路由案例分析

1、華為三康技術(shù)有限公司文檔編號(hào)Document ID密級(jí)Confidentiality levelHuawei-3Com內(nèi)部公開Technologies Co., Ltd.文檔狀態(tài) Document Status共7頁(yè)Draft 1.00Total7pages路由案例分析擬制測(cè)試中心Date日期2005-08-18Prepared by評(píng)審人Date日期yyyy-mm-ddReviewed by批準(zhǔn)Date日期yyyy-mm-ddApproved by華為三康技術(shù)有限公司Huawei-3Com Technologies Co., Ltd.版權(quán)所有侵權(quán)必究All rights reserved彳修

2、訂記錄Revision Record日期Date修訂版本Revision Version修改章節(jié)Sec No.修改描述 Change Description作者Author2005-08-181.00Allinitial初稿完成Ymh-02159 TOC o 1-5 h z HYPERLINK l bookmark18 o Current Document 寫在前面4 HYPERLINK l bookmark21 o Current Document 實(shí)際案例4OSPF之虛連接平反（一）4OSPF之虛連接平反（二）5 HYPERLINK l bookmark24 o Current Docum

3、ent OSPF之DD報(bào)文的傳遞6 HYPERLINK l bookmark27 o Current Document GRE之內(nèi)部環(huán)路7 HYPERLINK l bookmark31 o Current Document BGP之日日的環(huán)路7 HYPERLINK l bookmark35 o Current Document MPLS L3VPN之 分層 PE81寫在前面經(jīng)過一年多的學(xué)習(xí)，總結(jié)了一些比較經(jīng)典的案例。希望以后可以有人繼續(xù)寫下去。2實(shí)際案例2.1 OSPF之虛連接平反（一）虛連接原理：區(qū)域2內(nèi)有4臺(tái)路由器A、B、C、D。其中A、D分別連接區(qū)域0與區(qū)域3 （沒有畫出來）。為了讓全網(wǎng)

4、路由可達(dá)必須在A與D之間建立虛連接。建立虛連接首先 需要A與D有對(duì)方的ROUTER LSA以及相關(guān)的NETWORK LSA。在OSPFV2中，區(qū)域內(nèi)的 路由器是可以通過LSA來計(jì)算出利用哪個(gè)本地出口到達(dá)其他域內(nèi)路由器COST最低。這 樣當(dāng)A與D在區(qū)域內(nèi)SPF算法完成后。他們也就知道了具體從本地那個(gè)接口出去，才可以 “最快”的到達(dá)對(duì)方。這是建立虛連接的第一步。接下來需要在A與D之間建立一個(gè)特 殊的鄰居，這個(gè)鄰居的建立過程與正常的OSPF一樣，通過HELLO包完成。HELLO包的 源地址為本地出接口的地址（可不LOOKBACK?。?、HELLO包的目的地址為該路由 器通過SPF算出對(duì)端路由器的接口地

5、址。（在OSPF V2里區(qū)域內(nèi)的路由器是可以知道該 區(qū)域所有運(yùn)行OSPF協(xié)議的接口的具體的32位地址的。OSPF V3如何實(shí)現(xiàn)呢？）。這個(gè) HELLO包里的記錄的區(qū)域號(hào)為0，網(wǎng)絡(luò)類型為P2P （因?yàn)榻⑧従拥腍ELLO包的目的地 址與源地址可能不是一個(gè)網(wǎng)段的地址，但是為了保證鄰居正常的建立，所以P2P網(wǎng)絡(luò)類型是最好的選擇）。鄰居建立后就可以通過這個(gè)虛擬的鄰居關(guān)系把相關(guān)的LSA透?jìng)鬟^來。有人說虛連接只能用來連接分開的區(qū)域，其實(shí)合理的利用虛連接還可以達(dá)到鏈路備份的作用。請(qǐng)看下圖:圖2如上圖2臺(tái)路由器通過2條鏈路相連，同時(shí)分別下掛了2個(gè)網(wǎng)段。要求利用OSPF實(shí)現(xiàn)： 從A到C走上面的鏈路，從B到D走下

6、面的鏈路。同時(shí)2條鏈路互為備份。解決辦法：A與C這個(gè)網(wǎng)段以及上面的那個(gè)鏈路運(yùn)行區(qū)域0、B與D這個(gè)網(wǎng)段以及下 面的那個(gè)鏈路運(yùn)行區(qū)域2。這樣因?yàn)橛騼?nèi)路由的優(yōu)先級(jí)大于域間路由的優(yōu)先級(jí)，所以會(huì) 實(shí)現(xiàn)A到C走上面的鏈路，B到D走下面的鏈路。如果下面的鏈路DOWN掉后B與D會(huì)利 用區(qū)域間的路由互相訪問。接下來虛連接隆重登場(chǎng)，在區(qū)域2內(nèi)建立一個(gè)虛連接，這樣 當(dāng)骨干區(qū)域之間的鏈路DOWN掉后，A與C可以通過建立的虛連接互相訪問。2.2 OSPF之虛連接平反（二）虛連接的本質(zhì)就是通過建立一個(gè)遠(yuǎn)程區(qū)域0的鄰居來完成LSA的傳遞。同時(shí)建立虛連 接的路由器會(huì)認(rèn)為自己是骨干區(qū)域的路由器、同時(shí)也是ABR。那么下面的這個(gè)拓

