華為數(shù)通操作手冊(cè)VRP全系列VRP故障處理手冊(cè)路由器

目錄TOC\o"1-3"第5章路由策略故障解決 5-15.1路由策略與過濾器簡(jiǎn)介 5-15.1.1路由策略與策略路由 5-15.1.2地址前綴列表 5-25.1.3AS途徑訪問列表 5-25.1.4團(tuán)隊(duì)屬性列表 5-25.1.5擴(kuò)展團(tuán)隊(duì)屬性列表 5-25.1.6路由策略 5-35.2路由策略故障解決 5-35.2.1典型組網(wǎng)環(huán)境 5-35.2.2配置注意事項(xiàng) 5-55.2.3故障診斷流程 5-85.2.4故障解決環(huán)節(jié) 5-95.3故障解決案例 5-115.3.1使用IP-Prefix過濾路由問題 5-115.3.2使用AS-Path過濾路由問題 5-135.3.3使用Community過濾路由問題 5-155.3.4使用Extcommunity過濾路由問題 5-165.3.5使用route-policy過濾路由問題 5-185.4FAQ 5-215.5故障診斷工具 5-225.5.1display命令 5-225.5.2debugging命令 5-275.5.3告警 5-27路由策略故障解決本章包含以下內(nèi)容：HYPERLINK路由策略與過濾器簡(jiǎn)介

介紹了進(jìn)行BGP故障解決時(shí)用戶所需的知識(shí)要點(diǎn)。HYPERLINK路由策略故障解決

針對(duì)典型的BGP組網(wǎng)環(huán)境，介紹配置BGP時(shí)要注意的事項(xiàng)，BGP對(duì)等體不能建立連接故障解決的流程和具體的故障解決環(huán)節(jié)。HYPERLINK故障解決案例

