华为数通操作手册VRP全系列VRP故障处理手册路由器.docx
《华为数通操作手册VRP全系列VRP故障处理手册路由器.docx》由会员分享,可在线阅读,更多相关《华为数通操作手册VRP全系列VRP故障处理手册路由器.docx(36页珍藏版)》请在冰点文库上搜索。
华为数通操作手册VRP全系列VRP故障处理手册路由器
第5章路由策略故障处理
本章包含以下内容:
●路由策略与过滤器简介
介绍了进行BGP故障处理时用户所需的知识要点。
●路由策略故障处理
针对典型的BGP组网环境,介绍配置BGP时要注意的事项,BGP对等体不能建立连接故障处理的流程和详细的故障处理步骤。
●故障处理案例
介绍了假设干实际的故障处理案例。
●FAQ
列出了用户常问的问题,并给出了相应的解答。
●故障诊断工具
介绍了进行故障处理所需要的故障诊断工具,包括display命令和debugging命令、告警信息。
5.1路由策略与过滤器简介
本节包含以下内容:
●路由策略与策略路由
●地址前缀列表
●AS路径访问列表
●团体属性列表
●扩展团体属性列表
●路由策略
5.1.1路由策略与策略路由
路由策略是为了改变网络流量所经过的途径而对路由信息采用的方法。
主要通过改变路由属性〔包括可达性〕来实现。
策略路由Policy-Based-Route用于指导报文转发。
本章只介绍路由策略。
为实现路由策略,首先要定义将要实施路由策略的路由信息的特征,即定义一组匹配规那么,可以以路由信息中的不同属性作为匹配依据进行设置,如目的地址、发布路由信息的路由器地址等。
匹配规那么可以预先设置好,然后再将它们应用于路由的发布、接收和引入等过程的路由策略中。
路由器在发布与接收路由信息时,可能需要实施一些策略,以便对路由信息进行过滤,比方只接收或发布一局部满足条件的路由信息;一种路由协议〔如RIPng〕可能需要引入其它的路由协议发现的路由信息,从而丰富自己的路由知识;路由器在引入其它路由协议的路由信息时,可能需要只引入一局部满足条件的路由信息,并对所引入的路由信息的某些属性进行设置,以使其满足本协议的要求。
5.1.2地址前缀列表
地址前缀列表〔IP-Prefix-Filter〕包括IPv4地址前缀列表和IPv6地址前缀列表。
地址前缀列表的作用类似于ACL,但比它更为灵活,且更易于为用户理解。
地址前缀列表在应用于路由信息的过滤时,其匹配对象为路由信息的目的地址信息域。
一个地址前缀列表由前缀列表名标识。
每个前缀列表可以包含多个表项,每个表项可以独立指定一个网络前缀形式的匹配范围,并用一个Index-Number来标识,Index-Number指明了进行匹配检查的顺序。
在匹配的过程中,路由器按升序依次检查由Index-Number标识的各个表项,只要有某一表项满足条件,就意味着通过该地址前缀列表的过滤〔不进入下一个表项的测试〕。
5.1.3AS路径访问列表
BGP路由信息中包含的AS_PATH路径属性逆序列出前缀所经过的自治系统。
AS路径访问列表〔as-path-filter〕就是针对AS_PATH路径属性进行过滤的过滤器。
5.1.4团体属性列表
BGP路由的Community属性被一组具有相同的特性的前缀所共享,团体属性列表〔Community-Filter〕就是针对团体属性域指定匹配条件的过滤器。
5.1.5扩展团体属性列表
BGP的扩展团体属性也是定义了一组共享相同特性的前缀,目前VRP的Excommunity-Filter针对一种常用的扩展团体属性进行过滤:
VPN-Target,定义了私网路由的VPN成员关系。
5.1.6路由策略
路由策略〔Route-policy〕是一种复杂的过滤器,它不仅可以匹配给定路由信息的某些属性,并在条件满足时改变路由信息的属性。
Route-Policy可以使用前面几种过滤器定义自己的匹配规那么。
一个Route-policy可以由多个节点Node构成,不同节点之间是“或〞的关系。
系统按节点序号依次检查各个节点,如果通过了其中一节点,就意味着通过该策略,不再对其他节点进行匹配测试。
每个节点由一组if-match和apply子句组成。
if-match子句定义匹配规那么,匹配对象是路由信息的一些属性。
