请选择 进入手机版 | 继续访问电脑版

迪普科技技术论坛

 找回密码
 立即注册

关注我们 扫描二维码关注迪普官方微信 迪普新浪微博  迪普官网

最新动态 新闻动态  安全研究 最佳实践  加入迪普

DP 自安全园区网解决方案 DP 自安全分支机构解决方案 DP 自安全物联感知网解决方案

查看: 169|回复: 0

【ADX产品】策略路由调用无效健康监测后失效

[复制链接]

31

主题

39

帖子

1625

积分

版主

Rank: 7Rank: 7Rank: 7

积分
1625
发表于 2019-9-24 14:49:09 | 显示全部楼层 |阅读模式
本帖最后由 Graves-J 于 2019-9-24 14:55 编辑

一、故障现象


某公司采用一台FW1000-TE-17K作为网关,通过上联负载连接运营商电信、联通及光猫出公网,现在在负载上开启了链路负载功能,让内网已认证用户通过旁挂核心的bras认证后,通过链路调度访问公网数据,使得内网访问外网的流量分担到不同运营商链路,目前,内网用户访问公网时出现1.时通时不通的情况;2.部分用户无法上网,指定网站也无法打开,但在禁用另一未使用的vlan-if接口后业务正常,但网站还是无法打开。
二、问题分析
    首先内网用户访问公网时,内网用户会到bras上做用户认证,当认证通过后,能够通过出口链路负载后正常访问公网数据
(问题1现象)当前环境中,内网用户A长ping公网114.114.114.114出现部分丢包现象,排查过程中,内网视频电话用户出现视频中断问题。
(问题1排查)通过查看会话发现,客户端用户会话正常,认证正常(故排除bras认证问题)。查看设备日志发现日志告警链路健康监测超时,链路为down状态,判断运营商链路质量不佳存在异常,为内网用户时通时不通的原因。
(问题2现象)部分用户无法上网,且公司网站(网站只允许指定运营商访问)也无法打开,但在禁用另一未使用的vlan-if1004接口后上网业务正常,但公司网站还是无法打开。
(问题2排查)通过查看会话发现源NAT与策略路由均未生效,在禁用出接口vlan-if1004以后,上网业务恢复。最终发现策略路由绑定了某一错误的健康检查,故走普通路由转发,在取消改健康检查后策略路由业务恢复正常。

策略路由配置:


vlan-if配置:


源NAT配置


异常会话状态




禁用vlan-if1004或修改策略路由的健康监测后


三、解决方案
方案一:使用链路质量较好的运营商链路
配置链路质量好的链路权重高些,对于大部分用户的体验也会很大的提升。
方案二:使用策略路由引用健康监测时务必确保健康监测配置无误
避免出现策略不生效问题。
四、注意
(1)配置策略时确认下发的配置无误:绑定出接口、下一跳、健康检查及BFD时确保配置下发无误,否则引用了此条匹配条件的配置会因生效条件不足而导致策略不生效。
(END)



本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Archiver|手机版|小黑屋|迪普科技

GMT+8, 2019-10-20 19:00 , Processed in 0.154982 second(s), 23 queries .

Powered by Discuz! X3.1

© 2001-2014 Comsenz Inc.

快速回复 返回顶部 返回列表