華為數(shù)通操作手冊(cè)VRP全系列VRP故障處理手冊(cè)路由器

華為數(shù)通操作手冊(cè)VRP全系列VRP故障處理手冊(cè)路由

器

第5章路由策略故障處理.............................................................5-1

5.1路由策略與過濾器簡(jiǎn)介.........................................................5-1

5.1.1路由策略與策略路由.....................................................5-1

5.1.2地址前綴列表...........................................................5-2

5.1.3AS路徑訪問列表.......................................................5-2

5.1.4團(tuán)體屬性列表...........................................................5-2

5.1.5擴(kuò)展團(tuán)體屬性列表.......................................................5-2

5.1.6路由策略...............................................................5-2

5.2路由策略故障處理............................................................5-3

5.2.1典型組網(wǎng)環(huán)境...........................................................5-3

522配置注怠事項(xiàng)............................................................b-5

5.2.3故障診斷流程...........................................................5-9

5.2.4故障處理步驟..........................................................5-10

5.3故障處理案例...............................................................5-12

5.3.1使用IP-Prefix過濾路由問題.............................................5-12

5.3.2使用AS-Path過濾路由問題.............................................5-14

5.3.3使用Community過濾路由問題..........................................5-16

5.3.4使用Extcommunity過濾路由問題........................................5-16

5.3.5使用route-policy過濾路由問題..........................................5-19

5.4FAQ...................................................................................................................................5-21

5.5故障診斷工具...............................................................5-22

5.5.1display命令...........................................................5-22

5.5.2debugging命令........................................................5-28

5.5.3告警..................................................................5-28

第5章路由策略故障處理

本章包含下列內(nèi)容：

■路由策略與過■器簡(jiǎn)介

介紹了進(jìn)行BGP故障處理時(shí)用戶所需的知識(shí)要點(diǎn)。

?路由策略故障處理

針對(duì)典型的BGP組網(wǎng)環(huán)境，介紹配置BGP時(shí)要注意的事項(xiàng)，BGP對(duì)等體不

能建立連接故障處理的流程與全面的故障處理步驟。

■故障處理案例

介紹了若干實(shí)際的故障處理案例。

■FAQ

列出了用戶常問的問撅,并給出了相應(yīng)的解答。

?故障診斷工具

介紹了進(jìn)行故障處理所需要的故障診斷工具，包含display命令與debugging

命令、告警信息。

5.1路由策略與過濾器簡(jiǎn)介

本節(jié)包含下列內(nèi)容：

?路由策略與策略路由

?地址前綴列表

?AS路徑訪問列表

■團(tuán)體屬性列表

?擴(kuò)展團(tuán)體屬性列表

?路由策略

5.1.1路由策略與策略路由

路由策略是為了改變網(wǎng)絡(luò)流量所通過的途徑而對(duì)路由信息使用的方法。要緊通過改

變路由屬性（包含可達(dá)性）來實(shí)現(xiàn)。

策略路由Policy-Based-RouteF?指導(dǎo)報(bào)文轉(zhuǎn)發(fā)。

本章只介紹路由策略。

為實(shí)現(xiàn)路由策略，首先要定義將要實(shí)施路由策略的路由信息的特征，即定義一組匹

配規(guī)則，能夠以路由信息中的不一致屬性作為匹配根據(jù)進(jìn)行設(shè)置，如目的地址、公

布路由信息的路由器地址等。匹配規(guī)則能夠預(yù)先設(shè)置好，然后再將它們應(yīng)用于路由

的公布、接收與引入等過程的路由策略中。

路由器在公布與接收路由信息時(shí)，可能需要實(shí)施一些策略，以便對(duì)路由信息進(jìn)行過

濾，比如只接收或者公布?部分滿足條件的路由信息；--種路由協(xié)議(如RIPng)

可能需要引入其它的路由協(xié)議發(fā)現(xiàn)的路由信息，從而豐富自己的路由知識(shí)；路由器

在引入其它路由協(xié)議的路由信息時(shí)，可能需要只引入一部分滿足條件的路由信息，

并對(duì)所引入的路由信息的某些屬性進(jìn)行設(shè)置，以使其滿足本協(xié)議的要求。

5.1.2地址前綴列表

地址前綴列表(IP-Prefix-Filter)包含IPv4地址前綴列表與IPv6地址前綴列表。

地址前綴列表的作用類似于ACL,但比它更為靈活，且更易于為用戶懂得。地址前

綴列表在應(yīng)用于路由信息的過濾時(shí)，其匹配對(duì)象為路由信息的H的地址信息域。

一個(gè)地址前綴列表由前綴列表名標(biāo)識(shí)。每個(gè)前綴列表能夠包含多個(gè)表項(xiàng)，每個(gè)表項(xiàng)

