路由器故障：ACL反掩碼配置錯(cuò)誤 策略路由失效

網(wǎng)絡(luò)環(huán)境

如圖所示，10.40.0.0/27網(wǎng)段的PC訪問(wèn)10.20.3.0/29網(wǎng)段時(shí)需要通過(guò)Ethernet2/0/0口向外發(fā)送報(bào)文，而訪問(wèn)其他網(wǎng)段時(shí)通過(guò)Tunnel1/0/0向外發(fā)送報(bào)文。

案例組網(wǎng)圖

配置完成后，發(fā)現(xiàn)10.40.0.0/27網(wǎng)段的PC發(fā)出的報(bào)文都由接口Tunnel1/0/0向外發(fā)送，發(fā)往10.20.3.0網(wǎng)段的報(bào)文無(wú)法到達(dá)。

故障分析

步驟 1     在RouterA上執(zhí)行display current-configuration命令，查看路由的配置情況，發(fā)現(xiàn)接口Ethernet2/0/0上應(yīng)用的策略路由中，ACL的反掩碼配置錯(cuò)誤，如下：

<RouterA> display current-configuration  
 
#  
 
acl 3090  
 
rule 5 deny ip source 10.40.0.0 0.0.31.255 destination 10.20.3.0 0.0.0.0  
 
rule 5 permit ip source 10.40.0.0 0.0.31.255 destination any  
 
rule 5 deny ip source any destination any  
 
policy-based-route IPtraffic permit node 10  
 
if-match acl 3090  
 
apply output-interface Tunnel1/0/0  
 
interface ethernet2/0/0  
 
ip policy-based-route IPtraffic 

其中10.20.3.0所對(duì)應(yīng)的反掩碼為0.0.0.0，匹配的是主機(jī)路由。因此，PC訪問(wèn)任何網(wǎng)段都不會(huì)匹配該rule規(guī)則，導(dǎo)致所有發(fā)自10.40.0.0網(wǎng)段的流量都流向Tunnel接口。

服務(wù)器租用/服務(wù)器托管中國(guó)五強(qiáng)！虛擬主機(jī)域名注冊(cè)頂級(jí)提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]