初次調(diào)試路由的驚險(xiǎn)

驚險(xiǎn)一：遠(yuǎn)端路由器無法連接

A地市局報(bào)告說，下面所有的縣局網(wǎng)絡(luò)無法訪問省局的“省政務(wù)一體化平臺”，而地市局訪問此平臺沒有問題。地市局網(wǎng)絡(luò)結(jié)構(gòu)如圖1所示。該應(yīng)用系統(tǒng)平臺部署在政務(wù)外網(wǎng)，IP地址59.225.200.123，在地市局的路由器AR3260上已配置了相關(guān)的靜態(tài)路由，下一跳為政務(wù)外網(wǎng)防火墻的接口地址，但在縣局PC端用命令tracert跟蹤路由居然走到省局去了，所以A地市局IT負(fù)責(zé)人認(rèn)為問題出在省局。

圖1 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)

遠(yuǎn)程登錄到A地市局的路由器查看路由表，到政務(wù)一體化平臺的路由有2條，一條靜態(tài)路由到59.0.0.0/8的下一跳為地市局政務(wù)外網(wǎng)防火墻的接口地址，優(yōu)先級默認(rèn)為60。另一條是O_ASE路由到59.225.200.0/24的下一跳為省局IDC機(jī)房路由器接口地址，優(yōu)先級為150。正是后面一條路由，導(dǎo)致A市的縣局網(wǎng)絡(luò)訪問走到了省局。當(dāng)時(shí)就沒弄明白，為什么優(yōu)先級高的靜態(tài)路由沒有生效（按路由優(yōu)先級的數(shù)字越低其優(yōu)先級越高），反而在tracert中路由匹配了優(yōu)先級低的O_ASE路由條目。而測試確認(rèn)，另一條靜態(tài)路由59.223.0.0/24段到政務(wù)外網(wǎng)防火墻是正常的。

再分析A地市局網(wǎng)絡(luò)正常訪問政務(wù)外網(wǎng)的原因，是因?yàn)橹苯幼叩氖芯趾诵慕粨Q機(jī)到政務(wù)外網(wǎng)防火墻，完全沒有經(jīng)過市局邊界路由器。所轄縣局訪問線路必須經(jīng)過該路由器，而路由器上莫名其妙串出一條O_ASE路由將訪問政務(wù)外網(wǎng)引到了省局網(wǎng)絡(luò)。

剛好前一段時(shí)間在華為網(wǎng)站上看到一個(gè)在線視頻，介紹了OSPF路由過濾的問題，心想把這條O_ASE路由過濾掉不就解決問題了嗎？有了這個(gè)解決問題的思路，但具體操作卻想不起來了，網(wǎng)上搜索關(guān)鍵字“OSPF路由過濾”，在H3C的論壇里找到一個(gè)貼子，華為和H3C（華三）網(wǎng)絡(luò)設(shè)備的配置命令基本類似，所以就拿來一用。

在AR3260上輸入sys進(jìn)入配置模式，ip ip-prefix test1 index 10 deny 59.225.200.0 24 ；輸入ospf 1進(jìn)入ospf進(jìn)程，filterpolicy ip-prefix test1 import，配置命令輸入后回車，悲劇了，通過secureCRT連接到A地市局路由器瞬間斷開。聯(lián)系對方IT人員后，得知此時(shí)市局無法訪問省局的服務(wù)器。由于沒有保存配置，可重啟路由器解決該問題。由于此路由器并不在我的管理范圍內(nèi)，怕重啟引出更多問題而放棄該辦法。

出現(xiàn)緊急情況向主管報(bào)告，他讓我通過在省局IDC路由器上登錄A地市局路由器的直連接口IP，看能否登錄。由于地市局路由器只是開啟SSH服務(wù)，而在路由器上使用SSH協(xié)議登錄遠(yuǎn)程路由器還不知道怎么操作，只得主管親自緊急處理。他查閱華為電子手冊，很快找到所需的配置命令，ssh client first-time enable；stelnet 172.27.254.98回車，輸入用戶名密碼完成登錄。再進(jìn)入OSPF進(jìn)程，undo filter-policy ip-prefix test1 import，完美解除緊急狀況，此刻又能正常遠(yuǎn)程連接A市局路由器了，對方到省局的網(wǎng)絡(luò)也恢復(fù)正常。