介紹了若干實(shí)際的故障解決案例。HYPERLINKFAQ

列出了用戶常問的問題，并給出了相應(yīng)的解答。HYPERLINK故障診斷工具

介紹了進(jìn)行故障解決所需要的故障診斷工具，涉及display命令和debugging命令、告警信息。路由策略與過濾器簡(jiǎn)介本節(jié)包含以下內(nèi)容：HYPERLINK路由策略與策略路由HYPERLINK地址前綴列表HYPERLINKAS途徑訪問列表HYPERLINK團(tuán)隊(duì)屬性列表HYPERLINK擴(kuò)展團(tuán)隊(duì)屬性列表HYPERLINK路由策略路由策略與策略路由路由策略是為了改變網(wǎng)絡(luò)流量所通過的途徑而對(duì)路由信息采用的方法。重要通過改變路由屬性（涉及可達(dá)性）來(lái)實(shí)現(xiàn)。策略路由Policy-Based-Route用于指導(dǎo)報(bào)文轉(zhuǎn)發(fā)。本章只介紹路由策略。為實(shí)現(xiàn)路由策略，一方面要定義將要實(shí)行路由策略的路由信息的特性，即定義一組匹配規(guī)則，可以以路由信息中的不同屬性作為匹配依據(jù)進(jìn)行設(shè)立，如目的地址、發(fā)布路由信息的路由器地址等。匹配規(guī)則可以預(yù)先設(shè)立好，然后再將它們應(yīng)用于路由的發(fā)布、接受和引入等過程的路由策略中。路由器在發(fā)布與接受路由信息時(shí)，也許需要實(shí)行一些策略，以便對(duì)路由信息進(jìn)行過濾，比如只接受或發(fā)布一部分滿足條件的路由信息；一種路由協(xié)議（如RIPng）也許需要引入其它的路由協(xié)議發(fā)現(xiàn)的路由信息，從而豐富自己的路由知識(shí)；路由器在引入其它路由協(xié)議的路由信息時(shí)，也許需要只引入一部分滿足條件的路由信息，并對(duì)所引入的路由信息的某些屬性進(jìn)行設(shè)立，以使其滿足本協(xié)議的規(guī)定。地址前綴列表地址前綴列表（IP-Prefix-Filter）涉及IPv4地址前綴列表和IPv6地址前綴列表。地址前綴列表的作用類似于ACL，但比它更為靈活，且更易于為用戶理解。地址前綴列表在應(yīng)用于路由信息的過濾時(shí)，其匹配對(duì)象為路由信息的目的地址信息域。一個(gè)地址前綴列表由前綴列表名標(biāo)記。每個(gè)前綴列表可以包含多個(gè)表項(xiàng)，每個(gè)表項(xiàng)可以獨(dú)立指定一個(gè)網(wǎng)絡(luò)前綴形式的匹配范圍，并用一個(gè)Index-Number來(lái)標(biāo)記，Index-Number指明了進(jìn)行匹配檢查的順序。在匹配的過程中，路由器按升序依次檢查由Index-Number標(biāo)記的各個(gè)表項(xiàng)，只要有某一表項(xiàng)滿足條件，就意味著通過該地址前綴列表的過濾（不進(jìn)入下一個(gè)表項(xiàng)的測(cè)試）。AS途徑訪問列表BGP路由信息中包含的AS_PATH途徑屬性逆序列出前綴所通過的自治系統(tǒng)。AS途徑訪問列表（as-path-filter）就是針對(duì)AS_PATH途徑屬性進(jìn)行過濾的過濾器。團(tuán)隊(duì)屬性列表BGP路由的Community屬性被一組具有相同的特性的前綴所共享，團(tuán)隊(duì)屬性列表（Community-Filter）就是針對(duì)團(tuán)隊(duì)屬性域指定匹配條件的過濾器。擴(kuò)展團(tuán)隊(duì)屬性列表BGP的擴(kuò)展團(tuán)隊(duì)屬性也是定義了一組共享相同特性的前綴，目前VRP的Excommunity-Filter針對(duì)一種常用的擴(kuò)展團(tuán)隊(duì)屬性進(jìn)行過濾：VPN-Target，定義了私網(wǎng)路由的VPN成員關(guān)系。路由策略路由策略（Route-policy）是一種復(fù)雜的過濾器，它不僅可以匹配給定路由信息的某些屬性，并在條件滿足時(shí)改變路由信息的屬性。Route-Policy可以使用前面幾種過濾器定義自己的匹配規(guī)則。一個(gè)Route-policy可以由多個(gè)節(jié)點(diǎn)Node構(gòu)成，不同節(jié)點(diǎn)之間是“或”的關(guān)系。系統(tǒng)按節(jié)點(diǎn)序號(hào)依次檢查各個(gè)節(jié)點(diǎn)，假如通過了其中一節(jié)點(diǎn)，就意味著通過該策略，不再對(duì)其他節(jié)點(diǎn)進(jìn)行匹配測(cè)試。每個(gè)節(jié)點(diǎn)由一組if-match和apply子句組成。if-match子句定義匹配規(guī)則，匹配對(duì)象是路由信息的一些屬性。同一節(jié)點(diǎn)中的不同if-match子句是“與”的關(guān)系，只有滿足節(jié)點(diǎn)內(nèi)所有if-match子句指定的匹配條件，才干通過該節(jié)點(diǎn)的匹配測(cè)試。apply子句指定動(dòng)作，也就是在通過節(jié)點(diǎn)的匹配后，對(duì)路由信息的一些屬性進(jìn)行設(shè)立。路由策略故障解決本節(jié)介紹如下的內(nèi)容：HYPERLINK典型組網(wǎng)環(huán)境HYPERLINK配置注意事項(xiàng)HYPERLINK故障診斷流程HYPERLINK故障解決環(huán)節(jié)典型組網(wǎng)環(huán)境路由策略的典型組網(wǎng)如REF_Ref\r\h?圖5-1與REF_Ref\r\h?圖5-2所示。路由策略的故障解決將基于該網(wǎng)絡(luò)。公網(wǎng)環(huán)境拓?fù)渎酚刹呗怨收瞎W(wǎng)環(huán)境拓?fù)涔W(wǎng)環(huán)境時(shí)，在某個(gè)路由器上接受此外一個(gè)路由器通告來(lái)的路由時(shí)，發(fā)送者使用路由策略發(fā)布指定路由，接受者使用路由策略接受指定路由，以上拓?fù)涫且粋€(gè)簡(jiǎn)化的拓?fù)?，用于模擬實(shí)際環(huán)境中的路由發(fā)送/接受者。VPN環(huán)境拓?fù)渎酚刹呗怨收蟅PN環(huán)境拓?fù)銿PN環(huán)境時(shí)，路由策略可以應(yīng)用在PE與CE上，用來(lái)發(fā)布/接受指定的路由。其中，在PE上對(duì)于VPNv4和VPNInstance可同時(shí)應(yīng)用策略。以上拓?fù)涫菍?shí)際環(huán)境中VPN的一個(gè)簡(jiǎn)化拓?fù)?，用于模擬實(shí)際環(huán)境中PE與CE中的路由發(fā)送/接受者。配置注意事項(xiàng)路由策略中常用過濾器配置配置項(xiàng)子項(xiàng)注意事項(xiàng)ip-prefixipip-prefixip-prefix-name[indexindex-number]{permit|deny}ip-addressmask-length[greater-equalgreater-equal-value|less-equalless-equal-value]配置IPv4前綴地址列表，列表名由ip-prefix-name指定，列表名下可以配置多個(gè)匹配項(xiàng)，每一項(xiàng)可以指定索引值Index，若沒有指定索引值，則生成項(xiàng)的索引值由此前綴列表已存在的最大索引值+10；若同時(shí)指定前綴長(zhǎng)度在greater-equal和less-equal之間時(shí)，匹配的范圍就在兩者之間，配置的greater-equal值和less-equal值必須滿足條件：mask-length<=greater-equal<=less-equal<=32；在匹配過程中，系統(tǒng)按索引號(hào)升序依次檢查各個(gè)表項(xiàng)，只要有一個(gè)表項(xiàng)下的地址/掩碼與要檢查的路由地址/掩碼相同，就返回此表項(xiàng)下配置的過濾模式（Permit或Deny），不再去匹配其他表項(xiàng)；假如所有表項(xiàng)都是Deny模式，則任何路由都不能通過該過濾列表。