管理信息化VR虛擬現(xiàn)實(shí)華為數(shù)通操作手冊VRP全系列VRP故障處理手冊路由器

管理信息化VR虛擬現(xiàn)實(shí)華為數(shù)通操作手冊VRP全系列VRP故障處理手冊路由器通用路由平臺VRP故障處理手冊路由篇目錄目錄第5章路由策略故障處理5-15.1路由策略與過濾器簡介5-15.1.1路由策略與策略路由5-15.1.2地址前綴列表5-25.1.3AS路徑訪問列表5-25.1.4團(tuán)體屬性列表5-25.1.5擴(kuò)展團(tuán)體屬性列表5-25.1.6路由策略5-35.2路由策略故障處理5-35.2.1典型組網(wǎng)環(huán)境5-35.2.2配置注意事項(xiàng)5-55.2.3故障診斷流程5-85.2.4故障處理步驟5-95.3故障處理案例5-115.3.1使用IP-Prefix過濾路由問題5-115.3.2使用AS-Path過濾路由問題5-135.3.3使用Community過濾路由問題5-155.3.4使用Extmunity過濾路由問題5-165.3.5使用route-policy過濾路由問題5-185.4FAQ5-215.5故障診斷工具5-225.5.1display命令5-225.5.2debugging命令5-275.5.3告警5-27ii第5章路由策略故障處理本章包含以下內(nèi)容：路由策略與過濾器簡介介紹了進(jìn)行BGP故障處理時用戶所需的知識要點(diǎn)。路由策略故障處理針對典型的BGP組網(wǎng)環(huán)境，介紹配置BGP時要注意的事項(xiàng)，BGP對等體不能建立連接故障處理的流程和詳細(xì)的故障處理步驟。故障處理案例介紹了若干實(shí)際的故障處理案例。FAQ列出了用戶常問的問題，并給出了相應(yīng)的解答。故障診斷工具介紹了進(jìn)行故障處理所需要的故障診斷工具，包括display命令和debugging命令、告警信息。5.1路由策略與過濾器簡介本節(jié)包含以下內(nèi)容：路由策略與策略路由地址前綴列表AS路徑訪問列表團(tuán)體屬性列表擴(kuò)展團(tuán)體屬性列表路由策略5.1.1路由策略與策略路由性（包括可達(dá)性）來實(shí)現(xiàn)。策略路由Policy-Based-Route用于指導(dǎo)報文轉(zhuǎn)發(fā)。本章只介紹路由策略。為實(shí)現(xiàn)路由策略，首先要定義將要實(shí)施路由策略的路由信息的特征，即定義一組匹配規(guī)則，路由策略中。只接收或發(fā)布一部分滿足條件的路由信息；一種路由協(xié)議（如RIPng）可能需要引入其它的設(shè)置，以使其滿足本協(xié)議的要求。5.1.2地址前綴列表地址前綴列表（IP-Prefix-Filter）包括IPv4地址前綴列表和IPv6地址前綴列表。地址前綴列表的作用類似于ACL，但比它更為靈活，且更易于為用戶理解。地址前綴列表在應(yīng)用于路由信息的過濾時，其匹配對象為路由信息的目的地址信息域。指定一個網(wǎng)絡(luò)前綴形式的匹配范圍，并用一個Index-Number來標(biāo)識，Index-Number指明了進(jìn)行匹配檢查的順序。在匹配的過程中，路由器按升序依次檢查由Index-Number標(biāo)識的各個表項(xiàng)，只要有某一表項(xiàng)滿足條件，就意味著通過該地址前綴列表的過濾（不進(jìn)入下一個表項(xiàng)的測試）。5.1.3AS路徑訪問列表BGP路由信息中包含的AS_PATHAS路徑訪問列表（as-path-filter）就是針對AS_PATH路徑屬性進(jìn)行過濾的過濾器。5.1.4團(tuán)體屬性列表BGP路由的Community屬性被一組具有相同的特性的前綴所共享，團(tuán)體屬性列表（Community-Filter）就是針對團(tuán)體屬性域指定匹配條件的過濾器。5.1.5擴(kuò)展團(tuán)體屬性列表BGP的擴(kuò)展團(tuán)體屬性也是定義了一組共享相同特性的前綴，目前VRP的Exmunity-Filter針對一種常用的擴(kuò)展團(tuán)體屬性進(jìn)行過濾：VPN-Target，定義了私網(wǎng)路由的VPN成員關(guān)系。5.1.6路由策略Route-policy并在條件滿足時改變路由信息的屬性。Route-Policy可以使用前面幾種過濾器定義自己的匹配規(guī)則。一個Route-policy可以由多個節(jié)點(diǎn)Node構(gòu)成，不同節(jié)點(diǎn)之間是“或的關(guān)系。系統(tǒng)按節(jié)點(diǎn)行匹配測試。每個節(jié)點(diǎn)由一組if-match和apply子句組成。if-match子句定義匹配規(guī)則，匹配對象是路由信息的一些屬性。同一節(jié)點(diǎn)中的不同if-match子句是“與”的關(guān)系，只有滿足節(jié)點(diǎn)內(nèi)所有if-matchapply是在通過節(jié)點(diǎn)的匹配后，對路由信息的一些屬性進(jìn)行設(shè)置。5.2路由策略故障處理本節(jié)介紹如下的內(nèi)容：典型組網(wǎng)環(huán)境配置注意事項(xiàng)故障診斷流程故障處理步驟5.2.1典型組網(wǎng)環(huán)境路由策略的典型組網(wǎng)如圖5-1與圖5-2所示。路由策略的故障處理將基于該網(wǎng)絡(luò)。1.公網(wǎng)環(huán)境拓?fù)鋱D5-1路由策略故障公網(wǎng)環(huán)境拓?fù)潆H環(huán)境中的路由發(fā)送/接收者。2.VPN環(huán)境拓?fù)鋱D5-2路由策略故障VPN環(huán)境拓?fù)銿PN環(huán)境時，路由策略可以應(yīng)用在PE與CE上，用來發(fā)布/接收指定的路由。