華為數(shù)通操作手冊VRP全系列VRP故障處理手冊路由器

華為數(shù)通操作手冊VRP全系列VRP故障處理手冊路由

器

第5章路由策略故障處理.............................................................5-1

5.1路由策略與過濾器簡介.........................................................5-1

5.1.1路由策略與策略路由.....................................................5-1

5.1.2地址前綴列表...........................................................5-2

5.1.3AS路徑訪問列表.......................................................5-2

5.1.4團體屬性列表...........................................................5-2

5.1.5擴展團體屬性列表.......................................................5-2

5.1.6路由策略...............................................................5-2

5.2路由策略故障處理............................................................5-3

5.2.1典型組網(wǎng)環(huán)境...........................................................5-3

522配置注怠事項............................................................b-5

5.2.3故障診斷流程...........................................................5-9

5.2.4故障處理步驟..........................................................5-10

5.3故障處理案例...............................................................5-12

5.3.1使用IP-Prefix過濾路由問題.............................................5-12

5.3.2使用AS-Path過濾路由問題.............................................5-14

5.3.3使用Community過濾路由問題..........................................5-16

5.3.4使用Extcommunity過濾路由問題........................................5-16

5.3.5使用route-policy過濾路由問題..........................................5-19

5.4FAQ...................................................................................................................................5-21

5.5故障診斷工具...............................................................5-22

5.5.1display命令...........................................................5-22

5.5.2debugging命令........................................................5-28

5.5.3告警..................................................................5-28

第5章路由策略故障處理

本章包含下列內(nèi)容：

■路由策略與過■器簡介

介紹了進行BGP故障處理時用戶所需的知識要點。

?路由策略故障處理

針對典型的BGP組網(wǎng)環(huán)境，介紹配置BGP時要注意的事項，BGP對等體不

能建立連接故障處理的流程與全面的故障處理步驟。

■故障處理案例

介紹了若干實際的故障處理案例。

■FAQ

列出了用戶常問的問撅,并給出了相應(yīng)的解答。

?故障診斷工具

介紹了進行故障處理所需要的故障診斷工具，包含display命令與debugging

命令、告警信息。

5.1路由策略與過濾器簡介

本節(jié)包含下列內(nèi)容：

?路由策略與策略路由

?地址前綴列表

?AS路徑訪問列表

■團體屬性列表

?擴展團體屬性列表

?路由策略

5.1.1路由策略與策略路由

路由策略是為了改變網(wǎng)絡(luò)流量所通過的途徑而對路由信息使用的方法。要緊通過改

變路由屬性（包含可達性）來實現(xiàn)。

策略路由Policy-Based-RouteF?指導(dǎo)報文轉(zhuǎn)發(fā)。

本章只介紹路由策略。

為實現(xiàn)路由策略，首先要定義將要實施路由策略的路由信息的特征，即定義一組匹

配規(guī)則，能夠以路由信息中的不一致屬性作為匹配根據(jù)進行設(shè)置，如目的地址、公

布路由信息的路由器地址等。匹配規(guī)則能夠預(yù)先設(shè)置好，然后再將它們應(yīng)用于路由

的公布、接收與引入等過程的路由策略中。

路由器在公布與接收路由信息時，可能需要實施一些策略，以便對路由信息進行過

濾，比如只接收或者公布?部分滿足條件的路由信息；--種路由協(xié)議(如RIPng)