建議在多條Deny模式的表項(xiàng)后定義一條permit0greater-equal0less-equal32表項(xiàng)，允許其它所有IPv4路由信息通過。使用中最常見的理解錯(cuò)誤是把IP-Prefix的配置方法和ACL的配置方法等同，事實(shí)上，在只指定IP-Address/Mask-Length的情況下，IP-Prefix只精確匹配一條路由，不匹配一段掩碼范圍內(nèi)的路由。要匹配一段掩碼范圍內(nèi)的路由，必須指定Greater-Equal和Less-Equal參數(shù)。ipv6-prefixipipv6-prefixipv6-prefix-name[indexindex-number]{permit|deny}ipv6-addressmask-length[greater-equalgreater-equal-value|less-equalless-equal-value]配置IPv6前綴地址列表，列表名由ipv6-prefix-name指定，此列表名下可以配置多個(gè)匹配項(xiàng)，每一項(xiàng)可以指定索引值index，若沒有指定索引值，則生成項(xiàng)的索引值由此前綴列表已存在的最大索引值+10；若同時(shí)指定前綴長(zhǎng)度在greater-equal和less-equal之間時(shí)，匹配的范圍就在兩者之間，配置的greater-equal值和less-equal值必須滿足條件：mask-length<=greater-equal<=less-equal<=128；在匹配過程中，系統(tǒng)按索引號(hào)升序依次檢查各個(gè)節(jié)點(diǎn)，只要有一個(gè)節(jié)點(diǎn)滿足條件，就認(rèn)為通過該過濾列表，不再去匹配其他表項(xiàng)；假如所有表項(xiàng)都是Deny模式，則任何路由都不能通過該過濾列表。建議在多條Deny模式的表項(xiàng)后定義一條permit::00greater-equal0less-equal128表項(xiàng)，允許其它所有IPv6路由信息通過。as-path-filteripas-path-filteras-path-filter-number{deny|permit}regular-expression使用正則表達(dá)式來(lái)定義AS-Path屬性過濾規(guī)則，BGP可以使用此過濾器來(lái)匹配BGP路由的AS-Path屬性，以此決定是否發(fā)布/接受路由。假如所有表項(xiàng)都是Deny模式，則任何路由都不能通過該過濾列表。建議在多條Deny模式的表項(xiàng)后定義一條permit.*表項(xiàng)，允許其它所有路由信息通過；community-filteripcommunity-filterbasic-comm-filter-num{deny|permit}[community-number|aa:nn]*&<1-16>[internet|no-export-subconfed|no-advertise|no-export]*ipcommunity-filteradv-comm-filter-num{deny|permit}regular-expression定義一個(gè)團(tuán)隊(duì)屬性過濾器。有兩種配置方式，屬性號(hào)在1-99的為基本團(tuán)隊(duì)屬性過濾器，通過指定明確的團(tuán)隊(duì)屬性來(lái)定義過濾規(guī)則；屬性號(hào)在100-199為高級(jí)團(tuán)隊(duì)屬性過濾器，通過指定正則表達(dá)式來(lái)定義過濾規(guī)則。對(duì)于基本團(tuán)隊(duì)屬性過濾器，Internet選項(xiàng)表達(dá)匹配所有的團(tuán)隊(duì)屬性；而對(duì)高級(jí)團(tuán)隊(duì)屬性過濾器，正則表達(dá)式”.*”表達(dá)匹配所有的團(tuán)隊(duì)屬性。對(duì)于基本團(tuán)隊(duì)屬性過濾器，有完全匹配模式Whole-Match和一般匹配模式。在完全匹配模式下，BGP給出的團(tuán)隊(duì)屬性列表必須完全與過濾器規(guī)則中定義的團(tuán)隊(duì)屬性一致才干匹配。在一般匹配模式下，BGP給出的團(tuán)隊(duì)屬性列表必須要包含過濾器規(guī)則中定義的團(tuán)隊(duì)屬性才干匹配。假如所有表項(xiàng)都是Deny模式，則任何路由都不能通過該過濾列表。建議在多條Deny模式的表項(xiàng)后定義一條permit.*表項(xiàng)（高級(jí)團(tuán)隊(duì)屬性過濾器）或permitinternet（基本團(tuán)隊(duì)屬性過濾器）表項(xiàng)，允許其它所有路由信息通過。extcommunity-filteripextcommunity-filterext-comm-list-number{deny|permit}rt{as-number:nn|ipv4-address:as-number}定義擴(kuò)展團(tuán)隊(duì)屬性過濾器規(guī)則。route-policyroute-policyroute-policy-name{permit|deny}node{node-number}Permit指定節(jié)點(diǎn)的匹配模式為允許。當(dāng)路由項(xiàng)通過該節(jié)點(diǎn)的過濾后，將執(zhí)行該節(jié)點(diǎn)的Apply子句，不進(jìn)入下一個(gè)節(jié)點(diǎn)的測(cè)試；假如路由項(xiàng)沒有通過該節(jié)點(diǎn)過濾，將進(jìn)入下一個(gè)節(jié)點(diǎn)繼續(xù)測(cè)試；當(dāng)節(jié)點(diǎn)下沒有If-Match子句時(shí)，所有節(jié)點(diǎn)路由都允許。Deny指定節(jié)點(diǎn)的匹配模式為拒絕，這時(shí)Apply子句不會(huì)被執(zhí)行。當(dāng)路由項(xiàng)滿足該節(jié)點(diǎn)的所有If-Match子句時(shí)，將被拒絕通過該節(jié)點(diǎn)，不進(jìn)入下一個(gè)節(jié)點(diǎn)；假如路由項(xiàng)不滿足該節(jié)點(diǎn)的If-Match子句，將進(jìn)入下一個(gè)節(jié)點(diǎn)繼續(xù)測(cè)試；當(dāng)節(jié)點(diǎn)下沒有If-Match子句時(shí)，所有的路由都被拒絕。假如所有的節(jié)點(diǎn)的If-Match規(guī)則都不能匹配，則整個(gè)策略的過濾結(jié)果默認(rèn)是Deny。