Topologie du réseau physique
Description du défaut
Comme le montre l'image, le serveur a besoin d'accéder à Internet, le serveur se connecte à la couche d'accès SwitchB, puis accède à la couche principale SwitchC. Afin d'assurer la sécurité des données et du réseau de l'entreprise, les utilisateurs souhaitent assurer la sécurité de tout le trafic Internet vers le serveur. SwitchA est donc suspendu près de SwitchA pour filtrer le trafic en toute sécurité.
Après avoir configuré la politique de trafic, nous constatons que le trafic n'est pas envoyé à SwitchC.
Fichiers de configuration
l SwitchA
!Software Version V100R005C10SPC200
#
bgp 10088
peer 102.1.1.1 as-number 10086
#
ipv4-family unicast
import-route direct
peer 102.1.1.1 enable
#
ospf 100
import-route direct
import-route static
area 0.0.0.0
network 5.5.5.5 0.0.0.0
network 102.1.1.0 0.0.0.255
#
l SwitchB
[~R4U13-CE12800-SWITCH-B]dis cu
#
traffic classifier test type or
if-match ipv6 acl 3000
#
ospfv3 100
area 0.0.0.0
#
interface 10GE3/0/2
undo portswitch
mtu 1300
ipv6 enable
ip address 107.1.1.2 255.255.255.0
ipv6 address 100::2/64
ospfv3 100 area 0.0.0.0
jumboframe enable 1536
device transceiver 1000BASE-X
#
interface Tunnel1
ipv6 enable
ip address 13.13.13.14 255.255.255.0
ipv6 address 100:100::100/64
tunnel-protocol gre
source 107.1.1.2
destination 107.1.1.1
ospfv3 100 area 0.0.0.0
#
ospf 100
import-route direct
import-route static
area 0.0.0.0
network 5.5.5.5 0.0.0.0
network 13.13.13.0 0.0.0.255
network 107.1.1.0 0.0.0.255
#
l SwitchC
!Software Version V100R005C10SPC200
#
traffic classifier test type or
if-match ipv6 acl 3000
#
traffic behavior test
redirect interface 10GE3/0/9
#
traffic policy test
classifier test behavior test precedence 5
#
aaa
#
authentication-scheme default
#
authorization-scheme default
#
accounting-scheme default
#
domain default
#
domain default_admin
#
ospfv3 100
area 0.0.0.0
#
interface Tunnel1
ipv6 enable
ip address 13.13.13.14 255.255.255.0
ipv6 address 100:100::100/64
tunnel-protocol gre
source 107.1.1.2
destination 107.1.1.1
ospfv3 100 area 0.0.0.0
#
bgp 10089
peer 107.1.1.1 as-number 10086
#
ipv4-family unicast
import-route direct
peer 107.1.1.1 enable
#
ospf 100
import-route direct
import-route static
area 0.0.0.0
network 5.5.5.5 0.0.0.0
network 13.13.13.0 0.0.0.255
network 107.1.1.0 0.0.0.255
#
l Serveur
!Software Version V100R005C10SPC200
#
ip route-static 0.0.0.0 0.0.0.0 100.100.1.101
#
ipv6 route-static :: 0 1000:1000::1000
#
P***édure de dépannage
Étape 1 Vérifiez le classificateur / comportement / politique de trafic sur le commutateur par la commande " afficher le classificateur de trafic ", " afficher le comportement du trafic " & " Afficher la politique de trafic ":
[~R4U13-CE12800-SWITCH-B]display traffic classifier
Traffic Classifier Information:
Classifier: test
Type: OR
Rule(s):
if-match ipv6 acl 3000
Total classifier number is 1
[~R4U13-CE12800-SWITCH-B]display traffic behavior
Traffic Behavior Information:
Behavior: test
Redirect:
Redirect interface 10GE3/0/9
Total behavior number is 1
[~R4U13-CE12800-SWITCH-B]display traffic policy
Traffic Policy Information:
Policy: test
Classifier: test
Type: OR
Behavior: test
Redirect:
Redirect interface 10GE3/0/9
Étape 2 Vérifiez si elle existe dans le moteur de transfert de puce par la commande «affichage système tcam service brief slot 3», nous ne trouvons pas cette règle ACL dans la puce, elle est donc défaillante et cause ce problème.
Étape 3 Exécutez la commande display traffic-policy applied-record pour trouver la raison de l'échec des règles ACL.
Exécutez la commande display system tcam fail-record pour vérifier la raison de l'échec de la politique de trafic.
Pour vous assurer de la cause première, exécutez la commande pour vérifier les informations d'alarme.
----Fin
REMARQUE
t est optimisé uniquement pour réduire les règles ACL sur le commutateur, mais il n'est pas résolu quand il y a tellement d'activités sur le commutateur.
Solution:
1. Si le problème se produit dans la version V1R5C00 ou avant la version V1R5C00, il s'agit de la version V2R1C00 optimisée, nous vous conseillons de mettre à niveau la version vers V2R1C00 ou la dernière version et de le résoudre.
2. Nous allons repenser les règles ACL sur le commutateur, il est recommandé de supprimer ses règles ACL pour les règles ACL sans importance ou inutilisées, telles que divers types de statistiques de trafic, statistiques de trafic VLAN, statistiques de trafic d'interface VLAN et statistiques de trafic de tunnel.
Cause première
Sur SwitchA, la politique de trafic est configurée et elle s'appuie sur l'ACL pour terminer l'opération de redirection correspondant aux caractéristiques des paquets, puis rediriger les paquets vers le port sortant correspondant. Pour ce problème, provoqué par des ressources ACL insuffisantes, le flux de trafic n'est pas efficace et les paquets ne correspondent pas aux règles