梳理一下通過路由器的SSH客戶端登錄遠(yuǎn)程路由器的配置原理，ssh client first-time enable是因?yàn)槿A為交換機(jī)默認(rèn)情況，SSH客戶端首次認(rèn)證功能是關(guān)閉的。使能SSH客戶端首次認(rèn)證功能的目的，是當(dāng)STelnet客戶端第一次登錄SSH服務(wù)器時(shí)不對SSH服務(wù)器的RSA公鑰進(jìn)行有效性檢查，因?yàn)榇藭r(shí)STelnet客戶端還沒有保存SSH服務(wù)器的RSA公鑰。如果沒有使能SSH客戶端首次認(rèn)證功能，則STelnet客戶端第一次登錄SSH服務(wù)器時(shí)，由于對SSH服務(wù)器的RSA公鑰有效性檢查失敗，導(dǎo)致無法登錄遠(yuǎn)程路由器。

最后，還得解決A地市局訪問“政務(wù)一體化”平臺的問題。主管看了遠(yuǎn)端路由器上的路由配置，給出立桿見影還不費(fèi)勁的解決辦法。在AR3260上加一條主機(jī)的靜態(tài)路由，配置命令是ip routestatic 59.225.200.123 32 10.10.10.101，再和對方IT確認(rèn)，縣局都能正常訪問“政務(wù)一體化”平臺了?？梢?，實(shí)際工作中不僅要對網(wǎng)絡(luò)知識能夠透徹理解，還要在實(shí)踐中不斷積累經(jīng)驗(yàn)，方能快速有效地解決問題。

驚險(xiǎn)二：配置不當(dāng)引發(fā)路由環(huán)路

B地市局的縣局因類似的工作需要訪問“省政務(wù)一體化平臺”，故障現(xiàn)象和A地市局情況一樣，地市局PC都能正常訪問，而所有縣局PC都無法訪問。由于管理人員技術(shù)欠缺的個(gè)人因素，加之歷史上曾經(jīng)由省局直接管理過地市局路由器的原因，對方強(qiáng)烈要求省局解決此問題，而且對方還無法提供B市局的網(wǎng)絡(luò)拓?fù)鋱D。

有了前面A地市局路由問題的解決經(jīng)驗(yàn)，心想摸著石頭過河也能輕松搞定。雖然對方?jīng)]有給出網(wǎng)絡(luò)拓?fù)?，猜想同一機(jī)關(guān)系統(tǒng)的網(wǎng)絡(luò)架構(gòu)也差不多。從secureCRT登錄B地市局的路由器，和對方溝通了解到，政務(wù)外網(wǎng)防火墻接口地址 為10.10.10.109，添 加一條靜態(tài)路由，當(dāng)時(shí)想如果還是只加一個(gè)主機(jī)路由，以后若還有其他需要走政務(wù)外網(wǎng)防火墻的路由，還要手動添加，這次何不加一條網(wǎng)段 路 由，ip route-static 59.225.200.0 24 10.10.10.109。

配置好后讓對方確認(rèn)，仍然不能訪問“政務(wù)一體化”平臺，而且連市局都不能正常訪問了。讓對方tracert跟蹤路由才發(fā)現(xiàn)，剛才那條配置引起了路由環(huán)路（如圖2）。因?yàn)锽地市局不能提供網(wǎng)絡(luò)拓?fù)鋱D，暫時(shí)無法解釋環(huán)路是如何形成的。趕快撤消前面的配置undo ip routestatic 59.225.200.0 24 10.10.10.109，看來只能加上主機(jī)路由了，ip routestatic 59.225.200.123 32 10.10.10.109。再和對方確認(rèn)，B地市局訪問恢復(fù)正常，下面的縣局也都能正常訪問“政務(wù)一體化”平臺。