當(dāng)所有節(jié)點(diǎn)都是配置Deny時(shí)，將導(dǎo)致所有路由均被拒絕，所以在所有Deny節(jié)點(diǎn)后至少配置一個(gè)Permit節(jié)點(diǎn)，以允許其它的路由通過。過濾器應(yīng)用注意事項(xiàng)假設(shè)當(dāng)前過濾器下配置了至少一個(gè)節(jié)點(diǎn)，Permit或Deny。若是沒有節(jié)點(diǎn)符合到要過濾路由的地址/掩碼范圍，則此路由過濾結(jié)果為Deny。若是在策略中使用了某個(gè)不存在的過濾器，則結(jié)果為對(duì)所有要過濾的路由為Permit。正則表達(dá)式編寫規(guī)則正則表達(dá)式是按照一定的模板來(lái)匹配字符串的公式。符號(hào)說明^匹配一個(gè)字符串的開始。如“^300”表達(dá)只匹配AS_Path的第一個(gè)值為300。$匹配一個(gè)字符串的結(jié)束。如“300$”表達(dá)只匹配AS_Path的最后一個(gè)值為300。.匹配任何單個(gè)字符，涉及空格。+匹配前面的一個(gè)字符或者一個(gè)序列，1次或者多次出現(xiàn)。_匹配一個(gè)符號(hào)。如逗號(hào)，括號(hào)，空格符號(hào)等。*匹配前面的一個(gè)字符或者一個(gè)序列，可以0次或者多次出現(xiàn)。？匹配前面的一個(gè)字符，可以0次或者多次出現(xiàn)。()匹配的變化的AS或者一個(gè)獨(dú)立的匹配，通常和“|”一起使用。|邏輯或。[]匹配的一個(gè)范圍內(nèi)的AS，通常和“-”一起使用。-連接符。舉例：ipas-path-filter10deny^$：拒絕發(fā)布本地始發(fā)路由。ipas-path-filter10permit.*：允許發(fā)布/接受其他AS的路由。ipas-path-filter2deny(6[0-9]|7[0-9]|8[0-9]|9[0-9]|1[0-3][0-9]|130)$：拒絕從AS60-130始發(fā)的路由。ipcommunity-filter100permit1000:10[0-9]$：允許團(tuán)隊(duì)屬性為1000:100至1000:109之間的路由。故障診斷流程針對(duì)REF_Ref\r\h?圖5-1或REF_Ref\r\h?圖5-2所示的網(wǎng)絡(luò)，在配置各路由器后發(fā)現(xiàn)指定的路由沒有被過濾或所有被過濾。請(qǐng)使用下面的故障診斷流程，如REF_Ref\r\h?圖5-3所示。路由策略故障診斷流程圖故障解決環(huán)節(jié)概要的故障解決環(huán)節(jié)如下：環(huán)節(jié)操作1HYPERLINK檢查網(wǎng)絡(luò)的連通性。2HYPERLINK檢查AS-Path-Filter是否配置。5HYPERLINK檢查Community-Filter是否配置。6HYPERLINK檢查Extcommunity-Filter是否配置。7HYPERLINK檢查Route-Policy是否配置。具體的故障解決環(huán)節(jié)如下：檢查網(wǎng)絡(luò)的連通性使用displayipinterfacebrief命令來(lái)檢查各個(gè)接口的狀態(tài)。Up表達(dá)可用，Down表達(dá)不可用。假如接口狀態(tài)為Down請(qǐng)檢查線路是否連接好，接口是否被Shutdown。檢查路由協(xié)議配置是否對(duì)的使用displaycurrent-configuration命令來(lái)檢查當(dāng)前的路由器配置。使用displaycurrent-configurationconfiguration命令來(lái)檢查路由協(xié)議配置是否對(duì)的。假如路由協(xié)議配置的不對(duì)的，請(qǐng)您參考相應(yīng)協(xié)議的故障解決手冊(cè)。檢查IP-Prefix-Filter是否配置使用displayipip-prefix命令檢查當(dāng)前路由器是否配置IP-Prefix-Filter。假如已配置請(qǐng)查看IP-Prefix-Filter配置注意事項(xiàng)請(qǐng)查看HYPERLINK配置注意事項(xiàng)中有關(guān)IP-Prefix-Filter的部分。檢查AS-Path-Filter是否配置使用displayipas-path-filter命令檢查當(dāng)前路由器是否配置AS-Path-Filter。假如已配置請(qǐng)查看AS-Path-Filter配置注意事項(xiàng)請(qǐng)查看HYPERLINK配置注意事項(xiàng)中有關(guān)AS-Path-Filter的部分。檢查Community-Filter是否配置使用displayipcommunity-filter命令查看當(dāng)前路由器是否配置Community-Filter。假如已配置請(qǐng)查看團(tuán)隊(duì)屬性過濾器配置注意事項(xiàng)請(qǐng)查看HYPERLINK配置注意事項(xiàng)中有關(guān)Community-Filter的部分。檢查Excommunity-Filter是否配置使用displayipexcommunity-filter命令查看當(dāng)前路由器是否配置Excommunity-Filter。假如已配置請(qǐng)查看拓展團(tuán)隊(duì)屬性過濾器配置注意事項(xiàng)請(qǐng)查看HYPERLINK配置注意事項(xiàng)中有關(guān)Excommunity-Filter的部分。檢查Route-Policy是否配置使用displayroute-policy命令檢查當(dāng)前路由器是否配置了Route-Policy。假如已配置請(qǐng)查看Route-Policy過濾器配置注意事項(xiàng)請(qǐng)查看HYPERLINK配置注意事項(xiàng)中有關(guān)Route-Policy的部分。假如檢查結(jié)束，故障仍然無(wú)法排除，請(qǐng)聯(lián)系華為的技術(shù)支持工程師Http://。故障解決案例本節(jié)列出了常見的故障解決案例，如下：HYPERLINK使用IP-Prefix過濾路由問題HYPERLINK使用AS-Path過濾路由問題HYPERLINK使用Community過濾路由問題HYPERLINK使用Extcommunity過濾路由問題HYPERLINK使用Route-Policy過濾路由問題使用IP-Prefix過濾路由問題網(wǎng)絡(luò)環(huán)境組網(wǎng)圖請(qǐng)參考REF_Ref\r\h?圖5-1案例中RouterA采用IP-Prefix過濾器對(duì)從RouterB中接受到的路由進(jìn)行過濾：RouterA上的配置：#bgp100peeras-number200#ipv4-familyunicastundosynchronizationpeerenablepeerip-prefixrtaimport#ipip-prefixrtaindex20deny32#RouterB上的配置：#bgp200peeras-number100#ipv4-familyunicastundosynchronizationnetwork55network55peerenable#使用displayiprouting-table命令查看RouterA上接受到的路由，應(yīng)當(dāng)可以接受到/32，但是路由表中沒有。故障分析使用以下環(huán)節(jié)調(diào)查故障因素：檢查RouterB路由表信息，擬定是否所有路由已被通告給鄰居RouterA。

