路由器基本知识及应用实例(DOC格式)-第18部分

快捷操作: 按键盘上方向键 ← 或 → 可快速上下翻页 按键盘上的 Enter 键可回到本书目录页 按键盘上方向键 ↑ 可回到本页顶部! 如果本书没有阅读完，想下次继续接着阅读，可使用上方 "收藏到我的浏览器" 功能 和 "加入书签" 功能！


颐强梢匀我庵付ā澳蟅lan　id”，但是需要注意与路由器的配合。对于路由器来说，需要在与LSW互联的端口上配置子接口，每个子接口默认终结一个Vlan的数据。需要注意的是，所有子接口都终结带有tag标记的报文，具体终结哪个Vlan，通过子接口下配置Vlan　id来对应；主接口终结不带tag标记的报文（对应LSW上“默认Vlan　id”对应的Vlan）。

以太网互联故障诊断步骤
在保证LSW和路由器的配置均正确基础上，查看路由器上的ARP表项，查看是否有PC机IP地址对应的ARP表项（ARP表项不是自动发现的，需要在路由器或者PC机上Ping对端地址触发ARP表项的建立），如果没有，需要检查互联网线的线序和质量（标准五类双绞线有两种线序。一般情况下PC机与路由器直联需要使用交叉网线——两端线序不同；PC机与LSW直联需要使用平行网线——两端线序相同）。如果路由器上存在PC机对应的ARP表项或者网线完好，但是PC机与路由器还是不能相互Ping通，请拨打800技术支持热线，由“技术支持工程师”协助您解决问题。
4。2。2。1。2　PPP链路互联故障诊断
PPP互联经常使用在串口、E1、POS接口互联的情况，最常见的问题就是：端口状态物理层Up，但是链路层转态为Down。对于这种故障可以按照以下步骤进行诊断：

PPP链路互联故障诊断步骤
首先检查互联设备的端口配置，需要注意的是接口链路层协议封装、时钟和IP地址配置。对于时钟配置，在背靠背连接情况下（中间不经过传输设备或者协议转换设备），两端设备需要一端配置为“内部时钟”、一端配置为“链路时钟”；如果中间经过传输设备，端口时钟需要根据传输设备的时钟提供情况而定（对于E1链路，传输设备一般是透明传输方式，不为终端设备提供时钟）。IP地址的配置会影响到PPP的IPCP协商过程，任何一端不配置IP地址，两端链路层都不会进入Up状态。
确保两端设备配置正确后，需要查看两端设备的端口PPP协商状态，除去验证以外，PPP的协商分为两个阶段：LCP，IPCP（如果设备支持MPLS转发，还会有MPLSCP阶段，这里我们只考虑普通IP转发情况）。如果中间链路正常，两端设备的LCP协商阶段就会正常通过；如果两端都配置了IP地址或者正确的配置了地址分配，IPCP阶段也会正常通过，IPCP协商阶段通过后，端口链路层就会转换为Up状态。具体的协商过程可以通过打开PPP　debug开关的方式看到。
对于PPP链路，还可以通过端口自环的方式检测物理端口的状态。最简单的方式是“物理自环”（对于光接口来说，需要注意端口的发光功率和接收功率域值，避免发光功率过大，损坏光模块），如果查看端口转态显示物理层Up，链路层Down，并且有“发现环路”的提示，则表示端口是正常的（正确实现物理环路检测，需要将时钟配置为“内部时钟”）。对于不支持“环路检测”功能的设备，可以通过自环后清空端口计数统计的方式来检测（一定要保证这个顺序，因为插拔电缆或尾纤时会造成一定数目的错包，影响检测结果）。如果一段时间之后，端口收发包数目相等，并且没有接收到错误报文，则可以说明端口是正常的。利用“打环”方式检测链路是最常用的链路诊断方式，对于中间经过多跳传输设备转接的链路，我们可以通过逐跳“打环”测试，定位故障设备或者链路。
以上简述了以太网互联链路和PPP互联链路的故障诊断步骤，如果经过上述步骤仍不能解决问题或者定位故障设备，或者涉及其他链路类型的设备对接可以拨打800技术支持热线，由“技术支持工程师”协助您解决问题。
4。5。2。2　普通IP业务互通性故障诊断
普通IP业务互通性问题是我们应用数据通信设备时最常见的问题，同时IP互通性也是其他业务能够正常运行的保障。本节我们对普通IP业务互通性故障进行简要的分析，并提供诊断建议。
我们假设网络中两个终端之间不能完成正常的网络层互通（不能Ping通），遇到类似问题需要分别在两端的终端及中间路由设备上按照如下步骤进行排查：