其中，在PE上對于VPNv4和VPNInstance可同時應(yīng)用策略。以上拓?fù)涫菍?shí)際環(huán)境中VPN的一個簡化拓?fù)洌糜谀M實(shí)際環(huán)境中PE與CE中的路由發(fā)送/接收者。5.2.2配置注意事項(xiàng)1.路由策略中常用過濾器配置配置項(xiàng)子項(xiàng)注意事項(xiàng)配置項(xiàng)子項(xiàng)注意事項(xiàng)ip-prefixipip-prefixip-prefix配置IPv4前綴地址列表，列表名由-name[indexindex-numip-prefix-nameber]{permit|deny}ip-項(xiàng)，每一項(xiàng)可以指定索引值Index，若沒有指定索addressmask-length[g引值，則生成項(xiàng)的索引值由此前綴列表已存在的最reater-equalgreater-大索引值+10；equal-value|less-equ若同時指定前綴長度在greater-equal和alless-equal-value]less-equal置的greater-equal值和less-equal值必須滿足條件：mask-length<=greater-equal<=less-equal<=32；/掩碼與要檢查的路由地址/（Permit或Deny），不再去匹配其他表項(xiàng)；如果所有表項(xiàng)都是Deny模式，則任何路由都不Deny模式的表項(xiàng)后定義一條permit0greater-equal0less-equal32表項(xiàng)，允許其它所有IPv4路由信息通過。使用中最常見的理解錯誤是把IP-Prefix的配置方法和ACL的配置方法等同，實(shí)際上，在只指定IP-Address/Mask-Length的情況下，IP-Prefix只要匹配一段掩碼范圍內(nèi)的路由，必須指定Greater-Equal和Less-Equal參數(shù)。配置項(xiàng)子項(xiàng)注意事項(xiàng)ipv6-prefixipipv6-prefixipv6-pr配置IPv6前綴地址列表，列表名由efix-name[indexindexipv6-prefix-name-number]{permit|deny匹配項(xiàng)，每一項(xiàng)可以指定索引值index，若沒有指}ipv6-addressmask-le定索引值，則生成項(xiàng)的索引值由此前綴列表已存在ngth[greater-equalgr的最大索引值+10；eater-equal-value|le若同時指定前綴長度在greater-equal和ss-equalless-equal-vless-equalalue]置的greater-equal值和less-equal值必須滿足條件：mask-length<=greater-equal<=less-equal<=128；節(jié)點(diǎn)，只要有一個節(jié)點(diǎn)滿足條件，就認(rèn)為通過該過濾列表，不再去匹配其他表項(xiàng)；如果所有表項(xiàng)都是Deny模式，則任何路由都不Deny模式的表項(xiàng)后定義一條permit::00greater-equal0less-equal128表項(xiàng)，允許其它所有IPv6路由信息通過。as-path-filipas-path-filteras-p使用正則表達(dá)式來定義AS-Path屬性過濾規(guī)則，terath-filter-number{deBGP可以使用此過濾器來匹配BGP路由的AS-Pathny|permit}regular-ex屬性，以此決定是否發(fā)布/接收路由。pression如果所有表項(xiàng)都是Deny模式，則任何路由都不Deny模式的表項(xiàng)后定義一條permit.*過；配置項(xiàng)子項(xiàng)注意事項(xiàng)munity-filtipmunity-filterbaersic-m-filter-num{den性號在1-99y|permit}[munity-num確的團(tuán)體屬性來定義過濾規(guī)則；屬性號在100-199ber|aa:nn]*&<1-16>[i為高級團(tuán)體屬性過濾器，通過指定正則表達(dá)式來定nternet|no-export-su義過濾規(guī)則。bconfed|no-advertise對于基本團(tuán)體屬性過濾器，Internet選項(xiàng)表示|no-export]*匹配所有的團(tuán)體屬性；而對高級團(tuán)體屬性過濾器，ipmunity-filterad正則表達(dá)式”.*”表示匹配所有的團(tuán)體屬性。v-m-filter-num{deny|對于基本團(tuán)體屬性過濾器，有完全匹配模式permit}regular-expreWhole-MatchssionBGP給出的團(tuán)體屬性列表必須完全與過濾器規(guī)則中BGP給出的團(tuán)體屬性列表必須要包含過濾器規(guī)則中定義的團(tuán)體屬性才能匹配。如果所有表項(xiàng)都是Deny模式，則任何路由都不Deny模式的表項(xiàng)后定義一條permit.*permitinternet（基本團(tuán)體屬性過濾器）表項(xiàng)，允許其它所有路由信息通過。extmunity-fipextmunity-filterex定義擴(kuò)展團(tuán)體屬性過濾器規(guī)則。iltert-m-list-number{deny|permit}rt{as-number:nn|ipv4-address:as-number}配置項(xiàng)子項(xiàng)注意事項(xiàng)route-policroute-policyroute-poPermit指定節(jié)點(diǎn)的匹配模式為允許。