在RouterB上使用displaybgprouting-table，顯示路由表信息，發(fā)現(xiàn)/32及/32這兩條路由均已通告給RouterA，問題應(yīng)當(dāng)是在RouterA上。檢查RouterA上的BGP配置，擬定BGP在接受路由時(shí)是否使用了過濾器。

在RouterA上使用displaycurrent-configurationconfigurationbgp命令檢查BGP的配置，發(fā)現(xiàn)在接受從RouterB通告過來(lái)的路由時(shí)使用了IP-Prefix過濾器，預(yù)計(jì)是過濾器將所有路由都過濾了。檢查IP-Prefix過濾器的配置。擬定此路由是否被過濾器過濾掉了。

在RouterA上使用displayipip-prefixrta命令查看過濾器的配置，發(fā)現(xiàn)僅對(duì)路由/32配置了Deny策略，但對(duì)于路由/32沒有配置Permit。故障的因素定位：在RouterA上使用IP-Prefix過濾路由問題。系統(tǒng)過濾路由時(shí)對(duì)于沒有匹配的路由默認(rèn)返回Deny，所以將/32也過濾了。解決環(huán)節(jié)由于系統(tǒng)過濾路由時(shí)，沒有匹配的路由默認(rèn)返回Deny，所以過濾策略僅配置可以通過的路由即可。在RouterA上執(zhí)行如下操作：環(huán)節(jié)操作1將過濾規(guī)則替換為ipip-prefixrtaindex10permit32使用displayiprouting-table命令查看RouterA上接受到的路由，發(fā)現(xiàn)路由表中出現(xiàn)路由/32，故障被排除。案例總結(jié)當(dāng)配置IP-Prefix過濾路由時(shí)，若是僅配置Deny節(jié)點(diǎn)，那么對(duì)于沒有命中匹配地址/掩碼的路由系統(tǒng)默認(rèn)返回Deny。所以，需要配置Permit節(jié)點(diǎn)對(duì)指定路由允許。請(qǐng)參考HYPERLINK配置注意事項(xiàng)IP-Prefix小節(jié)。使用AS-Path過濾路由問題網(wǎng)絡(luò)環(huán)境AS-Path過濾路由故障解決案例組網(wǎng)圖案例中RouterA采用AS-Path過濾器對(duì)從RouterB通告過來(lái)的路由進(jìn)行過濾：RouterA上的配置：#bgp100peeras-number200#ipv4-familyunicastundosynchronizationpeerenablepeeras-path-filter10import#ipas-path-filter10deny65430#RouterB上的配置：#bgp200peeras-number100peeras-number65431peeras-number65430#ipv4-familyunicastundosynchronizationpeerenablepeerenablepeerenable#RouterC上的配置：#bgp65430peeras-number200#ipv4-familyunicastundosynchronizationnetwork55peerenable#RouterD上的配置：#bgp65431peeras-number200#ipv4-familyunicastundosynchronizationnetwork55peerenable#發(fā)現(xiàn)故障：使用displayiprouting-table命令查看RouterA上接受到的路由，應(yīng)當(dāng)可以看到RouterA過濾了RouterC通告的路由，接受了RouterD通告的路由，但路由表中顯示RouterC及RouterD的路由均被RouterA過濾掉了。故障分析故障現(xiàn)象：RouterA路由表中沒有RouterD通告的路由。使用以下環(huán)節(jié)調(diào)查故障因素：檢查RouterB是否已將所有路由通告給鄰居RouterA。

在RouterB上使用displayiprouting-table，查看RouterB是否接受到了來(lái)自RouterC和RouterD的路由，結(jié)果顯示已經(jīng)接受到了。所以判斷問題應(yīng)當(dāng)是在RouterA上。檢查RouterA上的BGP配置，擬定BGP在接受路由時(shí)是否使用了過濾器。

在RouterA上使用displaycurrent-configurationconfigurationbgp查看BGP的配置，發(fā)現(xiàn)BGP對(duì)從RouterB通告過來(lái)的路由使用了名為10的as-path過濾器過濾路由，估計(jì)是過濾器將所有路由都過濾了。檢查RouterA上AS-Path正則表達(dá)式的編寫和過濾器的配置。

在RouterA上使用displayipas-path-filter10查看過濾器的配置，發(fā)現(xiàn)僅對(duì)來(lái)自AS號(hào)為65430的路由配置了Deny策略，但對(duì)于來(lái)自65431域的路由沒有配置Permit。故障的因素定位：在RouterA上使用AS-Path過濾路由問題。系統(tǒng)過濾路由時(shí)對(duì)于沒有匹配的路由默認(rèn)返回Deny，所以將來(lái)自AS65431域的路由也過濾掉了。解決環(huán)節(jié)由于系統(tǒng)過濾路由時(shí)對(duì)于沒有匹配的路由默認(rèn)返回Deny，那么過濾策略僅配置可以通過的路由即可。在RouterA上執(zhí)行如下操作：環(huán)節(jié)操作1將過濾規(guī)則替換為ipas-path-filter10permit65431使用displayiprouting-table命令查看RouterA上接受到的路由，發(fā)現(xiàn)路由表中出現(xiàn)路由/32，故障被排除。案例總結(jié)當(dāng)配置AS-Path過濾路由時(shí)，需要注意：正則表達(dá)式的編寫規(guī)則；若是僅配置Deny節(jié)點(diǎn)，那么對(duì)于沒有命中AS-Path范圍的系統(tǒng)返回Deny。所以，需要配置Permit節(jié)點(diǎn)對(duì)指定路由允許。請(qǐng)參考HYPERLINK配置注意事項(xiàng)AS-Path小節(jié)。使用Community過濾路由問題Community-Filter一般情況下作為route-policy的if-match子句的匹配條件，當(dāng)滿足if-matchcommunity-filter<basicoradvancedcommunity-list>時(shí)，對(duì)路由應(yīng)用apply子句下的動(dòng)作。需要注意AdvancedCommunity-List中正則表達(dá)式的編寫規(guī)則。請(qǐng)參考HYPERLINK配置注意事項(xiàng)的附注中正則表達(dá)式編寫規(guī)則部分。使用Extcommunity過濾路由問題網(wǎng)絡(luò)環(huán)境組網(wǎng)圖請(qǐng)參考REF_Ref\r\h?圖5-2用戶組網(wǎng)需求：CE1、CE3屬于VPN-A，CE2、CE4屬于VPN-B；VPN-A使用的VPN-Target屬性為100:1，VPN-B使用的VPN-Target屬性為200:1。不同VPN用戶之間不能互相訪問；CE與PE之間配置EBGP互換VPN路由信息；PE與PE之間配置OSPF實(shí)現(xiàn)PE內(nèi)部的互通、配置MP-IBGP互換VPN路由信息。用戶在PE2上面又添加了一個(gè)VNP-C，ExportVPNTargets:300:1，ImportVPNTargets:100:1200:1，此時(shí)VNP-C可以接受到VPN-A和VPN-B的路由。用戶此時(shí)有一個(gè)需求，希望VPN-C上只收到來(lái)自VPN-A的路由。此時(shí)運(yùn)用Extcommunity-Filter進(jìn)行過濾。

