路由技術(shù)踩雷實(shí)踐分享

信息技術(shù)的飛速發(fā)展、網(wǎng)絡(luò)技術(shù)也在不斷的更新迭代，但是有這么一種技術(shù)它無法替代，它負(fù)責(zé)在網(wǎng)絡(luò)中獲取信息、穿梭找路，它就是路由協(xié)議。在網(wǎng)絡(luò)建設(shè)和運(yùn)維過程中，不管是簡(jiǎn)單還是復(fù)雜的網(wǎng)絡(luò)組網(wǎng)架構(gòu)，或多或少你總能遇到一些路由雷區(qū)，也就是因?yàn)檫@些雷區(qū)讓你從中得到經(jīng)驗(yàn)積累，同時(shí)也能夠讓你時(shí)刻保持著一顆敬畏之心。網(wǎng)絡(luò)作為連接業(yè)務(wù)底層基礎(chǔ)設(shè)施的一部分，它承載著企業(yè)的關(guān)鍵業(yè)務(wù)和數(shù)據(jù)流量，一旦發(fā)生問題不僅企業(yè)利益受到損失，用戶體驗(yàn)也會(huì)受到損壞。本篇小文來自于一名從事網(wǎng)絡(luò)工作十多年的老兵，總結(jié)在網(wǎng)絡(luò)路由協(xié)議下不常見但很致命的路由環(huán)路的案例，以及分享網(wǎng)絡(luò)路由協(xié)議配置過程中的避雷小建議。

案例一：靜態(tài)路由配置缺少指定下一跳出接口導(dǎo)致環(huán)路

拓?fù)洵h(huán)境：

案例說明：

?廣域網(wǎng)路由器CR1配置靜態(tài)路由192.168.0.0/16下一跳指向機(jī)構(gòu)交換機(jī)；

?廣域網(wǎng)路由器CR1將靜態(tài)路由重分布至OSPF，五類LSA類型為Type 1；

?核心交換機(jī)學(xué)習(xí)到廣域網(wǎng)路由器CR1發(fā)來的OSPF路由，核心交換機(jī)去往192.168.0.0/16下一跳為CR1；

?由于項(xiàng)目需要，新增加一臺(tái)廣域網(wǎng)路由器CR2計(jì)劃替換CR1路由器，CR2路由器除了上聯(lián)核心交換機(jī)配置與CR1不一致，其他配置均和CR1一致，包括下聯(lián)機(jī)構(gòu)交換機(jī)的靜態(tài)路由配置；

?新增加的廣域網(wǎng)CR2路由器與核心交換機(jī)進(jìn)行并網(wǎng)，建立OSPF鄰居關(guān)系；

路由環(huán)路出現(xiàn)：?當(dāng)CR2與核心交換機(jī)并網(wǎng)后，PC訪問機(jī)構(gòu)的一半業(yè)務(wù)出現(xiàn)中斷，在核心交換機(jī)查看機(jī)構(gòu)路由192.168.0.0/16，發(fā)現(xiàn)去往192.168.0.0/16路由出現(xiàn)等價(jià)負(fù)載兩個(gè)下一跳，分別是CR1和CR2路由器；?在CR2上查看機(jī)構(gòu)路由192.168.0.0/16下一跳為核心交換機(jī)；此時(shí)機(jī)構(gòu)路由192.168.0.0/16在核心換機(jī)和廣域網(wǎng)路由器CR2之間環(huán)路；

問題原因：在此案例場(chǎng)景下，廣域網(wǎng)路由器CR2配置下聯(lián)機(jī)構(gòu)靜態(tài)路由，雖然CR2上的下聯(lián)機(jī)構(gòu)接口處于DOWN狀態(tài)，但是靜態(tài)路由配置的下一跳地址可達(dá)，也就是CR2上有1.1.1.0/30路由，CR2就會(huì)進(jìn)行路由迭代查詢，導(dǎo)致CR2設(shè)備配置的靜態(tài)路由被激活進(jìn)入路由表，從而核心交換機(jī)也能從CR2學(xué)習(xí)到下聯(lián)機(jī)構(gòu)路由，路由在核心交換機(jī)與CR2之間形成環(huán)路；

解決辦法：在廣域網(wǎng)路由器CR2上配置的靜態(tài)路由增加指定出接口，在這種情況下只有CR2出接口狀態(tài)為UP時(shí)，靜態(tài)路由才會(huì)被激活進(jìn)入路由表中。

