驚險(xiǎn)一：遠(yuǎn)端路由器無(wú)法連接

A地市局報(bào)告說(shuō)，下面所有的縣局網(wǎng)絡(luò)無(wú)法訪問(wèn)省局的“省政務(wù)一體化平臺(tái)”，而地市局訪問(wèn)此平臺(tái)沒(méi)有問(wèn)題。地市局網(wǎng)絡(luò)結(jié)構(gòu)如圖1所示。該應(yīng)用系統(tǒng)平臺(tái)部署在政務(wù)外網(wǎng)，IP地址59.225.200.123，在地市局的路由器AR3260上已配置了相關(guān)的靜態(tài)路由，下一跳為政務(wù)外網(wǎng)防火墻的接口地址，但在縣局PC端用命令tracert跟蹤路由居然走到省局去了，所以A地市局IT負(fù)責(zé)人認(rèn)為問(wèn)題出在省局。

圖1 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)

遠(yuǎn)程登錄到A地市局的路由器查看路由表，到政務(wù)一體化平臺(tái)的路由有2條，一條靜態(tài)路由到59.0.0.0/8的下一跳為地市局政務(wù)外網(wǎng)防火墻的接口地址，優(yōu)先級(jí)默認(rèn)為60。另一條是O_ASE路由到59.225.200.0/24的下一跳為省局IDC機(jī)房路由器接口地址，優(yōu)先級(jí)為150。正是后面一條路由，導(dǎo)致A市的縣局網(wǎng)絡(luò)訪問(wèn)走到了省局。當(dāng)時(shí)就沒(méi)弄明白，為什么優(yōu)先級(jí)高的靜態(tài)路由沒(méi)有生效（按路由優(yōu)先級(jí)的數(shù)字越低其優(yōu)先級(jí)越高），反而在tracert中路由匹配了優(yōu)先級(jí)低的O_ASE路由條目。而測(cè)試確認(rèn)，另一條靜態(tài)路由59.223.0.0/24段到政務(wù)外網(wǎng)防火墻是正常的。

再分析A地市局網(wǎng)絡(luò)正常訪問(wèn)政務(wù)外網(wǎng)的原因，是因?yàn)橹苯幼叩氖芯趾诵慕粨Q機(jī)到政務(wù)外網(wǎng)防火墻，完全沒(méi)有經(jīng)過(guò)市局邊界路由器。所轄縣局訪問(wèn)線路必須經(jīng)過(guò)該路由器，而路由器上莫名其妙串出一條O_ASE路由將訪問(wèn)政務(wù)外網(wǎng)引到了省局網(wǎng)絡(luò)。

剛好前一段時(shí)間在華為網(wǎng)站上看到一個(gè)在線視頻，介紹了OSPF路由過(guò)濾的問(wèn)題，心想把這條O_ASE路由過(guò)濾掉不就解決問(wèn)題了嗎？有了這個(gè)解決問(wèn)題的思路，但具體操作卻想不起來(lái)了，網(wǎng)上搜索關(guān)鍵字“OSPF路由過(guò)濾”，在H3C的論壇里找到一個(gè)貼子，華為和H3C（華三）網(wǎng)絡(luò)設(shè)備的配置命令基本類(lèi)似，所以就拿來(lái)一用。

在AR3260上輸入sys進(jìn)入配置模式，ip ip-prefix test1 index 10 deny 59.225.200.0 24 ；輸入ospf 1進(jìn)入ospf進(jìn)程，filterpolicy ip-prefix test1 import，配置命令輸入后回車(chē)，悲劇了，通過(guò)secureCRT連接到A地市局路由器瞬間斷開(kāi)。聯(lián)系對(duì)方IT人員后，得知此時(shí)市局無(wú)法訪問(wèn)省局的服務(wù)器。由于沒(méi)有保存配置，可重啟路由器解決該問(wèn)題。由于此路由器并不在我的管理范圍內(nèi)，怕重啟引出更多問(wèn)題而放棄該辦法。

出現(xiàn)緊急情況向主管報(bào)告，他讓我通過(guò)在省局IDC路由器上登錄A地市局路由器的直連接口IP，看能否登錄。由于地市局路由器只是開(kāi)啟SSH服務(wù)，而在路由器上使用SSH協(xié)議登錄遠(yuǎn)程路由器還不知道怎么操作，只得主管親自緊急處理。他查閱華為電子手冊(cè)，很快找到所需的配置命令，ssh client first-time enable；stelnet 172.27.254.98回車(chē)，輸入用戶(hù)名密碼完成登錄。再進(jìn)入OSPF進(jìn)程，undo filter-policy ip-prefix test1 import，完美解除緊急狀況，此刻又能正常遠(yuǎn)程連接A市局路由器了，對(duì)方到省局的網(wǎng)絡(luò)也恢復(fù)正常。

