管理信息化VR虚拟现实华为数通操作手册VRP全系列VRP故障处理手册路由器

管理信息化VR虚拟现实华为数通操作手册VRP全系列VRP故障处理手册路由器通用路由平台VRP故障处理手册路由篇目录目录第5章路由策略故障处理5-15.1路由策略与过滤器简介5-15.1.1路由策略与策略路由5-15.1.2地址前缀列表5-25.1.3AS路径访问列表5-25.1.4团体属性列表5-25.1.5扩展团体属性列表5-25.1.6路由策略5-35.2路由策略故障处理5-35.2.1典型组网环境5-35.2.2配置注意事项5-55.2.3故障诊断流程5-85.2.4故障处理步骤5-95.3故障处理案例5-115.3.1使用IP-Prefix过滤路由问题5-115.3.2使用AS-Path过滤路由问题5-135.3.3使用Community过滤路由问题5-155.3.4使用Extmunity过滤路由问题5-165.3.5使用route-policy过滤路由问题5-185.4FAQ5-215.5故障诊断工具5-225.5.1display命令5-225.5.2debugging命令5-275.5.3告警5-27ii第5章路由策略故障处理本章包含以下内容：路由策略与过滤器简介介绍了进行BGP故障处理时用户所需的知识要点。路由策略故障处理针对典型的BGP组网环境，介绍配置BGP时要注意的事项，BGP对等体不能建立连接故障处理的流程和详细的故障处理步骤。故障处理案例介绍了若干实际的故障处理案例。FAQ列出了用户常问的问题，并给出了相应的解答。故障诊断工具介绍了进行故障处理所需要的故障诊断工具，包括display命令和debugging命令、告警信息。5.1路由策略与过滤器简介本节包含以下内容：路由策略与策略路由地址前缀列表AS路径访问列表团体属性列表扩展团体属性列表路由策略5.1.1路由策略与策略路由性（包括可达性）来实现。策略路由Policy-Based-Route用于指导报文转发。本章只介绍路由策略。为实现路由策略，首先要定义将要实施路由策略的路由信息的特征，即定义一组匹配规则，路由策略中。只接收或发布一部分满足条件的路由信息；一种路由协议（如RIPng）可能需要引入其它的设置，以使其满足本协议的要求。5.1.2地址前缀列表地址前缀列表（IP-Prefix-Filter）包括IPv4地址前缀列表和IPv6地址前缀列表。地址前缀列表的作用类似于ACL，但比它更为灵活，且更易于为用户理解。地址前缀列表在应用于路由信息的过滤时，其匹配对象为路由信息的目的地址信息域。指定一个网络前缀形式的匹配范围，并用一个Index-Number来标识，Index-Number指明了进行匹配检查的顺序。在匹配的过程中，路由器按升序依次检查由Index-Number标识的各个表项，只要有某一表项满足条件，就意味着通过该地址前缀列表的过滤（不进入下一个表项的测试）。5.1.3AS路径访问列表BGP路由信息中包含的AS_PATHAS路径访问列表（as-path-filter）就是针对AS_PATH路径属性进行过滤的过滤器。5.1.4团体属性列表BGP路由的Community属性被一组具有相同的特性的前缀所共享，团体属性列表（Community-Filter）就是针对团体属性域指定匹配条件的过滤器。5.1.5扩展团体属性列表BGP的扩展团体属性也是定义了一组共享相同特性的前缀，目前VRP的Exmunity-Filter针对一种常用的扩展团体属性进行过滤：VPN-Target，定义了私网路由的VPN成员关系。5.1.6路由策略Route-policy并在条件满足时改变路由信息的属性。Route-Policy可以使用前面几种过滤器定义自己的匹配规则。一个Route-policy可以由多个节点Node构成，不同节点之间是“或的关系。系统按节点行匹配测试。每个节点由一组if-match和apply子句组成。if-match子句定义匹配规则，匹配对象是路由信息的一些属性。同一节点中的不同if-match子句是“与”的关系，只有满足节点内所有if-matchapply是在通过节点的匹配后，对路由信息的一些属性进行设置。5.2路由策略故障处理本节介绍如下的内容：典型组网环境配置注意事项故障诊断流程故障处理步骤5.2.1典型组网环境路由策略的典型组网如图5-1与图5-2所示。路由策略的故障处理将基于该网络。1.公网环境拓扑图5-1路由策略故障公网环境拓扑际环境中的路由发送/接收者。2.VPN环境拓扑图5-2路由策略故障VPN环境拓扑VPN环境时，路由策略可以应用在PE与CE上，用来发布/接收指定的路由。其中，在PE上对于VPNv4和VPNInstance可同时应用策略。以上拓扑是实际环境中VPN的一个简化拓扑，用于模拟实际环境中PE与CE中的路由发送/接收者。5.2.2配置注意事项1.