请选择 进入手机版 | 继续访问电脑版

设为首页 收藏本站
思科社区 关注
思科社区

   思科 CCO 登录 推荐
 找回密码
 立即注册

搜索
热搜: 邮件服务器
查看: 377|回复: 6

非对称路由问题咨询

[复制链接]
发表于 2019-1-8 13:39:14 | 显示全部楼层 |阅读模式
0可用金钱
请教大神们,是否有遇到如下情况。

附件: 您需要 登录 才可以下载或查看,没有帐号?立即注册
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
发表于 2019-1-8 13:42:13 | 显示全部楼层
按照你这个拓扑逻辑,不做PBR应该内部流量优先走MPLS网络吧。
但是无所谓,如果你A Site做了PBR,那B Site也可以做啊,保证来回路径一致。
但是,这个确定是异步路由导致的么,两遍分别tracert一下看看路径。
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
发表于 2019-1-8 14:06:35 | 显示全部楼层
本帖最后由 maguanghua2013 于 2019-1-8 14:09 编辑

之前遇见过类似的故障,你可以参考下
因为穿越ASA的流量会修改tcp序列号……
抓包可以看到,syn和syn ack和序列号不连续了。
有两个办法,一是改成同步路由,来回路径一致,回包也走MPLS。
二是在ASA上吧特定的语音流量bypass,两边ASA都要做,配置参考:
object-group network LOCAL
         network-object 10.1.1.0 255.255.255.0
        object-group network REMOTE
         network-object 10.0.0.0 255.255.255.0
        access-list TCP-BYPASS extended permit ip object-group LOCAL object-group REMOTE
        //抓取需要bypass的明细流量

        ASA(config)#class-map TCP-BYPASS
        ASA(config-cmap)#match access-list TCP-BYPASS
        //创建class-map匹配感兴趣流量

        ASA(config-cmap)#policy-map TCP-BYPASS-POLICY
        ASA(config-pmap)#class TCP-BYPASS
        //创建policy-map,指定class-map

        ASA(config-pmap-c)#set connection advanced-options tcp-state-bypass
        //开启tcp bypass特性

        ASA(config-pmap-c)#service-policy TCP-BYPASS-POLICY interface inside
        //针对inside调用



  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
 楼主| 发表于 2019-1-8 14:51:45 | 显示全部楼层
huoran1234 发表于 2019-1-8 13:42
按照你这个拓扑逻辑,不做PBR应该内部流量优先走MPLS网络吧。
但是无所谓,如果你A Site做了PBR,那B Site ...

如果只做一边,抓包的时候,确实TCP建立不起来,但是tracert的结果,是Asite走MPLS, Bsite tracert 是走IPSECVPN
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
 楼主| 发表于 2019-1-8 14:55:18 | 显示全部楼层
maguanghua2013 发表于 2019-1-8 14:06
之前遇见过类似的故障,你可以参考下
因为穿越ASA的流量会修改tcp序列号……
抓包可以看到,syn和syn ack ...

您的一指的是:A和B都做PBR,来保证路由一致性对吗?
  二、这个方法是我A做PBR,然后A B俩段的ASA都做TCP BYPASS,这样回报路由就算是从IPSECVPN,也不会出现TCP建立不起的情况对吗?
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
发表于 2019-1-9 09:58:53 | 显示全部楼层
xiashuzhifan 发表于 2019-1-8 14:51
如果只做一边,抓包的时候,确实TCP建立不起来,但是tracert的结果,是Asite走MPLS, Bsite tracert 是走I ...

哦哦,那tracert都异步了,B Site也做个反过来的PBR来保证路径一致吧
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
发表于 2019-1-9 13:49:57 | 显示全部楼层
这个问题二楼是正解。问题出在防火墙。要么tcp不做检查,要么同步路由。
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Archiver | 思科社区  

GMT+8, 2019-6-16 21:19 , Processed in 0.093524 second(s), 45 queries .

京ICP备09041801号-187

版权所有 :copyright:1992-2019 思科系统  重要声明 | 保密声明 | 隐私权政策 | 商标 |

快速回复 返回顶部 返回列表