梳理一下通過(guò)路由器的SSH客戶(hù)端登錄遠(yuǎn)程路由器的配置原理，ssh client first-time enable是因?yàn)槿A為交換機(jī)默認(rèn)情況，SSH客戶(hù)端首次認(rèn)證功能是關(guān)閉的。使能SSH客戶(hù)端首次認(rèn)證功能的目的，是當(dāng)STelnet客戶(hù)端第一次登錄SSH服務(wù)器時(shí)不對(duì)SSH服務(wù)器的RSA公鑰進(jìn)行有效性檢查，因?yàn)榇藭r(shí)STelnet客戶(hù)端還沒(méi)有保存SSH服務(wù)器的RSA公鑰。如果沒(méi)有使能SSH客戶(hù)端首次認(rèn)證功能，則STelnet客戶(hù)端第一次登錄SSH服務(wù)器時(shí)，由于對(duì)SSH服務(wù)器的RSA公鑰有效性檢查失敗，導(dǎo)致無(wú)法登錄遠(yuǎn)程路由器。

最后，還得解決A地市局訪問(wèn)“政務(wù)一體化”平臺(tái)的問(wèn)題。主管看了遠(yuǎn)端路由器上的路由配置，給出立桿見(jiàn)影還不費(fèi)勁的解決辦法。在AR3260上加一條主機(jī)的靜態(tài)路由，配置命令是ip routestatic 59.225.200.123 32 10.10.10.101，再和對(duì)方IT確認(rèn)，縣局都能正常訪問(wèn)“政務(wù)一體化”平臺(tái)了?？梢?jiàn)，實(shí)際工作中不僅要對(duì)網(wǎng)絡(luò)知識(shí)能夠透徹理解，還要在實(shí)踐中不斷積累經(jīng)驗(yàn)，方能快速有效地解決問(wèn)題。

驚險(xiǎn)二：配置不當(dāng)引發(fā)路由環(huán)路

B地市局的縣局因類(lèi)似的工作需要訪問(wèn)“省政務(wù)一體化平臺(tái)”，故障現(xiàn)象和A地市局情況一樣，地市局PC都能正常訪問(wèn)，而所有縣局PC都無(wú)法訪問(wèn)。由于管理人員技術(shù)欠缺的個(gè)人因素，加之歷史上曾經(jīng)由省局直接管理過(guò)地市局路由器的原因，對(duì)方強(qiáng)烈要求省局解決此問(wèn)題，而且對(duì)方還無(wú)法提供B市局的網(wǎng)絡(luò)拓?fù)鋱D。

有了前面A地市局路由問(wèn)題的解決經(jīng)驗(yàn)，心想摸著石頭過(guò)河也能輕松搞定。雖然對(duì)方?jīng)]有給出網(wǎng)絡(luò)拓?fù)洌孪胪粰C(jī)關(guān)系統(tǒng)的網(wǎng)絡(luò)架構(gòu)也差不多。從secureCRT登錄B地市局的路由器，和對(duì)方溝通了解到，政務(wù)外網(wǎng)防火墻接口地址 為10.10.10.109，添 加一條靜態(tài)路由，當(dāng)時(shí)想如果還是只加一個(gè)主機(jī)路由，以后若還有其他需要走政務(wù)外網(wǎng)防火墻的路由，還要手動(dòng)添加，這次何不加一條網(wǎng)段 路 由，ip route-static 59.225.200.0 24 10.10.10.109。

配置好后讓對(duì)方確認(rèn)，仍然不能訪問(wèn)“政務(wù)一體化”平臺(tái)，而且連市局都不能正常訪問(wèn)了。讓對(duì)方tracert跟蹤路由才發(fā)現(xiàn)，剛才那條配置引起了路由環(huán)路（如圖2）。因?yàn)锽地市局不能提供網(wǎng)絡(luò)拓?fù)鋱D，暫時(shí)無(wú)法解釋環(huán)路是如何形成的。趕快撤消前面的配置undo ip routestatic 59.225.200.0 24 10.10.10.109，看來(lái)只能加上主機(jī)路由了，ip routestatic 59.225.200.123 32 10.10.10.109。再和對(duì)方確認(rèn)，B地市局訪問(wèn)恢復(fù)正常，下面的縣局也都能正常訪問(wèn)“政務(wù)一體化”平臺(tái)。

