靜態(tài)路由導(dǎo)致環(huán)路的問題案例Public

1、靜態(tài)路由導(dǎo)致環(huán)路的問題目 錄1組網(wǎng)介紹1-21.1 網(wǎng)絡(luò)拓?fù)鋱D1-21.2 問題描述1-31.3 問題分析1-31.4 定位過程1-51.5 原因分析1-121.6 解決辦法1-171 組網(wǎng)介紹1.1 網(wǎng)絡(luò)拓?fù)鋱D 某公司總部與多個(gè)分部使用專線進(jìn)行連接，具體組網(wǎng)拓?fù)浼奥酚扇缟蠄D所示，總部和分部之間每天都用大量的業(yè)務(wù)進(jìn)行互訪，4M專線線路帶寬接近飽和。總部和分部路由器互連地址為和?？偛烤W(wǎng)絡(luò)的業(yè)務(wù)網(wǎng)段地址為，網(wǎng)關(guān)是，某個(gè)分部路由器下掛了兩個(gè)部門，部門A的業(yè)務(wù)網(wǎng)關(guān)是，部門B的業(yè)務(wù)網(wǎng)關(guān)為。全網(wǎng)配置靜態(tài)路由使總部業(yè)務(wù)網(wǎng)段和分部業(yè)務(wù)網(wǎng)段互通，具體路由設(shè)置如上圖所示。1.2 問題描述某一天，部門A的所有PC都

2、無法上網(wǎng)。經(jīng)過現(xiàn)場排查發(fā)現(xiàn)是部門A所連的二層交換機(jī)的上行鏈路網(wǎng)線損壞，部門A所連的二層交換機(jī)與分部路由器的鏈路物理損壞。具體故障如下圖：部門A不能上網(wǎng)之后，部門B的員工反映上網(wǎng)開始變慢，平時(shí)的應(yīng)用現(xiàn)在操作起來非常慢，有時(shí)候得等很長時(shí)間才有反應(yīng)，在部門B使用PC來ping總部的業(yè)務(wù)網(wǎng)段地址時(shí)延比以前要大。1.3 問題分析在整個(gè)拓?fù)鋱D中，按道理說原來4M的專線由部門A和部門B共同使用，現(xiàn)在部門A的業(yè)務(wù)中斷了，4M的專線由部門B獨(dú)享，從這個(gè)角度來分析，部門B訪問總部應(yīng)該比原來快才對，但是現(xiàn)在情況更好相反。這是為什么呢？具體分析如下圖：部門業(yè)務(wù)中斷前網(wǎng)絡(luò)流量模型：部門A業(yè)務(wù)中斷之后網(wǎng)絡(luò)流量模型：1.4

3、 定位過程基于以上疑問，使用模擬器對客戶現(xiàn)網(wǎng)進(jìn)行模擬并分析定位。組網(wǎng)圖如下：總部業(yè)務(wù)的測試PC地址設(shè)定為，部門A業(yè)務(wù)測試PC地址設(shè)定為，部門B業(yè)務(wù)測試PC的地址設(shè)定為。在部門A業(yè)務(wù)中斷的情況下，對分部路由器上行的接口（ip地址為的g0/0/0接口）的包統(tǒng)計(jì)信息進(jìn)行查看，查看之前先使用reset counters interface g0/0/0的命令分部路由器的上行接口g0/0/0統(tǒng)計(jì)信息清空。測試過程：1）為了定位部門B與總部業(yè)務(wù)通信變慢的原因，使用接口查看命令查看分部路由器上行接口的端口統(tǒng)計(jì)信息?？礊槭裁床块TB訪問總部的業(yè)務(wù)會(huì)變慢。首先使用部門B地址為的PC來對總部測試的PC進(jìn)行ping測

4、試，模擬部門B訪問總部業(yè)務(wù)網(wǎng)段。首先ping 10個(gè)包，然后看分部路由器上行口g0/0/0的接口統(tǒng)計(jì)信息，部門B的PC信息如下：在分部路由器的上行口g0/0/0信息統(tǒng)計(jì)如下：測試結(jié)果：從上訴測試過程和結(jié)果來看，在部門A業(yè)務(wù)中斷的時(shí)候，部門B訪問總部業(yè)務(wù)的時(shí)候，流量是正常的。那么究竟是什么原因會(huì)導(dǎo)致部門B訪問總部業(yè)務(wù)變慢呢，我們接著繼續(xù)進(jìn)行定位測試。2）使用總部地址為的測試PC ping部門B的測試，模擬總部訪問部門B的流量。也是ping 10個(gè)包，然后看分部路由器上行口g0/0/0的接口統(tǒng)計(jì)信息，總部測試的PC信息如下：在分部路由器的上行口g0/0/0信息統(tǒng)計(jì)如下：測試結(jié)果：從上訴測試過程和結(jié)

