路由技术踩雷实践分享
信息技术的飞速发展、网络技术也在不断的更新迭代,但是有这么一种技术它无法替代,它负责在网络中获取信息、穿梭找路,它就是路由协议。在网络建设和运维过程中,不管是简单还是复杂的网络组网架构,或多或少你总能遇到一些路由雷区,也就是因为这些雷区让你从中得到经验积累,同时也能够让你时刻保持着一颗敬畏之心。网络作为连接业务底层基础设施的一部分,它承载着企业的关键业务和数据流量,一旦发生问题不仅企业利益受到损失,用户体验也会受到损坏。本篇小文来自于一名从事网络工作十多年的老兵,总结在网络路由协议下不常见但很致命的路由环路的案例,以及分享网络路由协议配置过程中的避雷小建议。
案例一:静态路由配置缺少指定下一跳出接口导致环路
拓扑环境:
案例说明:
❶广域网路由器cr1配置静态路由192.168.0.0/16下一跳指向机构交换机;
❷广域网路由器cr1将静态路由重分布至ospf,五类lsa类型为type 1;
❸核心交换机学习到广域网路由器cr1发来的ospf路由,核心交换机去往192.168.0.0/16下一跳为cr1;
❹由于项目需要,新增加一台广域网路由器cr2计划替换cr1路由器,cr2路由器除了上联核心交换机配置与cr1不一致,其他配置均和cr1一致,包括下联机构交换机的静态路由配置;
❺新增加的广域网cr2路由器与核心交换机进行并网,建立ospf邻居关系;
路由环路出现:❻当cr2与核心交换机并网后,pc访问机构的一半业务出现中断,在核心交换机查看机构路由192.168.0.0/16,发现去往192.168.0.0/16路由出现等价负载两个下一跳,分别是cr1和cr2路由器;❼在cr2上查看机构路由192.168.0.0/16下一跳为核心交换机;此时机构路由192.168.0.0/16在核心换机和广域网路由器cr2之间环路;
问题原因:在此案例场景下,广域网路由器cr2配置下联机构静态路由,虽然cr2上的下联机构接口处于down状态,但是静态路由配置的下一跳地址可达,也就是cr2上有1.1.1.0/30路由,cr2就会进行路由迭代查询,导致cr2设备配置的静态路由被激活进入路由表,从而核心交换机也能从cr2学习到下联机构路由,路由在核心交换机与cr2之间形成环路;
解决办法:在广域网路由器cr2上配置的静态路由增加指定出接口,在这种情况下只有cr2出接口状态为up时,静态路由才会被激活进入路由表中。
案例二:ospf配置下缺少静默接口导致环路
拓扑环境
案例说明:
❶总部核心交换机配置静态路由192.168.0.0/16下一跳指向接入网络;
❷总部核心交换机将静态路由192.168.0.0/16重分布至ospf,五类lsa类型为type 2;
❸总部下联路由器cr1和cr2接收到ospf路由后,将192.168.0.0/16路由重分布至bgp邻居,发送给分部上联路由器;
❹分部上联路由器br2收到总部下联路由器发来的bgp路由后,转发给ibgp邻居br1;
❺分部上联路由器br2同时将bgp路由192.168.0.0/16重分布至ospf中,五类lsa类型为type 1;
❻分部核心交换机接收到分部上联路由器发过来的ospf路由,并在ospf内部进行传递,五类lsa为type 1;
cr1硬件板卡故障:❼总部下联路由器cr1业务板卡故障,在更换故障板卡过程中,cr1上ospf配置中针对cr1与br1互联接口passive-interface命令消失,总部下联路由器cr1与分部上联路由器br1建立了ospf邻居关系(在cr1与br1设备上ospf配置中存在network互联网段,并且br1设备ospf配置下没有passive-interface命令)
❽此时分部上联路由器br1收到的192.168.0.0/16类型为type 1的路由,br1进行ospf内部传递给总行下联路由器cr1;
