靜態(tài)路由引故障

路由是指分組從源到目的地時，決定端到端路徑網(wǎng)絡范圍的進程。路由器通過轉發(fā)數(shù)據(jù)包來實現(xiàn)網(wǎng)絡的互連。而靜態(tài)路由是指由用戶或網(wǎng)絡管理員手工配置的路由信息，當網(wǎng)絡的拓撲結構或鏈路狀態(tài)發(fā)生變化時，網(wǎng)絡管理員需要手工修改路由表中相關的靜態(tài)路由信息。它通過對數(shù)據(jù)包的轉發(fā)，起到了不同地址段IP地址通訊的需求。

靜態(tài)路由在網(wǎng)絡開通和維護過程中十分常見，最近，筆者單位某個網(wǎng)站出現(xiàn)訪問故障，經(jīng)過排查發(fā)現(xiàn)，是靜態(tài)路由目的地址設置的范圍過大，導致路由匹配錯誤。經(jīng)過對靜態(tài)路由重新定義，故障排除。

故障現(xiàn)象

近日，有同事反映訪問某網(wǎng)站vps.lpngi.org故障，得知故障信息后，我們立即著手進行排查。

圖1 路由跟蹤示意圖

圖2 網(wǎng)路拓撲結構

故障分析

故障的基本現(xiàn)象就是某個網(wǎng)站打不開。一般網(wǎng)站打不開的故障我們的處理思路是首先核對登錄的網(wǎng)址是否正確，然后再使用trace命令跟蹤路由，最后根據(jù)路由跟蹤的結果進行鏈路節(jié)點分析，從而達到解決故障的目的。按照這個思路我們首先核對了瀏覽器地址欄中輸入的域名是否正確，經(jīng)過核對無誤。對該網(wǎng)站進行路由跟蹤，通過Ping命令能解析出該網(wǎng)站的IP地址是172.246.233.217，雖然是Ping不通的，但是可以對該IP地址進行路由跟蹤，具體的路由跟蹤結果如圖1所示。

通過圖1可以清晰地看到對IP地址172.246.233.217的 路由跟蹤結果，當路由到達第四跳就出現(xiàn)請求超時，第三跳可以到達的地址是10.254.138.74。根據(jù)這一結論可以基本斷定，問題出在 10.254.138.74，該 IP地址經(jīng)過核實是用于網(wǎng)管的交換機。得知這一信息后，我們需要梳理一下網(wǎng)絡拓撲結構，具體的網(wǎng)絡拓撲結構如圖2所示。

通過圖2我們可以看到，寬帶用戶位于BRAS-1下面，訪問互聯(lián)網(wǎng)的數(shù)據(jù)通過BRAS和核心路由器進行轉發(fā)。但是剛才根據(jù)我們對目的IP地址172.246.233.217路由跟蹤的結果，顯示訪問網(wǎng)站vps.lpnig.org的數(shù)據(jù)被轉發(fā)至了10.254.138.74上，這樣就找到了訪問網(wǎng)站的故障原因。

這里需要先分析一下網(wǎng)絡交換機10.254.138.74的工作原理。先前部署網(wǎng)管交換機的初衷是為了方便管理網(wǎng)絡設備，同時避免非法用戶登錄網(wǎng)絡設備的風險。實現(xiàn)的機制是OLT和交換機等網(wǎng)絡設備的網(wǎng)關設置在交換機上，在交換機上設置靜態(tài)路由指向BRAS接口地址，其中這里的靜態(tài)路由目的地址是我們定義好的特定IP地址，而在BRAS上設置目的訪問OLT和交換機的管理地址指向交換機接口。也就說，網(wǎng)管交換機和BRAS互聯(lián)是通過靜態(tài)路由通信的，其中網(wǎng)管交換機上配置的靜態(tài)路由命令即：ip route-static 10.66.66.0 2 5 5.2 5 5.2 5 5.1 2 8 10.254.138.73，這條靜態(tài)路由定義了訪問網(wǎng)絡設備的IP地址只有10.66.66.0/25這段地址。這樣在一定程度上實現(xiàn)了網(wǎng)絡的安全私密性。而BRAS上配置的靜態(tài)路由即：ip route 172.0.0.0 255.0.0.0 10.254.138.74，它定義了目的地址是172.0.0.0/8的數(shù)據(jù)請求，被轉發(fā)至網(wǎng)管交換機，這樣出現(xiàn)故障的IP地址172.246.233.217正好匹配了這一條路由，從而出現(xiàn)圖1的路由跟蹤情況，即數(shù)據(jù)被轉發(fā)至網(wǎng)管交換機上。

故障解決

既然得知故障的原因是因為靜態(tài)路由造成的，那么就需要通過修改路由的方式來解決問題。根據(jù)交換機和OLT等網(wǎng)絡設備使用的IP地址段，我們進行了詳細的排查，并對這些設備使用的管理IP地址進行聚合，最后對BRAS上的靜態(tài)路由進行修改，具體的配置命令即：ip route 172.16.0.0 255.255.240.0 10.254.138.74。該路由被重新定義后，通過縮小目的網(wǎng)段子網(wǎng)掩碼的方法，來達到解決網(wǎng)絡故障的目的。在對故障網(wǎng)站進行驗證后結果是可以正常打開，這樣故障就得到了解決。

故障總結

我們從得知故障信息后，先后對網(wǎng)站進行Ping測試，得知該網(wǎng)站的IP地址，然后使用trace命令跟蹤到出現(xiàn)故障的環(huán)節(jié)，緊接著根據(jù)出現(xiàn)故障的環(huán)節(jié)涉及到的網(wǎng)管交換機進行拓撲梳理，并對關鍵區(qū)域BRAS和交換機的靜態(tài)路由進行了著重分析，最終發(fā)現(xiàn)問題是路由匹配錯誤導致網(wǎng)頁打不開。經(jīng)過對BRAS上靜態(tài)路由重新定義后故障解決。

在這里需要額外介紹的是私網(wǎng)地址的使用， A、B、C三類地址中各保留了3個區(qū)域作為私網(wǎng)地址，供局域網(wǎng)使用。私網(wǎng)地址不能在公網(wǎng)上出現(xiàn)，只能用在內(nèi)部網(wǎng)絡中，所有公網(wǎng)路由器都不能發(fā)送目標地址為私網(wǎng)地址的數(shù)據(jù)報文。私網(wǎng)地址具體包括A類地址：10.0.0.0～10.255.255.2 5 5；B 類地 址 ：172.16.0.0～ 172.31.255.255；C類 地址 ：192.168.0.0 ～ 192.168.255. 255。文章開頭的網(wǎng)絡故障涉及的IP地址就是一個公網(wǎng)地址，隨意的擴大私網(wǎng)地址的使用就會在一定程度上引發(fā)網(wǎng)絡故障。所以說通過對該故障的排除，得知了私網(wǎng)地址的使用需要規(guī)范，俗話說“無規(guī)矩不成方圓”，只有正確操作設備，規(guī)范使用網(wǎng)絡知識，才能保障網(wǎng)絡正常通達。