當(dāng)路由項(xiàng)ylicy-name{permit|denApply子句，y}node{node-number}不進(jìn)入下一個節(jié)點(diǎn)的測試；如果路由項(xiàng)沒有通過該節(jié)點(diǎn)過濾，將進(jìn)入下一個節(jié)點(diǎn)繼續(xù)測試；當(dāng)節(jié)點(diǎn)下沒有If-Match子句時，所有節(jié)點(diǎn)路由都允許。Deny指定節(jié)點(diǎn)的匹配模式為拒絕，這時Apply子句不會被執(zhí)行。當(dāng)路由項(xiàng)滿足該節(jié)點(diǎn)的所有If-MatchIf-Match子句，將進(jìn)入下一個節(jié)點(diǎn)繼續(xù)測試；當(dāng)節(jié)點(diǎn)下沒有If-Match子句時，所有的路由都被拒絕。如果所有的節(jié)點(diǎn)的If-Match規(guī)則都不能匹配，則整個策略的過濾結(jié)果默認(rèn)是Deny。當(dāng)所有節(jié)點(diǎn)都是配置Deny時，將導(dǎo)致所有路由均被拒絕，所以在所有Deny節(jié)點(diǎn)后至少配置一個Permit節(jié)點(diǎn)，以允許其它的路由通過。2.過濾器應(yīng)用注意事項(xiàng)(1)假設(shè)當(dāng)前過濾器下配置了至少一個節(jié)點(diǎn)，Permit或Deny合到要過濾路由的地址/掩碼范圍，則此路由過濾結(jié)果為Deny。(2)若是在策略中使用了某個不存在的過濾器，則結(jié)果為對所有要過濾的路由為Permit。3.正則表達(dá)式編寫規(guī)則正則表達(dá)式是按照一定的模板來匹配字符串的公式。符號說明^匹配一個字符串的開始。如“^300”表示只匹配AS_Path的第一個值為300。$匹配一個字符串的結(jié)束。如“300$”表示只匹配AS_Path的最后一個值為300。.匹配任何單個字符，包括空格。+匹配前面的一個字符或者一個序列，1次或者多次出現(xiàn)。_匹配一個符號。如逗號，括號，空格符號等。*匹配前面的一個字符或者一個序列，可以0次或者多次出現(xiàn)。？匹配前面的一個字符，可以0次或者多次出現(xiàn)。()匹配的變化的AS或者一個獨(dú)立的匹配，通常和“|”一起使用。|邏輯或。[]匹配的一個范圍內(nèi)的AS，通常和“-”一起使用。-連接符。舉例：ipas-path-filter10deny^$：拒絕發(fā)布本地始發(fā)路由。ipas-path-filter10permit.*：允許發(fā)布/接收其他AS的路由。ipas-path-filter2deny(6[0-9]|7[0-9]|8[0-9]|9[0-9]|1[0-3][0-9]|130)$：拒絕從AS60-130始發(fā)的路由。ipmunity-filter100permit1000:10[0-9]$1000:100至1000:109之間的路由。5.2.3故障診斷流程針對圖5-1或圖5-2濾。請使用下面的故障診斷流程，如圖5-3所示。圖5-3路由策略故障診斷流程圖5.2.4故障處理步驟概要的故障處理步驟如下：步驟操作1檢查網(wǎng)絡(luò)的連通性。2檢查路由協(xié)議配置是否正確。3檢查IP-Prefix-Filter是否配置。4檢查AS-Path-Filter是否配置。5檢查Community-Filter是否配置。6檢查Extmunity-Filter是否配置。7檢查Route-Policy是否配置。詳細(xì)的故障處理步驟如下：1.檢查網(wǎng)絡(luò)的連通性使用displayipinterfacebrief命令來檢查各個接口的狀態(tài)。Up表示可用，Down表示不可用。如果接口狀態(tài)為Down請檢查線路是否連接好，接口是否被Shutdown。2.檢查路由協(xié)議配置是否正確使用displaycurrent-configuration命令來檢查當(dāng)前的路由器配置。使用displaycurrent-configurationconfiguration命令來檢查路由協(xié)議配置是否正確。如果路由協(xié)議配置的不正確，請您參考相應(yīng)協(xié)議的故障處理手冊。3.檢查IP-Prefix-Filter是否配置使用displayipip-prefix命令檢查當(dāng)前路由器是否配置IP-Prefix-Filter。如果已配置請查看IP-Prefix-Filter配置注意事項(xiàng)請查看配置注意事項(xiàng)中有關(guān)IP-Prefix-Filter的部分。4.檢查AS-Path-Filter是否配置使用displayipas-path-filter命令檢查當(dāng)前路由器是否配置AS-Path-Filter請查看AS-Path-Filter配置注意事項(xiàng)請查看配置注意事項(xiàng)中有關(guān)AS-Path-Filter的部分。5.檢查Community-Filter是否配置使用displayipmunity-filter命令查看當(dāng)前路由器是否配置Community-Filter。如果已配置請查看團(tuán)體屬性過濾器配置注意事項(xiàng)請查看配置注意事項(xiàng)中有關(guān)Community-Filter的部分。6.檢查Exmunity-Filter是否配置使用displayipexmunity-filter命令查看當(dāng)前路由器是否配置Exmunity-Filter置請查看拓展團(tuán)體屬性過濾器配置注意事項(xiàng)請查看配置注意事項(xiàng)中有關(guān)Exmunity-Filter的部分。7.