進(jìn)行如下的配置：[Quidway]ipvpn-instancevpnc[Quidway–vpn-instance-vpnc]route-distinguisher300:1[Quidway–vpn-instance-vpnc]importroute-policyexcomm-filter[Quidway–vpn-instance-vpnc]vpn-target300:1export-extcommunity[Quidway–vpn-instance-vpnc]vpn-target100:1200:1import-extcommunity查看VPN-C的路由表：<Quidway>displayiprouting-tablevpn-instancevpnc#RoutingTables:vpncDestinations:6Routes:6Destination/MaskProtoPreCostNextHopInterface/32BGP2550Ethernet1/0//32BGP2550Ethernet1/0//24BGP2550Ethernet1/0//24BGP2550Ethernet1/0//24BGP2550Ethernet1/0/0/32BGP2550InLoopBack0發(fā)現(xiàn)故障：沒有得到預(yù)期的效果，VPN-C的路由表中仍然有VPN-B的路由。/32這條路由沒有過濾掉。故障分析故障現(xiàn)象：VPN-C的路由表中顯示路由/32沒有被過濾掉。使用以下環(huán)節(jié)調(diào)查故障因素：參考前例檢查過程將故障因素定位到過濾器的應(yīng)用上。查看當(dāng)前的路由策略Route-Policy和IPExtcommunity-Filter一方面使用displaycurrent-configurationconfigurationroute-policy命令查看一下VPN-C下引入路由時(shí)用的過濾器Extcommunity-Filter。<Quidway>displaycurrent-configurationconfigurationroute-policy#route-policyexcomm-filterpermitnode10if-matchextcommunity-filter1#然后使用displayipextcommunity-filter命令查看一下VPN-C下過濾器Extcommunity-Filter應(yīng)用的過濾規(guī)則。<Quidway>displayipextcommunity-filter#ExtendedCommunityfilterNumber1permitrt:0:0rt:100:1#查找故障因素?cái)U(kuò)展團(tuán)隊(duì)屬性列表Extcommunity-List僅用于BGP。BGP的擴(kuò)展團(tuán)隊(duì)有兩種，一種是用于VPN的路由目的擴(kuò)展團(tuán)隊(duì)。擴(kuò)展團(tuán)隊(duì)屬性列表就是擴(kuò)展團(tuán)隊(duì)屬性指定匹配條件。假如Extcommunity-Filter的配置中只包含VPN-Target，則只要這些VPN-TARGET中有一個(gè)與BGP給出的VPN-Target集合匹配，就認(rèn)為過濾器命中，返回指定的Permit或Deny結(jié)果。

