ACL是路由器和交換機(jī)接口的指令列表，用來控制端口進(jìn)出的數(shù)據(jù)包。ACL反掩碼配置錯誤導(dǎo)致策略路由失效的故障排除方法如下：

網(wǎng)絡(luò)環(huán)境

如圖所示，10.40.0.0/27網(wǎng)段的PC訪問10.20.3.0/29網(wǎng)段時需要通過Ethernet2/0/0口向外發(fā)送報(bào)文，而訪問其他網(wǎng)段時通過Tunnel1/0/0向外發(fā)送報(bào)文。

案例組網(wǎng)圖

配置完成后，發(fā)現(xiàn)10.40.0.0/27網(wǎng)段的PC發(fā)出的報(bào)文都由接口Tunnel1/0/0向外發(fā)送，發(fā)往10.20.3.0網(wǎng)段的報(bào)文無法到達(dá)。

故障分析

步驟 1     在RouterA上執(zhí)行display current-configuration命令，查看路由的配置情況，發(fā)現(xiàn)接口Ethernet2/0/0上應(yīng)用的策略路由中，ACL的反掩碼配置錯誤，如下：

<RouterA> display current-configuration  
 
#  
 
acl 3090  
 
rule 5 deny ip source 10.40.0.0 0.0.31.255 destination 10.20.3.0 0.0.0.0  
 
rule 5 permit ip source 10.40.0.0 0.0.31.255 destination any  
 
rule 5 deny ip source any destination any  
 
policy-based-route IPtraffic permit node 10  
 
if-match acl 3090  
 
apply output-interface Tunnel1/0/0  
 
interface ethernet2/0/0  
 
ip policy-based-route IPtraffic 

其中10.20.3.0所對應(yīng)的反掩碼為0.0.0.0，匹配的是主機(jī)路由。因此，PC訪問任何網(wǎng)段都不會匹配該rule規(guī)則，導(dǎo)致所有發(fā)自10.40.0.0網(wǎng)段的流量都流向Tunnel接口。

----結(jié)束

處理步驟

在路由器RouterA執(zhí)行以下命令：

步驟 1     執(zhí)行system-view命令，進(jìn)入系統(tǒng)視圖。

步驟 2     執(zhí)行acl acl-number命令，進(jìn)入ACL視圖。

步驟 3     執(zhí)行命令rule 5 deny ip source 10.40.0.0 0.0.31.255 destination 10.20.3.0 0.0.0.7，將目的網(wǎng)段設(shè)置成10.20.3.0/29網(wǎng)段。

----結(jié)束

執(zhí)行完上面的命令后，10.40.0.0/27網(wǎng)段的PC訪問10.20.3.0/29網(wǎng)段時都通過Ethernet2/0/0口向外發(fā)送報(bào)文。

案例總結(jié)

配置ACL時必須仔細(xì)檢查反掩碼是否對應(yīng)相應(yīng)的網(wǎng)段。

【編輯推薦】

1. 路由器故障：鏈路不穩(wěn)定
2. 路由器故障：CE1接口網(wǎng)速較慢
3. 路由器故障：POS口狀態(tài)反復(fù)Up/Down
4. 路由器故障：POS接口修改MTU值無法生效 
5. 路由器故障：POS接口無法收到對端的報(bào)文
6. 路由器故障：POS鏈路不能Up：C2字節(jié)不匹配
7. 路由器故障：MP Group成員接口狀態(tài)頻繁Up/Down