能夠獨(dú)立指定一個(gè)網(wǎng)絡(luò)前綴形式的匹配范圍，并用一個(gè)Index-Number來標(biāo)識(shí)，

lndex?Number指明「進(jìn)行匹配檢查的順序。

在匹配的過程中，路由器按升序依次檢杳由Index-Number標(biāo)識(shí)的各個(gè)表項(xiàng)，只要

有某?表項(xiàng)滿足條件，就意味著通過該地址前綴列表的過濾(不進(jìn)入下一個(gè)表項(xiàng)的

測(cè)試)。

5.1.3AS路徑訪問列表

BGP路由信息中包含的AS_PATH路徑屬性逆序列出前綴所通過的自治系統(tǒng)。AS

路徑訪問列表(as-path-filter)就是針對(duì)AS_PATH路徑屬性進(jìn)行過濾的過濾器。

5.1.4團(tuán)體屬性列表

BGP路由的Community屬性被一組具有相同的特性的前綴所共享，團(tuán)體屬性列表

(Community-Filter)就是針對(duì)團(tuán)體屬性域指定匹配條件的過濾器。

5.1.5擴(kuò)展團(tuán)體屬性列表

BGP的擴(kuò)展團(tuán)體屬性也是定義了一組共享相同特性的前綴，目前VRP的

Izxcommunity-Hlter針對(duì)一種常用的擴(kuò)展團(tuán)體屬性進(jìn)行過濾：VPN-larget,定義了

私網(wǎng)路由的VPN成員關(guān)系。

5.1.6路由策略

路由策略(Route-policy)是一種復(fù)雜的過濾巖，它不僅能夠匹配給定路由信息的某

些屬性，并在條件滿足時(shí)改變路由信息的屬性。Route-Policy能夠使用前面幾種過

濾器定義自己的匹配規(guī)則。

一個(gè)Route-policy能夠由多個(gè)節(jié)點(diǎn)Node構(gòu)成，不一致節(jié)點(diǎn)之間是“或者”的關(guān)系。

系統(tǒng)按節(jié)點(diǎn)序號(hào)依次檢查各個(gè)節(jié)點(diǎn)，假如通過了其中一節(jié)點(diǎn)，就意味著通過該策略,

不再對(duì)其他節(jié)點(diǎn)進(jìn)行匹配測(cè)試。

每個(gè)節(jié)點(diǎn)由一組if-match與apply子句構(gòu)成。if-match『句定義匹配規(guī)則，匹配對(duì)

象是路由信息的一些屬性。同一節(jié)點(diǎn)中的不一致if?match子句是“與”的關(guān)系，只

有滿足節(jié)點(diǎn)內(nèi)所有if-match子句指定的匹配條件，才能通過該節(jié)點(diǎn)的匹配測(cè)試。

apply子句指定動(dòng)作，也就是在通過節(jié)點(diǎn)的匹配后，對(duì)路由信息的一些屬性進(jìn)行設(shè)

置。

5.2路由策略故障處理

本節(jié)介紹如下的內(nèi)容：

.典型組網(wǎng)環(huán)境

■配置注意事項(xiàng)

.故隙診斷流程

.故障處理步驟

5.2.1典型組網(wǎng)環(huán)境

路由策略的典型組網(wǎng)如圖5-1與圖5-2所示。路由策略的故障處理將基于該網(wǎng)絡(luò)。

1.公網(wǎng)環(huán)境拓?fù)?/p>

公網(wǎng)環(huán)境時(shí)，在某個(gè)路由器上同意另外一個(gè)路由器通告來的路由時(shí)「發(fā)送者使用路

由策略公布指定路由，接收者使用路由策略接收指定路由，以上拓?fù)涫且粋€(gè)簡(jiǎn)化的

拓?fù)?，用于模擬實(shí)際環(huán)境中的路由發(fā)送/接收者o

2.VPN環(huán)境拓?fù)?/p>

VPN環(huán)境時(shí)，路由策略能夠應(yīng)用在PE與CE上，用來公布/接收指定的路由。其中,

在PE上關(guān)于VPNv4與VPNInstance可同時(shí)應(yīng)用策略。以上拓?fù)涫菍?shí)際環(huán)境

中VPN的一個(gè)簡(jiǎn)化拓?fù)?，用于模擬實(shí)際環(huán)境中PE與CE中的路由發(fā)送/接收者。

5.2.2配置注意事項(xiàng)