❾总部下联路由器cr1同时收到总部核心交换机发过来的类型为type 2的五类lsa以及分部上联路由器br1发过来的类型为type 1的五类lsa路由,由于ospf选路原则中, type 1优于type 2,因此总部下联路由器cr1路由表中192.168.0.0/16的路由下一跳指向分部上联路由器br1;由于总部和分部路由器ebgp路由协议的管理距离配置为20,因此分部上联路由器br1收到的192.168.0.0/16的路由下一跳为总部下联路由器cr1;
路由环路出现:总部下联路由器cr1与分部上联路由器br1建立ospf邻居后,cr1收到br1发送192.168.0.0/16的ospf路由,cr1又将ospf路由重分布至br1,br1上针对192.168.0.0/16的bgp路由下一跳为cr1,至此192.168.0.0/16路由在cr1和br1之间不断重复直至ttl耗尽报文被丢弃。
解决办法:在总部下联路由器cr1和分部上联路由器br1设备上ospf的配置中分别配置passive-interface命令,环路问题解决。
案例三:双向双点重分布路由优先级配置问题导致环路
拓扑环境
案例说明:
❶分部核心交换机配置静态路由192.168.0.0/16下一跳指向接入网络;
❷分部核心交换机将静态路由192.168.0.0/16重分布至ospf,五类lsa类型为type 1;
❸分部上联路由器接收到ospf路由后,将192.168.0.0/16路由重分布至ebgp邻居,发送给总部下联路由器;
❹总部下联路由器cr1/cr2/cr3收到对应互联juniper设备 br1/br2/br3发过来的ebgp路由,管理距离为20;
❺此时分部上联路由器br3出现设备硬件故障,使用华为路由器设备完成配置翻译后进行故障设备替换,在操作不上,先连接分部网络,与分部核心建立ospf邻居关系,与分部上联juniper路由器br1和br2建立ibgp邻居关系;
❻当新上华为路由器br3与juniper路由器建立ibgp邻居后,总部下联路由器接收不到分部发过来的192.168.0.0/16路由,总部与分部业务出现中断;
❼新上的华为路由器br3通过分部核心交换机学习到了192.168.0.0/16的ospf路由,并将ospf路由重分布到bgp中(ebgp和ibgp);
路由环路出现:❽此时分部上联路由器br1和br2通过ibgp学习到新上的华为路由器br3发过来的192.168.0.0/16路由,由于分部上联juniper路由器ibgp路由协议管理距离设置为20,优于ospf外部路由150,所以分部上联juniper路由器原本通过与分部核心ospf学习到的192.168.0.0/16路由从路由表中变成了ibgp路由,即分部上联juniper br1和br2路由器针对192.168.0.0/16的ospf消失,无法通过ospf重分发到bgp中,又因为在juniper路由器中ebgp和ibgp之间默认不相互传路由,导致分部192.168.0.0/16路由不能通过ebgp上送到总部,即总部收到分部的路由,总分部之间业务受损,192.168.0.0/16路由在分部上联路由器之间出现环路。
解决办法:在分部上联juniper路由器br1和br2上调整ibgp路由优先级为170优于ospf外部路由150,环路问题解决。
路由协议设计实践:
静态路由:
静态路由配置建议指定下一跳出接口,规避路由迭代查询;
所有静态路由建议配置路由描述信息,以便可读性;
根据实际网络环境配置静态浮动路由管理距,如果环境中存在静态优先,动态次优建议浮动路由管理距离配置大于路由协议管理距离;
路由宣告:
所有动态路由协议进程建议手动配置router-id,router-id默认选择设备管理地址;
路由器宣告互联地址网段时建议按本设备接口地址掩码宣告,不建议多个接口使用同一条命令进行宣告;
针对业务路由网段需要在所有网关设备上进行路由宣告;
针对广域网专线互联接口需要宣告时,建议只在一侧设备进行互联地址宣告,对端设备不建议宣告;
除bgp外,建议所有动态路由进程下配置静默接口,默认禁止所有三层接口与其它设备建立路由邻居关系;需要与其它设备建立路由邻居关系时,在对应设备配置下关闭对应的静默接口命令;
路由汇总和路由策略:
所有路由协议建议禁止自动汇总路由,根据实际网络需要进行业务路由汇总;