可能需要引入其它的路由協(xié)議發(fā)現(xiàn)的路由信息，從而豐富自己的路由知識；路由器

在引入其它路由協(xié)議的路由信息時，可能需要只引入一部分滿足條件的路由信息，

并對所引入的路由信息的某些屬性進行設(shè)置，以使其滿足本協(xié)議的要求。

5.1.2地址前綴列表

地址前綴列表(IP-Prefix-Filter)包含IPv4地址前綴列表與IPv6地址前綴列表。

地址前綴列表的作用類似于ACL,但比它更為靈活，且更易于為用戶懂得。地址前

綴列表在應(yīng)用于路由信息的過濾時，其匹配對象為路由信息的H的地址信息域。

一個地址前綴列表由前綴列表名標識。每個前綴列表能夠包含多個表項，每個表項

能夠獨立指定一個網(wǎng)絡(luò)前綴形式的匹配范圍，并用一個Index-Number來標識，

lndex?Number指明「進行匹配檢查的順序。

在匹配的過程中，路由器按升序依次檢杳由Index-Number標識的各個表項，只要

有某?表項滿足條件，就意味著通過該地址前綴列表的過濾(不進入下一個表項的

測試)。

5.1.3AS路徑訪問列表

BGP路由信息中包含的AS_PATH路徑屬性逆序列出前綴所通過的自治系統(tǒng)。AS

路徑訪問列表(as-path-filter)就是針對AS_PATH路徑屬性進行過濾的過濾器。

5.1.4團體屬性列表

BGP路由的Community屬性被一組具有相同的特性的前綴所共享，團體屬性列表

(Community-Filter)就是針對團體屬性域指定匹配條件的過濾器。

5.1.5擴展團體屬性列表

BGP的擴展團體屬性也是定義了一組共享相同特性的前綴，目前VRP的

Izxcommunity-Hlter針對一種常用的擴展團體屬性進行過濾：VPN-larget,定義了

私網(wǎng)路由的VPN成員關(guān)系。

5.1.6路由策略

路由策略(Route-policy)是一種復(fù)雜的過濾巖，它不僅能夠匹配給定路由信息的某

些屬性，并在條件滿足時改變路由信息的屬性。Route-Policy能夠使用前面幾種過

濾器定義自己的匹配規(guī)則。

一個Route-policy能夠由多個節(jié)點Node構(gòu)成，不一致節(jié)點之間是“或者”的關(guān)系。

系統(tǒng)按節(jié)點序號依次檢查各個節(jié)點，假如通過了其中一節(jié)點，就意味著通過該策略,

不再對其他節(jié)點進行匹配測試。

每個節(jié)點由一組if-match與apply子句構(gòu)成。if-match『句定義匹配規(guī)則，匹配對

象是路由信息的一些屬性。同一節(jié)點中的不一致if?match子句是“與”的關(guān)系，只

有滿足節(jié)點內(nèi)所有if-match子句指定的匹配條件，才能通過該節(jié)點的匹配測試。

apply子句指定動作，也就是在通過節(jié)點的匹配后，對路由信息的一些屬性進行設(shè)