1.路由策略中常用過濾器配置

配置項(xiàng)子項(xiàng)注意事項(xiàng)

ip-prefixipip-prefix?配置IPv4前綴地址列表，列表名由

',p-prefix-name[indexip-pre仃x-name指定,列表名卜能夠配置多個(gè)匹

:ndex-number]{permit配項(xiàng)，每一項(xiàng)能夠指定索引值Index,若沒有指

|deny}ip-address定索引值，則生成項(xiàng)的索引值由此前綴列表已存

mask-length

在的最大索引值+10：

[greater-equal

greater-equal-value\?若同時(shí)指定前綴長(zhǎng)度在greater-equal與

less-equal/ess-egua/之間時(shí)，匹配的范圍就在二者之間，

'ess-equal-value]配置的greater-equal1j/ess-equa/值務(wù)必滿

足條隼m(xù)ask-length<=greater-equal

<=less-equal<=32：

?在匹配過程中，系統(tǒng)按索引號(hào)升序依次檢查各個(gè)

表項(xiàng)，只要有一個(gè)表項(xiàng)卜.的地址/掩碼與要檢查

的路由地址/掩碼相同，就返回此表項(xiàng)下配置的

過濾碟式（Permit或者Deny）,不再去匹配其

他表項(xiàng)；

?假如所有表項(xiàng)都是Deny模式，則任何路由都不

能通過該過濾列表。建議在多條Deny模式的表

項(xiàng)后定義一條permit0.0.0.00greater-equal0

less-equal32表項(xiàng)，同意其它所有IPv4路由信

息通過。

?使用中最常見的懂得錯(cuò)誤是把IP-Prefix的配置

方法與ACL的配置方法等同，實(shí)際上，隹只指

定IP-Address/Mask-Length的情況下，

IP-Prefix只精確匹配一條路由，不匹配?段掩碼

范圍內(nèi)的路由。要匹配一段掩碼范圍內(nèi)的路由，

務(wù)必由定Greater-Equal與Less-Equal參數(shù)。

配置項(xiàng)子項(xiàng)注意事項(xiàng)

ipv6-prefixipipv6-prefix?配國IPv6前綴地址列表，列表名由

:pv6-prefix-nameipv6-orefix-name指定,此列表名下能夠配置多

[indexindex-number]個(gè)匹配項(xiàng),每一項(xiàng)能夠指定索引值index,若沒

?permit|deny)有指定索引值，則生成項(xiàng)的索引值由此前綴列表

:pv6-address

已存在的最大索引值+10；

mask-length

[greater-equal?若同時(shí)指定前綴長(zhǎng)度在greater-equal與

greater-equal-value\lossoquH之間時(shí)，匹配的范圍就在二者之間，

less-equal配置的greater-equal(M與less-equal值務(wù)必滿

'.ess-equal-value]足條生

mask-length<=greater-equal<=less-equal<=1

28：

?在匹配過程中，系統(tǒng)按索引號(hào)升序依次檢查各個(gè)

節(jié)點(diǎn)，只要有一個(gè)節(jié)點(diǎn)滿足條件，就認(rèn)為通過該

過濾列表，不再去匹配其他表項(xiàng)：

?假如所有表項(xiàng)都是Deny模式，則任何路由都不

能通過該過濾列表。建議在多條Deny模式的表

項(xiàng)后定義一條permit::00greater-equal0

less-equal128表項(xiàng)，同意其它所有IPv6路由

信息通過.

as-path-filteripas<path-filter?使用正則表達(dá)式來定義AS-Path屬性過濾規(guī)則，

as-path-filter-numberBGP能夠使用此過渡器來匹配BGP路由的

?deny|permit}AS-Path屬性，以此決定是否公布/接收路由。

「egular-expression

?假如所有表項(xiàng)都是Deny模式，則任何路由都不

能通過該過濾列表。建議在多條Deny模式的表

項(xiàng)后定義一條permit.,衣項(xiàng)，同意其它所有路

由信息通過；

配置項(xiàng)子項(xiàng)注意事項(xiàng)