7、撲虛 連接如何建立呢？一般情況下所有的講OSPF的資料在講虛連接的時(shí)候都會(huì)利用一個(gè)拓?fù)洌褪菆D3 去掉區(qū)域3之后的樣子，現(xiàn)在如果有一個(gè)圖3的拓?fù)?，并且要求全網(wǎng)路由可達(dá)。那么首先 需要在區(qū)域1內(nèi)建立一個(gè)虛連接，這樣按照虛連接的實(shí)現(xiàn)區(qū)域1與區(qū)域2之間的那個(gè)路由 器就認(rèn)為自己是一個(gè)與骨干區(qū)域相連的ABR7 （小提示：連接2個(gè)非骨干區(qū)域的路由器 不能是ABR）。既然區(qū)域1與區(qū)域2之間的那個(gè)路由器認(rèn)為自己是ABRJ，所以我們只要在區(qū)域二內(nèi)建立另外一條虛連接，使得區(qū)域2與區(qū)域3之間的那個(gè)路由器也認(rèn)為自己也 是一個(gè)與骨干區(qū)域相連的ABR，這樣就可以把骨干區(qū)域的LSA一跳一跳的傳遞過來。我 自己把這個(gè)過程叫做

8、虛連接的“疊代”。最后圖3的拓?fù)湓诮⑻撨B接后等效為：圖4其中紅色的虛線代表一個(gè)虛擬的PPP鏈路，它上面啟用了 OSPF并且是在區(qū)域0內(nèi)的。2.3 OSPF之DD報(bào)文的傳遞協(xié)議報(bào)文的傳遞一般情況下不會(huì)造成網(wǎng)絡(luò)路由的錯(cuò)誤，但是在一些特殊情況下也會(huì)有一些小意外，如下面這個(gè)拓?fù)洌簣D5如圖5兩臺(tái)路由器之間有個(gè)個(gè)GRE連接，分別在GRE隧道上運(yùn)行OSPF協(xié)議。其中一 個(gè)的網(wǎng)絡(luò)類型設(shè)置為P2P （紅色鏈路），另外一個(gè)設(shè)置為P2MP （藍(lán)色鏈路）。當(dāng)配置 完成后發(fā)現(xiàn)有時(shí)候P2MP那條GRE隧道上的OSPF鄰居總是停留在EXSTART的狀態(tài)，為 什么呢？原因分析：我們都知道當(dāng)OSPF接口的網(wǎng)絡(luò)類型設(shè)置為P2M

9、P后會(huì)在ROUTER LSA 中產(chǎn)生一個(gè)32位的主機(jī)路由，當(dāng)紅色鏈路的P2P類型的OSPF鄰居達(dá)到FUL L后這個(gè)32 位的主機(jī)路由也就傳遞完成了。而這個(gè)時(shí)候P2MP那邊到了EXSTART的狀態(tài)，正要傳遞 DD報(bào)文呢，DD報(bào)文的傳遞是依靠單播來實(shí)現(xiàn)的，但是我司的做法是通過查找路由表來 完成這個(gè)過程的（是否合理？），當(dāng)發(fā)現(xiàn)有一個(gè)32位的主機(jī)路由可以達(dá)到對(duì)方的時(shí)候， 本來應(yīng)該在藍(lán)色鏈路上傳遞的DD報(bào)文就從紅色鏈路上了走了，這樣會(huì)造成DD報(bào)文傳輸 2005-06-07華為三康機(jī)密，未經(jīng)許可不得擴(kuò)散第6頁(yè)，共10頁(yè)的錯(cuò)誤。所以導(dǎo)致P2MP鏈路那端一直處于EXSTART的狀態(tài)。解決辦法，配置一個(gè)優(yōu)先 級(jí)

10、高的靜態(tài)路由，強(qiáng)制DD報(bào)文從正確的出口出去。GRE之內(nèi)部環(huán)路一次測(cè)試中發(fā)現(xiàn)配置當(dāng)配置全局策略路由（強(qiáng)制所有數(shù)據(jù)流都從GRE隧道轉(zhuǎn)發(fā)）的 時(shí)候，路由器重起了。后來找來開發(fā)確認(rèn)，雖然是個(gè)嚴(yán)重問題，但是是由于配置錯(cuò)誤 導(dǎo)致的。原因分析：GRE的建立是通過查找路由表建立的，配置的全局策略路由使得查找路 由表的優(yōu)先級(jí)下降了，最后導(dǎo)致建立GRE隧道的那個(gè)單播報(bào)文也要從GRE接口送出去。 當(dāng)GRE的協(xié)議報(bào)文要轉(zhuǎn)發(fā)的時(shí)候發(fā)現(xiàn)要從GRE隧道走，在封裝好GRE后再次走一邊轉(zhuǎn) 發(fā)過程發(fā)現(xiàn)還是要送到GRE接口上，這樣就一直循環(huán)下去了導(dǎo)致路由器“累死”了。BGP之RR的環(huán)路BGP協(xié)議里為了減少IBGP鄰居之間建立鄰居過