檢查Route-Policy是否配置使用displayroute-policy命令檢查當(dāng)前路由器是否配置了Route-Policy看Route-Policy過濾器配置注意事項(xiàng)請查看配置注意事項(xiàng)中有關(guān)Route-Policy的部分。如果檢查結(jié)束，故障仍然無法排除，請聯(lián)系華為的技術(shù)支持工程師Http://.。5.3故障處理案例本節(jié)列出了常見的故障處理案例，如下：使用IP-Prefix過濾路由問題使用AS-Path過濾路由問題使用Community過濾路由問題使用Extmunity過濾路由問題使用Route-Policy過濾路由問題5.3.1使用IP-Prefix過濾路由問題1.網(wǎng)絡(luò)環(huán)境組網(wǎng)圖請參考圖5-1案例中RouterA采用IP-Prefix過濾器對從RouterB中接收到的路由進(jìn)行過濾：RouterA上的配置：#bgp100peeras-number200#ipv4-familyunicastundosynchronizationpeerenablepeerip-prefixrtaimport#ipip-prefixrtaindex20deny32#RouterB上的配置：#bgp200peeras-number100#ipv4-familyunicastundosynchronizationnetwork55network55peerenable#使用displayiprouting-table命令查看RouterA上接收到的路由，應(yīng)該可以接收到/32，但是路由表中沒有。2.故障分析使用以下步驟調(diào)查故障原因：(1)檢查RouterB路由表信息，確定是否所有路由已被通告給鄰居RouterA。(2)在RouterB上使用displaybgprouting-table，顯示路由表信息，發(fā)現(xiàn)/32及/32這兩條路由均已通告給RouterA，問題應(yīng)該是在RouterA上。(3)檢查RouterA上的BGP配置，確定BGP在接收路由時是否使用了過濾器。(4)在RouterA上使用displaycurrent-configurationconfigurationbgp命令檢查BGPRouterB通告過來的路由時使用了IP-Prefix計是過濾器將所有路由都過濾了。(5)檢查IP-Prefix過濾器的配置。確定此路由是否被過濾器過濾掉了。(6)在RouterA上使用displayipip-prefixrta命令查看過濾器的配置，發(fā)現(xiàn)僅對路由/32配置了Deny策略，但對于路由/32沒有配置Permit。RouterA上使用IP-Prefix過濾路由問題。系統(tǒng)過濾路由時對于沒有匹配的路由默認(rèn)返回Deny，所以將/32也過濾了。3.處理步驟Deny即可。在RouterA上執(zhí)行如下操作：步驟操作1將過濾規(guī)則替換為ipip-prefixrtaindex10permit32使用displayiprouting-table命令查看RouterA上接收到的路由，發(fā)現(xiàn)路由表中出現(xiàn)路由/32，故障被排除。4.案例總結(jié)當(dāng)配置IP-PrefixDeny/掩碼的路由系統(tǒng)默認(rèn)返回Deny。所以，需要配置Permit節(jié)點(diǎn)對指定路由允許。請參考配置注意事項(xiàng)IP-Prefix小節(jié)。5.3.2使用AS-Path過濾路由問題1.網(wǎng)絡(luò)環(huán)境圖5-4AS-Path過濾路由故障處理案例組網(wǎng)圖案例中RouterA采用AS-Path過濾器對從RouterB通告過來的路由進(jìn)行過濾：RouterA上的配置：#bgp100peeras-number200#ipv4-familyunicastundosynchronizationpeerenablepeeras-path-filter10import#ipas-path-filter10deny65430#RouterB上的配置：#bgp200peeras-number100peeras-number65431peeras-number65430#ipv4-familyunicastundosynchronizationpeerenablepeerenablepeerenable#RouterC上的配置：#bgp65430peeras-number200#ipv4-familyunicastundosynchronizationnetwork55peerenable#RouterD上的配置：#bgp65431peeras-number200#ipv4-familyunicastundosynchronizationnetwork55peerenable#發(fā)現(xiàn)故障：使用displayiprouting-table命令查看RouterA上接收到的路由，應(yīng)該可以看到RouterA過濾了RouterC通告的路由，接收了RouterD通告的路由，但路由表中顯示RouterC及RouterD的路由均被RouterA過濾掉了。2.故障分析故障現(xiàn)象：RouterA路由表中沒有RouterD通告的路由。使用以下步驟調(diào)查故障原因：(1)檢查RouterB是否已將所有路由通告給鄰居RouterA。(2)在RouterB上使用displayiprouting-tableRouterB是否接收到了來自RouterC和RouterD的路由，結(jié)果顯示已經(jīng)接收到了。所以判斷問題應(yīng)該是在RouterA上。(3)檢查RouterA上的BGP配置，確定BGP在接收路由時是否使用了過濾器。