網(wǎng)絡(luò)結(jié)構(gòu)：

   外網(wǎng)1（1.1.1.1）------AR1200---------(2.2.2.2)外網(wǎng)2

                          |eth0/0/1(3.3.3.1/30)

                          |(3.3.3.2/30)

    192.168.1.0---------SW-1-------192.168.2.0/24

                        

要求192.168.1.0重定向到外網(wǎng)1出去：

 重定向配置如下：

acl number 3000

rule 10 permit ip source  192.168.1.0 0.0.0.255   內(nèi)網(wǎng)網(wǎng)段地址192.168.1.0/24

#

traffic classifier c1 operator and

if-match acl 3000

#

traffic behavior b1

   redirect ip-nexthop 1.1.1.1             一個(gè)外網(wǎng)接口網(wǎng)關(guān)地址1.1.1.1

#

traffic policy p1

 classifier c1 behavior b1

#

interface ethernet0/0/1

    traffic-policy p1 inbound

#

問題現(xiàn)象：

   沒有加策略之前，內(nèi)網(wǎng)192.168.1.0/24網(wǎng)段是以正常telnet AR內(nèi)網(wǎng)IP3.3.3.1,并對(duì)AR進(jìn)行配置等；加上策略之后，該網(wǎng)段PC telnet 3.3.3.1時(shí)，登入報(bào)錯(cuò)

acl number 3000

由故障現(xiàn)象判斷:Traffic-policy影響到192.168.1/24內(nèi)用戶遠(yuǎn)程管理Ar.

1，查看Traffic-policy，對(duì)業(yè)務(wù)重定向配置，無問題；

2，抓包時(shí)，發(fā)現(xiàn)命中Acl3000的業(yè)務(wù)流量（包括對(duì)ARtelnet 3.3.3.1登入的流量）全被重定向到外網(wǎng)1口出去了；

3，調(diào)整traffic-policy 配置，在其classifier c1 behavior b1 對(duì)之前先執(zhí)行一步允許訪問本地本路由器3.3.3.1的動(dòng)作。

traffic-policy 在重定向內(nèi)網(wǎng)流量時(shí)，將命中Acl3000的所有流量（包括對(duì)ARtelnet 3.3.3.1登入的流量）全被重定向到外網(wǎng)1口出去了

acl number 3002

    rule 10 permit ip destination  3.3.3.1 0.0.0.0  AR內(nèi)網(wǎng)IP地址：3.3.3.1

#

traffic classifier c2 operator and

   if-match acl 3002

#

traffic behavior b2

    permit          允許

#

traffic policy p1                 traffic policy 在執(zhí)行時(shí)，先執(zhí)行c2,b2 ，如果需要，再執(zhí)行c1,b1

 classifier c2 behavior b2

 classifier c1 behavior b1

#