community-fil?iP?定義一個(gè)團(tuán)體屈性過濾器。有兩種配置方式，屬

tercommunity-filter性號(hào)在1-99的為基本團(tuán)體屬性過濾器，通過指

basic-comm-filter-n定明確的團(tuán)體屬性來定義過濾規(guī)則；屬性號(hào)在

um{deny|permit}

100-199為高級(jí)團(tuán)體屬性過濾器，通過指定正則

[community-numbe

表達(dá)式來定義過濾規(guī)則。

r\aa:nn]*&<1-16>

[internet|?關(guān)于基本團(tuán)體屬性過濾器，Internet選項(xiàng)表示匹

no-cxport-subconf配所有的團(tuán)體屬性；而對(duì)高級(jí)團(tuán)體屬性過濾器，

ed|no-advertise|正則表達(dá)式表示匹配所有的團(tuán)體屬性。

no-export],?關(guān)于基本團(tuán)體屬性過濾器，有完全匹配模式

?iP

Whole-Match與通常匹配模式。在完全匹配模

community-filter

式下，BGP給出的團(tuán)體屬性列表務(wù)必完全與過

adv-comm-filter-nu

濾器規(guī)則中定義的團(tuán)體屬性一致才能匹配。在通

m{deny|permit}

regular-expression常匹配模式下，BGP給出的團(tuán)體屬性列表務(wù)必

要包含過濾器規(guī)則中定義的團(tuán)體屬性才能I兀配。

?假如所有表項(xiàng)都是Deny模式，則任何路由都不

能誦過該過濾列表“建議在多條Deny模式的表

項(xiàng)后定義一條permit.*表項(xiàng)（高級(jí)團(tuán)體屬性過濾

器）或者permitinternet（基本團(tuán)體屬性過濾器）

表項(xiàng)，同意其它所有路由信息通過。

extcommunitipextcommunity-filter定義擴(kuò)展團(tuán)體屬性過濾器規(guī)則。

y-filterext-comm-list-number

?deny|permit}rt

?as-number:nn|

:pv4-address:

as-number}

配置項(xiàng)子項(xiàng)注意事項(xiàng)

route-policyroute-policy?Permit指定節(jié)點(diǎn)的匹配模式為同意。當(dāng)路山頂

route-policy-name通過亥節(jié)點(diǎn)的過浦后，將執(zhí)行該節(jié)點(diǎn)的Apply

?permit|deny}node子句，不進(jìn)入下一個(gè)節(jié)點(diǎn)的測(cè)試；假如路由項(xiàng)沒

?node-number}有通過該節(jié)點(diǎn)過濾，將進(jìn)入下一個(gè)節(jié)點(diǎn)繼續(xù)測(cè)

試：當(dāng)節(jié)點(diǎn)下沒有If-Match子句時(shí),所有節(jié)點(diǎn)

路由都同意。

?Deny指定節(jié)點(diǎn)的匹配模式為拒絕，這時(shí)Apply

子句不可能被執(zhí)行。當(dāng)路由項(xiàng)滿足該節(jié)點(diǎn)的所有

If-Match子句時(shí)，將被拒絕通過該節(jié)點(diǎn)，不進(jìn)入

下一個(gè)節(jié)點(diǎn)：假如路由項(xiàng)不滿足該節(jié)點(diǎn)的

If-Match子句，將進(jìn)入下一個(gè)節(jié)點(diǎn)繼續(xù)測(cè)試；當(dāng)

節(jié)點(diǎn)下沒有If-Match子句時(shí)，所有的路曰都被

拒絕.

?假如所有的節(jié)點(diǎn)的If-Match規(guī)則都不能匹配，

則整個(gè)策略的過濾結(jié)果默認(rèn)是Deny。

?當(dāng)所行節(jié)點(diǎn)都是配皆Deny時(shí),將導(dǎo)致所有路由

均被杳絕，因此在所有Deny打點(diǎn)后至少配置一

個(gè)Permit節(jié)點(diǎn)，以同意其它的路由通過.

2.過濾器應(yīng)用注意事項(xiàng)

