路由技術踩雷實踐分享

信息技術的飛速發展、網絡技術也在不斷的更新迭代，但是有這么一種技術它無法替代，它負責在網絡中獲取信息、穿梭找路，它就是路由協議。在網絡建設和運維過程中，不管是簡單還是復雜的網絡組網架構，或多或少你總能遇到一些路由雷區，也就是因為這些雷區讓你從中得到經驗積累，同時也能夠讓你時刻保持著一顆敬畏之心。網絡作為連接業務底層基礎設施的一部分，它承載著企業的關鍵業務和數據流量，一旦發生問題不僅企業利益受到損失，用戶體驗也會受到損壞。本篇小文來自于一名從事網絡工作十多年的老兵，總結在網絡路由協議下不常見但很致命的路由環路的案例，以及分享網絡路由協議配置過程中的避雷小建議。

案例一：靜態路由配置缺少指定下一跳出接口導致環路

拓撲環境：

案例說明：

?廣域網路由器CR1配置靜態路由192.168.0.0/16下一跳指向機構交換機；

?廣域網路由器CR1將靜態路由重分布至OSPF，五類LSA類型為Type 1；

?核心交換機學習到廣域網路由器CR1發來的OSPF路由，核心交換機去往192.168.0.0/16下一跳為CR1；

?由于項目需要，新增加一臺廣域網路由器CR2計劃替換CR1路由器，CR2路由器除了上聯核心交換機配置與CR1不一致，其他配置均和CR1一致，包括下聯機構交換機的靜態路由配置；

?新增加的廣域網CR2路由器與核心交換機進行并網，建立OSPF鄰居關系；

路由環路出現：?當CR2與核心交換機并網后，PC訪問機構的一半業務出現中斷，在核心交換機查看機構路由192.168.0.0/16，發現去往192.168.0.0/16路由出現等價負載兩個下一跳，分別是CR1和CR2路由器；?在CR2上查看機構路由192.168.0.0/16下一跳為核心交換機；此時機構路由192.168.0.0/16在核心換機和廣域網路由器CR2之間環路；

問題原因：在此案例場景下，廣域網路由器CR2配置下聯機構靜態路由，雖然CR2上的下聯機構接口處于DOWN狀態，但是靜態路由配置的下一跳地址可達，也就是CR2上有1.1.1.0/30路由，CR2就會進行路由迭代查詢，導致CR2設備配置的靜態路由被激活進入路由表，從而核心交換機也能從CR2學習到下聯機構路由，路由在核心交換機與CR2之間形成環路；

解決辦法：在廣域網路由器CR2上配置的靜態路由增加指定出接口，在這種情況下只有CR2出接口狀態為UP時，靜態路由才會被激活進入路由表中。

案例二：OSPF配置下缺少靜默接口導致環路

拓撲環境

案例說明：

?總部核心交換機配置靜態路由192.168.0.0/16下一跳指向接入網絡；

?總部核心交換機將靜態路由192.168.0.0/16重分布至OSPF，五類LSA類型為Type 2；

?總部下聯路由器CR1和CR2接收到OSPF路由后，將192.168.0.0/16路由重分布至BGP鄰居，發送給分部上聯路由器；

?分部上聯路由器BR2收到總部下聯路由器發來的BGP路由后，轉發給IBGP鄰居BR1；

?分部上聯路由器BR2同時將BGP路由192.168.0.0/16重分布至OSPF中，五類LSA類型為Type 1；

?分部核心交換機接收到分部上聯路由器發過來的OSPF路由，并在OSPF內部進行傳遞，五類LSA為Type 1；

CR1硬件板卡故障：?總部下聯路由器CR1業務板卡故障，在更換故障板卡過程中，CR1上OSPF配置中針對CR1與BR1互聯接口passive-interface命令消失，總部下聯路由器CR1與分部上聯路由器BR1建立了OSPF鄰居關系（在CR1與BR1設備上OSPF配置中存在network互聯網段，并且BR1設備OSPF配置下沒有passive-interface命令）

?此時分部上聯路由器BR1收到的192.168.0.0/16類型為Type 1的路由，BR1進行OSPF內部傳遞給總行下聯路由器CR1；

?總部下聯路由器CR1同時收到總部核心交換機發過來的類型為Type 2的五類LSA以及分部上聯路由器BR1發過來的類型為Type 1的五類LSA路由，由于OSPF選路原則中， Type 1優于Type 2，因此總部下聯路由器CR1路由表中192.168.0.0/16的路由下一跳指向分部上聯路由器BR1；由于總部和分部路由器EBGP路由協議的管理距離配置為20，因此分部上聯路由器BR1收到的192.168.0.0/16的路由下一跳為總部下聯路由器CR1；

路由環路出現：總部下聯路由器CR1與分部上聯路由器BR1建立OSPF鄰居后，CR1收到BR1發送192.168.0.0/16的OSPF路由，CR1又將OSPF路由重分布至BR1，BR1上針對192.168.0.0/16的BGP路由下一跳為CR1，至此192.168.0.0/16路由在CR1和BR1之間不斷重復直至TTL耗盡報文被丟棄。

