记一次Cisco企业高级组网中不正确配置PBR引起的环路排错

嗨，各位。很久没了，最近忙的一塌糊涂，做为一个勤奋好学的网工，我要把实战中遇到的问题记录下来，同时分享给各位。这次的文档分享，是上个月的一次项目实战中记录下来的PBR-策略路由排错。具体的配置不会一一记录，可是会写个大概配置。

毕竟都是有几年的网工经验了，基础的不会就别看了，我都嫌弃！！！

很少说，咱们先上一张图，图的背景就很少介绍了，反正能够给你们保证的是所有均为实实在在的真机。

PS：图进行了和谐，还有不少设备均进行了删减，作网工永远要记住一件事情，信息安全！！！！

图中设备清单以下：（仅列举网络设备）

S5700-52TP-LI-接入层交换机

AR2204-路由C

cisco-3750核心路由A-istack部署

cisco-3750路由B

cisco-3750GW设备

主机F-windows2008-r2-64bit

Juniper-SSG320-FWD

IPS设备-hillstone-SG2560-旁挂

软件环境：软件版本不一一列举，均是通过岁月认证的稳定IOS。

说下局部需求；

1.主机F的流量必须经过PBR扔到路由C上，而后通过FWD访问ISP公网资源。并仅容许在一条线路上实现，不得经过上下游设备使流量通过路由C。

2.主机F的流量经过FW-D设备进行DIP的映射策略配置（切记，这里不是MIP也不是VIP），此次文档不会介绍此需求如何实现，后期会进行补充。

备注：获得甲方的需求时，目测很是的奇葩。故想了个办法，核心网络起动态-OSPF+auth-key认证、重发布直连和静态、边界正常接入宣告便可。路由设备间所有互联ping便可。

这里呢，再说明下为何个人标题是“记一次不正确的配置PBR致使的环路呢？”，由于我在这次实施过程中确实由于本身的问题，致使了整个施工卡了近十分钟，十分钟对于一个资深工程师已经算是极大的事故了，因此我认为这真的应该拿出来好好的嘲讽本身一番。

我大概描述下流量的正确走向，以下图：

我简单的列出下PBR的相关配置：

核心路由A：

ip access-list extended add113

 permit ip 172.16.113.0 0.0.0.255 any log

route-map PBR-Global permit 10

 match ip address 113

 set ip next-hop 172.16.106.18

rack1_3750X2_isp_core#show route-map 输出以下：

route-map PBR-Global, permit, sequence 10

  Match clauses:

    ip address (access-lists): 113 

  Set clauses:

    ip next-hop 172.16.106.18

  Policy routing matches: 56 packets, 5630 bytes

路由B：

ip access-list extended add113

 permit ip 172.16.113.0 0.0.0.255 any log

route-map PBR permit 15

 match ip address add113

 set ip next-hop 172.16.106.34

route-map ARPBR permit 15

 match ip address add113

 set ip next-hop 172.16.106.34【故障发生点，后面详细介绍】

route-map PBR, permit, sequence 15

  Match clauses:

    ip address (access-lists): add113

  Set clauses:

    ip next-hop 172.16.106.34

route-map ARPBR, permit, sequence 15

  Match clauses:

    ip address (access-lists): add113 

  Set clauses:

    ip next-hop 172.16.106.34【故障发生点，下面详细介绍】

  Policy routing matches: 13 packets, 1378 byte

路由C：

acl number 3002  

 rule 5 permit ip source 172.16.113.0 0.0.0.255 logging

traffic classifier PBR operator or

 if-match acl 3002

traffic behavior PBR

 statistic enable                         

 redirect ip-nexthop 172.16.106.33

traffic policy PBR

 classifier PBR behavior PBR

接口挂载图省略，太简单的配置不想赘述，若是不会，请自行看书学习。

主机F，路由跟踪测试图以下：

结论：环在了34-33中间，回头检查visio图，从新观察流量走向，故障发生描述以下图。

中间我思考十分钟的时间，这里就省略了。毕竟太尴尬了，

故障判断：

问题出如今路由B上，在核心路由A过来的流量，进方向挂载PBR，流量指向路由C正常过去了，路由C将流量回指回来后，出现路由B再次把流量指回路由C。判断路由C到路由B直连链路，PBR配置有问题。

检查发现：

route-map ARPBR, permit, sequence 15

  Match clauses:

    ip address (access-lists): add113 

  Set clauses:

    ip next-hop 172.16.106.34【故障发生点】

  Policy routing matches: 13 packets, 1378 byte

将next-hop 修改成FW-D的直连linkip地址，至此故障获得解决，以下图展现。

结论，PBR下一跳填写错误致使出现环路。

来一一家二级运营商的网工分享，齐家、提高、积累、正心。我是一个认真的草根网络工程师，没有任何认证。