11、多的現(xiàn)象，于是提出了一個(gè)路由反射 器（RR）的概念。同時(shí)為了避免在利胰日引起環(huán)路，所以增加了一些屬性來避免環(huán)路， 但是是否這樣就可以完全避免呢？請(qǐng)看下面這個(gè)拓?fù)洌築圖B圖6路由器A、B、C、D在一個(gè)AS中，利用IGP使得內(nèi)部路由全部可達(dá)。為了減少BGP 的鄰居數(shù)量于是A與C建立BGP鄰居，并且A是C的路由反射器；B與D建立BGP鄰居， 并且D是B的路由反射器。當(dāng)A與D從外部BGP鄰居學(xué)到一條相同的路由的時(shí)候，按照RR 的規(guī)則會(huì)把這條路由發(fā)給自己的路由反射客戶（修改下一跳）。這個(gè)時(shí)候在C上看到該 BGP路由的下一跳為A、在B上看到該BGP路由的下一跳為D。一些看起來似乎很正常。 但是問題在于BG

12、P的下一跳雖然建立了但是還需利用IGP疊代到具體的某個(gè)直連接口 上，這樣你會(huì)發(fā)現(xiàn)B上該路由的具體下一跳地址（FIB表里）為C的接口地址；C上該路 由的具體下一跳地址（FIB表里）為B的接口地址。這樣環(huán)路就產(chǎn)生了?？偨Y(jié)：在大規(guī)模的網(wǎng)絡(luò)里利用RR的時(shí)候要注意物理拓?fù)渑c邏輯拓?fù)涞奈呛稀?.6 MPLS L3VPN 之分層 PE在江蘇電力測(cè)試中發(fā)現(xiàn)一個(gè)分層PE的問題，拓?fù)淙缦拢篠PE圖7分別有三個(gè)VPN，但是要求YX可以與兩外兩個(gè)VPN互相訪問。問題描述：首先看一下設(shè)備的配置：SPE上部分配置：ipv4-family vpnv4peer in enablepeer 172.31.20.1 group

13、inpeer 172.31.30.1 group inpeer 172.31.30.1 upepeer 172.31.30.1 default-route-advertise vpn-instance OApeer 172.31.30.1 default-route-advertise vpn-instance CWpeer 172.31.30.1 default-route-advertise vpn-instance YXUPE上多實(shí)例的部分配置：ip vpn-instance YXroute-distinguisher 3:1vpn-target 100:2 export-extcomm

14、unityvpn-target 200:2 export-extcommunityvpn-target 303:1 export-extcommunityvpn-target 100:1 import-extcommunityvpn-target 200:1 import-extcommunityvpn-target 303:2 import-extcommunityvpn-target 303:3 import-extcommunityip vpn-instance OAroute-distinguisher 2:1vpn-target 100:2 export-extcommunityvp

15、n-target 200:1 export-extcommunityvpn-target 100:1 import-extcommunityvpn-target 200:1 import-extcommunityvpn-target 200:2 import-extcommunity問題描述：電力測(cè)試現(xiàn)場(chǎng)發(fā)現(xiàn)有VPN-YX PING VPN-OA與VPN-CW內(nèi)的地址會(huì)有規(guī) 律的丟包。復(fù)現(xiàn)確實(shí)是有該問題，但是仔細(xì)分析后確定為配置錯(cuò)誤。問題分析：首先分層PE的本質(zhì)為UPE只保留本地VPN的路由與一個(gè)缺省路由，也就 說本地的VPN路由表應(yīng)該最多有2個(gè)RD，一個(gè)為自己VPN實(shí)例的RD另外一個(gè)為缺省路

16、 由攜帶的RD。但是現(xiàn)場(chǎng)的配置是在UPE就出現(xiàn)了 VPN路由交叉的現(xiàn)象（一個(gè)VPN路由 表里多個(gè)RD），也就是在VPN-YX路由表里會(huì)有很多的缺省路由出現(xiàn).一個(gè)缺省路由也 就對(duì)應(yīng)著一個(gè)VPN標(biāo)簽（SPE分配的）,SPE根據(jù)這些VPN標(biāo)簽來決定送往哪個(gè)VPN路由表 查找路由.但是UPE實(shí)際給CE用的缺省路由只有一個(gè)。所以當(dāng)VPN-YX內(nèi)的PC想訪問 VPN-OA，一旦應(yīng)用了SPEVPN-CW分的那條缺省路由（也就是內(nèi)層標(biāo)簽用錯(cuò)了）,就會(huì) 在SPE上查找V PN-CW相關(guān)的路由表，那么這個(gè)丟包就是必然的了。解決辦法：在UPE避免VPN路由交叉，每個(gè)VPN實(shí)例的import-extcommunity要完全 的獨(dú)立，SPE上相關(guān)的export-extcommunity屬性增加相應(yīng)的值。具體配置：SPE上:ip vpn-instance OAroute-distinguisher 2:1vpn-target 100:2 export-extcom