我们这接了教育网和网通的双线!!网通线路用防火墙做NAT出去!!教育网直接从6808出去!现在需要在6808上面做基于源地址路由,该咋做啊!!求救啊
========================================================================
我还有个问题!现在我只好用动态路由的方法来解决我们双网的问题,我的默认网关还是教育网的。我现在又新建了一个VLAN ,这个VLAN的网关地址是指向走网通线路的防火墙,我把所有的网通地址做动态路由指向这个新建VLAN地址上,这样也解决了我们网通走网通,教育网走教育网的问题!!但问题是,我的DNS是教育网的,这样做了以后我的DNS不能解析所有网通服务器地址像WWW.163。COM这些都不行。只能解析网通地址以外的。没办法以后我用
create flow-redirect DNS tcp destination 0.0.0.0/0 any source 211.84.*.*/32(我教育网的DNS)
config flow-redirect DNS add next-hope 222.21.*.*(教育网的默认网关)
这样我网内用户用的都是教育网的公网地址,都PING不通我的DNS了,这是怎么一会事????请高手帮我瞧一下!!
========================================================================
关于EXTREME的策略路由问题,我这里讲一下:
1.EXTREME的策略路由作用在全局模式,没有接口模式,就是说作用在全部端口的ingress处。2.优先级问题
策略路由>直连路由(direct)>静态路由。
这个优先级的存在直接造成了wei60 出现的DNS服务器PING通的问题,当学校的用户访问DNS服务器的时候,服务器回包,源地址是211.84.*.*/32,数据包到达6808时,直接匹配策略路由DNS,数据包直接抛到222.21.*.*(教育网的默认网关),然后默认网关发现目标地址时学校的内网用户(应该有这条路由),又把数据包抛到6808,然后进来6808的源地址又是211.84.*.*/32,匹配策略路由DNS,数据包又回到222.21.*.*(教育网的默认网关),ping包在一直循环,直到TTL时间到。你可以用tracert看一下,可以很清楚看到这个问题。
3。源地址的掩码有限制,只能选择(0-19,或者20-32)
意思是你创建了一条源地址为32位的掩码
1。create flow-redirect DNS tcp destination 0.0.0.0/0 any source 211.84.*.*/32
config flow-redirect DNS add next-hope 222.21.*.*
然后你又试图创建源地址为10的掩码,是不可以的比如:
2.create flow-redirect DNS tcp destination 0.0.0.0/0 any source 10.0.0.0/8
conf flow-redirect DNS add next-hope 222.21.*.*
第2条是不能生效的。
反之,如果你先打了第2条,那么掩码模式就为0-19为,如果你先打了第一条,那么掩码模式为20-32
4。策略路由本身的优先级问题:
Rule # Dest IP DestPort Source IP
B1 192.168.2.0/24 80 ANY
B2 192.168.0.0/16 ANY 10.10.10.0/24
B3 192.168.2.0/24 ANY 10.10.0.0/16
B4 192.168.2.0/24 80 10.10.0.0/16
优先级:B4>B1>B3>B4
一般来说有目标地址选详细,优先级别越高。
如何解决wei60的问题呢?
首先我们要排除不走策略路由的网段,CISCO使用acl DENY来做的,我门EXTREME也有办法
很关键,wei中只要是目标是内网用户的地址,就走传统路由就行了,我们假设内网的IP段是222.200.0.0/16,注意不要 汇总包含(DNS服务器的地址)
你只要增加一条
create flow-redirect policyroute.bybass destination 222.200.0.0/16 port any source any port any
就ok,注意,不要增加next-hope。那么只要目标是 222.200.0.0/16 (内网用户)就不会走策略路由了。