普通IP业务互通性故障诊断过程
普通的IP业务是基于分组转发的，不面向连接，每一跳设备按照自身的路由表完成“单跳转发”，设备之间几乎没有联系，除“目的”和“源”两个终端以外，其他设备只需要完成本跳转发即可。数据包在整个转发过程中都是按照“最长匹配”原则，按照“最正确”的路径被逐跳转发的，在两个终端上，数据包一般情况下与“默认路由”被转发到“网关”，所以首先需要确认的是终端上的网关配置（普通终端在进行数据包转发的时候也是遵循“最长匹配”原则的，如果在终端上配置了更明细路由，数据包将按照更明细路由被转发到不一定是网关地址的下一跳。在Windows操作系统中查看路由表的命令为：DOS提示符下“route　print”命令）。不同的终端配置“网关”的方式不尽相同，具体方式可以咨询相应的设备提供商。

终端与“网关设备”互通性故障诊断过程
终端正确的配置了网关之后，我们需要检测终端与“网关设备”之间的互通性，因为一般情况下终端与“网关设备”之间会有二层网络，主要的检查内容有：网线的线序、网线质量、二层设备的Vlan配置、MAC地址与端口的对应关系等。比较通用的方式是在“网关设备”上查看终端IP地址对应的ARP表项。如果“网关设备”上没有对应的ARP表项，需要在二层设备上进行抓包，分析报文内容；如果“网关设备”上存在对应的ARP表项，但是终端无法Ping通“网关设备”，请拨打800技术支持热线，由“技术支持工程师”协助您解决问题。

“全路径”互通性故障诊断过程
保证终端与“网关设备”之间的互通性之后，我们来检测整个路径的互通性。常用的检测命令为“tracert”，该命令可以逐跳的显示出整个路径所经过的转发设备。一般情况下，问题会出在最后一个“可达设备”上。当然由于目前网络上各种病毒比较泛滥，大部分网络设备上都配置了软件防火墙，拒绝ICMP报文。这样会影响“tracert”命令的正常工作，我们可以采用基于其他协议的命令进行链路检测，比如“telnet”，当然这些命令的执行返回结果没有“tracert”直观，并且“telnet”的目的地址需要手工逐跳指定（需要有网络拓扑和IP地址信息作基础）。
如果终端之间能够“tracert”全路径可达，但是特定业务无法正常开展，最有可能的原因是中间设备上配置了特定的ACL过滤规则，需要对“全路径”上的设备逐一进行配置检查。除了ACL过滤规则以外，还有可能的问题就是中间链路MTU值问题，有部分业务报文均是“大包”（对于通过Ethernet接入的终端，链路层最大MTU值为1500　Byte），并且不允许分片，如果中间任一链路的MTU值小于1500　Byte，这种业务不能正常开展。对于MTU问题，我们可以应用Ping命令指定数据包大小（需要同时指定“禁止分片”。Windows操作系统中Ping命令应用“…l”参数指定数据报文大小；“…f”参数指定“禁止分片”）的方式来逐跳检测，需要注意的是不同的设备、不同操作系统指定数据报文大小的含义可能不同，对于Windows操作系统和华为数据通信设备而言，指定的数据报文大小为ICMP“净荷”，对应的IP数据包大小需要在此基础上加28　Byte（8　Byte　ICMP报文头，20　Byte　IP报文头）。以上过程为定位基本的IP数据转发链路MTU值方法，对于应用了MPLS等技术的链路MTU值定位方法，我们在后续章节中介绍。
以上过程是通用的“普通IP业务互通性问题”定位步骤，如果在确认了以上设备和配置均正确之后，仍然不能完成终端之间的互通，请拨打800技术支持热线，由技术支持工程师协助您定位问题。
4。5。2。3　静态路由问题故障诊断
静态路由是我们经常使用的互联手段，尤其在接入层设备上，是最主要的完成网络互通的手段。如果我们在应用静态路由时遇到问题，可以按照如下步骤来进行故障诊断：