(1)假設(shè)當(dāng)前過濾器下配置了至少一個(gè)節(jié)點(diǎn)，Permit或者Deny。若是沒有節(jié)點(diǎn)符

合到要過濾路由的地址/掩碼范圍，則此路由過濾結(jié)果為Deny。

(2)若是在策略中使用了某個(gè)不存在的過濾器，則結(jié)果為對(duì)所有要過濾的路由為

Pcrmito

3.正則表達(dá)式編寫規(guī)則

正則表達(dá)式是按照一定的模板來匹配字符串的公式。

符號(hào)說明

A匹配一個(gè)字符串的開始。如"300”表示只匹配AS_Path的第一個(gè)值為300。

$匹配一個(gè)字符串的結(jié)束。如“300$”表示只匹配AS_Path的最后一個(gè)值為300。

?匹配任何單個(gè)字符，包含空格。

+匹配前面的一個(gè)字符或者者一個(gè)序列，1次或者者多次出現(xiàn)。

—匹配一個(gè)符號(hào)。如逗號(hào)，括號(hào)，空格符號(hào)等。

*匹配前面的一個(gè)字符或者者一個(gè)序列，能夠0次或者者多次出現(xiàn)。

9匹配前面的一個(gè)字符，能夠0次或者者多次出現(xiàn)。

0他配的變化的AS或者者一個(gè)獨(dú)立的匹配，通常與一起使用。

I邏輯或者。

[]匹配的一個(gè)范圍內(nèi)的AS,通常與一起使用。

連接符。

舉例：

?ipas-path-filter10denyA$：拒絕公布本地始發(fā)路由。

?ipas-path-filter10permit.*：R]意公布/接收其他AS的路由。

?ipas-path-filter2deny(6[0-9]|7[0-9]|8|0-9]|9[0-9]|1[0-3][0-9]|130)$：拒絕從

AS60-13。始發(fā)的路由。

?ipcommunity-filter100permit1000:10[0-9]$：同意團(tuán)體屬性為1000:100至

1000:109之間的路由。

5.2.3故障診斷流程

針對(duì)圖5-1或者圖5-2所示的網(wǎng)絡(luò)，在配置各路由器后發(fā)現(xiàn)指定的路由沒有被過濾或

者全部被過濾。

請(qǐng)使用卜面的故障診斷流程，如圖5-3所示。

圖5-3路由策略故障診斷流程圖

5.2.4故障處理步驟

概要的故障處理步驟如下:

步驟操作

1檢查網(wǎng)絡(luò)的連通性。

2檢查路山協(xié)議配宣是否正確。

3檢查IP-Prefix-Filter是否配置.

4檢查AS-Path-FHter是否配置。

5檢查Community-Filter是否配置。

6檢杳Extcommunity-Filter是否配置。

7檢查Route-Policy是否配置〃

全面的故障處理步驟如下：

1.檢查網(wǎng)絡(luò)的連通性

使用displayipinterfacebrief命令來檢查各個(gè)接口的狀態(tài)。Up表示可用,Down

表示不可用。假如接口狀態(tài)為Down清檢查線路是否連接好，接口是否被

Shutdowno

2.檢查路由協(xié)議配置是否正確

使用displaycurrent-configuration命令來檢查當(dāng)前的路由器配置。使用display

current-configurationconfiguration命令來檢查路由協(xié)議配置是否正確。假如路

由協(xié)議配置的不正確，請(qǐng)您參考相應(yīng)協(xié)議的故障處理手冊(cè)。

3.檢查IP-Prefix-Filter是否配置

使用displayipip-prefix命令檢查當(dāng)前路由器是否配置IP-Prefix-FHter。假如已配

置請(qǐng)查看IP-Prefix-Filter配置注意事項(xiàng)

請(qǐng)查看配置注意事項(xiàng)中有關(guān)IP-Prefix-Filter的部分。

4.檢查AS-Path-Filter是否配置

使用displayipas-path?filter命令檢查當(dāng)前路由器是否配置AS-Path-Filter。假如

已配置請(qǐng)杳看AS-Path-Filter配置注意事項(xiàng)

請(qǐng)查看配置注意事項(xiàng)中有關(guān)AS-Path-Filter的部分。

5.檢查Community-Filter是否配置

使用displayipcommunity?filter命令查看當(dāng)前路由器是否配置Commun讓y-Fikerc

假如己配置請(qǐng)查看團(tuán)體屬性過濾器配置注意事項(xiàng)

請(qǐng)查看配置注意事項(xiàng)中有關(guān)Community-Filter的部分。

6.檢查Excommunity-Filter是否配置

使用displayipexcommunity-filter命令查看當(dāng)前路由器是否配置

Excommunity-Filter。假如已配置請(qǐng)杳看拓展團(tuán)體屬性過濾器配置注意事項(xiàng)

請(qǐng)查看配置注意事項(xiàng)中有關(guān)Excommunity-Filter的部分。

7.檢查Route-Policy是否配置

使用displayroute-policy命令檢杳當(dāng)前路由器是否配置了Route-Policy。假如已

配置請(qǐng)查看Route-Policy過濾器配置注意事項(xiàng)

請(qǐng)查看配置.注意事項(xiàng)中有關(guān)Route-Policy的部分。

5.3故障處理案例

本節(jié)列出了常見的故障處理案例，如下：

.使用IP?Prefix過濾路由問題

?使用AS-Path過濾路由問題

?使用Commurdty過濾路由問題

?使用Extcommunitv過濾路由問題

■使用Route-Policy過濾路由問題

5.3.1使用IP-Prefix過濾路由問題

1.網(wǎng)絡(luò)環(huán)境

組網(wǎng)圖請(qǐng)參考圖5-1

案例中RouterA使用IP-Prefix過濾器對(duì)從RouterB中接收到的路由進(jìn)行過濾：

RouterA上的配置：

*

bgp100

peer192.168.1.2as-number200

ipv4-familyunicaat

undosynchronization

peer192.168.1.2enable

peer192.168.1.2ip-prefixrtaimport

*

ipip-prefixrtaindex20deny2.2.2.232

*

RouterB上的配置:

bgp200

peer192.168.1.1as-number100

￥

ipv4-familyunicast

undosynchronization

network1.1.1.1255.255.255.255

network2.2.2.2255.255.255.255

peer192.168.1.1enable

#

使用displayiprouting-table命令查看RouterA上接收到的路由，應(yīng)該能夠接收到

1.1.1.1/32,但是路由表中沒有。

2.故障分析

使用下列步驟調(diào)查故障原因：

(1)檢查RnutftrB路由表信息,確定是否所有路由已被通告給鄰居RoutftrA,

在RouterB上使用displaybgprouting-table,顯示路由表信息，發(fā)現(xiàn)