置。

5.2路由策略故障處理

本節(jié)介紹如下的內(nèi)容：

.典型組網(wǎng)環(huán)境

■配置注意事項

.故隙診斷流程

.故障處理步驟

5.2.1典型組網(wǎng)環(huán)境

路由策略的典型組網(wǎng)如圖5-1與圖5-2所示。路由策略的故障處理將基于該網(wǎng)絡(luò)。

1.公網(wǎng)環(huán)境拓撲

公網(wǎng)環(huán)境時，在某個路由器上同意另外一個路由器通告來的路由時「發(fā)送者使用路

由策略公布指定路由，接收者使用路由策略接收指定路由，以上拓撲是一個簡化的

拓撲，用于模擬實際環(huán)境中的路由發(fā)送/接收者o

2.VPN環(huán)境拓撲

VPN環(huán)境時，路由策略能夠應(yīng)用在PE與CE上，用來公布/接收指定的路由。其中,

在PE上關(guān)于VPNv4與VPNInstance可同時應(yīng)用策略。以上拓撲是實際環(huán)境

中VPN的一個簡化拓撲，用于模擬實際環(huán)境中PE與CE中的路由發(fā)送/接收者。

5.2.2配置注意事項

1.路由策略中常用過濾器配置

配置項子項注意事項

ip-prefixipip-prefix?配置IPv4前綴地址列表，列表名由

',p-prefix-name[indexip-pre仃x-name指定,列表名卜能夠配置多個匹

:ndex-number]{permit配項，每一項能夠指定索引值Index,若沒有指

|deny}ip-address定索引值，則生成項的索引值由此前綴列表已存

mask-length

在的最大索引值+10：

[greater-equal

greater-equal-value\?若同時指定前綴長度在greater-equal與

less-equal/ess-egua/之間時，匹配的范圍就在二者之間，

'ess-equal-value]配置的greater-equal1j/ess-equa/值務(wù)必滿

足條隼m(xù)ask-length<=greater-equal

<=less-equal<=32：

?在匹配過程中，系統(tǒng)按索引號升序依次檢查各個

表項，只要有一個表項卜.的地址/掩碼與要檢查

的路由地址/掩碼相同，就返回此表項下配置的

過濾碟式（Permit或者Deny）,不再去匹配其

他表項；

?假如所有表項都是Deny模式，則任何路由都不

能通過該過濾列表。建議在多條Deny模式的表

項后定義一條permit0.0.0.00greater-equal0

less-equal32表項，同意其它所有IPv4路由信

息通過。

?使用中最常見的懂得錯誤是把IP-Prefix的配置

方法與ACL的配置方法等同，實際上，隹只指

定IP-Address/Mask-Length的情況下，

IP-Prefix只精確匹配一條路由，不匹配?段掩碼

范圍內(nèi)的路由。要匹配一段掩碼范圍內(nèi)的路由，

務(wù)必由定Greater-Equal與Less-Equal參數(shù)。

配置項子項注意事項

ipv6-prefixipipv6-prefix?配國IPv6前綴地址列表，列表名由

:pv6-prefix-nameipv6-orefix-name指定,此列表名下能夠配置多

[indexindex-number]個匹配項,每一項能夠指定索引值index,若沒

?permit|deny)有指定索引值，則生成項的索引值由此前綴列表

:pv6-address

已存在的最大索引值+10；

mask-length

[greater-equal?若同時指定前綴長度在greater-equal與

greater-equal-value\lossoquH之間時，匹配的范圍就在二者之間，

less-equal配置的greater-equal(M與less-equal值務(wù)必滿

'.ess-equal-value]足條生

mask-length<=greater-equal<=less-equal<=1

28：

?在匹配過程中，系統(tǒng)按索引號升序依次檢查各個

節(jié)點，只要有一個節(jié)點滿足條件，就認為通過該

過濾列表，不再去匹配其他表項：

?假如所有表項都是Deny模式，則任何路由都不

能通過該過濾列表。建議在多條Deny模式的表

項后定義一條permit::00greater-equal0

less-equal128表項，同意其它所有IPv6路由

信息通過.

as-path-filteripas<path-filter?使用正則表達式來定義AS-Path屬性過濾規(guī)則，

as-path-filter-numberBGP能夠使用此過渡器來匹配BGP路由的

?deny|permit}AS-Path屬性，以此決定是否公布/接收路由。

「egular-expression

?假如所有表項都是Deny模式，則任何路由都不

能通過該過濾列表。建議在多條Deny模式的表

項后定義一條permit.,衣項，同意其它所有路

由信息通過；

配置項子項注意事項

community-fil?iP?定義一個團體屈性過濾器。有兩種配置方式，屬

tercommunity-filter性號在1-99的為基本團體屬性過濾器，通過指

basic-comm-filter-n定明確的團體屬性來定義過濾規(guī)則；屬性號在

um{deny|permit}

100-199為高級團體屬性過濾器，通過指定正則

[community-numbe

表達式來定義過濾規(guī)則。

r\aa:nn]*&<1-16>

[internet|?關(guān)于基本團體屬性過濾器，Internet選項表示匹

no-cxport-subconf配所有的團體屬性；而對高級團體屬性過濾器，

ed|no-advertise|正則表達式表示匹配所有的團體屬性。

no-export],?關(guān)于基本團體屬性過濾器，有完全匹配模式

?iP

Whole-Match與通常匹配模式。在完全匹配模

community-filter

式下，BGP給出的團體屬性列表務(wù)必完全與過

adv-comm-filter-nu

濾器規(guī)則中定義的團體屬性一致才能匹配。在通

m{deny|permit}

regular-expression常匹配模式下，BGP給出的團體屬性列表務(wù)必

要包含過濾器規(guī)則中定義的團體屬性才能I兀配。

?假如所有表項都是Deny模式，則任何路由都不

能誦過該過濾列表“建議在多條Deny模式的表

項后定義一條permit.*表項（高級團體屬性過濾

器）或者permitinternet（基本團體屬性過濾器）

表項，同意其它所有路由信息通過。

extcommunitipextcommunity-filter定義擴展團體屬性過濾器規(guī)則。

y-filterext-comm-list-number

?deny|permit}rt

?as-number:nn|

:pv4-address:

as-number}

配置項子項注意事項

route-policyroute-policy?Permit指定節(jié)點的匹配模式為同意。當路山頂

route-policy-name通過亥節(jié)點的過浦后，將執(zhí)行該節(jié)點的Apply

?permit|deny}node子句，不進入下一個節(jié)點的測試；假如路由項沒

?node-number}有通過該節(jié)點過濾，將進入下一個節(jié)點繼續(xù)測

試：當節(jié)點下沒有If-Match子句時,所有節(jié)點

路由都同意。

?Deny指定節(jié)點的匹配模式為拒絕，這時Apply

子句不可能被執(zhí)行。當路由項滿足該節(jié)點的所有

If-Match子句時，將被拒絕通過該節(jié)點，不進入

下一個節(jié)點：假如路由項不滿足該節(jié)點的

If-Match子句，將進入下一個節(jié)點繼續(xù)測試；當

節(jié)點下沒有If-Match子句時，所有的路曰都被

拒絕.

?假如所有的節(jié)點的If-Match規(guī)則都不能匹配，

則整個策略的過濾結(jié)果默認是Deny。

?當所行節(jié)點都是配皆Deny時,將導(dǎo)致所有路由

均被杳絕，因此在所有Deny打點后至少配置一

個Permit節(jié)點，以同意其它的路由通過.

2.過濾器應(yīng)用注意事項

(1)假設(shè)當前過濾器下配置了至少一個節(jié)點，Permit或者Deny。若是沒有節(jié)點符

合到要過濾路由的地址/掩碼范圍，則此路由過濾結(jié)果為Deny。

(2)若是在策略中使用了某個不存在的過濾器，則結(jié)果為對所有要過濾的路由為

Pcrmito

3.正則表達式編寫規(guī)則

正則表達式是按照一定的模板來匹配字符串的公式。

符號說明

A匹配一個字符串的開始。如"300”表示只匹配AS_Path的第一個值為300。

$匹配一個字符串的結(jié)束。如“300$”表示只匹配AS_Path的最后一個值為300。

?匹配任何單個字符，包含空格。

+匹配前面的一個字符或者者一個序列，1次或者者多次出現(xiàn)。

—匹配一個符號。如逗號，括號，空格符號等。

*匹配前面的一個字符或者者一個序列，能夠0次或者者多次出現(xiàn)。

9匹配前面的一個字符，能夠0次或者者多次出現(xiàn)。

0他配的變化的AS或者者一個獨立的匹配，通常與一起使用。

I邏輯或者。

[]匹配的一個范圍內(nèi)的AS,通常與一起使用。

連接符。

舉例：

?ipas-path-filter10denyA$：拒絕公布本地始發(fā)路由。

?ipas-path-filter10permit.*：R]意公布/接收其他AS的路由。

?ipas-path-filter2deny(6[0-9]|7[0-9]|8|0-9]|9[0-9]|1[0-3][0-9]|130)$：拒絕從

AS60-13。始發(fā)的路由。

?ipcommunity-filter100permit1000:10[0-9]$：同意團體屬性為1000:100至

1000:109之間的路由。

5.2.3故障診斷流程

針對圖5-1或者圖5-2所示的網(wǎng)絡(luò)，在配置各路由器后發(fā)現(xiàn)指定的路由沒有被過濾或

者全部被過濾。

請使用卜面的故障診斷流程，如圖5-3所示。

圖5-3路由策略故障診斷流程圖

5.2.4故障處理步驟

概要的故障處理步驟如下:

步驟操作

1檢查網(wǎng)絡(luò)的連通性。

2檢查路山協(xié)議配宣是否正確。

3檢查IP-Prefix-Filter是否配置.