同一节点中的不同if-match子句是“与〞的关系,只有满足节点内所有if-match子句指定的匹配条件,才能通过该节点的匹配测试。
apply子句指定动作,也就是在通过节点的匹配后,对路由信息的一些属性进行设置。
5.2路由策略故障处理
本节介绍如下的内容:
●典型组网环境
●配置本卷须知
●故障诊断流程
●故障处理步骤
5.2.1典型组网环境
路由策略的典型组网如图5-1与图5-2所示。
路由策略的故障处理将基于该网络。
1.公网环境拓扑
图5-1路由策略故障公网环境拓扑
公网环境时,在某个路由器上接受另外一个路由器通告来的路由时,发送者使用路由策略发布指定路由,接收者使用路由策略接收指定路由,以上拓扑是一个简化的拓扑,用于模拟实际环境中的路由发送/接收者。
2.VPN环境拓扑
图5-1路由策略故障VPN环境拓扑
VPN环境时,路由策略可以应用在PE与CE上,用来发布/接收指定的路由。
其中,在PE上对于VPNv4和VPNInstance可同时应用策略。
以上拓扑是实际环境
中VPN的一个简化拓扑,用于模拟实际环境中PE与CE中的路由发送/接收者。
5.2.2配置本卷须知
1.路由策略中常用过滤器配置
配置项
子项
本卷须知
ip-prefix
ipip-prefixip-prefix-name[indexindex-number]{permit|deny}ip-addressmask-length[greater-equalgreater-equal-value|less-equalless-equal-value]
●配置IPv4前缀地址列表,列表名由ip-prefix-name指定,列表名下可以配置多个匹配项,每一项可以指定索引值Index,假设没有指定索引值,那么生成项的索引值由此前缀列表已存在的最大索引值+10;
●假设同时指定前缀长度在greater-equal和less-equal之间时,匹配的范围就在二者之间,配置的greater-equal值和less-equal值必须满足条件:
mask-length<=greater-equal<=less-equal<=32;
●在匹配过程中,系统按索引号升序依次检查各个表项,只要有一个表项下的地址/掩码与要检查的路由地址/掩码相同,就返回此表项下配置的过滤模式〔Permit或Deny〕,不再去匹配其他表项;
●如果所有表项都是Deny模式,那么任何路由都不能通过该过滤列表。
建议在多条Deny模式的表项后定义一条0greater-equal0less-equal32表项,允许其它所有IPv4路由信息通过。
●使用中最常见的理解错误是把IP-Prefix的配置方法和ACL的配置方法等同,实际上,在只指定IP-Address/Mask-Length的情况下,IP-Prefix只精确匹配一条路由,不匹配一段掩码范围内的路由。
要匹配一段掩码范围内的路由,必须指定Greater-Equal和Less-Equal参数。
ipv6-prefix
ipipv6-prefixipv6-prefix-name[indexindex-number]{permit|deny}ipv6-addressmask-length[greater-equalgreater-equal-value|less-equalless-equal-value]
●配置IPv6前缀地址列表,列表名由ipv6-prefix-name指定,此列表名下可以配置多个匹配项,每一项可以指定索引值index,假设没有指定索引值,那么生成项的索引值由此前缀列表已存在的最大索引值+10;
●假设同时指定前缀长度在greater-equal和less-equal之间时,匹配的范围就在二者之间,配置的greater-equal值和less-equal值必须满足条件:
mask-length<=greater-equal<=less-equal<=128;
●在匹配过程中,系统按索引号升序依次检查各个节点,只要有一个节点满足条件,就认为通过该过滤列表,不再去匹配其他表项;
●如果所有表项都是Deny模式,那么任何路由都不能通过该过滤列表。
建议在多条Deny模式的表项后定义一条permit:
:
00greater-equal0less-equal128表项,允许其它所有IPv6路由信息通过。
as-path-filter