5、果來看，在部門A業(yè)務(wù)中斷的時(shí)候，總部業(yè)務(wù)部門B的時(shí)候，流量也是正常的。我們接著繼續(xù)進(jìn)行定位測試。3）使用總部地址為的測試PC ping部門A的測試，用來模擬總部業(yè)務(wù)訪問部門A的業(yè)務(wù)流量。因?yàn)榧词共块TA業(yè)務(wù)中斷了，但是總部的業(yè)務(wù)還是會(huì)像平時(shí)部門A業(yè)務(wù)沒有中斷的時(shí)候發(fā)起很多業(yè)務(wù)請求。因?yàn)榭偛康暮芏鄳?yīng)用并不知道業(yè)務(wù)A已經(jīng)中斷，所以仍然會(huì)向目的網(wǎng)段為部門A業(yè)務(wù)的IP地址段發(fā)起業(yè)務(wù)請求?？偛繙y試的PC信息如下：在分部路由器的上行口g0/0/0信息統(tǒng)計(jì)如下：測試結(jié)果：從上訴測試過程和結(jié)果來看，在部門A業(yè)務(wù)中斷的時(shí)候，總部業(yè)務(wù)訪問部門A的時(shí)候，雖然總部只是ping了10個(gè)包，但是我們在路由器上看到統(tǒng)計(jì)的包個(gè)

6、數(shù)竟然達(dá)到了640個(gè)。接口的報(bào)文的統(tǒng)計(jì)數(shù)量是實(shí)際ping包數(shù)量的64倍。這明顯是有問題的，這就是導(dǎo)致部門B訪問總部業(yè)務(wù)變慢的原因。那么我們來分析一下為什么會(huì)產(chǎn)生這種現(xiàn)象。1.5 原因分析由于在路由器上看到接口統(tǒng)計(jì)的報(bào)文數(shù)量要遠(yuǎn)大于實(shí)際發(fā)出的ping報(bào)文的數(shù)量，所以很容易讓人懷疑到網(wǎng)絡(luò)中存在環(huán)路，為了進(jìn)一步驗(yàn)證這個(gè)可能性，使用總部地址為的測試PC對部門A的地址進(jìn)行tracert操作。結(jié)果如下圖：從上圖的信息顯示來看，目的地址為的報(bào)文在總部路由器和分部路由器之間存在環(huán)路，環(huán)路形成的轉(zhuǎn)發(fā)地址分別是和。那我們來看一下路由器上的路由表，總部路由器路由表如下：從上邊的總部路由表信息我們可以看到，目標(biāo)地址為

7、的報(bào)文匹配到紅圈標(biāo)注的路由，下一跳地址為 。下一跳地址是符合預(yù)期的。那我們來看一下路由器上的路由表，分部路由器路由表如下：從上邊的分部路由表信息我們可以看到，目標(biāo)地址為的報(bào)文匹配到紅圈標(biāo)注的默認(rèn)路由，下一跳地址為。這一點(diǎn)就是產(chǎn)生路由環(huán)路的原因。結(jié)論：由于原來部門A業(yè)務(wù)正常的時(shí)候，分部路由器上會(huì)產(chǎn)生到網(wǎng)段的直連路由，具體信息如下圖：這樣目的地址為192.168.0.254 的報(bào)文到達(dá)分部路由器上的時(shí)候，直接會(huì)走直連路由找到目的PC，完成正常轉(zhuǎn)發(fā)。但是當(dāng)部門A業(yè)務(wù)中斷的時(shí)候，部門A所連的二層交換機(jī)與分部路由器相連的線路物理損壞，所以連接到部門A的分部路由器接口就處于物理和協(xié)議都是down

8、的狀態(tài)，這樣，關(guān)于的直連路由也就會(huì)消失。這樣，目的地址為的報(bào)文找不到具體路由，所以就會(huì)匹配默認(rèn)路由，下一跳指向，這樣就會(huì)和總部路由器形成路由環(huán)路。具體流量信息如下圖：1.6 解決辦法為了避免再次出現(xiàn)類似的問題，需要在分部路由器上配置黑洞路由來解決，目的就是當(dāng)業(yè)務(wù)A網(wǎng)段的直連路由消失的時(shí)候，目的網(wǎng)段是A的報(bào)文不要匹配默認(rèn)路由，而是匹配黑洞路由，報(bào)文丟棄。這樣網(wǎng)絡(luò)中就不會(huì)有路由環(huán)路，問題解決。具體命令如下：ip route-static 192.168.0.0 24 NULL 0ip route-static 192.168.1.0 24 NULL 0為了避免當(dāng)業(yè)務(wù)B網(wǎng)段直連路由消失的時(shí)候，A部門也出現(xiàn)訪問總部變慢的現(xiàn)象，所以也添加了一條對B網(wǎng)段的黑洞路由。由