路由問題治標(biāo)還需治本

圖2 tracert跟蹤路由發(fā)現(xiàn)路由環(huán)路

其他地市陸續(xù)報(bào)出以上類似問題，有技術(shù)能力的地市局就加主機(jī)路由自行解決了訪問故障，而大部分地市局都需要我們協(xié)助處理。經(jīng)過排查，發(fā)現(xiàn)該問題的根本原因還是因?yàn)槭【志W(wǎng)絡(luò)中有路由器在OSPF引入了一條外部路由，改變了地市局網(wǎng)絡(luò)訪問“政務(wù)一體化”的路由走向。原本走地市局政務(wù)外網(wǎng)防火墻出去，現(xiàn)在就被這條O_ASE路由引到省局，又被省局政務(wù)外網(wǎng)防火墻阻止，最終無法正常訪問“政務(wù)一體化”平臺。

為了治本，得仔細(xì)看一下這條路由為什么被引入，在哪臺路由器上引入，可否直接在源路由器上過濾掉此條路由對其他路由器的傳播。

在A地市局邊界路由器上查詢OSPF鏈路數(shù)據(jù)庫dis ospf lsdb | in 59.225.200，到59.225.200.0網(wǎng)絡(luò)連接類型為External，宣告路由器為172.27.254.2，正是省局管理機(jī)房的1臺路由器宣告的外部路由。再登錄該路由器檢查配置，發(fā)現(xiàn)如下相關(guān)條目：

圖3 OSPF骨干區(qū)域area0

再檢查省局管理機(jī)房的核心交換機(jī)，也開啟了OSPF路由，與省局網(wǎng)絡(luò)出口路由器同在區(qū)域area0。進(jìn)一步分析，上面的配置目的是為了省局網(wǎng)絡(luò)用戶的計(jì)算機(jī)訪問政務(wù)外網(wǎng)服務(wù)器指定了出口路由，省去了在核心交換機(jī)上配置靜態(tài)路由到政務(wù)外網(wǎng)防火墻。估計(jì)后來省局網(wǎng)絡(luò)在IDC新建了機(jī)房，又將IDC路由器和核心交換機(jī)劃入了OSPF骨干區(qū)域area0，通過動態(tài)路由打通省局網(wǎng)絡(luò)機(jī)房和IDC各網(wǎng)段的連接（如圖3）。同時(shí)，這條路由又被宣告到其他OSPF區(qū)域，影響了地市局訪問政務(wù)外網(wǎng)服務(wù)器路由走向，當(dāng)大家訪問“政務(wù)一體化”平臺時(shí)問題就出現(xiàn)了。

理清了O_ASE路由的來弄去脈，對于該問題的治本辦法也就簡單了。首先在省局核心交換機(jī)上配置靜態(tài)路由ip route-static 59.223.0.0 24 211.211.211.1，ip route-static 59.225.0.0 24 211.211.211.1，讓省局網(wǎng)絡(luò)通過靜態(tài)路由訪問政務(wù)外網(wǎng)指定網(wǎng)段。然后在省局出口路由器上進(jìn)入OSPF視圖，撤消之前引入到政務(wù)外網(wǎng)的靜態(tài)路由undo import-route static route-policy 2011，最 后undo num 2011，保存配置。

在排查過程中搜索互聯(lián)網(wǎng)關(guān)于OSPF路由發(fā)現(xiàn)一好帖子在此分享：http://support.huawei.com/huaweiconnect/enterprise/thread-251907.html，路 由過濾分為對路由表的過濾和阻止lsa生成兩種方式。上述問題還有其他更好的解決辦法，由于路由器軟件版原因，未能測試成功。還有華為HCNP在線視頻教程也值得分享：http://support.huawei.com/learning/Certi ficate!showCertificate?pb iPath=term1000025451&id=N ode1000004373。

經(jīng)驗(yàn)總結(jié)

經(jīng)過這幾次路由調(diào)試和排查，深刻理解了網(wǎng)絡(luò)路由條目的匹配除了優(yōu)先級、開銷值外，讓我掌握了最長配原則,還有靜態(tài)路由是逐跳傳遞、雙向有去也要有回的數(shù)據(jù)包才能通。