路由策略中常用过滤器配置配置项子项注意事项配置项子项注意事项ip-prefixipip-prefixip-prefix配置IPv4前缀地址列表，列表名由-name[indexindex-numip-prefix-nameber]{permit|deny}ip-项，每一项可以指定索引值Index，若没有指定索addressmask-length[g引值，则生成项的索引值由此前缀列表已存在的最reater-equalgreater-大索引值+10；equal-value|less-equ若同时指定前缀长度在greater-equal和alless-equal-value]less-equal置的greater-equal值和less-equal值必须满足条件：mask-length<=greater-equal<=less-equal<=32；/掩码与要检查的路由地址/（Permit或Deny），不再去匹配其他表项；如果所有表项都是Deny模式，则任何路由都不Deny模式的表项后定义一条permit0greater-equal0less-equal32表项，允许其它所有IPv4路由信息通过。使用中最常见的理解错误是把IP-Prefix的配置方法和ACL的配置方法等同，实际上，在只指定IP-Address/Mask-Length的情况下，IP-Prefix只要匹配一段掩码范围内的路由，必须指定Greater-Equal和Less-Equal参数。配置项子项注意事项ipv6-prefixipipv6-prefixipv6-pr配置IPv6前缀地址列表，列表名由efix-name[indexindexipv6-prefix-name-number]{permit|deny匹配项，每一项可以指定索引值index，若没有指}ipv6-addressmask-le定索引值，则生成项的索引值由此前缀列表已存在ngth[greater-equalgr的最大索引值+10；eater-equal-value|le若同时指定前缀长度在greater-equal和ss-equalless-equal-vless-equalalue]置的greater-equal值和less-equal值必须满足条件：mask-length<=greater-equal<=less-equal<=128；节点，只要有一个节点满足条件，就认为通过该过滤列表，不再去匹配其他表项；如果所有表项都是Deny模式，则任何路由都不Deny模式的表项后定义一条permit::00greater-equal0less-equal128表项，允许其它所有IPv6路由信息通过。as-path-filipas-path-filteras-p使用正则表达式来定义AS-Path属性过滤规则，terath-filter-number{deBGP可以使用此过滤器来匹配BGP路由的AS-Pathny|permit}regular-ex属性，以此决定是否发布/接收路由。pression如果所有表项都是Deny模式，则任何路由都不Deny模式的表项后定义一条permit.*过；配置项子项注意事项munity-filtipmunity-filterbaersic-m-filter-num{den性号在1-99y|permit}[munity-num确的团体属性来定义过滤规则；属性号在100-199ber|aa:nn]*&<1-16>[i为高级团体属性过滤器，通过指定正则表达式来定nternet|no-export-su义过滤规则。bconfed|no-advertise对于基本团体属性过滤器，Internet选项表示|no-export]*匹配所有的团体属性；而对高级团体属性过滤器，ipmunity-filterad正则表达式”.*”表示匹配所有的团体属性。v-m-filter-num{deny|对于基本团体属性过滤器，有完全匹配模式permit}regular-expreWhole-MatchssionBGP给出的团体属性列表必须完全与过滤器规则中BGP给出的团体属性列表必须要包含过滤器规则中定义的团体属性才能匹配。如果所有表项都是Deny模式，则任何路由都不Deny模式的表项后定义一条permit.*permitinternet（基本团体属性过滤器）表项，允许其它所有路由信息通过。extmunity-fipextmunity-filterex定义扩展团体属性过滤器规则。iltert-m-list-number{deny|permit}rt{as-number:nn|ipv4-address:as-number}配置项子项注意事项route-policroute-policyroute-poPermit指定节点的匹配模式为允许。当路由项ylicy-name{permit|denApply子句，y}node{node-number}不进入下一个节点的测试；如果路由项没有通过该节点过滤，将进入下一个节点继续测试；当节点下没有If-Match子句时，所有节点路由都允许。Deny指定节点的匹配模式为拒绝，这时Apply子句不会被执行。当路由项满足该节点的所有If-MatchIf-Match子句，将进入下一个节点继续测试；当节点下没有If-Match子句时，所有的路由都被拒绝。如果所有的节点的If-Match规则都不能匹配，则整个策略的过滤结果默认是Deny。