4檢查AS-Path-FHter是否配置。

5檢查Community-Filter是否配置。

6檢杳Extcommunity-Filter是否配置。

7檢查Route-Policy是否配置〃

全面的故障處理步驟如下：

1.檢查網(wǎng)絡(luò)的連通性

使用displayipinterfacebrief命令來檢查各個接口的狀態(tài)。Up表示可用,Down

表示不可用。假如接口狀態(tài)為Down清檢查線路是否連接好，接口是否被

Shutdowno

2.檢查路由協(xié)議配置是否正確

使用displaycurrent-configuration命令來檢查當前的路由器配置。使用display

current-configurationconfiguration命令來檢查路由協(xié)議配置是否正確。假如路

由協(xié)議配置的不正確，請您參考相應(yīng)協(xié)議的故障處理手冊。

3.檢查IP-Prefix-Filter是否配置

使用displayipip-prefix命令檢查當前路由器是否配置IP-Prefix-FHter。假如已配

置請查看IP-Prefix-Filter配置注意事項

請查看配置注意事項中有關(guān)IP-Prefix-Filter的部分。

4.檢查AS-Path-Filter是否配置

使用displayipas-path?filter命令檢查當前路由器是否配置AS-Path-Filter。假如

已配置請杳看AS-Path-Filter配置注意事項

請查看配置注意事項中有關(guān)AS-Path-Filter的部分。

5.檢查Community-Filter是否配置

使用displayipcommunity?filter命令查看當前路由器是否配置Commun讓y-Fikerc

假如己配置請查看團體屬性過濾器配置注意事項

請查看配置注意事項中有關(guān)Community-Filter的部分。

6.檢查Excommunity-Filter是否配置

使用displayipexcommunity-filter命令查看當前路由器是否配置

Excommunity-Filter。假如已配置請杳看拓展團體屬性過濾器配置注意事項

請查看配置注意事項中有關(guān)Excommunity-Filter的部分。

7.檢查Route-Policy是否配置

使用displayroute-policy命令檢杳當前路由器是否配置了Route-Policy。假如已

配置請查看Route-Policy過濾器配置注意事項

請查看配置.注意事項中有關(guān)Route-Policy的部分。

5.3故障處理案例

本節(jié)列出了常見的故障處理案例，如下：

.使用IP?Prefix過濾路由問題

?使用AS-Path過濾路由問題

?使用Commurdty過濾路由問題

?使用Extcommunitv過濾路由問題

■使用Route-Policy過濾路由問題

5.3.1使用IP-Prefix過濾路由問題

1.網(wǎng)絡(luò)環(huán)境

組網(wǎng)圖請參考圖5-1

案例中RouterA使用IP-Prefix過濾器對從RouterB中接收到的路由進行過濾：

RouterA上的配置：

*

bgp100

peer192.168.1.2as-number200

ipv4-familyunicaat

undosynchronization

peer192.168.1.2enable

peer192.168.1.2ip-prefixrtaimport

*

ipip-prefixrtaindex20deny2.2.2.232

*

RouterB上的配置:

bgp200

peer192.168.1.1as-number100

￥

ipv4-familyunicast

undosynchronization

network1.1.1.1255.255.255.255

network2.2.2.2255.255.255.255

peer192.168.1.1enable

#

使用displayiprouting-table命令查看RouterA上接收到的路由，應(yīng)該能夠接收到

1.1.1.1/32,但是路由表中沒有。

2.故障分析

使用下列步驟調(diào)查故障原因：

(1)檢查RnutftrB路由表信息,確定是否所有路由已被通告給鄰居RoutftrA,

在RouterB上使用displaybgprouting-table,顯示路由表信息，發(fā)現(xiàn)