比如：配置ipextcommunity-filterpermitrt100:1rt200:1

BGP配置RT：100:1300:1400:1

結(jié)果是：命中，Permit

BGP給出RT：300:1400:1

結(jié)果：不命中，Deny假如Extcommunity-Filter的配置中指定VPN-Target0:0，則將匹配所有的VPN-Target。

比如：配置ipextcommunity-filterpermitrt0:0

BGP給出任何RT都將匹配。但假如不給RT則不匹配。假如Extcommunity-Filter的配置中未指定VPN-Target，則無(wú)論BGP給出任何RT，結(jié)果都將是不匹配。Deny使用同樣的規(guī)則。檢查本例中VPN-C下的過濾器Extcommunity-Filter的過濾規(guī)則：permitrt:0:0rt:100:1同時(shí)應(yīng)用了RT:0:0和RT:100:1。故障的因素定位：在VPN-C下使用Extcommunity-List過濾路由問題。過濾規(guī)則permitrt:0:0rt:100:1，同時(shí)應(yīng)用了RT:0:0和RT:100:1，導(dǎo)致VPN-B的路由也被接受了。解決環(huán)節(jié)在PE2上的VPN-C下執(zhí)行如下操作環(huán)節(jié)操作1更改ipextcommunity-filter1為如下所示的配置：<Quidway>displayipextcommunity-filter1#permitrt:100:1#使用displayiprouting-tablevpn-instancevpnc命令查看VPN-C的路由表項(xiàng)，發(fā)現(xiàn)已經(jīng)沒有來(lái)自VPN-B的路由了，表白故障解決。案例總結(jié)此案例是Extcommunity-Filter的經(jīng)典案例，在使用Extcommunity-Filter之前，要了解其應(yīng)用規(guī)則。特別注意RT0:0配置的使用規(guī)則。假如Extcommunity-Filter的配置中指定VPN-Target0:0，則將匹配所有的VPN-Target。假如BGP沒有指定VPN-Target，視為不匹配。使用route-policy過濾路由問題網(wǎng)絡(luò)環(huán)境組網(wǎng)圖請(qǐng)參考REF_Ref\r\h?圖5-2。CE1、CE3屬于VPN-A，CE2、CE4屬于VPN-B。VPN-A使用的VPN-Target屬性為100:1，VPN-B使用的VPN-Target屬性為200:1。不同VPN用戶之間不能互相訪問。CE與PE之間配置EBGP互換VPN路由信息。PE與PE之間配置OSPF實(shí)現(xiàn)PE內(nèi)部的互通，配置MP-IBGP互換VPN路由信息。在PE2上面有添加了一個(gè)VNP-C，ExportVPNTargets:300:1，ImportVPNTargets:100:1200:1，此時(shí)VNP-C可以接受到VPN-A和VPN-B的路由。希望VPN-C上收到來(lái)自VPN-A的路由和來(lái)自VPN-B的路由，并且把從VPN-A引入的路由Cost加100，把從VPN-B引入的路由Cost加200。運(yùn)用Route-Policy完畢此需求。進(jìn)行如下配置：[Quidway]route-policyFilter-policypermitnode10[Quidway-route-policy]if-matchextcommunity-filter1[Quidway-route-policy]applycost+100[Quidway-route-policy]if-matchextcommunity-filter2[Quidway-route-policy]applycost+200查看VPN-C的路由表：<Quidway>displayiprouting-tablevpn-instancevpnc#RoutingTables:vpncDestinations:6Routes:6Destination/MaskProtoPreCostNextHopInterface/32BGP255200Ethernet1/0//32BGP255200Ethernet1/0//24BGP255200Ethernet1/0//24BGP255200Ethernet1/0//24BGP255200Ethernet1/0/0/32BGP255200InLoopBack0#發(fā)現(xiàn)故障：沒有得到預(yù)期的效果，VPN-C的路由表中顯示：不管來(lái)自VPN-A還是VPN-B的路由都應(yīng)用了Cost+200的策略。故障分析故障現(xiàn)象：來(lái)自VPN-A的路由Cost應(yīng)當(dāng)加100，而不是200。使用以下環(huán)節(jié)調(diào)查故障因素：參考前例檢查過程將故障因素定位到過濾器的應(yīng)用上。查看當(dāng)前的路由策略Route-Policy和IPExtcommunity-Filter。一方面使用displaycurrent-configurationconfigurationroute-policy命令查看一下VPN-C下引入路由時(shí)用的過濾器Filter-Policy<Quidway>displaycurrent-configurationconfigurationroute-policy#route-policyFilter-policypermitnode10if-matchextcommunity-filter12applycost+200#然后使用displayipextcommunity-filter命令查看一下拓展團(tuán)隊(duì)屬性列表<Quidway>displayipextcommunity-filterExtendedCommunityfilterNumber1permitrt:100:1ExtendedCommunityfilterNumber2permitrt:200:1查找故障因素一方面來(lái)回顧一下Route-Policy的應(yīng)用規(guī)則：一個(gè)Route-Policy可以由多個(gè)節(jié)點(diǎn)構(gòu)成，不同節(jié)點(diǎn)之間是“或”的關(guān)系。系統(tǒng)按節(jié)點(diǎn)序號(hào)依次檢查各個(gè)節(jié)點(diǎn)，假如通過了其中任一節(jié)點(diǎn)，就意味著通過該策略，不再對(duì)其他節(jié)點(diǎn)進(jìn)行匹配測(cè)試。檢查本例中VPN-C下的過濾器Filter-Policy的過濾規(guī)則：if-matchextcommunity-filter12applycost+200由于每個(gè)if-match配置項(xiàng)的關(guān)系是“與”的關(guān)系，希望VPN-C上收到來(lái)自VPN-A的路由和來(lái)自VPN-B的路由，并且把從VPN-A引入的路由Cost加100，把從VPN-B引入的路由Cost加200，應(yīng)當(dāng)應(yīng)用多節(jié)點(diǎn)的“或”關(guān)系。故障的因素定位：在VPN-C下使用Route-Policy過濾路由問題。解決環(huán)節(jié)在PE2上的VPN-C下執(zhí)行如下操作環(huán)節(jié)操作1更改route-policyFilter-policypermitnode10為如下所示的配置：<Quidway>displaycurrent-configurationconfigurationroute-policyroute-policyFilter-policypermitnode10if-matchextcommunity-filter1applycost+100route-policyFilter-policypermitnode20if-matchextcommunity-filter2applycost+200使用displayiprouting-tablevpn-instancevpnc命令查看VPN-C的路由表項(xiàng)，來(lái)自VPN-A的路由Cost增長(zhǎng)了100，表白故障解決。案例總結(jié)此案例是一個(gè)Route-Policy的經(jīng)典案例，在使用Route-Policy之前，需要了解其應(yīng)用規(guī)則。特別注意Route-Policy中不同的節(jié)點(diǎn)之間是“或”的關(guān)系，每個(gè)if-match之間是“與”的關(guān)系。FAQ問：路由策略配置IPv4前綴列表進(jìn)行路由過濾，應(yīng)用該策略后發(fā)現(xiàn)無(wú)法達(dá)成預(yù)先設(shè)計(jì)的過濾結(jié)果？

答：也許的故障因素及解決方案：使用displayipip-prefixprefix-list-name命令查看指定的前綴列表是否存在或沒被應(yīng)用。假如指定的前綴列表不存在，則該路由策略將引入所有路由。確認(rèn)允許所有路由通過的缺省表項(xiàng)位于所有過濾規(guī)則之后。問：路由策略配置IPv6前綴列表進(jìn)行路由過濾，應(yīng)用該策略后發(fā)現(xiàn)無(wú)法過濾路由？

答：也許的故障因素及解決方案：使用displayipipv6-prefixprefix-list-name命令查看指定的前綴列表是否存在或沒被應(yīng)用。假如指定的前綴列表不存在，則該路由策略將引入所有路由。確認(rèn)允許所有路由通過的缺省表項(xiàng)位于所有過濾規(guī)則之后。問：BGP使用AS-Path過濾器過濾路由，發(fā)現(xiàn)要過濾的路由沒有被過濾？

答：也許的故障因素及解決方案：使用displaycurrent-configurationconfigurationbgp命令查看BGP的配置，確認(rèn)使用的AS-Path。使用displayipas-path-filteras-path-list-number查看配置的AS-Path過濾器，確認(rèn)正則表達(dá)式的編寫是否對(duì)的，確認(rèn)在所有Deny節(jié)點(diǎn)配置之后，至少需要配置一個(gè)Permit節(jié)點(diǎn)。問：BGP協(xié)議使用Route-Policy來(lái)過濾指定路由，發(fā)現(xiàn)所有的路由都被過濾？