静态路由故障诊断步骤
首先我们要确保静态路由在设备上进行了正确的配置，在普通的IP转发条件下，静态路由配置有两个要素：“目的网段”和“下一跳地址”。需要注意的是“下一跳地址”的配置，虽然几乎所有的数据通信设备都支持静态路由的迭代，但是为了便于维护，我们建议静态路由的下一跳配置为本设备直联端口对端设备的IP地址。

静态路由是否生效的诊断
正确的配置了静态路由之后，路由条目是否生效取决于下一跳的可达性。按照上一步的静态路由配置建议，只要对应的直联端口UP（需要物理层和链路层都达到UP状态），路由条目就可以生效（直联设备之间的互通问题请参考“3。1　设备互联问题诊断”）。我们可以通过“display　ip　routing…table”命令来查看设备路由表信息，我们可以看到生效的路由条目都会在路由表中显示。

确认转发表中有正确的转发条目
一般情况下，如果路由表中显示一条路由条目是生效的，那么在对应接口板的转发表中也会有相应的转发条目。对于NE40使用二层板的情况，需要在相应的Vlan　interface上配置“property　routing”命令才能将下一跳出口为该Vlan　interface的转发项加入到对应接口板转发表中。
因为静态路由的目的网段一般是在多跳之后，而路径上的每台设备只能保证“单跳转发”正确，所以在确认了本设备转发表正常后，需要应用“tracert”命令对“全路径”进行可达性检测。如果tracert返回结果中表示已经可以抵达下一跳设备，那么就可以证明本设备是没有问题的，问题一般会出现在最后一个可达设备上。
由于数据访问是需要保证双向IP可达的，并且应用静态路由完成网络互通时，各设备之间不需要交互任何路由信息，所以我们在进行静态路由故障诊断时需要格外注意“回程路由”的问题。只有来/去双向路由信息都具备，才能保证业务的正常互通。我们在逐跳排查故障，应用Ping命令时，需要注意“源地址”参数的应用，默认情况下Ping命令添加的“源地址”为本设备出口IP地址，这样对于“回程路由”来说，对应的目的网段也应该是这个“出口IP地址”。一般情况下，我们关心的并不是这个“出口IP地址”，同时也为了更有利于问题定位，通常会应用“…a”参数来更改Ping命令的“源地址”。
以上过程是通用的“静态路由问题故障诊断”步骤，如果在确认了以上设备和配置均正确之后，仍然不能完成终端之间的互通，请拨打800技术支持热线，由技术支持工程师协助您定位问题。
4。5。2。4　OSPF协议故障诊断
OSPF协议是我们在组网过程中应用最广泛的IGP路由协议，协议的工作过程基本上可以分为如下几部分：
设备之间建立OSPF邻居；
邻居之间传播LSA，同步LSDB内容；
设备根据自身LSDB内容进行路由计算；
其中最后一部分涉及OSPF的核心算法，比较复杂，而且不同设备的实现细节也有所差别，这里我们不对这部分进行讨论。如果在确认OSPF邻居状态正常，并且设备间正确的同步了LSDB之后仍然有问题，可以直接拨打800技术支持热线，由技术支持工程师协助您定位问题。对于前两个工作过程，我们可以按照以下步骤来进行故障诊断：

OSPF协议故障诊断步骤
OSPF的配置相对比较复杂，涉及参数较多，主要包括协议配置部分和端口配置部分，具体的配置命令请参考华为设备《用户命令手册》的相应章节。在保证设备互通性的基础上，在互联端口使能OSPF协议，OSPF是一种基于IP的协议，不考虑验证的条件下，互联设备的如下参数必须保持一致，才能正常的建立起邻居关系：
互联端口aera　id；
互联端口area　类型；
互联端口网络类型；
互联端口OSPF　hello　time；
互联端口OSPF　hold　time；
除上述参数以外，互联设备的router　id必须不一致，所有这些参数都可以通过“display　ospf”命令来查看。此外，几乎所有数据通信产品都提供了一个显示“OSPF邻居之间错误参数统计值”的命令，在华为数通产品里为“display　ospf　error”。当我们发现互联设备间长时间不能正常建立OSPF邻居时，可以多次执行该命令，查看哪个统计值在一直增加，那么就需要对参数进行调整。