(4)在RouterA上使用displaycurrent-configurationconfigurationbgp查看BGP的配置，發(fā)現(xiàn)BGP對從RouterB通告過來的路由使用了名為10的as-path過濾器過濾路由，估計是過濾器將所有路由都過濾了。(5)檢查RouterA上AS-Path正則表達(dá)式的編寫和過濾器的配置。(6)在RouterA上使用displayipas-path-filter10查看過濾器的配置，發(fā)現(xiàn)僅對來自AS號為65430的路由配置了Deny策略，但對于來自65431域的路由沒有配置Permit。RouterA上使用AS-Path過濾路由問題。系統(tǒng)過濾路由時對于沒有匹配的路由默認(rèn)返回Deny，所以將來自AS65431域的路由也過濾掉了。3.處理步驟因?yàn)橄到y(tǒng)過濾路由時對于沒有匹配的路由默認(rèn)返回Deny由即可。在RouterA上執(zhí)行如下操作：步驟操作1將過濾規(guī)則替換為ipas-path-filter10permit65431使用displayiprouting-table命令查看RouterA上接收到的路由，發(fā)現(xiàn)路由表中出現(xiàn)路由/32，故障被排除。4.案例總結(jié)當(dāng)配置AS-Path過濾路由時，需要注意：正則表達(dá)式的編寫規(guī)則；若是僅配置Deny節(jié)點(diǎn)，那么對于沒有命中AS-Path范圍的系統(tǒng)返回Deny。所以，需要配置Permit節(jié)點(diǎn)對指定路由允許。請參考配置注意事項(xiàng)AS-Path小節(jié)。5.3.3使用Community過濾路由問題Community-Filter一般情況下作為route-policy的if-match子句的匹配條件，當(dāng)滿足if-matchmunity-filter<basicoradvancedmunity-list>時，對路由應(yīng)用apply子句下的動作。需要注意AdvancedCommunity-List中正則表達(dá)式的編寫規(guī)則。請參考配置注意事項(xiàng)的附注中正則表達(dá)式編寫規(guī)則部分。5.3.4使用Extmunity過濾路由問題1.網(wǎng)絡(luò)環(huán)境組網(wǎng)圖請參考圖5-2用戶組網(wǎng)需求：CE1、CE3屬于VPN-A，CE2、CE4屬于VPN-B；VPN-A使用的VPN-Target屬性為100:1VPN-B使用的VPN-Target屬性為200:1。不同VPN用戶之間不能互相訪問；CE與PE之間配置EBGP交換VPN路由信息；PE與PE之間配置OSPF實(shí)現(xiàn)PE內(nèi)部的互通、配置MP-IBGP交換VPN路由信息。用戶在PE2上面又添加了一個VNP-C，ExportVPNTargets:300:1，ImportVPNTargets:100:1200:1，此時VNP-C可以接受到VPN-A和VPN-B的路由。用戶此時有一個需求，希望VPN-C上只收到來自VPN-A的路由。此時利用Extmunity-Filter進(jìn)行過濾。進(jìn)行如下的配置：[Quidway]ipvpn-instancevpnc[Quidway–vpn-instance-vpnc]route-distinguisher300:1[Quidway–vpn-instance-vpnc]importroute-policyexm-filter[Quidway–vpn-instance-vpnc]vpn-target300:1export-extmunity[Quidway–vpn-instance-vpnc]vpn-target100:1200:1import-extmunity查看VPN-C的路由表：<Quidway>displayiprouting-tablevpn-instancevpnc#RoutingTables:vpncDestinations:6Routes:6Destination/MaskProtoPreCostNextHopInterface/32BGP2550Ethernet/32BGP2550Ethernet1/24BGP2550Ethernet1/24BGP2550Ethernet1/24BGP2550Ethernet10/32BGP.0.0.1InLoopBack0VPN-C的路由表中仍然有VPN-B的路由。/32這條路由沒有過濾掉。2.故障分析故障現(xiàn)象：VPN-C的路由表中顯示路由/32沒有被過濾掉。使用以下步驟調(diào)查故障原因：(1)參考前例檢查過程將故障原因定位到過濾器的應(yīng)用上。(2)查看當(dāng)前的路由策略Route-Policy和IPExtmunity-Filter首先使用displaycurrent-configurationconfigurationroute-policy命令查看一下VPN-C下引入路由時用的過濾器Extmunity-Filter。<Quidway>displaycurrent-configurationconfigurationroute-policy#route-policyexm-filterpermitnode10if-matchextmunity-filter1#然后使用displayipextmunity-filter命令查看一下VPN-C下過濾器Extmunity-Filter應(yīng)用的過濾規(guī)則。<Quidway>displayipextmunity-filter#ExtendedCommunityfilterNumber1permitrt:0:0rt:100:1#(3)查找故障原因擴(kuò)展團(tuán)體屬性列表Extmunity-List僅用于BGP。BGP的擴(kuò)展團(tuán)體有兩種，一種是用于VPN的路由目標(biāo)擴(kuò)展團(tuán)體。擴(kuò)展團(tuán)體屬性列表就是擴(kuò)展團(tuán)體屬性指定匹配條件。