1.1.1.1/32及2.2.2.2/32這兩條路由均已通告給RouterA,問題應(yīng)該是在

RouterA上。

(2)檢查RouterA上的BGP配置.，確定BGP在接收路由時(shí)是否使用了過濾器。

在RouterA」.使用displaycurrent-configurationconfigurationbgp命令

檢查BGP的配置，發(fā)現(xiàn)在接收從RouterB通告過來的路由時(shí)使用了IP-Prefix

過濾器，估計(jì)是過濾淵將所有路由都過濾了。

(3)檢杳IP-Prefix過濾器的配置。確定此路由是否被過濾器過濾掉了。

在RouterA上使用displayipip-prefixrta命令查看過濾器的配置，發(fā)現(xiàn)僅

對(duì)路由2.2.2.2/32配置了Deny策略，但關(guān)于路由1.1.1.1/32沒有配置Permit。

故障的原因定位：在RouterA上使用IP-Prefix過濾路由問題。系統(tǒng)過濾路由時(shí)關(guān)于

沒有匹配的路由默認(rèn)返回Deny,因此將1.111/32也過濾了。

3.處理步驟

由于系統(tǒng)過濾路由時(shí)，沒有匹歸的路由默認(rèn)返回Deny,因此過濾策略僅配置能夠通

過的路由即可。在RouterA上執(zhí)行如下操作：

步驟操作

1將過渡規(guī)則替換為ipip-prefixrtaindex10permit1.1.1.132

使用displayiprouting-table命令查看RouterA上接收到的路由，發(fā)現(xiàn)路由表中出

現(xiàn)路由1.1.1.1/32,故障被排除。

4,案例總結(jié)

當(dāng)配置IP-Prefix過濾路由時(shí)，若是僅配置Deny節(jié)點(diǎn)，那么關(guān)于沒有命中匹配地址/

掩碼的路由系統(tǒng)默認(rèn)返回Deny。因此，需要配置Permit節(jié)點(diǎn)對(duì)指定路由同意。請(qǐng)

參考配置注意事項(xiàng)IP-Prefix小節(jié)。

5.3.2使用AS-Path過濾路由問題

1.網(wǎng)絡(luò)環(huán)境

案例中RouterA使用AS-Path過濾器對(duì)從RouterB通告過來的路由進(jìn)行過濾:

RouterA上的配置：

#

bgp100

peer192.168.1.2as-number200

#

ipv4-familyunicast

undosynchronization

peer192.168.1.2enable

peer192.168.1.2as-path-filter10import

*

ipas-path-filter10deny65430

#

RouterB上的配置:

*

bgp200

peer192.168.1.1as-number100

peer10.1.1.1as-number65431

peer172.11.10.1as-number65430

ipv4-familyunicast

undosynchronization

peer192.168.1.1enable

peer10.1.1.1enable

peer172.11.10.1enable

*

RouterC上的配置：

*

bgp65430

peer172.11.10.2as-number200

#

ipv4-familyunicast

undosynchronization

network3.3.3.3255.255.255.255

peer172.11.10.2enable

RouterD上的配置：

*

bgp65431

peer10.1.1.2as-number200

ipv4-familyunicast

undosynchronization

network4.4.4.4255.255.255.235

peer10.1.1.2enable

*

發(fā)現(xiàn)故障：使用displayiprouting?table命令查看RouterA上接收到的路由，應(yīng)該

能夠看到RouterA過濾了RouterC通告的路由，接收了RouterD通告的路由，但路

由表中顯示RouterC及RouterD的路由均被RouterA過濾掉了。

2.故障分析

故障現(xiàn)象：RouterA路由表中沒有RouterD通告的路由。

使用下列步驟調(diào)查故障原因：

(1)檢杳RouterB是否已將所有路由通告給鄰居RouterA.