ipas-path-filteras-path-filter-number{deny|permit}regular-expression
●使用正那么表达式来定义AS-Path属性过滤规那么,BGP可以使用此过滤器来匹配BGP路由的AS-Path属性,以此决定是否发布/接收路由。
●如果所有表项都是Deny模式,那么任何路由都不能通过该过滤列表。
建议在多条Deny模式的表项后定义一条permit.*表项,允许其它所有路由信息通过;
community-filter
●ipcommunity-filterbasic-comm-filter-num{deny|permit}[community-number|aa:
nn]*&<1-16>[internet|no-export-subconfed|no-advertise|no-export]*
●ipcommunity-filteradv-comm-filter-num{deny|permit}regular-expression
●定义一个团体属性过滤器。
有两种配置方式,属性号在1-99的为根本团体属性过滤器,通过指定明确的团体属性来定义过滤规那么;属性号在100-199为高级团体属性过滤器,通过指定正那么表达式来定义过滤规那么。
●对于根本团体属性过滤器,Internet选项表示匹配所有的团体属性;而对高级团体属性过滤器,正那么表达式〞.*〞表示匹配所有的团体属性。
●对于根本团体属性过滤器,有完全匹配模式Whole-Match和一般匹配模式。
在完全匹配模式下,BGP给出的团体属性列表必须完全与过滤器规那么中定义的团体属性一致才能匹配。
在一般匹配模式下,BGP给出的团体属性列表必须要包含过滤器规那么中定义的团体属性才能匹配。
●如果所有表项都是Deny模式,那么任何路由都不能通过该过滤列表。
建议在多条Deny模式的表项后定义一条permit.*表项〔高级团体属性过滤器〕或permitinternet〔根本团体属性过滤器〕表项,允许其它所有路由信息通过。
extcommunity-filter
ipextcommunity-filterext-comm-list-number{deny|permit}rt{as-number:
nn|ipv4-address:
as-number}
定义扩展团体属性过滤器规那么。
route-policy
route-policyroute-policy-name{permit|deny}node{node-number}
●Permit指定节点的匹配模式为允许。
当路由项通过该节点的过滤后,将执行该节点的Apply子句,不进入下一个节点的测试;如果路由项没有通过该节点过滤,将进入下一个节点继续测试;当节点下没有If-Match子句时,所有节点路由都允许。
●Deny指定节点的匹配模式为拒绝,这时Apply子句不会被执行。
当路由项满足该节点的所有If-Match子句时,将被拒绝通过该节点,不进入下一个节点;如果路由项不满足该节点的If-Match子句,将进入下一个节点继续测试;当节点下没有If-Match子句时,所有的路由都被拒绝。
●如果所有的节点的If-Match规那么都不能匹配,那么整个策略的过滤结果默认是Deny。
●当所有节点都是配置Deny时,将导致所有路由均被拒绝,所以在所有Deny节点后至少配置一个Permit节点,以允许其它的路由通过。
2.过滤器应用本卷须知
(1)假设当前过滤器下配置了至少一个节点,Permit或Deny。
假设是没有节点符合到要过滤路由的地址/掩码范围,那么此路由过滤结果为Deny。
(2)假设是在策略中使用了某个不存在的过滤器,那么结果为对所有要过滤的路由为Permit。
3.正那么表达式编写规那么
正那么表达式是按照一定的模板来匹配字符串的公式。
符号
说明
^
匹配一个字符串的开始。
如“^300〞表示只匹配AS_Path的第一个值为300。
$
匹配一个字符串的结束。
如“300$〞表示只匹配AS_Path的最后一个值为300。
.
匹配任何单个字符,包括空格。
+
匹配前面的一个字符或者一个序列,1次或者屡次出现。
_
匹配一个符号。
如逗号,括号,空格符号等。
*
匹配前面的一个字符或者一个序列,可以0次或者屡次出现。
?
