取消
显示结果 
搜索替代 
您的意思是: 
cancel
3283
查看次数
0
有帮助
6
回复

非对称路由问题咨询

xiashuzhifan
Level 1
Level 1
请教大神们,是否有遇到如下情况。
133743wcc9l009qcy08lzc.png
6 条回复6

huoran1234
Spotlight
Spotlight
按照你这个拓扑逻辑,不做PBR应该内部流量优先走MPLS网络吧。
但是无所谓,如果你A Site做了PBR,那B Site也可以做啊,保证来回路径一致。
但是,这个确定是异步路由导致的么,两遍分别tracert一下看看路径。

Mansur
Spotlight
Spotlight
本帖最后由 maguanghua2013 于 2019-1-8 14:09 编辑
之前遇见过类似的故障,你可以参考下
因为穿越ASA的流量会修改tcp序列号……
抓包可以看到,syn和syn ack和序列号不连续了。
有两个办法,一是改成同步路由,来回路径一致,回包也走MPLS。
二是在ASA上吧特定的语音流量bypass,两边ASA都要做,配置参考:
object-group network LOCAL
network-object 10.1.1.0 255.255.255.0
object-group network REMOTE
network-object 10.0.0.0 255.255.255.0
access-list TCP-BYPASS extended permit ip object-group LOCAL object-group REMOTE
//抓取需要bypass的明细流量

ASA(config)#class-map TCP-BYPASS
ASA(config-cmap)#match access-list TCP-BYPASS
//创建class-map匹配感兴趣流量

ASA(config-cmap)#policy-map TCP-BYPASS-POLICY
ASA(config-pmap)#class TCP-BYPASS
//创建policy-map,指定class-map

ASA(config-pmap-c)#set connection advanced-options tcp-state-bypass
//开启tcp bypass特性

ASA(config-pmap-c)#service-policy TCP-BYPASS-POLICY interface inside
//针对inside调用

xiashuzhifan
Level 1
Level 1
huoran1234 发表于 2019-1-8 13:42
按照你这个拓扑逻辑,不做PBR应该内部流量优先走MPLS网络吧。
但是无所谓,如果你A Site做了PBR,那B Site ...

如果只做一边,抓包的时候,确实TCP建立不起来,但是tracert的结果,是Asite走MPLS, Bsite tracert 是走IPSECVPN

xiashuzhifan
Level 1
Level 1
maguanghua2013 发表于 2019-1-8 14:06
之前遇见过类似的故障,你可以参考下
因为穿越ASA的流量会修改tcp序列号……
抓包可以看到,syn和syn ack ...

您的一指的是:A和B都做PBR,来保证路由一致性对吗?
二、这个方法是我A做PBR,然后A B俩段的ASA都做TCP BYPASS,这样回报路由就算是从IPSECVPN,也不会出现TCP建立不起的情况对吗?

huoran1234
Spotlight
Spotlight
xiashuzhifan 发表于 2019-1-8 14:51
如果只做一边,抓包的时候,确实TCP建立不起来,但是tracert的结果,是Asite走MPLS, Bsite tracert 是走I ...

哦哦,那tracert都异步了,B Site也做个反过来的PBR来保证路径一致吧

wuhao0015
Spotlight
Spotlight
这个问题二楼是正解。问题出在防火墙。要么tcp不做检查,要么同步路由。
入门指南

使用上面的搜索栏输入关键字、短语或问题,搜索问题的答案。

我们希望您在这里的旅程尽可能顺利,因此这里有一些链接可以帮助您快速熟悉思科社区:









快捷链接