policy-based-route live_streaming permit node 40
apply next-hop 153.58.*.89 track 2
验证命令
配置后,使用以下命令验证:
# 查看Track状态
display track all
# 查看路由表,注意Flags字段
display ip routing-table protocol static
# 测试切换
# 1. 模拟移动线路故障:在接口下shutdown,或修改NQA目标为不可达IP
# 2. 查看路由切换:dis ip routing-table
# 3. 恢复后验证回切
补充建议
NQA优化:
可以调整frequency为更短时间(如1000ms),加快检测
可以同时探测多个目标(如网关和DNS),增加可靠性
回切延迟:
为防止链路抖动,可以设置回切延迟
在Track配置中:track 1 delay up 30 down 10
日志监控:
开启Track日志:track 1 logging
方便故障时查看切换记录
工作原理说明
正常状态:track 1有效 → 主路由生效,备路由处于非激活状态
故障状态:track 1失效 → 主路由失效,系统自动选择备路由(优先级70)
恢复状态:track 1恢复 → 主路由重新激活,由于优先级更高,流量切回主路
这样就实现了无论物理故障还是逻辑故障,都能自动切换。
暂无评论
路由没绑 Track”**。加上 track 1 后,当移动线路逻辑不通时,主路由会被 “踢” 出路由表,备路由就会自动顶上。
github.com/TencentYoutuResearch/SmartSnap/issues/3
github.com/TencentYoutuResearch/SmartSnap/issues/4
github.com/TencentYoutuResearch/SmartSnap/issues/5
github.com/TencentYoutuResearch/SmartSnap/issues/6
github.com/TencentYoutuResearch/SmartSnap/issues/7
暂无评论
1.2 配置需求及实现的效果
防火墙作为网络出口设备,外网有移动和联通两条线路。内网有192.168.1.0和192.168.2.0两个网段,需要实现192.168.1.0网段走移动线路,192.168.2.0网段走联通线路。当两条线路中的一条线路故障时数据可以通过正常链路转发。
2 组网图
配置步骤
3 配置步骤
3.1 上网配置
防火墙上网配置请参考“2.2.2 防火墙外网使用固定IP地址上网配置方法”进行配置,本文只针对策略路由配置进行介绍。
3.2 新建访问控制列表匹配移动和联通数据
3.2.1 创建ACL匹配需要由移动链路转发的数据
# 创建ACL 3000匹配192.168.1.0网段数据
<H3C>system-view
[H3C]acl advanced 3000
[H3C-acl-ipv4-adv-3000]rule 0 permit ip source 192.168.1.0 0.0.0.255
[H3C-acl-ipv4-adv-3000]quit
3.2.2 创建ACL匹配需要由联通链路转发的数据
# 创建ACL 3001匹配192.168.2.0网段数据
[H3C]acl advanced 3001
[H3C-acl-ipv4-adv-3001]rule 0 permit ip source 192.168.2.0 0.0.0.255
[H3C-acl-ipv4-adv-3001]quit
3.3 创建策略路由
3.3.1 创建移动策略路由节点
# 创建策略路由neiwang节点5匹配192.168.1.0网段的数据由移动线路转发。
[H3C]policy-based-route neiwang node 5
[H3C-pbr-neiwang-5]if-match acl 3000
[H3C-pbr-neiwang-5]apply next-hop 1.1.1.2
[H3C-pbr-neiwang-5]quit
注:next-hop后的地址为移动线路的网关
3.3.2 创建移动策略路由节点
# 创建策略路由neiwang节点10匹配192.168.2.0网段的数据由联通线路转发。
[H3C]policy-based-route neiwang node 10
[H3C-pbr-neiwang-10]if-match acl 3001
[H3C-pbr-neiwang-10]apply next-hop 2.2.2.2
[H3C-pbr-neiwang-10]quit
注:next-hop后的地址为联通线路的网关
3.4 应用策略
# 在防火墙连接内网的接口GigabitEthernet 1/0/4口调用策略路由
[H3C]interface GigabitEthernet 1/0/4
[H3C-GigabitEthernet1/0/4]ip policy-based-route neiwang
[H3C-GigabitEthernet1/0/4]quit
注:策略路由必须调用在内网接口才能生效。
3.5 保存配置
[H3C]save force
暂无评论
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论