查看设备LSDB
互联设备之间邻居状态建立之后，默认情况下OSPF只会将其他使能了OSPF的端口状态信息以LSA的形式传播给邻居，如果我们希望在OSPF中引入其他路由协议发现的路由时，需要应用“import…rout　protocol…type”命令，最常用的是“import…rout　direct”、“import…rout　static”。我们需要在一条路由信息对应的LSA发源设备上查看对应的LSA是否被正确的发布，同时还需要在目的设备上查看是否正确的接收到了相应的LSA。如果可以确认“源设备”和“目的设备”都正确的发布和接收到了对应的LSA，但是相应的路由条目还不能加入路由表请拨打800技术支持热线，联系技术支持工程师协助您定位问题。
以上定位过程只是讨论了两个直联OSPF邻居之间的情况，由于OSPF协议本身比较复杂，部署方式灵活多样，而且还有“路由聚合”、“NSSA区域”等问题，问题的定位需要网络拓扑、部署原则作基础，不过所有的情况都可以分解为以上的简单元素。一般情况下，运行了OSPF协议的网络，只要保证每对互联设备之间的OSPF邻居状态都能够正常建立，网络路由信息的发现和计算都是“全自动”的，大部分的问题集中在如何正确的配置OSPF邻居上，请仔细阅读《用户命令手册》，参考OSPF配置实例。如有疑问请拨打800技术支持热线，咨询技术支持工程师。
4。5。2。5　BGP协议故障诊断
BGP是唯一能够运行在AS之间的路由协议，在Internet上，他有不可替代的地位。同时BGP是“传递路由信息”的协议，并不是“发现路由信息”的协议，协议的工作过程可以分为如下两个过程：
设备之间正常的建立起BGP邻居；
邻居之间传递、同步路由信息；
当然，由于BGP协议十分灵活，而且路由属性众多，可以通过多种路由策略完成特定的需求，我们在此只考虑最简单的情况。

BGP协议故障诊断步骤
与其他路由协议的定位方式一样，我们首先需要保证设备配置的正确性。与其他路由协议相比，BGP的基础配置是比较简单的，我们只需要在BGP协议配置模式下指定邻居的IP地址和AS　number就可以完成（目前几乎所有的BGP应用都是“非同步”模式，所以这里没有考虑“同步类型”配置）。为了保证BGP邻居之间的可靠性，一般我们还会通过“peer　peer…ip…add　connect…interface　interface…type　interface…num”命令指定建立BGP邻居的“源地址”。为了保证邻居配置可靠、没有歧义，我们建议邻居之间的“源地址”与“目的地址”能够完全对应（本端指定的“源地址”与对端配置的“邻居地址”相同）。
由于BGP是基于TCP的，所以在保证配置正确的情况下，我们需要检查邻居之间的TCP可达性，最简单的方式是通过Ping命令指定源地址的方式Ping邻居地址。如果邻居之间的TCP可达性不能保证，请参照前面的“设备互联问题诊断”和“普通IP业务互通性问题诊断”章节处理。

BGP邻居状态与BGP路由表诊断
一般情况下，至此BGP邻居已经可以正常建立了。我们可以通过“display　bgp　peer”命令来查看，如果到达到“establish”状态，则表示邻居正常建立。如果不进行其他特殊配置，BGP只向邻居传递BGP路由，而网络中默认是没有任何BGP路由的。我们可以通过“import…route”和“network”命令使其他类型的路由信息转变为BGP路由。
BGP协议本身维护自己的一张路由表，主要用来路由信息选优。BGP只把本机路由表中“有效”并且“最优”的路由信息传递给邻居。所谓“有效”是指路由表项的“下一跳”可达；“最优”是指在目的网段相同（包括目的网段前缀和掩码都相同）的情况下，路由优先级最高。在本设备系统路由表中存在的也是“最优路由”，所以判断一条路由条目是否可以在路由表中以“BGP路由”的形式存在，首先要确保在BGP路由表中，该路由条目是“有效”并且“最优”的。在华为数据通信设备中，BGP路由在默认情况下是优先级最低的，所以如果本机有其他路由协议、相同目的网络的路由，BGP路由不会被优选，自然也不会被传递给邻居。
以上，我们讨论了两个设备之间的BGP邻居建立和路由信息传递情况。为了保证BGP协议能够在网络中正确、有效的部署，还需要“路由反射器”、“路由策略”等比较复杂的技术，相应的配置和原理可以参考华为《用户命令手册》和RFC等技术资料。如果有疑问可以拨打800技术支持热线，咨询技术支持工程师。
4。5。2。6　业务互通性故障诊断
MPLS是目前比较流行的实现VPN业务的技术，被大规模的应用在所有有VPN需求的网络中，由于该技术相对比较“新”、技术发展较快，并且与传统路由协议技术有很大的相关性，所以在遇到MPLS…VPN的业务互通性故障时，相对处理方法比较复杂，并且对问题定位人员素质要求较高。下面提供了MPLS…VPN故障比较通用的步骤，请在遇到MPLS…VPN技术问题时参考。