如果Extmunity-Filter的配置中只包含VPN-Target，則只要這些VPN-TARGET中有一個與BGP給出的VPN-Target集合匹配，就認(rèn)為過濾器命中，返回指定的Permit或Deny結(jié)果。比如：配置ipextmunity-filterpermitrt100:1rt200:1BGP配置RT：100:1300:1400:1結(jié)果是：命中，PermitBGP給出RT：300:1400:1結(jié)果：不命中，Deny如果Extmunity-Filter的配置中指定VPN-Target0:0，則將匹配所有的VPN-Target。比如：配置ipextmunity-filterpermitrt0:0BGP給出任何RT都將匹配。但如果不給RT則不匹配。如果Extmunity-Filter的配置中未指定VPN-Target，則無論BGP給出任何RT，結(jié)果都將是不匹配。Deny使用同樣的規(guī)則。檢查本例中VPN-C下的過濾器Extmunity-Filter的過濾規(guī)則：permitrt:0:0rt:100:1同時應(yīng)用了RT:0:0和RT:100:1。故障的原因定位：在VPN-C下使用Extmunity-List過濾路由問題。過濾規(guī)則permitrt:0:0rt:100:1RT:0:0和RT:100:1VPN-B的路由也被接受了。3.處理步驟在PE2上的VPN-C下執(zhí)行如下操作步驟操作1更改ipextmunity-filter1為如下所示的配置：<Quidway>displayipextmunity-filter1#permitrt:100:1#使用displayiprouting-tablevpn-instancevpnc命令查看VPN-C的路由表項(xiàng)，發(fā)現(xiàn)已經(jīng)沒有來自VPN-B的路由了，表明故障解決。4.案例總結(jié)此案例是Extmunity-FilterExtmunity-Filter則。特別注意RT0:0配置的使用規(guī)則。如果Extmunity-Filter的配置中指定VPN-Target0:0，則將匹配所有的VPN-Target。如果BGP沒有指定VPN-Target，視為不匹配。5.3.5使用route-policy過濾路由問題1.網(wǎng)絡(luò)環(huán)境組網(wǎng)圖請參考圖5-2。CE1、CE3屬于VPN-A，CE2、CE4屬于VPN-B。VPN-A使用的VPN-Target屬性為100:1VPN-B使用的VPN-Target屬性為200:1。不同VPN用戶之間不能互相訪問。CE與PE之間配置EBGP交換VPN路由信息。PE與PE之間配置OSPF實(shí)現(xiàn)PE內(nèi)部的互通，配置MP-IBGP交換VPN路由信息。在PE2上面有添加了一個VNP-C，ExportVPNTargets:300:1，ImportVPNTargets:100:1200:1，此時VNP-C可以接受到VPN-A和VPN-B的路由。希望VPN-C上收到來自VPN-A的路由和來自VPN-B的路由，并且把從VPN-A引入的路由Cost加100，把從VPN-B引入的路由Cost加200。利用Route-Policy完成此需求。進(jìn)行如下配置：[Quidway]route-policyFilter-policypermitnode10[Quidway-route-policy]if-matchextmunity-filter1[Quidway-route-policy]applycost+100[Quidway-route-policy]if-matchextmunity-filter2[Quidway-route-policy]applycost+200查看VPN-C的路由表：<Quidway>displayiprouting-tablevpn-instancevpnc#RoutingTables:vpncDestinations:6Routes:6Destination/MaskProtoPreCostNextHopInterface/32BGP.1.1.9Ethernet/32BGP.1.1.9Ethernet1/24BGP.1.1.9Ethernet1/24BGP.1.1.9Ethernet1/24BGPEthernet10/32BGPInLoopBack0#發(fā)現(xiàn)故障：沒有得到預(yù)期的效果，VPN-C的路由表中顯示：不論來自VPN-A還是VPN-B的路由都應(yīng)用了Cost+200的策略。2.故障分析故障現(xiàn)象：來自VPN-A的路由Cost應(yīng)該加100，而不是200。使用以下步驟調(diào)查故障原因：(1)參考前例檢查過程將故障原因定位到過濾器的應(yīng)用上。(2)查看當(dāng)前的路由策略Route-Policy和IPExtmunity-Filter。首先使用displaycurrent-configurationconfigurationroute-policy命令查看一下VPN-C下引入路由時用的過濾器Filter-Policy<Quidway>displaycurrent-configurationconfigurationroute-policy#route-policyFilter-policypermitnode10if-matchextmunity-filter12applycost+200#然后使用displayipextmunity-filter命令查看一下拓展團(tuán)體屬性列表<Quidway>displayipextmunity-filterExtendedCommunityfilterNumber1permitrt:100:1ExtendedCommunityfilterNumber2permitrt:200:1(3)查找故障原因首先來回顧一下Route-Policy的應(yīng)用規(guī)則：一個Route-Policy可以由多個節(jié)點(diǎn)構(gòu)成，不同節(jié)點(diǎn)之間是“或”的關(guān)系。