路由問(wèn)題治標(biāo)還需治本

圖2 tracert跟蹤路由發(fā)現(xiàn)路由環(huán)路

其他地市陸續(xù)報(bào)出以上類(lèi)似問(wèn)題，有技術(shù)能力的地市局就加主機(jī)路由自行解決了訪問(wèn)故障，而大部分地市局都需要我們協(xié)助處理。經(jīng)過(guò)排查，發(fā)現(xiàn)該問(wèn)題的根本原因還是因?yàn)槭【志W(wǎng)絡(luò)中有路由器在OSPF引入了一條外部路由，改變了地市局網(wǎng)絡(luò)訪問(wèn)“政務(wù)一體化”的路由走向。原本走地市局政務(wù)外網(wǎng)防火墻出去，現(xiàn)在就被這條O_ASE路由引到省局，又被省局政務(wù)外網(wǎng)防火墻阻止，最終無(wú)法正常訪問(wèn)“政務(wù)一體化”平臺(tái)。

為了治本，得仔細(xì)看一下這條路由為什么被引入，在哪臺(tái)路由器上引入，可否直接在源路由器上過(guò)濾掉此條路由對(duì)其他路由器的傳播。

在A地市局邊界路由器上查詢(xún)OSPF鏈路數(shù)據(jù)庫(kù)dis ospf lsdb | in 59.225.200，到59.225.200.0網(wǎng)絡(luò)連接類(lèi)型為External，宣告路由器為172.27.254.2，正是省局管理機(jī)房的1臺(tái)路由器宣告的外部路由。再登錄該路由器檢查配置，發(fā)現(xiàn)如下相關(guān)條目：

圖3 OSPF骨干區(qū)域area0

再檢查省局管理機(jī)房的核心交換機(jī)，也開(kāi)啟了OSPF路由，與省局網(wǎng)絡(luò)出口路由器同在區(qū)域area0。進(jìn)一步分析，上面的配置目的是為了省局網(wǎng)絡(luò)用戶(hù)的計(jì)算機(jī)訪問(wèn)政務(wù)外網(wǎng)服務(wù)器指定了出口路由，省去了在核心交換機(jī)上配置靜態(tài)路由到政務(wù)外網(wǎng)防火墻。估計(jì)后來(lái)省局網(wǎng)絡(luò)在IDC新建了機(jī)房，又將IDC路由器和核心交換機(jī)劃入了OSPF骨干區(qū)域area0，通過(guò)動(dòng)態(tài)路由打通省局網(wǎng)絡(luò)機(jī)房和IDC各網(wǎng)段的連接（如圖3）。同時(shí)，這條路由又被宣告到其他OSPF區(qū)域，影響了地市局訪問(wèn)政務(wù)外網(wǎng)服務(wù)器路由走向，當(dāng)大家訪問(wèn)“政務(wù)一體化”平臺(tái)時(shí)問(wèn)題就出現(xiàn)了。

理清了O_ASE路由的來(lái)弄去脈，對(duì)于該問(wèn)題的治本辦法也就簡(jiǎn)單了。首先在省局核心交換機(jī)上配置靜態(tài)路由ip route-static 59.223.0.0 24 211.211.211.1，ip route-static 59.225.0.0 24 211.211.211.1，讓省局網(wǎng)絡(luò)通過(guò)靜態(tài)路由訪問(wèn)政務(wù)外網(wǎng)指定網(wǎng)段。然后在省局出口路由器上進(jìn)入OSPF視圖，撤消之前引入到政務(wù)外網(wǎng)的靜態(tài)路由undo import-route static route-policy 2011，最 后undo num 2011，保存配置。

在排查過(guò)程中搜索互聯(lián)網(wǎng)關(guān)于OSPF路由發(fā)現(xiàn)一好帖子在此分享：http://support.huawei.com/huaweiconnect/enterprise/thread-251907.html，路 由過(guò)濾分為對(duì)路由表的過(guò)濾和阻止lsa生成兩種方式。上述問(wèn)題還有其他更好的解決辦法，由于路由器軟件版原因，未能測(cè)試成功。還有華為HCNP在線視頻教程也值得分享：http://support.huawei.com/learning/Certi ficate!showCertificate?pb iPath=term1000025451&id=N ode1000004373。

經(jīng)驗(yàn)總結(jié)

經(jīng)過(guò)這幾次路由調(diào)試和排查，深刻理解了網(wǎng)絡(luò)路由條目的匹配除了優(yōu)先級(jí)、開(kāi)銷(xiāo)值外，讓我掌握了最長(zhǎng)配原則,還有靜態(tài)路由是逐跳傳遞、雙向有去也要有回的數(shù)據(jù)包才能通。