当所有节点都是配置Deny时，将导致所有路由均被拒绝，所以在所有Deny节点后至少配置一个Permit节点，以允许其它的路由通过。2.过滤器应用注意事项(1)假设当前过滤器下配置了至少一个节点，Permit或Deny合到要过滤路由的地址/掩码范围，则此路由过滤结果为Deny。(2)若是在策略中使用了某个不存在的过滤器，则结果为对所有要过滤的路由为Permit。3.正则表达式编写规则正则表达式是按照一定的模板来匹配字符串的公式。符号说明^匹配一个字符串的开始。如“^300”表示只匹配AS_Path的第一个值为300。$匹配一个字符串的结束。如“300$”表示只匹配AS_Path的最后一个值为300。.匹配任何单个字符，包括空格。+匹配前面的一个字符或者一个序列，1次或者多次出现。_匹配一个符号。如逗号，括号，空格符号等。*匹配前面的一个字符或者一个序列，可以0次或者多次出现。？匹配前面的一个字符，可以0次或者多次出现。()匹配的变化的AS或者一个独立的匹配，通常和“|”一起使用。|逻辑或。[]匹配的一个范围内的AS，通常和“-”一起使用。-连接符。举例：ipas-path-filter10deny^$：拒绝发布本地始发路由。ipas-path-filter10permit.*：允许发布/接收其他AS的路由。ipas-path-filter2deny(6[0-9]|7[0-9]|8[0-9]|9[0-9]|1[0-3][0-9]|130)$：拒绝从AS60-130始发的路由。ipmunity-filter100permit1000:10[0-9]$1000:100至1000:109之间的路由。5.2.3故障诊断流程针对图5-1或图5-2滤。请使用下面的故障诊断流程，如图5-3所示。图5-3路由策略故障诊断流程图5.2.4故障处理步骤概要的故障处理步骤如下：步骤操作1检查网络的连通性。2检查路由协议配置是否正确。3检查IP-Prefix-Filter是否配置。4检查AS-Path-Filter是否配置。5检查Community-Filter是否配置。6检查Extmunity-Filter是否配置。7检查Route-Policy是否配置。详细的故障处理步骤如下：1.检查网络的连通性使用displayipinterfacebrief命令来检查各个接口的状态。Up表示可用，Down表示不可用。如果接口状态为Down请检查线路是否连接好，接口是否被Shutdown。2.检查路由协议配置是否正确使用displaycurrent-configuration命令来检查当前的路由器配置。使用displaycurrent-configurationconfiguration命令来检查路由协议配置是否正确。如果路由协议配置的不正确，请您参考相应协议的故障处理手册。3.检查IP-Prefix-Filter是否配置使用displayipip-prefix命令检查当前路由器是否配置IP-Prefix-Filter。如果已配置请查看IP-Prefix-Filter配置注意事项请查看配置注意事项中有关IP-Prefix-Filter的部分。4.检查AS-Path-Filter是否配置使用displayipas-path-filter命令检查当前路由器是否配置AS-Path-Filter请查看AS-Path-Filter配置注意事项请查看配置注意事项中有关AS-Path-Filter的部分。5.检查Community-Filter是否配置使用displayipmunity-filter命令查看当前路由器是否配置Community-Filter。如果已配置请查看团体属性过滤器配置注意事项请查看配置注意事项中有关Community-Filter的部分。6.检查Exmunity-Filter是否配置使用displayipexmunity-filter命令查看当前路由器是否配置Exmunity-Filter置请查看拓展团体属性过滤器配置注意事项请查看配置注意事项中有关Exmunity-Filter的部分。7.检查Route-Policy是否配置使用displayroute-policy命令检查当前路由器是否配置了Route-Policy看Route-Policy过滤器配置注意事项请查看配置注意事项中有关Route-Policy的部分。如果检查结束，故障仍然无法排除，请联系华为的技术支持工程师Http://.。5.3故障处理案例本节列出了常见的故障处理案例，如下：使用IP-Prefix过滤路由问题使用AS-Path过滤路由问题使用Community过滤路由问题使用Extmunity过滤路由问题使用Route-Policy过滤路由问题5.3.1使用IP-Prefix过滤路由问题1.