MPLS…VPN业务互通性故障诊断
MPLS…VPN技术根据网络为CE设备提供的通道层次类型可以分为L3　MPLS…VPN和L2　MPLS…VPN，目前网络上应用比较广泛的为L3　MPLS…VPN，这里我们针对L3　MPLS…VPN来讨论。
首先我们需要保证配置的正确性，对于MPLS技术本身来说，我们只要启动设备的MPLS转发功能即可。对于华为数据通信产品，配置命令有：
配置MPLS标签分发协议的lsr…id（mpls　lsr…id　lsr…id…value）；
全局启动MPLS标签分发协议，目前我们支持LDP（mpls　ldp）；
端口上使能MPLS标签分发协议（mpls　ldp　enable）；
在ldp配置模式下还有“环路检测”、“标签分发方式”等参数可调，如果全部为华为产品对接，使用默认值即可。重以上的配置中可以看到，标签分发协议的配置与IGP路由协议的配置过程类似，只是协议的工作目的不同，我们可以向理解IGP协议一样去理解LDP的工作过程。
对于L3　MPLS…VPN，我们还需要进行VPN实例，扩展BGP等方面的配置，具体配置细节请参考《用户命令手册》。需要注意的是，只靠以上配置是无法完成MPLS…VPN业务互通的，由于原有的路由协议是L3　MPLS…VPN正常工作的基础，所以在进行MPLS…VPN的配置之前，需要完成“端口”、“路由协议”等基础配置，具体配置方法也请参考《用户命令手册》。如果进行基础配置时遇到问题，可以参考前几节中的故障定位手段。

确认“私网路由信息”正确传递
在保证配置正确的前提下，我们首先要确认“私网路由信息”的传递情况，扩展的BGP为每个VPN实例维护一张单独的路由表，我们可以象查看普通BGPv4的路由表一样查看每个VPN实例的扩展BGP路由表。只要扩展BGP的邻居关系可以正常建立，“私网路由信息”一般是可以在整网同步的。如果扩展BGP邻居不能正常建立，我们可以象排查普通BGPv4的故障一样来处理，扩展BGP的邻居建立条件与普通BGPv4相同，都是只需要保证TCP可达即可。

确认“私网标签”正确的分配
扩展BGP在邻居之间传递“私网路由信息”的同时，也会将路由信息对应的“私网标签”传递给邻居。对于扩展IBGP邻居来说，“私网标签”在整个转发过程中是不变的；对于扩展EBGP邻居来说，“私网标签”会在跨越AS边界时发生改变（每个ASBR都会将“私网标签”作swap操作）。我们需要确保整个链路上，无论“私网标签”是否发生改变，都是一一对应并且不发生错误的。如果发现“私网标签”发生了错误的更改，请拨打800技术支持热线，联系技术支持工程师协助您定位问题。

确认“公网LSP”的正确建立
L3　MPLS…VPN是多层标签转发的，只有“私网标签”不能完成工作，“私网标签”需要承载在由公网“标签分发协议”建立的LSP之上，才能完成VPN业务的部署。如果我们发现“私网标签”可以正常分配，但是无法建立“私网路由”对应的LSP，那么很有可能是PE之间没有建立双方Loopback接口地址对应的“公网LSP”。这里需要注意，PE之间的“公网LSP”必须是对应Loopback接口地址32位掩码主机路由的，因为只有主机路由才能保证“最后一跳”是没有歧义的，而且MPLS转发有“倒数第二跳