系統(tǒng)按節(jié)點(diǎn)序號匹配測試。檢查本例中VPN-C下的過濾器Filter-Policy的過濾規(guī)則：if-matchextmunity-filter12applycost+200由于每個if-match配置項(xiàng)的關(guān)系是“與”的關(guān)系，希望VPN-C上收到來自VPN-A的路由和來自VPN-B的路由，并且把從VPN-A引入的路由Cost加100，把從VPN-B引入的路由Cost加200，應(yīng)該應(yīng)用多節(jié)點(diǎn)的“或”關(guān)系。故障的原因定位：在VPN-C下使用Route-Policy過濾路由問題。3.處理步驟在PE2上的VPN-C下執(zhí)行如下操作步驟操作1更改route-policyFilter-policypermitnode10為如下所示的配置：<Quidway>displaycurrent-configurationconfigurationroute-policyroute-policyFilter-policypermitnode10if-matchextmunity-filter1applycost+100route-policyFilter-policypermitnode20

if-matchextmunity-filter2applycost+200使用displayiprouting-tablevpn-instancevpnc命令查看VPN-C的路由表項(xiàng)，來自VPN-A的路由Cost增加了100，表明故障解決。4.案例總結(jié)此案例是一個Route-PolicyRoute-Policy特別注意Route-Policy中不同的節(jié)點(diǎn)之間是“或的關(guān)系，每個if-match之間是“與的關(guān)系。5.4FAQ(1)IPv4前綴列表進(jìn)行路由過濾，應(yīng)用該策略后發(fā)現(xiàn)無法達(dá)到預(yù)先設(shè)計的過濾結(jié)果？(2)答：可能的故障原因及解決方案：使用displayipip-prefixprefix-list-name命令查看指定的前綴列表是否存在或沒被應(yīng)用。如果指定的前綴列表不存在，則該路由策略將引入所有路由。確認(rèn)允許所有路由通過的缺省表項(xiàng)位于所有過濾規(guī)則之后。(3)IPv6前綴列表進(jìn)行路由過濾，應(yīng)用該策略后發(fā)現(xiàn)無法過濾路由？(4)答：可能的故障原因及解決方案：使用displayipipv6-prefixprefix-list-name命令查看指定的前綴列表是否存在或沒被應(yīng)用。如果指定的前綴列表不存在，則該路由策略將引入所有路由。確認(rèn)允許所有路由通過的缺省表項(xiàng)位于所有過濾規(guī)則之后。(5)問：BGP使用AS-Path過濾器過濾路由，發(fā)現(xiàn)要過濾的路由沒有被過濾？(6)答：可能的故障原因及解決方案：使用displaycurrent-configurationconfigurationbgp命令查看BGP的配置，確認(rèn)使用的AS-Path。使用displayipas-path-filteras-path-list-number查看配置的AS-PathDeny要配置一個Permit節(jié)點(diǎn)。(7)BGP協(xié)議使用Route-Policy來過濾指定路由，發(fā)現(xiàn)所有的路由都被過濾？(8)答：可能的故障原因及解決方案：使用displaycurrent-configurationconfigurationbgp命令查看BGP的配置，確認(rèn)使用的Route-Policy。使用displayroute-policypolicy-name查看配置的路由策略，在所有Deny節(jié)點(diǎn)配置之后，至少需要配置一個Permit節(jié)點(diǎn)。5.5故障診斷工具5.5.1display命令命令內(nèi)容說明displayipip-prefix[ip-prefix-name]顯示IP-Prefix過協(xié)議使用濾器的當(dāng)前配置信IP-Prefix的方息。式請參考各個協(xié)議的配置方式。displayipipv6-prefix[ipv6-prefix-name]顯示IPv6-Prefix協(xié)議使用過濾器的當(dāng)前配置IPv6-Prefix的信息。方式請參考各個協(xié)議的配置方式。displayipas-path-filter[as-path-filternumbe顯示協(xié)議使用r]AS-Path-Filter過AS-Path-Filte濾器的當(dāng)前配置信r的方式請參考息。各個協(xié)議的配置方式。displayipmunity-filter顯示[munity-filternumber]Community-Filter過濾器的當(dāng)前配置信息。過濾器值在<1-99>的為基本團(tuán)<100-199>的為高級團(tuán)體過濾器。displayipextmunity-filter顯示[extmunity-filternumber]Extmunity-Filter過濾器的當(dāng)前配置信息。displayroute-policy顯示Route-Policy協(xié)議使用[route-policyname]過濾器的當(dāng)前配置Route-Policy信息。的方式請參考各個協(xié)議的配置方式。