配置路由策略调用的匹配列表中建议不包含deny条目;
当路由策略需要排除某些流量时,建议配置两个匹配列表,一个匹配需要策略路由的流量,另一个匹配需要排除的流量;在route-plicy中配置一个deny策略,匹配需要排除流量对应的匹配列表,再配置一个permit策略,匹配需要策略路由的流量对应的匹配列表;
路由重分布:
静态路由重分布至动态路由时,建议根据业务属性不同增加不同的tag,便于在动态路由中进行路由策略匹配,针对主备链路静态重分布至ospf时建议使用五类lsa类型为type2;针对负载链路静态重分布进ospf时建议使用五类lsa类型为type 1;
路由重分布到ospf中时,针对思科设备经常会犯错的就是缺少subnets关键字,如果发现有一些路由丢失情况,建议检查配置是否重分布子网路由;
ospf和bgp动态路由协议间双向双点重分布时,必须双向配置防环机制,建议使用标记tag和community方式进行路由防环;
针对各厂商默认管理距离不一致情况,如果网络环境中存在多厂商设备三层路由组网情况,建议将手动调整为一致的路由优先级,避免在组网过程中或故障场景下发生次优路径或路由环路问题。
附:主流厂商默认路由优先级:
红外光电探测器的原理_红外光电探测器的分类
采用电子定时器代换洗衣机机械定时器的方法
飞利浦 秀 革新了家居照明的应用方式 提供超乎想象的智能家居体验
IDT打造首款具备JESD204B接口的全新四通道DAC
更安全的在线验证:英飞凌成为FIDO联盟理事会成员
路由技术踩雷实践分享
LE Audio标准于2021年为蓝牙5.2打造新声音
基于激光传感的焊接机器人焊缝寻位跟踪技术
关于超低功耗无线微控制器CC26xx的特点及应用介绍
AptX蓝牙接收器电池升级教程
关于医疗物联网的分析和介绍
OPPO K1日常体验:水滴屏,屏幕指纹,重新定义了千元手机
电动车市场占有率远没想象中高 新造车势力想弯道超车还需努力
使用单个晶体管设计放大器的步骤
日东科技选择性波峰焊在汽车电子行业的应用
数码化转型为未来趋势 亦是创新发展重要基石
ABB公布一种快速充电系统 可在8分钟内为一辆电动汽车电池充电
荣耀智慧屏PRO评测 智慧屏的时代才刚刚开始
澳大学已成功使用传统打印机制作出了厚度不足1毫米的薄膜太阳能电池
工信部表示运营商不存在出现给4G网络降速的情况
案例一:静态路由配置缺少指定下一跳出接口导致环路
拓扑环境:
案例说明:
❶广域网路由器cr1配置静态路由192.168.0.0/16下一跳指向机构交换机;
❷广域网路由器cr1将静态路由重分布至ospf,五类lsa类型为type 1;
❸核心交换机学习到广域网路由器cr1发来的ospf路由,核心交换机去往192.168.0.0/16下一跳为cr1;
❹由于项目需要,新增加一台广域网路由器cr2计划替换cr1路由器,cr2路由器除了上联核心交换机配置与cr1不一致,其他配置均和cr1一致,包括下联机构交换机的静态路由配置;
❺新增加的广域网cr2路由器与核心交换机进行并网,建立ospf邻居关系;
路由环路出现:❻当cr2与核心交换机并网后,pc访问机构的一半业务出现中断,在核心交换机查看机构路由192.168.0.0/16,发现去往192.168.0.0/16路由出现等价负载两个下一跳,分别是cr1和cr2路由器;❼在cr2上查看机构路由192.168.0.0/16下一跳为核心交换机;此时机构路由192.168.0.0/16在核心换机和广域网路由器cr2之间环路;
问题原因:在此案例场景下,广域网路由器cr2配置下联机构静态路由,虽然cr2上的下联机构接口处于down状态,但是静态路由配置的下一跳地址可达,也就是cr2上有1.1.1.0/30路由,cr2就会进行路由迭代查询,导致cr2设备配置的静态路由被激活进入路由表,从而核心交换机也能从cr2学习到下联机构路由,路由在核心交换机与cr2之间形成环路;
解决办法:在广域网路由器cr2上配置的静态路由增加指定出接口,在这种情况下只有cr2出接口状态为up时,静态路由才会被激活进入路由表中。