案例二：OSPF配置下缺少靜默接口導(dǎo)致環(huán)路

拓?fù)洵h(huán)境

案例說明：

?總部核心交換機(jī)配置靜態(tài)路由192.168.0.0/16下一跳指向接入網(wǎng)絡(luò)；

?總部核心交換機(jī)將靜態(tài)路由192.168.0.0/16重分布至OSPF，五類LSA類型為Type 2；

?總部下聯(lián)路由器CR1和CR2接收到OSPF路由后，將192.168.0.0/16路由重分布至BGP鄰居，發(fā)送給分部上聯(lián)路由器；

?分部上聯(lián)路由器BR2收到總部下聯(lián)路由器發(fā)來的BGP路由后，轉(zhuǎn)發(fā)給IBGP鄰居BR1；

?分部上聯(lián)路由器BR2同時(shí)將BGP路由192.168.0.0/16重分布至OSPF中，五類LSA類型為Type 1；

?分部核心交換機(jī)接收到分部上聯(lián)路由器發(fā)過來的OSPF路由，并在OSPF內(nèi)部進(jìn)行傳遞，五類LSA為Type 1；

CR1硬件板卡故障：?總部下聯(lián)路由器CR1業(yè)務(wù)板卡故障，在更換故障板卡過程中，CR1上OSPF配置中針對(duì)CR1與BR1互聯(lián)接口passive-interface命令消失，總部下聯(lián)路由器CR1與分部上聯(lián)路由器BR1建立了OSPF鄰居關(guān)系（在CR1與BR1設(shè)備上OSPF配置中存在network互聯(lián)網(wǎng)段，并且BR1設(shè)備OSPF配置下沒有passive-interface命令）

?此時(shí)分部上聯(lián)路由器BR1收到的192.168.0.0/16類型為Type 1的路由，BR1進(jìn)行OSPF內(nèi)部傳遞給總行下聯(lián)路由器CR1；

?總部下聯(lián)路由器CR1同時(shí)收到總部核心交換機(jī)發(fā)過來的類型為Type 2的五類LSA以及分部上聯(lián)路由器BR1發(fā)過來的類型為Type 1的五類LSA路由，由于OSPF選路原則中， Type 1優(yōu)于Type 2，因此總部下聯(lián)路由器CR1路由表中192.168.0.0/16的路由下一跳指向分部上聯(lián)路由器BR1；由于總部和分部路由器EBGP路由協(xié)議的管理距離配置為20，因此分部上聯(lián)路由器BR1收到的192.168.0.0/16的路由下一跳為總部下聯(lián)路由器CR1；

路由環(huán)路出現(xiàn)：總部下聯(lián)路由器CR1與分部上聯(lián)路由器BR1建立OSPF鄰居后，CR1收到BR1發(fā)送192.168.0.0/16的OSPF路由，CR1又將OSPF路由重分布至BR1，BR1上針對(duì)192.168.0.0/16的BGP路由下一跳為CR1，至此192.168.0.0/16路由在CR1和BR1之間不斷重復(fù)直至TTL耗盡報(bào)文被丟棄。

解決辦法：在總部下聯(lián)路由器CR1和分部上聯(lián)路由器BR1設(shè)備上OSPF的配置中分別配置passive-interface命令，環(huán)路問題解決。

案例三：雙向雙點(diǎn)重分布路由優(yōu)先級(jí)配置問題導(dǎo)致環(huán)路

拓?fù)洵h(huán)境

案例說明：

?分部核心交換機(jī)配置靜態(tài)路由192.168.0.0/16下一跳指向接入網(wǎng)絡(luò)；

?分部核心交換機(jī)將靜態(tài)路由192.168.0.0/16重分布至OSPF，五類LSA類型為Type 1；

?分部上聯(lián)路由器接收到OSPF路由后，將192.168.0.0/16路由重分布至EBGP鄰居，發(fā)送給總部下聯(lián)路由器；

?總部下聯(lián)路由器CR1/CR2/CR3收到對(duì)應(yīng)互聯(lián)Juniper設(shè)備 BR1/BR2/BR3發(fā)過來的EBGP路由，管理距離為20；

?此時(shí)分部上聯(lián)路由器BR3出現(xiàn)設(shè)備硬件故障，使用華為路由器設(shè)備完成配置翻譯后進(jìn)行故障設(shè)備替換，在操作不上，先連接分部網(wǎng)絡(luò)，與分部核心建立OSPF鄰居關(guān)系，與分部上聯(lián)Juniper路由器BR1和BR2建立IBGP鄰居關(guān)系；

?當(dāng)新上華為路由器BR3與Juniper路由器建立IBGP鄰居后，總部下聯(lián)路由器接收不到分部發(fā)過來的192.168.0.0/16路由，總部與分部業(yè)務(wù)出現(xiàn)中斷；

?新上的華為路由器BR3通過分部核心交換機(jī)學(xué)習(xí)到了192.168.0.0/16的OSPF路由，并將OSPF路由重分布到BGP中（EBGP和IBGP）；

