华为数通操作手册VRP全系列VRP故障处理手册路由器.doc

目 录第5章 路由策略故障解决 5-15.1 路由策略与过滤器简介 5-15.1.1 路由策略与策略路由 5-15.1.2 地址前缀列表 5-25.1.3 AS途径访问列表 5-25.1.4 团队属性列表 5-25.1.5 扩展团队属性列表 5-25.1.6 路由策略 5-35.2 路由策略故障解决 5-35.2.1 典型组网环境 5-35.2.2 配置注意事项 5-55.2.3 故障诊断流程 5-85.2.4 故障解决环节 5-95.3 故障解决案例 5-115.3.1 使用IP-Prefix过滤路由问题 5-115.3.2 使用AS-Path过滤路由问题 5-135.3.3 使用Community过滤路由问题 5-155.3.4 使用Extcommunity过滤路由问题 5-165.3.5 使用route-policy过滤路由问题 5-185.4 FAQ 5-215.5 故障诊断工具 5-225.5.1 display命令 5-225.5.2 debugging命令 5-275.5.3 告警 5-27第5章 路由策略故障解决本章包含以下内容：l 路由策略与过滤器简介介绍了进行BGP故障解决时用户所需的知识要点。

l 路由策略故障解决针对典型的BGP组网环境，介绍配置BGP时要注意的事项，BGP对等体不能建立连接故障解决的流程和具体的故障解决环节l 故障解决案例介绍了若干实际的故障解决案例l FAQ列出了用户常问的问题，并给出了相应的解答l 故障诊断工具介绍了进行故障解决所需要的故障诊断工具，涉及display命令和debugging命令、告警信息5.1 路由策略与过滤器简介本节包含以下内容：l 路由策略与策略路由l 地址前缀列表l AS途径访问列表l 团队属性列表l 扩展团队属性列表l 路由策略5.1.1 路由策略与策略路由路由策略是为了改变网络流量所通过的途径而对路由信息采用的方法重要通过改变路由属性（涉及可达性）来实现策略路由Policy-Based-Route用于指导报文转发本章只介绍路由策略为实现路由策略，一方面要定义将要实行路由策略的路由信息的特性，即定义一组匹配规则，可以以路由信息中的不同属性作为匹配依据进行设立，如目的地址、发布路由信息的路由器地址等匹配规则可以预先设立好，然后再将它们应用于路由的发布、接受和引入等过程的路由策略中路由器在发布与接受路由信息时，也许需要实行一些策略，以便对路由信息进行过滤，比如只接受或发布一部分满足条件的路由信息；一种路由协议（如RIPng）也许需要引入其它的路由协议发现的路由信息，从而丰富自己的路由知识；路由器在引入其它路由协议的路由信息时，也许需要只引入一部分满足条件的路由信息，并对所引入的路由信息的某些属性进行设立，以使其满足本协议的规定。

5.1.2 地址前缀列表地址前缀列表（IP-Prefix-Filter）涉及IPv4地址前缀列表和IPv6地址前缀列表地址前缀列表的作用类似于ACL，但比它更为灵活，且更易于为用户理解地址前缀列表在应用于路由信息的过滤时，其匹配对象为路由信息的目的地址信息域一个地址前缀列表由前缀列表名标记每个前缀列表可以包含多个表项，每个表项可以独立指定一个网络前缀形式的匹配范围，并用一个Index-Number来标记，Index-Number指明了进行匹配检查的顺序在匹配的过程中，路由器按升序依次检查由Index-Number标记的各个表项，只要有某一表项满足条件，就意味着通过该地址前缀列表的过滤（不进入下一个表项的测试）5.1.3 AS途径访问列表BGP路由信息中包含的AS_PATH途径属性逆序列出前缀所通过的自治系统AS途径访问列表（as-path-filter）就是针对AS_PATH途径属性进行过滤的过滤器5.1.4 团队属性列表BGP路由的Community属性被一组具有相同的特性的前缀所共享，团队属性列表（Community-Filter）就是针对团队属性域指定匹配条件的过滤器。

5.1.5 扩展团队属性列表BGP的扩展团队属性也是定义了一组共享相同特性的前缀，目前VRP的Excommunity-Filter针对一种常用的扩展团队属性进行过滤：VPN-Target，定义了私网路由的VPN成员关系5.1.6 路由策略路由策略（Route-policy）是一种复杂的过滤器，它不仅可以匹配给定路由信息的某些属性，并在条件满足时改变路由信息的属性Route-Policy可以使用前面几种过滤器定义自己的匹配规则一个Route-policy可以由多个节点Node构成，不同节点之间是“或”的关系系统按节点序号依次检查各个节点，假如通过了其中一节点，就意味着通过该策略，不再对其他节点进行匹配测试每个节点由一组if-match和apply子句组成if-match子句定义匹配规则，匹配对象是路由信息的一些属性同一节点中的不同if-match子句是“与”的关系，只有满足节点内所有if-match子句指定的匹配条件，才干通过该节点的匹配测试apply子句指定动作，也就是在通过节点的匹配后，对路由信息的一些属性进行设立5.2 路由策略故障解决本节介绍如下的内容：l 典型组网环境l 配置注意事项l 故障诊断流程l 故障解决环节5.2.1 典型组网环境路由策略的典型组网如‎图5-1与‎图5-2所示。