答：也許的故障因素及解決方案：使用displaycurrent-configurationconfigurationbgp命令查看BGP的配置，確認(rèn)使用的Route-Policy。使用displayroute-policypolicy-name查看配置的路由策略，在所有Deny節(jié)點(diǎn)配置之后，至少需要配置一個(gè)Permit節(jié)點(diǎn)。故障診斷工具display命令命令內(nèi)容說明displayipip-prefix[ip-prefix-name]顯示IP-Prefix過濾器的當(dāng)前配置信息。協(xié)議使用IP-Prefix的方式請(qǐng)參考各個(gè)協(xié)議的配置方式。displayipipv6-prefix[ipv6-prefix-name]顯示IPv6-Prefix過濾器的當(dāng)前配置信息。協(xié)議使用IPv6-Prefix的方式請(qǐng)參考各個(gè)協(xié)議的配置方式。displayipas-path-filter[as-path-filternumber]顯示AS-Path-Filter過濾器的當(dāng)前配置信息。協(xié)議使用AS-Path-Filter的方式請(qǐng)參考各個(gè)協(xié)議的配置方式。displayipcommunity-filter[community-filternumber]顯示Community-Filter過濾器的當(dāng)前配置信息。過濾器值在<1-99>的為基本團(tuán)隊(duì)過濾器；過濾值在<100-199>的為高級(jí)團(tuán)隊(duì)過濾器。displayipextcommunity-filter[extcommunity-filternumber]顯示Extcommunity-Filter過濾器的當(dāng)前配置信息。displayroute-policy[route-policyname]顯示Route-Policy過濾器的當(dāng)前配置信息。協(xié)議使用Route-Policy的方式請(qǐng)參考各個(gè)協(xié)議的配置方式。displayipip-prefix<Quidway>displayipip-prefixPrefix-listtestPermitted0Denied0index:10permit/24ge24le32index:20permit/32 displayipip-prefix命令輸出信息描述項(xiàng)目描述Prefix-list已配置的Prefix名稱。Permitted顯示使用此過濾器允許的路由條目數(shù)。Denied顯示使用此過濾器拒絕的路由條目數(shù)。Index此過濾器下的表項(xiàng)索引值。Permit允許的IP前綴。Deny拒絕的IP前綴。Ge大于等于路由的前綴長(zhǎng)度。Le小于等于路由的前綴長(zhǎng)度(必須<=32)。displayipipv6-prefix<Quidway>displayipipv6-prefixPrefix-list610Permitted0Denied0index:10permit1::/64ge64le128index:20deny2::/64displayipipv6-prefix命令輸出信息描述項(xiàng)目描述Prefix-list6已配置的Prefix6名稱。Permitted顯示使用此過濾器允許的路由條目數(shù)。Denied顯示使用此過濾器拒絕的路由條目數(shù)。Index此過濾器下的表項(xiàng)索引值。Permit允許的IP前綴。Deny拒絕的IP前綴。displayipas-path-filter<Quidway>displayipas-path-filterListIDModeExpression10permit10010deny200displayipas-path-filter命令輸出信息描述項(xiàng)目描述ListIDAS-Path過濾器的序列號(hào)。Mode匹配的模式：Permit：允許。Deny：拒絕。Expression要過濾的AS-Path的正則表達(dá)式。displayipcommunity-filter<Quidway>displayipcommunity-filterCommunityfilterNumber100permit.*:.*CommunityfilterNumber199deny110:10displayipcommunity-filter命令輸出信息描述項(xiàng)目描述CommunityfilterNumber團(tuán)隊(duì)過濾器的序列號(hào)。Permit允許的團(tuán)隊(duì)屬性正則表達(dá)式。Deny拒絕的團(tuán)隊(duì)屬性正則表達(dá)式。displayipextcommunity-filter<Quidway>displayipextcommunity-filterExtendedCommunityfilterNumber100permitrt:1:1denyrt:2:2displayipextcommunity-filter命令輸出信息描述項(xiàng)目描述ExtendedCommunityfilterNumber擴(kuò)展團(tuán)隊(duì)過濾器的序列號(hào)。Permit允許的RT。Deny拒絕的RT。Rt路由目的擴(kuò)展團(tuán)隊(duì)屬性。displayroute-policydisplayroute-policy命令輸出信息描述項(xiàng)目描述Route-policy配置的路由策略名。Permit被允許的節(jié)點(diǎn)索引。Deny被拒絕的過濾節(jié)點(diǎn)索引。MatchClauses配置的匹配策略。ApplyClauses對(duì)路由應(yīng)用某種操作。MatchClauses策略規(guī)則MatchClauses描述if-matchaclacl-number根據(jù)ACL匹配。if-matchas-path-filteras-path-acl-number根據(jù)BGP路由的自治域系統(tǒng)途徑列表匹配。if-matchcommunity-filter{std-comm-list-number[whole-match]|ext-comm-list-number}根據(jù)BGP路由的基本團(tuán)隊(duì)屬性<1-99>或是高級(jí)團(tuán)隊(duì)屬性匹配<100-199>。if-matchcostvalue根據(jù)路由的權(quán)值匹配。if-matchextcommunity-filterext-comm-list-number根據(jù)路由的擴(kuò)展團(tuán)隊(duì)屬性列表匹配。if-matchinterfaceinterface-typeinterface-number根據(jù)路由的出接口匹配。if-matchip{next-hop|route-source}{aclacl-number|ip-prefixip-prefix-name}根據(jù)路由的IPv4信息匹配，下一跳或源地址可根據(jù)ACL或IP-Prefix匹配。if-matchip{next-hop|route-source}{aclacl-number|ip-prefixip-prefix-name}根據(jù)路由的源地址匹配，源地址可根據(jù)ACL或IP-Prefix匹配。if-matchip-prefixip-prefix-name根據(jù)路由的前綴列表匹配。if-matchipv6{address|next-hop|route-source}prefix-listipv6-prefix-name根據(jù)路由的IPv6信息匹配，源地址或下一跳地址可根據(jù)前綴列表匹配。if-matchmpls-label根據(jù)路由標(biāo)簽匹配。if-matchroute-typeexternal-type1根據(jù)OSPF外部度量類型1匹配。if-matchroute-typeexternal-type1or2根據(jù)OSPF外部度量類型1或2匹配。if-matchroute-typeexternal-type2根據(jù)OSPF外部度量類型2匹配。if-matchroute-typeinternal根據(jù)IS-IS內(nèi)部權(quán)值匹配。if-matchroute-typeis-is-level-1根據(jù)IS-IS接口級(jí)別1匹配。if-matchroute-typeis-is-level-2根據(jù)I