匹配前面的一个字符,可以0次或者屡次出现。
()
匹配的变化的AS或者一个独立的匹配,通常和“|〞一起使用。
|
逻辑或。
[]
匹配的一个范围内的AS,通常和“-〞一起使用。
-
连接符。
举例:
●ipas-path-filter10deny^$:
拒绝发布本地始发路由。
●ipas-path-filter10permit.*:
允许发布/接收其他AS的路由。
●ipas-path-filter2deny(6[0-9]|7[0-9]|8[0-9]|9[0-9]|1[0-3][0-9]|130)$:
拒绝从AS60-130始发的路由。
●ipcommunity-filter100permit1000:
10[0-9]$:
允许团体属性为1000:
100至1000:
109之间的路由。
5.2.3故障诊断流程
针对图5-1或图5-2所示的网络,在配置各路由器后发现指定的路由没有被过滤或全部被过滤。
请使用下面的故障诊断流程,如图5-3所示。
图5-1路由策略故障诊断流程图
5.2.4故障处理步骤
概要的故障处理步骤如下:
步骤
操作
1
检查网络的连通性。
2
检查路由协议配置是否正确。
3
检查IP-Prefix-Filter是否配置。
4
检查AS-Path-Filter是否配置。
5
检查Community-Filter是否配置。
6
检查Extcommunity-Filter是否配置。
7
检查Route-Policy是否配置。
详细的故障处理步骤如下:
1.检查网络的连通性
使用displayipinterfacebrief命令来检查各个接口的状态。
Up表示可用,Down表示不可用。
如果接口状态为Down请检查线路是否连接好,接口是否被Shutdown。
2.检查路由协议配置是否正确
使用displaycurrent-configuration命令来检查当前的路由器配置。
使用displaycurrent-configurationconfiguration命令来检查路由协议配置是否正确。
如果路由协议配置的不正确,请您参考相应协议的故障处理手册。
3.检查IP-Prefix-Filter是否配置
使用displayipip-prefix命令检查当前路由器是否配置IP-Prefix-Filter。
如果已配置请查看IP-Prefix-Filter配置本卷须知
请查看配置本卷须知中有关IP-Prefix-Filter的局部。
4.检查AS-Path-Filter是否配置
使用displayipas-path-filter命令检查当前路由器是否配置AS-Path-Filter。
如果已配置请查看AS-Path-Filter配置本卷须知
请查看配置本卷须知中有关AS-Path-Filter的局部。
5.检查Community-Filter是否配置
使用displayipcommunity-filter命令查看当前路由器是否配置Community-Filter。
如果已配置请查看团体属性过滤器配置本卷须知
请查看配置本卷须知中有关Community-Filter的局部。
6.检查Excommunity-Filter是否配置
使用displayipexcommunity-filter命令查看当前路由器是否配置Excommunity-Filter。
如果已配置请查看拓展团体属性过滤器配置本卷须知
请查看配置本卷须知中有关Excommunity-Filter的局部。
7.检查Route-Policy是否配置
使用displayroute-policy命令检查当前路由器是否配置了Route-Policy。
如果已配置请查看Route-Policy过滤器配置本卷须知
请查看配置本卷须知中有关Route-Policy的局部。
如果检查结束,故障仍然无法排除,请联系华为的技术支持工程师。
5.3故障处理案例
本节列出了常见的故障处理案例,如下:
●使用IP-Prefix过滤路由问题
●使用AS-Path过滤路由问题
●使用Community过滤路由问题
●使用Extcommunity过滤路由问题
●使用Route-Policy过滤路由问题
5.3.1使用IP-Prefix过滤路由问题
1.网络环境
组网图请参考图5-1
案例中RouterA采用IP-Prefix过滤器对从RouterB中接收到的路由进行过滤:
RouterA上的配置:
#
bgp100
peer192.168.1.2as-number200
#
ipv4-familyunicast
undosynchronization
peer192.168.1.2enable
peer192.168.1.2ip-prefixrtaimport
#
ipip-prefixrtaindex20deny2.2.2.232
#
RouterB上的配置:
#
bgp200