案例二:ospf配置下缺少静默接口导致环路
拓扑环境
案例说明:
❶总部核心交换机配置静态路由192.168.0.0/16下一跳指向接入网络;
❷总部核心交换机将静态路由192.168.0.0/16重分布至ospf,五类lsa类型为type 2;
❸总部下联路由器cr1和cr2接收到ospf路由后,将192.168.0.0/16路由重分布至bgp邻居,发送给分部上联路由器;
❹分部上联路由器br2收到总部下联路由器发来的bgp路由后,转发给ibgp邻居br1;
❺分部上联路由器br2同时将bgp路由192.168.0.0/16重分布至ospf中,五类lsa类型为type 1;
❻分部核心交换机接收到分部上联路由器发过来的ospf路由,并在ospf内部进行传递,五类lsa为type 1;
cr1硬件板卡故障:❼总部下联路由器cr1业务板卡故障,在更换故障板卡过程中,cr1上ospf配置中针对cr1与br1互联接口passive-interface命令消失,总部下联路由器cr1与分部上联路由器br1建立了ospf邻居关系(在cr1与br1设备上ospf配置中存在network互联网段,并且br1设备ospf配置下没有passive-interface命令)
❽此时分部上联路由器br1收到的192.168.0.0/16类型为type 1的路由,br1进行ospf内部传递给总行下联路由器cr1;
❾总部下联路由器cr1同时收到总部核心交换机发过来的类型为type 2的五类lsa以及分部上联路由器br1发过来的类型为type 1的五类lsa路由,由于ospf选路原则中, type 1优于type 2,因此总部下联路由器cr1路由表中192.168.0.0/16的路由下一跳指向分部上联路由器br1;由于总部和分部路由器ebgp路由协议的管理距离配置为20,因此分部上联路由器br1收到的192.168.0.0/16的路由下一跳为总部下联路由器cr1;
路由环路出现:总部下联路由器cr1与分部上联路由器br1建立ospf邻居后,cr1收到br1发送192.168.0.0/16的ospf路由,cr1又将ospf路由重分布至br1,br1上针对192.168.0.0/16的bgp路由下一跳为cr1,至此192.168.0.0/16路由在cr1和br1之间不断重复直至ttl耗尽报文被丢弃。
解决办法:在总部下联路由器cr1和分部上联路由器br1设备上ospf的配置中分别配置passive-interface命令,环路问题解决。
案例三:双向双点重分布路由优先级配置问题导致环路
拓扑环境
案例说明:
❶分部核心交换机配置静态路由192.168.0.0/16下一跳指向接入网络;
❷分部核心交换机将静态路由192.168.0.0/16重分布至ospf,五类lsa类型为type 1;
❸分部上联路由器接收到ospf路由后,将192.168.0.0/16路由重分布至ebgp邻居,发送给总部下联路由器;
❹总部下联路由器cr1/cr2/cr3收到对应互联juniper设备 br1/br2/br3发过来的ebgp路由,管理距离为20;
❺此时分部上联路由器br3出现设备硬件故障,使用华为路由器设备完成配置翻译后进行故障设备替换,在操作不上,先连接分部网络,与分部核心建立ospf邻居关系,与分部上联juniper路由器br1和br2建立ibgp邻居关系;
❻当新上华为路由器br3与juniper路由器建立ibgp邻居后,总部下联路由器接收不到分部发过来的192.168.0.0/16路由,总部与分部业务出现中断;
❼新上的华为路由器br3通过分部核心交换机学习到了192.168.0.0/16的ospf路由,并将ospf路由重分布到bgp中(ebgp和ibgp);
