五、分析：如何造成了路由环路？

　　从以上结果，我们可以看是防火墙的对目的为61.172.255.19的数据包没有正确的路由，数据在交换机和防火墙之间进行环路传递。

　　确定是防火墙的路由有问题，登陆到该防火墙，查询路由状态：

　　Yty-> get route

　　untrust-vr (0 entries)

　　--------------------------------------------------------------------------------

　　C - Connected, S - Static, A - Auto-Exported, I - Imported, R – RIP  trust-vr (4 entries)

　　--------------------------------------------------------------------------------

　　ID          IP-Prefix      Interface         Gateway   P Pref    Mtr     Vsys

　　--------------------------------------------------------------------------------

　　*   5            0.0.0.0/0           eth1    172.16.0.254   S   20      1     Root

　　*   3            0.0.0.0/0           eth3    216.X.X.241   S   20      1     Root

　　*   1        172.16.0.0/24           eth1         0.0.0.0   C    0      0     Root

　　*   2      216.X.X.240/28           eth3         0.0.0.0   C    0      0     Root

　　从上表中，我们可以看到除了有两条直联路由外，配置了两条默认路由，到达未知IP可通过E1或E3到达，而且访问回来的路由没有，看来问题应当出在这个地方了。

　　让我们来假设一下数据报的流向：

　　1、        访问目标为路由已知的地址

　　采用此路由表，我们在内网中能访问到的最远的地址为该企业专线在电信端的地址，即216.X.X.241/28。其流向为工作站―――工作站网关（vlan地址）―――所在vlan网关（交换机同防火墙直联端口地址172.16.0.254）―――防火墙内网口地址（172.16.0.250），防火墙通过路由表查询，发现到达216.X.X.241的地址为自己的直联路由，将该数据报交给E3,这样我们访问的数据报能到达该地址。

　　2、        访问目标为路由未知的地址

　　在访问目标为路由未知的地址时，数据报到达E1后，E1发现有两条默认路由，因此将数据重新转发到交换机（为什么不选用另一默认路由未知？难道是针对E1口而言这条默认路由的优先级高一些？寻求答案！），交换机根据自己的路由表又发到防火墙，而防火墙根据路由表又发回。。。。。。，最终导致路由环路。

　　后经了解，负责防火墙的管理人员为了让返回的数据包到达目的，将原有的路由表进行勒修改，增加了这条造成环路的路由。

　　原路由设置为：

　　set route  0.0.0.0/0 interface ethernet3 gateway 216.x.x.241

　　set route  172.15.13.0/24 interface ethernet1 gateway 172.16.101.254

　　set route  172.15.3.0/24 interface ethernet1 gateway 172.16.101.254

　　（原来只允许13和3两个VLAN访问互联网）

　　错误的路由设置为：

　　set route  0.0.0.0/0 interface ethernet3 gateway 216.x.x.241

　　set route  0.0.0.0/0 interface ethernet1 gateway 172.16.101.254