在RouterB上使用displayiprouting-table,查看RouterB是否接收到了來

自RouterC與RouterD的路由，結(jié)果顯示已經(jīng)接收到了。因此推斷問題應(yīng)該

是在RouterA上。

(2)檢查RouterA上的BGP配置，確定BGP在接收路由時(shí)是否使用了過濾器。

在RouterA上使用displaycurrent-configurationconfigurationbgp查看

BGP的配.置，發(fā)現(xiàn)BGP對(duì)從RouterB通告過來的路由使用了名為10的

as-path過濾器過濾路由，估計(jì)是過濾器將所有路由都過濾了。

(3)檢查RouterAAS-Path正則表達(dá)式的編寫與過濾器的配置。

在RouterA上使用displayipas-path-filter10查看過濾器的配置，發(fā)現(xiàn)僅對(duì)

來自AS號(hào)為65430的路由配置了Deny策略，但關(guān)于來自65431域的路由沒

有配置Permit。

故障的原因定位：在RouterA上使用AS-Path過濾路由問題。系統(tǒng)過濾路由時(shí)關(guān)于

沒有匹配的路由默認(rèn)返回Deny,因此將來自AS65431域的路由也過濾掉了。

3.處理步驟

由于系統(tǒng)過漉路由時(shí)關(guān)于沒有匹配的路由默認(rèn)返回Deny,那么過濾策略僅配置能夠

通過的路由即可。

在RouterA上執(zhí)行如下操作：

步驟操作

1將過濾規(guī)則替換為ipas-path-filter10permit65431

使用displayiprouting-table命令查看RouterA上接收到的路由，發(fā)現(xiàn)路由表中出

現(xiàn)路由4.4.4.4/32,故障被排除。

4.案例總結(jié)

當(dāng)配置AS?Path過濾路由時(shí)，需要注意：正則表達(dá)式的編寫規(guī)則：若是僅配置Deny

節(jié)點(diǎn)，那么關(guān)于沒有命中AS-Path范圍的系統(tǒng)返I可Deny。因此，需要配置Permit

節(jié)點(diǎn)對(duì)指定路由同意。請(qǐng)參考配置注意事項(xiàng)AS-Path小節(jié)。

5.3.3使用Community過濾路由問題

Community-Filter通常情況下作為route-policy的if-match子句的匹配條件，當(dāng)滿足

if-matchcommunity-filter<basicoradvancedcommunity-list>時(shí)，對(duì)路由應(yīng)用

apply子句下的動(dòng)作。需要注意AdvancedCommunity-List中正則表達(dá)式的編寫規(guī)

