路由转发最长匹配解决大难题
本帖最后由 network123 于 2025-12-6 14:56 编辑<p>本次案例中给大家介绍一个非常有趣的项目小案例,话不多说,先上拓扑</p>
<p><img src="data/attachment/forum/202512/05/210923jplitee66a5af77l.png" alt="无标题.png" title="无标题.png" /></p>
<p>拓扑介绍</p>
<p>1,总部采用双出口:电信,移动;分支采用单出口:移动</p>
<p>2,分支机构和总部电信出口之间建立IPsec VPN隧道,保护两端内网相关数据流。</p>
<p>配置说明</p>
<p>两端设备配置简单,都是基本的IPsec VPN 配置,两端都用的是锐捷设备。</p>
<p>故障现象</p>
<p>两端的IPsec VPN配置参数一致,同时IPsec VPN两个阶段的SA都有,但总部和分支机构之间的终端电脑始终无法ping通!!!这就奇怪啦。</p>
<p>此时,细心的小伙伴已经发现问题所在。</p>
<p>我也是在排查过程中偶然发现的:分支移动出口IP和总部移动出口IP竟然在同一个地址段内,真坑。</p>
<p>各位小伙伴都知道,从总部到分支的数据流,IPsec VPN封装数据的外层公网IP报文头,,源IP是总部电信出口IP,目标IP是分支移动出口IP。总部路由器转发数据时,会执行基于目标IP的路由查找,发现目标IP匹配直连路由,发送ARP请求,直接请求目标IP对应的MAC地址,但由于这一地址在移动运营商设备上不存在,因此运营商设备无法做ARP应答,从而导致网络不通!!!</p>
<p>解决办法</p>
<p>路由器接收到数据包,在查找路由表执行三层转发时,将数据包的目标IP地址按照“<strong>从左到右,逐位匹配</strong>”的原则与每条路由条目进行比对,直至匹配到前缀长度最长的路由表项,然后转发,这就是<strong>最长匹配原则</strong>。</p>
<p><img src="data/attachment/forum/202512/06/143550w7dzhjh6dobloa7l.png" alt="222.png" title="222.png" /></p>
<p>根据这一原则,我们需要让总部路由器把目标IP是分支出口移动IP的数据包强制从电信出口转发,因此在总部路由器上,配置如下静态主机路由,下一跳为电信的默认网关地址。</p>
<p>ip route 2.2.2.10 255.255.255.255 1.1.1.2</p>
<p>我们再查看总部路由器的路由表</p>
<p><img src="data/attachment/forum/202512/06/144321p4osgdz46oqs3ca6.png" alt="2222.png" title="2222.png" /></p>
<p>这样配置完成之后,问题完美解决!!!</p>
页:
[1]