68.1.1as-number100
#
ipv4-familyunicast
undosynchronization
network2.2.2.2255.255.255.255
peer192.168.1.1enable
#
使用displayiprouting-table命令查看RouterA上接收到的路由,应该可以接收到1.1.1.1/32,但是路由表中没有。
2.故障分析
使用以下步骤调查故障原因:
(1)检查RouterB路由表信息,确定是否所有路由已被通告给邻居RouterA。
在RouterB上使用displaybgprouting-table,显示路由表信息,发现1.1.1.1/32及2.2.2.2/32这两条路由均已通告给RouterA,问题应该是在RouterA上。
(2)检查RouterA上的BGP配置,确定BGP在接收路由时是否使用了过滤器。
在RouterA上使用displaycurrent-configurationconfigurationbgp命令检查BGP的配置,发现在接收从RouterB通告过来的路由时使用了IP-Prefix过滤器,预计是过滤器将所有路由都过滤了。
(3)检查IP-Prefix过滤器的配置。
确定此路由是否被过滤器过滤掉了。
在RouterA上使用displayipip-prefixrta命令查看过滤器的配置,发现仅对路由配置了Deny策略,但对于路由1.1.1.1/32没有配置Permit。
故障的原因定位:
在RouterA上使用IP-Prefix过滤路由问题。
系统过滤路由时对于没有匹配的路由默认返回Deny,所以将1.1.1.1/32也过滤了。
3.处理步骤
因为系统过滤路由时,没有匹配的路由默认返回Deny,所以过滤策略仅配置可以通过的路由即可。
在RouterA上执行如下操作:
步骤
操作
1
将过滤规那么替换为ipip-prefixrtaindex10permit1.1.1.132
使用displayiprouting-table命令查看RouterA上接收到的路由,发现路由表中出现路由1.1.1.1/32,故障被排除。
4.案例总结
当配置IP-Prefix过滤路由时,假设是仅配置Deny节点,那么对于没有命中匹配地址/掩码的路由系统默认返回Deny。
所以,需要配置Permit节点对指定路由允许。
请参考配置本卷须知IP-Prefix小节。
5.3.2使用AS-Path过滤路由问题
1.网络环境
图5-1AS-Path过滤路由故障处理案例组网图
案例中RouterA采用AS-Path过滤器对从RouterB通告过来的路由进行过滤:
RouterA上的配置:
#
bgp100
peer192.168.1.2as-number200
#
ipv4-familyunicast
undosynchronization
peer192.168.1.2enable
peer192.168.1.2as-path-filter10import
#
ipas-path-filter10deny65430
#
RouterB上的配置:
#
bgp200
peer192.168.1.1as-number100
peer10.1.1.1as-number65431
peer172.11.10.1as-number65430
#
ipv4-familyunicast
undosynchronization
peer192.168.1.1enable
peer10.1.1.1enable
peer172.11.10.1enable
#
RouterC上的配置:
#
bgp65430
peer172.11.10.2as-number200
#
ipv4-familyunicast
undosynchronization
peer172.11.10.2enable
#
RouterD上的配置:
#
bgp65431
peer10.1.1.2as-number200
#
ipv4-familyunicast
undosynchronization
peer10.1.1.2enable
#
发现故障:
使用displayiprouting-table命令查看RouterA上接收到的路由,应该可以看到RouterA过滤了RouterC通告的路由,接收了RouterD通告的路由,但路由表中显示RouterC及RouterD的路由均被RouterA过滤掉了。
2.故障分析
故障现象:
RouterA路由表中没有RouterD通告的路由。
使用以下步骤调查故障原因:
(1)检查RouterB是否已将所有路由通告给邻居RouterA。
在RouterB上使用displayiprouting-table,查看RouterB是否接收到了来自RouterC和RouterD的路由,结果显
升级会员 