路由策略的故障解决将基于该网络1. 公网环境拓扑图5-1 路由策略故障公网环境拓扑公网环境时，在某个路由器上接受此外一个路由器通告来的路由时，发送者使用路由策略发布指定路由，接受者使用路由策略接受指定路由，以上拓扑是一个简化的拓扑，用于模拟实际环境中的路由发送/接受者2. VPN环境拓扑图5-2 路由策略故障VPN环境拓扑VPN环境时，路由策略可以应用在PE与CE上，用来发布/接受指定的路由其中，在PE上对于VPNv4和VPN Instance可同时应用策略以上拓扑是实际环境中VPN的一个简化拓扑，用于模拟实际环境中PE与CE中的路由发送/接受者5.2.2 配置注意事项1. 路由策略中常用过滤器配置配置项子项注意事项ip-prefixip ip-prefix ip-prefix-name [ index index-number ] { permit | deny } ip-address mask-length [ greater-equal greater-equal-value | less-equal less-equal-value ]l 配置IPv4前缀地址列表，列表名由ip-prefix-name指定，列表名下可以配置多个匹配项，每一项可以指定索引值Index，若没有指定索引值，则生成项的索引值由此前缀列表已存在的最大索引值+10；l 若同时指定前缀长度在greater-equal和less-equal之间时，匹配的范围就在两者之间，配置的greater-equal值和less-equal值必须满足条件：mask-length<=greater-equal <=less-equal <=32；l 在匹配过程中，系统按索引号升序依次检查各个表项，只要有一个表项下的地址/掩码与要检查的路由地址/掩码相同，就返回此表项下配置的过滤模式（Permit或Deny），不再去匹配其他表项；l 假如所有表项都是Deny模式，则任何路由都不能通过该过滤列表。

建议在多条Deny模式的表项后定义一条permit 0.0.0.0 0 greater-equal 0 less-equal 32表项，允许其它所有IPv4路由信息通过l 使用中最常见的理解错误是把IP-Prefix的配置方法和ACL的配置方法等同，事实上，在只指定IP-Address/Mask-Length的情况下，IP-Prefix只精确匹配一条路由，不匹配一段掩码范围内的路由要匹配一段掩码范围内的路由，必须指定Greater-Equal和Less-Equal参数ipv6-prefixip ipv6-prefix ipv6-prefix-name [ index index-number ] { permit | deny } ipv6-address mask-length [ greater-equal greater-equal-value | less-equal less-equal-value ]l 配置IPv6前缀地址列表，列表名由ipv6-prefix-name指定，此列表名下可以配置多个匹配项，每一项可以指定索引值index，若没有指定索引值，则生成项的索引值由此前缀列表已存在的最大索引值+10；l 若同时指定前缀长度在greater-equal和less-equal之间时，匹配的范围就在两者之间，配置的greater-equal值和less-equal值必须满足条件：mask-length<=greater-equal<=less-equal<=128；l 在匹配过程中，系统按索引号升序依次检查各个节点，只要有一个节点满足条件，就认为通过该过滤列表，不再去匹配其他表项；l 假如所有表项都是Deny模式，则任何路由都不能通过该过滤列表。

建议在多条Deny模式的表项后定义一条permit ::0 0 greater-equal 0 less-equal 128表项，允许其它所有IPv6路由信息通过as-path-filterip as-path-filter as-path-filter-number { deny | permit } regular-expressionl 使用正则表达式来定义AS-Path属性过滤规则，BGP可以使用此过滤器来匹配BGP路由的AS-Path属性，以此决定是否发布/接受路由l 假如所有表项都是Deny模式，则任何路由都不能通过该过滤列表建议在多条Deny模式的表项后定义一条permit .* 表项，允许其它所有路由信息通过；community-filterl ip community-filter basic-comm-filter-num { deny | permit } [ community-number | aa:nn ] * &<1-16> [ internet | no-export-subconfed | no-advertise | no-export ] * l ip community-filter adv-comm-filter-num { deny | permit } regular-expressionl 定义一个团队属性过滤器。

有两种配置方式，属性号在1-99的为基本团队属性过滤器，通过指定明确的团队属性来定义过滤规则；属性号在100-199为高级团队属性过滤器，通过指定正则表达式来定义过滤规则l 对于基本团队属性过滤器，Internet选项表达匹配所有的团队属性；而对高级团队属性过滤器，正则表达式 ”.*” 表达匹配所有的团队属性l 对于基本团队属性过滤器，有完全匹配模式Whole-Match和一般匹配模式在完全匹配模式下，BGP给出的团队属性列表必须完全与过滤器规则中定义的团队属性一致才干匹配在一般匹配模式下，BGP给出的团队属性列表必须要包含过滤器规则中定义的团队属性才干匹配l 假如所有表项都是Deny模式，则任何路由都不能通过该过滤列表。