路由環(huán)路出現(xiàn)：?此時(shí)分部上聯(lián)路由器BR1和BR2通過IBGP學(xué)習(xí)到新上的華為路由器BR3發(fā)過來的192.168.0.0/16路由，由于分部上聯(lián)Juniper路由器IBGP路由協(xié)議管理距離設(shè)置為20，優(yōu)于OSPF外部路由150，所以分部上聯(lián)Juniper路由器原本通過與分部核心OSPF學(xué)習(xí)到的192.168.0.0/16路由從路由表中變成了IBGP路由，即分部上聯(lián)Juniper BR1和BR2路由器針對(duì)192.168.0.0/16的OSPF消失，無法通過OSPF重分發(fā)到BGP中，又因?yàn)樵贘uniper路由器中EBGP和IBGP之間默認(rèn)不相互傳路由，導(dǎo)致分部192.168.0.0/16路由不能通過EBGP上送到總部，即總部收到分部的路由，總分部之間業(yè)務(wù)受損，192.168.0.0/16路由在分部上聯(lián)路由器之間出現(xiàn)環(huán)路。

解決辦法：在分部上聯(lián)Juniper路由器BR1和BR2上調(diào)整IBGP路由優(yōu)先級(jí)為170優(yōu)于OSPF外部路由150，環(huán)路問題解決。

路由協(xié)議設(shè)計(jì)實(shí)踐：

靜態(tài)路由：

靜態(tài)路由配置建議指定下一跳出接口，規(guī)避路由迭代查詢；

所有靜態(tài)路由建議配置路由描述信息，以便可讀性；

根據(jù)實(shí)際網(wǎng)絡(luò)環(huán)境配置靜態(tài)浮動(dòng)路由管理距，如果環(huán)境中存在靜態(tài)優(yōu)先，動(dòng)態(tài)次優(yōu)建議浮動(dòng)路由管理距離配置大于路由協(xié)議管理距離；

路由宣告：

所有動(dòng)態(tài)路由協(xié)議進(jìn)程建議手動(dòng)配置Router-id，Router-id默認(rèn)選擇設(shè)備管理地址;

路由器宣告互聯(lián)地址網(wǎng)段時(shí)建議按本設(shè)備接口地址掩碼宣告，不建議多個(gè)接口使用同一條命令進(jìn)行宣告；

針對(duì)業(yè)務(wù)路由網(wǎng)段需要在所有網(wǎng)關(guān)設(shè)備上進(jìn)行路由宣告；

針對(duì)廣域網(wǎng)專線互聯(lián)接口需要宣告時(shí)，建議只在一側(cè)設(shè)備進(jìn)行互聯(lián)地址宣告，對(duì)端設(shè)備不建議宣告；

除BGP外，建議所有動(dòng)態(tài)路由進(jìn)程下配置靜默接口，默認(rèn)禁止所有三層接口與其它設(shè)備建立路由鄰居關(guān)系；需要與其它設(shè)備建立路由鄰居關(guān)系時(shí)，在對(duì)應(yīng)設(shè)備配置下關(guān)閉對(duì)應(yīng)的靜默接口命令；

路由匯總和路由策略：

所有路由協(xié)議建議禁止自動(dòng)匯總路由，根據(jù)實(shí)際網(wǎng)絡(luò)需要進(jìn)行業(yè)務(wù)路由匯總；

配置路由策略調(diào)用的匹配列表中建議不包含Deny條目；

當(dāng)路由策略需要排除某些流量時(shí)，建議配置兩個(gè)匹配列表，一個(gè)匹配需要策略路由的流量，另一個(gè)匹配需要排除的流量；在Route-Plicy中配置一個(gè)Deny策略，匹配需要排除流量對(duì)應(yīng)的匹配列表，再配置一個(gè)Permit策略，匹配需要策略路由的流量對(duì)應(yīng)的匹配列表；

路由重分布：

靜態(tài)路由重分布至動(dòng)態(tài)路由時(shí)，建議根據(jù)業(yè)務(wù)屬性不同增加不同的TAG，便于在動(dòng)態(tài)路由中進(jìn)行路由策略匹配，針對(duì)主備鏈路靜態(tài)重分布至OSPF時(shí)建議使用五類LSA類型為Type2；針對(duì)負(fù)載鏈路靜態(tài)重分布進(jìn)OSPF時(shí)建議使用五類LSA類型為Type 1；

路由重分布到OSPF中時(shí)，針對(duì)思科設(shè)備經(jīng)常會(huì)犯錯(cuò)的就是缺少Subnets關(guān)鍵字，如果發(fā)現(xiàn)有一些路由丟失情況，建議檢查配置是否重分布子網(wǎng)路由；

OSPF和BGP動(dòng)態(tài)路由協(xié)議間雙向雙點(diǎn)重分布時(shí)，必須雙向配置防環(huán)機(jī)制，建議使用標(biāo)記TAG和Community方式進(jìn)行路由防環(huán)；

針對(duì)各廠商默認(rèn)管理距離不一致情況，如果網(wǎng)絡(luò)環(huán)境中存在多廠商設(shè)備三層路由組網(wǎng)情況，建議將手動(dòng)調(diào)整為一致的路由優(yōu)先級(jí)，避免在組網(wǎng)過程中或故障場(chǎng)景下發(fā)生次優(yōu)路徑或路由環(huán)路問題。

附：主流廠商默認(rèn)路由優(yōu)先級(jí)：

審核編輯 ：李倩