則。請(qǐng)參考配置注意事項(xiàng)的附注中正則表達(dá)式編寫規(guī)則部分。

5.3.4使用Extcommurdty過濾路由問題

1.網(wǎng)絡(luò)環(huán)境

組網(wǎng)圖請(qǐng)參考圖5-2

用戶組網(wǎng)需求：

?CE1、CE3屬于VPN-A,CE2、CE4屬于VPN-B；

?VPN-A使用的VPN-Target屬性為100:1,VPN-B使用的VPN-Target屬性為

200:1o不一致VPN用戶之間不能互相訪問；

?CE與PE之間配置EBGP交換VPN路由信息；

?PE與PE之間配置OSPF實(shí)現(xiàn)PE內(nèi)部的互通、配置MP/BGP交換VPN路

由信息。

?用戶在PE2上面又添加了一個(gè)VNP-C,ExportVPNTargets:300:1,Import

VPNTargets:100:1200:1,如今VNP-C能夠同意到VPN-A與VPN-B的路

由°

?用戶如今有一個(gè)需求，希望VPN-C上只收到來自VPN-A的路由。如今利用

Extcommunity-Filter進(jìn)行過濾。

進(jìn)行如下的配置.：

(Quidway]ipvpn-instancevpnc

[Quidway-vpn-instance-vpnc]route-distinguisher300:1

[Quidway-vpn-instance-vpnc]importroute-policyexcomm-filter

(Quidway-vpn-instance-vpnc]vpn-target300:1export-extcommunity

[Quidway-vpn-instance-vpnc]vpn-target100:1200:1import-extcommunity

查看VPN-C的路由表：

<Quidway>displayiprouting-tablevpn-instancevpnc

RoutingTables:vpnc

Destinations:6Routes:6

Destination/MaskProtoPreCostNextHopInterface

1.1.1.1/32BGP25501.1.1.9Ethernetl/0/2

9.9.9.9/32BGP25501.1.1.9Ethernetl/0/2

10.1.1.0/24BGP25501.1.1.9Ethernetl/0/2

10.2.1.0/24BGP25501.1.1.9Ethernetl/0/2

10.3.1.0/24BGP255010.3.1.2Ethernetl/0/0

10.3.1.2/32BGP2550127.0.0.1InLoopBackO

發(fā)現(xiàn)故障：沒有得到預(yù)期的效果，VPN-C的路由表中仍然有VPN-B的路由。

9.9.9.9/32這條路由沒有過濾掉。

2.故障分析

故障現(xiàn)象：VPN-C的路由表中顯示路由9.9.9.9/32沒有被過濾掉。

使用下列步驟調(diào)查故隙原因：

(1)參考前例檢查過程將故障原因定位到過濾耕的應(yīng)用上。

(2)查看當(dāng)前的路由策略Route-Policy與IPExtcommunity-Filter

首先使用displaycurrent-configurationconfigurationroute-policy命令查看一

下VPN-C下引入路由時(shí)用的過濾器Extcommunity-Filtero

<Quidway>displaycurrent-configurationconfigurationroute-policy

*

route-policyexcomm-filterpermitnode10

if-matchextcommunity-filter1

*

然后使用displayipextcommunity-filter命令查看一下VPN-C下過濾器

Extcommunity-Filter應(yīng)用的過濾規(guī)則。

<Quidway>displayipextcommunity-filter

*

ExtendedCommunityfilterNumber1

permitrt:0:0rt:100:1

*

(3)查找故障原因

擴(kuò)展團(tuán)體屬性列表Extcommunity-List僅用于BGP。

BGP的擴(kuò)展團(tuán)體有兩種，一種是用于VPN的路由目標(biāo)擴(kuò)展團(tuán)體。擴(kuò)展團(tuán)體屬性列

表就是擴(kuò)展團(tuán)體屬性指定匹配條件。

?假如Extcommunity-Filter的配置中只包含VPN-Target,則只要這些

VPN-TARGET中有一個(gè)與BGP給出的VPN-Target集合匹配，就認(rèn)為過濾器

命中，返回指定的Permit或者Deny結(jié)果。

比如：配置ipextcommunity-fiIterpermitrt100:1rt200:1

BGP配置RT：100:1300:1400:1

結(jié)果是：命中，Permit

BGP給出RT：300:1400:1

結(jié)果：不命中，Deny

?假如Extcommunity-Filter的配置中指定VPN-Target0:0,則將匹配所有的

VPN-Tarceto

比如：配置ipextcommunity-filterpermitrt0:0

BGP給出任何RT都將匹配。但假如不給RT則不匹配。

?假如Extcommunity-Filter的配置中未指定VPN-Target,則不管BGP給出任

何RT,結(jié)果都將是不匹配。

?Deny使用同樣的規(guī)則。

檢查本例中VPN-C下的過濾器Extcommunity-Filter的過濾規(guī)則：

permitrt:0:0rt:100:1

同時(shí)應(yīng)用了區(qū)T：0:0與區(qū)?。?00:1。

故障的原因定位：在VPN-C下使用Extcommunity-List過濾路由問題。

過濾規(guī)則permitrt:0:0rt:100:1,同時(shí)應(yīng)用了RT:0:0與RT:100:1,導(dǎo)致VPN-B

的路由也被同意了。

3.處理步驟

在PE2上的VPN-C下執(zhí)行如下操作

步驟操作

1更換ipextcommunity-filter1為如下所示的配置：

<Quidway>displayipextconununity-filter1

*

permitrt:100:1

使用displayiprouting-tablevpn-instancevpnc命令查看VPN-C的路由表項(xiàng)，

發(fā)現(xiàn)已經(jīng)沒有來自VPN-B的路由了，說明故障解決。

4.案例總結(jié)

此案例是Extcommunity-Filter的經(jīng)典案例，在使用Extcommunity-Filter之前，要熟

悉其應(yīng)用規(guī)則。特別注意RT0:0配置的使用規(guī)則。

假如Extcommunity-Filter的配置中指定VPN-Target0:0,則將匹配所有的

VPN-Targeto假如BGP沒有指定VPN-Target,視為不匹配。

5.3.5使用route-policy過濾路由問題

1.網(wǎng)絡(luò)環(huán)境

組網(wǎng)圖請(qǐng)參考圖5-2。

?CE1、CE3屬于VPN-A,CE2、CE4屬于VPN-B。

?VPN-A使用的VPN-Target屬性為100:1,VPN-B使用的VPN-Target屬性為

200:1o不一致VPN用戶之間不能互相訪問。

?CE與PE之間配置EBGP交換VPN路由信息。

?PF與PF之間配置QSPF實(shí)現(xiàn)PF內(nèi)部的互通，配置MP-IRGP交換VPN路

由信息。

?在PE2上面有添加了一個(gè)VNP-C,ExportVPNTargets:300:1,ImportVPN

Targets:100:1200:1,如今VNP-C能夠同意到VPN-A與VPN-B的路由。

?希望VPN-C上收到來自VPN-A的路由與來自VPN-B的路由，同時(shí)把從VPN-A

引入的路由Cost力II100,把從VPN-B引入的路由Cost力11200o利用

Route-Poicy完成此需求。

進(jìn)行如下配置:

[Quidway]route-policyFilter-policypermitnode10

[Quidway-route-policy]if-matchextccmmunity-filter1

[Quidway-rou