1.1.1.1/32及2.2.2.2/32這兩條路由均已通告給RouterA,問題應(yīng)該是在

RouterA上。

(2)檢查RouterA上的BGP配置.，確定BGP在接收路由時是否使用了過濾器。

在RouterA」.使用displaycurrent-configurationconfigurationbgp命令

檢查BGP的配置，發(fā)現(xiàn)在接收從RouterB通告過來的路由時使用了IP-Prefix

過濾器，估計是過濾淵將所有路由都過濾了。

(3)檢杳IP-Prefix過濾器的配置。確定此路由是否被過濾器過濾掉了。

在RouterA上使用displayipip-prefixrta命令查看過濾器的配置，發(fā)現(xiàn)僅

對路由2.2.2.2/32配置了Deny策略，但關(guān)于路由1.1.1.1/32沒有配置Permit。

故障的原因定位：在RouterA上使用IP-Prefix過濾路由問題。系統(tǒng)過濾路由時關(guān)于

沒有匹配的路由默認返回Deny,因此將1.111/32也過濾了。

3.處理步驟

由于系統(tǒng)過濾路由時，沒有匹歸的路由默認返回Deny,因此過濾策略僅配置能夠通

過的路由即可。在RouterA上執(zhí)行如下操作：

步驟操作

1將過渡規(guī)則替換為ipip-prefixrtaindex10permit1.1.1.132

使用displayiprouting-table命令查看RouterA上接收到的路由，發(fā)現(xiàn)路由表中出

現(xiàn)路由1.1.1.1/32,故障被排除。

4,案例總結(jié)

當配置IP-Prefix過濾路由時，若是僅配置Deny節(jié)點，那么關(guān)于沒有命中匹配地址/

掩碼的路由系統(tǒng)默認返回Deny。因此，需要配置Permit節(jié)點對指定路由同意。請

參考配置注意事項IP-Prefix小節(jié)。

5.3.2使用AS-Path過濾路由問題

1.網(wǎng)絡(luò)環(huán)境

案例中RouterA使用AS-Path過濾器對從RouterB通告過來的路由進行過濾:

RouterA上的配置：

#

bgp100

peer192.168.1.2as-number200

#

ipv4-familyunicast

undosynchronization

peer192.168.1.2enable

peer192.168.1.2as-path-filter10import

*

ipas-path-filter10deny65430

#

RouterB上的配置:

*

bgp200

peer192.168.1.1as-number100

peer10.1.1.1as-number65431

peer172.11.10.1as-number65430

ipv4-familyunicast

undosynchronization

peer192.168.1.1enable

peer10.1.1.1enable

peer172.11.10.1enable

*

RouterC上的配置：

*

bgp65430

peer172.11.10.2as-number200

#

ipv4-familyunicast

undosynchronization

network3.3.3.3255.255.255.255

peer172.11.10.2enable

RouterD上的配置：

*

bgp65431

peer10.1.1.2as-number200

ipv4-familyunicast

undosynchronization

network4.4.4.4255.255.255.235

peer10.1.1.2enable

*

發(fā)現(xiàn)故障：使用displayiprouting?table命令查看RouterA上接收到的路由，應(yīng)該

能夠看到RouterA過濾了RouterC通告的路由，接收了RouterD通告的路由，但路

由表中顯示RouterC及RouterD的路由均被RouterA過濾掉了。

2.故障分析

故障現(xiàn)象：RouterA路由表中沒有RouterD通告的路由。

使用下列步驟調(diào)查故障原因：

(1)檢杳RouterB是否已將所有路由通告給鄰居RouterA.

在RouterB上使用displayiprouting-table,查看RouterB是否接收到了來

自RouterC與RouterD的路由，結(jié)果顯示已經(jīng)接收到了。因此推斷問題應(yīng)該

是在RouterA上。

(2)檢查RouterA上的BGP配置，確定BGP在接收路由時是否使用了過濾器。

在RouterA上使用displaycurrent-configurationconfigurationbgp查看

BGP的配.置，發(fā)現(xiàn)BGP對從RouterB通告過來的路由使用了名為10的

as-path過濾器過濾路由，估計是過濾器將所有路由都過濾了。

(3)檢查RouterAAS-Path正則表達式的編寫與過濾器的配置。

在RouterA上使用displayipas-path-filter10查看過濾器的配置，發(fā)現(xiàn)僅對

來自AS號為65430的路由配置了Deny策略，但關(guān)于來自65431域的路由沒

有配置Permit。

故障的原因定位：在RouterA上使用AS-Path過濾路由問題。系統(tǒng)過濾路由時關(guān)于

沒有匹配的路由默認返回Deny,因此將來自AS65431域的路由也過濾掉了。

3.處理步驟

由于系統(tǒng)過漉路由時關(guān)于沒有匹配的路由默認返回Deny,那么過濾策略僅配置能夠

通過的路由即可。

在RouterA上執(zhí)行如下操作：

步驟操作

1將過濾規(guī)則替換為ipas-path-filter10permit65431

使用displayiprouting-table命令查看RouterA上接收到的路由，發(fā)現(xiàn)路由表中出

現(xiàn)路由4.4.4.4/32,故障被排除。

4.案例總結(jié)