路由环路出现:❽此时分部上联路由器br1和br2通过ibgp学习到新上的华为路由器br3发过来的192.168.0.0/16路由,由于分部上联juniper路由器ibgp路由协议管理距离设置为20,优于ospf外部路由150,所以分部上联juniper路由器原本通过与分部核心ospf学习到的192.168.0.0/16路由从路由表中变成了ibgp路由,即分部上联juniper br1和br2路由器针对192.168.0.0/16的ospf消失,无法通过ospf重分发到bgp中,又因为在juniper路由器中ebgp和ibgp之间默认不相互传路由,导致分部192.168.0.0/16路由不能通过ebgp上送到总部,即总部收到分部的路由,总分部之间业务受损,192.168.0.0/16路由在分部上联路由器之间出现环路。
解决办法:在分部上联juniper路由器br1和br2上调整ibgp路由优先级为170优于ospf外部路由150,环路问题解决。
路由协议设计实践:
静态路由:
静态路由配置建议指定下一跳出接口,规避路由迭代查询;
所有静态路由建议配置路由描述信息,以便可读性;
根据实际网络环境配置静态浮动路由管理距,如果环境中存在静态优先,动态次优建议浮动路由管理距离配置大于路由协议管理距离;
路由宣告:
所有动态路由协议进程建议手动配置router-id,router-id默认选择设备管理地址;
路由器宣告互联地址网段时建议按本设备接口地址掩码宣告,不建议多个接口使用同一条命令进行宣告;
针对业务路由网段需要在所有网关设备上进行路由宣告;
针对广域网专线互联接口需要宣告时,建议只在一侧设备进行互联地址宣告,对端设备不建议宣告;
除bgp外,建议所有动态路由进程下配置静默接口,默认禁止所有三层接口与其它设备建立路由邻居关系;需要与其它设备建立路由邻居关系时,在对应设备配置下关闭对应的静默接口命令;
路由汇总和路由策略:
所有路由协议建议禁止自动汇总路由,根据实际网络需要进行业务路由汇总;
配置路由策略调用的匹配列表中建议不包含deny条目;
当路由策略需要排除某些流量时,建议配置两个匹配列表,一个匹配需要策略路由的流量,另一个匹配需要排除的流量;在route-plicy中配置一个deny策略,匹配需要排除流量对应的匹配列表,再配置一个permit策略,匹配需要策略路由的流量对应的匹配列表;
路由重分布:
静态路由重分布至动态路由时,建议根据业务属性不同增加不同的tag,便于在动态路由中进行路由策略匹配,针对主备链路静态重分布至ospf时建议使用五类lsa类型为type2;针对负载链路静态重分布进ospf时建议使用五类lsa类型为type 1;
路由重分布到ospf中时,针对思科设备经常会犯错的就是缺少subnets关键字,如果发现有一些路由丢失情况,建议检查配置是否重分布子网路由;
ospf和bgp动态路由协议间双向双点重分布时,必须双向配置防环机制,建议使用标记tag和community方式进行路由防环;
针对各厂商默认管理距离不一致情况,如果网络环境中存在多厂商设备三层路由组网情况,建议将手动调整为一致的路由优先级,避免在组网过程中或故障场景下发生次优路径或路由环路问题。
附:主流厂商默认路由优先级:
红外光电探测器的原理_红外光电探测器的分类
采用电子定时器代换洗衣机机械定时器的方法
飞利浦 秀 革新了家居照明的应用方式 提供超乎想象的智能家居体验
IDT打造首款具备JESD204B接口的全新四通道DAC
更安全的在线验证:英飞凌成为FIDO联盟理事会成员
路由技术踩雷实践分享
LE Audio标准于2021年为蓝牙5.2打造新声音
基于激光传感的焊接机器人焊缝寻位跟踪技术
关于超低功耗无线微控制器CC26xx的特点及应用介绍
AptX蓝牙接收器电池升级教程
关于医疗物联网的分析和介绍
OPPO K1日常体验:水滴屏,屏幕指纹,重新定义了千元手机
电动车市场占有率远没想象中高 新造车势力想弯道超车还需努力
使用单个晶体管设计放大器的步骤
日东科技选择性波峰焊在汽车电子行业的应用
数码化转型为未来趋势 亦是创新发展重要基石
ABB公布一种快速充电系统 可在8分钟内为一辆电动汽车电池充电
荣耀智慧屏PRO评测 智慧屏的时代才刚刚开始
澳大学已成功使用传统打印机制作出了厚度不足1毫米的薄膜太阳能电池
工信部表示运营商不存在出现给4G网络降速的情况