1.displayipip-prefix<Quidway>displayipip-prefixPrefix-listtestPermitted0Denied0index:10permit/24ge24le32index:20permit/32表5-1displayipip-prefix命令輸出信息描述項(xiàng)目描述Prefix-list已配置的Prefix名稱。Permitted顯示使用此過濾器允許的路由條目數(shù)。Denied顯示使用此過濾器拒絕的路由條目數(shù)。Index此過濾器下的表項(xiàng)索引值。Permit允許的IP前綴。Deny拒絕的IP前綴。Ge大于等于路由的前綴長度。Le小于等于路由的前綴長度(必須<=32)。2.displayipipv6-prefix<Quidway>displayipipv6-prefixPrefix-list610Permitted0Denied0index:10permit1::/64ge64le128index:20deny2::/64表5-2displayipipv6-prefix命令輸出信息描述項(xiàng)目描述Prefix-list6已配置的Prefix6名稱。Permitted顯示使用此過濾器允許的路由條目數(shù)。Denied顯示使用此過濾器拒絕的路由條目數(shù)。Index此過濾器下的表項(xiàng)索引值。Permit允許的IP前綴。Deny拒絕的IP前綴。3.displayipas-path-filter<Quidway>displayipas-path-filterListIDModeExpression10permit10010deny200表5-3displayipas-path-filter命令輸出信息描述項(xiàng)目描述ListIDAS-Path過濾器的序列號。項(xiàng)目描述Mode匹配的模式：Permit：允許。Deny：拒絕。Expression要過濾的AS-Path的正則表達(dá)式。4.displayipmunity-filter<Quidway>displayipmunity-filterCommunityfilterNumber100permit.*:.*CommunityfilterNumber199deny110:10表5-4displayipmunity-filter命令輸出信息描述項(xiàng)目描述CommunityfilterNumber團(tuán)體過濾器的序列號。Permit允許的團(tuán)體屬性正則表達(dá)式。Deny拒絕的團(tuán)體屬性正則表達(dá)式。5.displayipextmunity-filter<Quidway>displayipextmunity-filterExtendedCommunityfilterNumber100permitrt:1:1denyrt:2:2表5-5displayipextmunity-filter命令輸出信息描述項(xiàng)目描述ExtendedCommunityfilterNumber擴(kuò)展團(tuán)體過濾器的序列號。Permit允許的RT。Deny拒絕的RT。Rt路由目標(biāo)擴(kuò)展團(tuán)體屬性。6.displayroute-policy表5-6displayroute-policy命令輸出信息描述項(xiàng)目描述Route-policy配置的路由策略名。Permit被允許的節(jié)點(diǎn)索引。Deny被拒絕的過濾節(jié)點(diǎn)索引。MatchClauses配置的匹配策略。項(xiàng)目描述ApplyClauses對路由應(yīng)用某種操作。表5-7MatchClauses策略規(guī)則MatchClauses描述if-matchaclacl-number根據(jù)ACL匹配。if-matchas-path-filteras-path-acl-number根據(jù)BGP路由的自治域系統(tǒng)路徑列表匹配。if-matchmunity-filter{std-m-list-number[whole-match]|ext-m-list-number}根據(jù)BGP路由的基本團(tuán)體屬性<1-99>或是高級團(tuán)體屬性匹配<100-199>。if-matchcostvalue根據(jù)路由的權(quán)值匹配。if-matchextmunity-filterext-m-list-number根據(jù)路由的擴(kuò)展團(tuán)體屬性列表匹配。if-matchinterfaceinterface-typeinterface-number根據(jù)路由的出接口匹配。if-matchip{next-hop|route-source}{aclacl-number|ip-prefixip-prefix-name}根據(jù)路由的IPv4信息匹配，下一跳或源地址可根據(jù)ACL或IP-Prefix匹配。if-matchip{next-hop|route-source}{aclacl-number|ip-prefixip-prefix-name}根據(jù)路由的源地址匹配，源地址可根據(jù)ACL或IP-Prefix匹配。if-matchip-prefixip-prefix-name根據(jù)路由的前綴列表匹配。MatchClauses描述if-matchipv6{address|next-hop|route-source}prefix-listipv6-prefix-name根據(jù)路由的IPv6信息匹配，源地址或下一跳地址可根據(jù)前綴列表匹配。if-matchmpls-label根據(jù)路由標(biāo)簽匹配。if-matchroute-typeexternal-type1根據(jù)OSPF外部度量類型1匹配。if-matchroute-typeexternal-type1or2根據(jù)OSPF外部度量類型1或2匹配。if-