JunOS iBGP与返回路径奇性
我有一个基本的iBGP配置,在两个Juniper之间有一个路由实例“全局”--每个Juniper vSRX都有一个来自具有默认路由的不同传输提供者的上行链路。路由实例“全局”中的iBGP按预期工作,在两者之间很好地失败了。
但是,当在运行中添加另一个路由实例时,让我们假设"client-1“具有下一个表"global.inet.0”的默认路由,在通过另一个vSRX进行入侵或隔离时不会流。
出站也不错,因为我可以在通过iBGP和本地中转的路线上给予相同的偏好,但显然入站超出了我的控制范围--所以在下面的示例中,如果Transport2是我的入站路线1.2.3.4将不是pingable,而是1.2.3.5。
我已经检查了基本内容,如安全区域上的主机入站节、启用全局ping等。
在示例中,当ping1.2.3.4和Transport2是入站路由时,vSRX 1可以看到ping数据包到达(正确的位置),但没有给出ICMP响应:
vsrx2# run show security flow session destination-prefix 1.2.3.4/32
Session ID: 289005, Policy name: self-traffic-policy/1, Timeout: 6, Valid
In: home.ip/2103 --> 1.2.3.4/31;icmp, Conn Tag: 0x0, If: ge-0/0/2.203, Pkts: 1, Bytes: 60,
Out: 1.2.3.4/31 --> home.ip/2103;icmp, Conn Tag: 0x0, If: .local..7, Pkts: 0, Bytes: 0,
Total sessions: 1有趣的是,在这种情况下,位于“全局”路由实例中的vSRX 1上有一个环回,其中的路由位于via Transport2中。
知道为什么ping数据包到达正确的位置,但没有得到响应吗?
回答 1
Network Engineering用户
发布于 2018-12-06 00:09:34
出站流量在隔离路由(使用next-table策略的实例)之间跳过--在inet.0 in vsrx2 (反之亦然)中,是否有一个带有next-table client-1.inet.0的返回路由到1.2.3.0/26?您是否有一个更具体的路线1.2.3.4在vsrx2上的下一跳的vsrx1?
否则,我认为这是行不通的--特别是对于SRX接口地址--如果我没有弄错,通过vsrx2返回流量将看到1.2.3.0/26的静态路径和下一个client-1.inet.0表,并在本地尝试和出口(这将破坏流)。
我对您在vsrx2上的流输出感到有点困惑--根据您的图表,1.2.3.4在vsrx1上,但是流输出显示它来自vsrx2并显示了local的返回接口(这意味着目的地地址1.2.3.4是vsrx2拥有的IP )--我希望看到vsrx2和vsrx1之间的逻辑接口吗?
https://networkengineering.stackexchange.com/questions/55232
复制相似问题
腾讯云开发者