當配置AS?Path過濾路由時，需要注意：正則表達式的編寫規(guī)則：若是僅配置Deny

節(jié)點，那么關(guān)于沒有命中AS-Path范圍的系統(tǒng)返I可Deny。因此，需要配置Permit

節(jié)點對指定路由同意。請參考配置注意事項AS-Path小節(jié)。

5.3.3使用Community過濾路由問題

Community-Filter通常情況下作為route-policy的if-match子句的匹配條件，當滿足

if-matchcommunity-filter<basicoradvancedcommunity-list>時，對路由應(yīng)用

apply子句下的動作。需要注意AdvancedCommunity-List中正則表達式的編寫規(guī)

則。請參考配置注意事項的附注中正則表達式編寫規(guī)則部分。

5.3.4使用Extcommurdty過濾路由問題

1.網(wǎng)絡(luò)環(huán)境

組網(wǎng)圖請參考圖5-2

用戶組網(wǎng)需求：

?CE1、CE3屬于VPN-A,CE2、CE4屬于VPN-B；

?VPN-A使用的VPN-Target屬性為100:1,VPN-B使用的VPN-Target屬性為

200:1o不一致VPN用戶之間不能互相訪問；

?CE與PE之間配置EBGP交換VPN路由信息；

?PE與PE之間配置OSPF實現(xiàn)PE內(nèi)部的互通、配置MP/BGP交換VPN路

由信息。

?用戶在PE2上面又添加了一個VNP-C,ExportVPNTargets:300:1,Import

VPNTargets:100:1200:1,如今VNP-C能夠同意到VPN-A與VPN-B的路

由°

?用戶如今有一個需求，希望VPN-C上只收到來自VPN-A的路由。如今利用

Extcommunity-Filter進行過濾。

進行如下的配置.：

(Quidway]ipvpn-instancevpnc

[Quidway-vpn-instance-vpnc]route-distinguisher300:1

[Quidway-vpn-instance-vpnc]importroute-policyexcomm-filter

(Quidway-vpn-instance-vpnc]vpn-target300:1export-extcommunity

[Quidway-vpn-instance-vpnc]vpn-target100:1200:1import-extcommunity

查看VPN-C的路由表：

<Quidway>displayiprouting-tablevpn-instancevpnc

RoutingTables:vpnc

Destinations:6Routes:6

Destination/MaskProtoPreCostNextHopInterface

1.1.1.1/32BGP25501.1.1.9Ethernetl/0/2

9.9.9.9/32BGP25501.1.1.9Ethernetl/0/2

10.1.1.0/24BGP25501.1.1.9Ethernetl/0/2

10.2.1.0/24BGP25501.1.1.9Ethernetl/0/2

10.3.1.0/24BGP255010.3.1.2Ethernetl/0/0

10.3.1.2/32BGP2550127.0.0.1InLoopBackO

發(fā)現(xiàn)故障：沒有得到預(yù)期的效果，VPN-C的路由表中仍然有VPN-B的路由。

9.9.9.9/32這條路由沒有過濾掉。

2.故障分析

故障現(xiàn)象：VPN-C的路由表中顯示路由9.9.9.9/32沒有被過濾掉。

使用下列步驟調(diào)查故隙原因：

(1)參考前例檢查過程將故障原因定位到過濾耕的應(yīng)用上。

(2)查看當前的路由策略Route-Policy與IPExtcommunity-Filter

首先使用displaycurrent-configurationconfigurationroute-policy命令查看一

下VPN-C下引入路由時用的過濾器Extcommunity-Filtero

<Quidway>displaycurrent-configurationconfigurationroute-policy

*

route-policyexcomm-filterpermitnode10

if-matchextcommunity-filter1

*