解決辦法：在總部下聯路由器CR1和分部上聯路由器BR1設備上OSPF的配置中分別配置passive-interface命令，環路問題解決。

案例三：雙向雙點重分布路由優先級配置問題導致環路

拓撲環境

案例說明：

?分部核心交換機配置靜態路由192.168.0.0/16下一跳指向接入網絡；

?分部核心交換機將靜態路由192.168.0.0/16重分布至OSPF，五類LSA類型為Type 1；

?分部上聯路由器接收到OSPF路由后，將192.168.0.0/16路由重分布至EBGP鄰居，發送給總部下聯路由器；

?總部下聯路由器CR1/CR2/CR3收到對應互聯Juniper設備 BR1/BR2/BR3發過來的EBGP路由，管理距離為20；

?此時分部上聯路由器BR3出現設備硬件故障，使用華為路由器設備完成配置翻譯后進行故障設備替換，在操作不上，先連接分部網絡，與分部核心建立OSPF鄰居關系，與分部上聯Juniper路由器BR1和BR2建立IBGP鄰居關系；

?當新上華為路由器BR3與Juniper路由器建立IBGP鄰居后，總部下聯路由器接收不到分部發過來的192.168.0.0/16路由，總部與分部業務出現中斷；

?新上的華為路由器BR3通過分部核心交換機學習到了192.168.0.0/16的OSPF路由，并將OSPF路由重分布到BGP中（EBGP和IBGP）；

路由環路出現：?此時分部上聯路由器BR1和BR2通過IBGP學習到新上的華為路由器BR3發過來的192.168.0.0/16路由，由于分部上聯Juniper路由器IBGP路由協議管理距離設置為20，優于OSPF外部路由150，所以分部上聯Juniper路由器原本通過與分部核心OSPF學習到的192.168.0.0/16路由從路由表中變成了IBGP路由，即分部上聯Juniper BR1和BR2路由器針對192.168.0.0/16的OSPF消失，無法通過OSPF重分發到BGP中，又因為在Juniper路由器中EBGP和IBGP之間默認不相互傳路由，導致分部192.168.0.0/16路由不能通過EBGP上送到總部，即總部收到分部的路由，總分部之間業務受損，192.168.0.0/16路由在分部上聯路由器之間出現環路。

解決辦法：在分部上聯Juniper路由器BR1和BR2上調整IBGP路由優先級為170優于OSPF外部路由150，環路問題解決。

路由協議設計實踐：

靜態路由：

靜態路由配置建議指定下一跳出接口，規避路由迭代查詢；

所有靜態路由建議配置路由描述信息，以便可讀性；

根據實際網絡環境配置靜態浮動路由管理距，如果環境中存在靜態優先，動態次優建議浮動路由管理距離配置大于路由協議管理距離；

路由宣告：

所有動態路由協議進程建議手動配置Router-id，Router-id默認選擇設備管理地址;

路由器宣告互聯地址網段時建議按本設備接口地址掩碼宣告，不建議多個接口使用同一條命令進行宣告；

針對業務路由網段需要在所有網關設備上進行路由宣告；

針對廣域網專線互聯接口需要宣告時，建議只在一側設備進行互聯地址宣告，對端設備不建議宣告；

除BGP外，建議所有動態路由進程下配置靜默接口，默認禁止所有三層接口與其它設備建立路由鄰居關系；需要與其它設備建立路由鄰居關系時，在對應設備配置下關閉對應的靜默接口命令；

路由匯總和路由策略：

所有路由協議建議禁止自動匯總路由，根據實際網絡需要進行業務路由匯總；

配置路由策略調用的匹配列表中建議不包含Deny條目；

當路由策略需要排除某些流量時，建議配置兩個匹配列表，一個匹配需要策略路由的流量，另一個匹配需要排除的流量；在Route-Plicy中配置一個Deny策略，匹配需要排除流量對應的匹配列表，再配置一個Permit策略，匹配需要策略路由的流量對應的匹配列表；

路由重分布：

靜態路由重分布至動態路由時，建議根據業務屬性不同增加不同的TAG，便于在動態路由中進行路由策略匹配，針對主備鏈路靜態重分布至OSPF時建議使用五類LSA類型為Type2；針對負載鏈路靜態重分布進OSPF時建議使用五類LSA類型為Type 1；

路由重分布到OSPF中時，針對思科設備經常會犯錯的就是缺少Subnets關鍵字，如果發現有一些路由丟失情況，建議檢查配置是否重分布子網路由；

OSPF和BGP動態路由協議間雙向雙點重分布時，必須雙向配置防環機制，建議使用標記TAG和Community方式進行路由防環；

針對各廠商默認管理距離不一致情況，如果網絡環境中存在多廠商設備三層路由組網情況，建議將手動調整為一致的路由優先級，避免在組網過程中或故障場景下發生次優路徑或路由環路問題。

附：主流廠商默認路由優先級：

審核編輯 ：李倩