然后使用displayipextcommunity-filter命令查看一下VPN-C下過濾器

Extcommunity-Filter應(yīng)用的過濾規(guī)則。

<Quidway>displayipextcommunity-filter

*

ExtendedCommunityfilterNumber1

permitrt:0:0rt:100:1

*

(3)查找故障原因

擴展團體屬性列表Extcommunity-List僅用于BGP。

BGP的擴展團體有兩種，一種是用于VPN的路由目標擴展團體。擴展團體屬性列

表就是擴展團體屬性指定匹配條件。

?假如Extcommunity-Filter的配置中只包含VPN-Target,則只要這些

VPN-TARGET中有一個與BGP給出的VPN-Target集合匹配，就認為過濾器

命中，返回指定的Permit或者Deny結(jié)果。

比如：配置ipextcommunity-fiIterpermitrt100:1rt200:1

BGP配置RT：100:1300:1400:1

結(jié)果是：命中，Permit

BGP給出RT：300:1400:1

結(jié)果：不命中，Deny

?假如Extcommunity-Filter的配置中指定VPN-Target0:0,則將匹配所有的

VPN-Tarceto

比如：配置ipextcommunity-filterpermitrt0:0

BGP給出任何RT都將匹配。但假如不給RT則不匹配。

?假如Extcommunity-Filter的配置中未指定VPN-Target,則不管BGP給出任

何RT,結(jié)果都將是不匹配。

?Deny使用同樣的規(guī)則。

檢查本例中VPN-C下的過濾器Extcommunity-Filter的過濾規(guī)則：

permitrt:0:0rt:100:1

同時應(yīng)用了區(qū)T：0:0與區(qū)丁：100:1。

故障的原因定位：在VPN-C下使用Extcommunity-List過濾路由問題。

過濾規(guī)則permitrt:0:0rt:100:1,同時應(yīng)用了RT:0:0與RT:100:1,導(dǎo)致VPN-B

的路由也被同意了。

3.處理步驟

在PE2上的VPN-C下執(zhí)行如下操作

步驟操作

1更換ipextcommunity-filter1為如下所示的配置：

<Quidway>displayipextconununity-filter1

*

permitrt:100:1

使用displayiprouting-tablevpn-instancevpnc命令查看VPN-C的路由表項，

發(fā)現(xiàn)已經(jīng)沒有來自VPN-B的路由了，說明故障解決。

4.案例總結(jié)

此案例是Extcommunity-Filter的經(jīng)典案例，在使用Extcommunity-Filter之前，要熟

悉其應(yīng)用規(guī)則。特別注意RT0:0配置的使用規(guī)則。

假如Extcommunity-Filter的配置中指定VPN-Target0:0,則將匹配所有的

VPN-Targeto假如BGP沒有指定VPN-Target,視為不匹配。

5.3.5使用route-policy過濾路由問題

1.網(wǎng)絡(luò)環(huán)境

組網(wǎng)圖請參考圖5-2。

?CE1、CE3屬于VPN-A,CE2、CE4屬于VPN-B。

?VPN-A使用的VPN-Target屬性為100:1,VPN-B使用的VPN-Target屬性為

200:1o不一致VPN用戶之間不能互相訪問。

?CE與PE之間配置EBGP交換VPN路由信息。

?PF與PF之間配置QSPF實現(xiàn)PF內(nèi)部的互通，配置MP-IRGP交換VPN路

由信息。

?在PE2上面有添加了一個VNP-C,ExportVPNTargets:300:1,ImportVPN

Targets:100:1200:1,如今VNP-C能夠同意到VPN-A與VPN-B的路由。

?希望VPN-C上收到來自VPN-A的路由與來自VPN-B的路由，同時把從VPN-A

引入的路由Cost力II100,把從VPN-B引入的路由Cost力11200o利用

Route-Poicy完成此需求。

進行如下配置:

[Quidway]route-policyFilter-policypermitnode10

[Quidway-route-policy]if-matchextccmmunity-filter1

[Quidway-rou