网络环境组网图请参考图5-1案例中RouterA采用IP-Prefix过滤器对从RouterB中接收到的路由进行过滤：RouterA上的配置：#bgp100peeras-number200#ipv4-familyunicastundosynchronizationpeerenablepeerip-prefixrtaimport#ipip-prefixrtaindex20deny32#RouterB上的配置：#bgp200peeras-number100#ipv4-familyunicastundosynchronizationnetwork55network55peerenable#使用displayiprouting-table命令查看RouterA上接收到的路由，应该可以接收到/32，但是路由表中没有。2.故障分析使用以下步骤调查故障原因：(1)检查RouterB路由表信息，确定是否所有路由已被通告给邻居RouterA。(2)在RouterB上使用displaybgprouting-table，显示路由表信息，发现/32及/32这两条路由均已通告给RouterA，问题应该是在RouterA上。(3)检查RouterA上的BGP配置，确定BGP在接收路由时是否使用了过滤器。(4)在RouterA上使用displaycurrent-configurationconfigurationbgp命令检查BGPRouterB通告过来的路由时使用了IP-Prefix计是过滤器将所有路由都过滤了。(5)检查IP-Prefix过滤器的配置。确定此路由是否被过滤器过滤掉了。(6)在RouterA上使用displayipip-prefixrta命令查看过滤器的配置，发现仅对路由/32配置了Deny策略，但对于路由/32没有配置Permit。RouterA上使用IP-Prefix过滤路由问题。系统过滤路由时对于没有匹配的路由默认返回Deny，所以将/32也过滤了。3.处理步骤Deny即可。在RouterA上执行如下操作：步骤操作1将过滤规则替换为ipip-prefixrtaindex10permit32使用displayiprouting-table命令查看RouterA上接收到的路由，发现路由表中出现路由/32，故障被排除。4.案例总结当配置IP-PrefixDeny/掩码的路由系统默认返回Deny。所以，需要配置Permit节点对指定路由允许。请参考配置注意事项IP-Prefix小节。5.3.2使用AS-Path过滤路由问题1.网络环境图5-4AS-Path过滤路由故障处理案例组网图案例中RouterA采用AS-Path过滤器对从RouterB通告过来的路由进行过滤：RouterA上的配置：#bgp100peeras-number200#ipv4-familyunicastundosynchronizationpeerenablepeeras-path-filter10import#ipas-path-filter10deny65430#RouterB上的配置：#bgp200peeras-number100peeras-number65431peeras-number65430#ipv4-familyunicastundosynchronizationpeerenablepeerenablepeerenable#RouterC上的配置：#bgp65430peeras-number200#ipv4-familyunicastundosynchronizationnetwork55peerenable#RouterD上的配置：#bgp65431peeras-number200#ipv4-familyunicastundosynchronizationnetwork55peerenable#发现故障：使用displayiprouting-table命令查看RouterA上接收到的路由，应该可以看到RouterA过滤了RouterC通告的路由，接收了RouterD通告的路由，但路由表中显示RouterC及RouterD的路由均被RouterA过滤掉了。2.故障分析故障现象：RouterA路由表中没有RouterD通告的路由。使用以下步骤调查故障原因：(1)检查RouterB是否已将所有路由通告给邻居RouterA。(2)在RouterB上使用displayiprouting-tableRouterB是否接收到了来自RouterC和RouterD的路由，结果显示已经接收到了。所以判断问题应该是在RouterA上。(3)检查RouterA上的BGP配置，确定BGP在接收路由时是否使用了过滤器。(4)在RouterA上使用displaycurrent-configurationconfigurationbgp查看BGP的配置，发现BGP对从RouterB通告过来的路由使用了名为10的as-path过滤器过滤路由，估计是过滤器将所有路由都过滤了。(5)检查RouterA上AS-Path正则表达式的编写和过滤器的配置。(6)在RouterA上使用displayipas-path-filter10查看过滤器的配置，发现仅对来自AS号为65430的路由配置了Deny策略，但对于来自65431域的路由没有配置Permit。RouterA上使用AS-Path过滤路由问题。系统过滤路由时对于没有匹配的路由默认返回Deny，所以将来自AS65431域的路由也过滤掉了。3.处理步骤因为系统过滤路由时对于没有匹配的路由默认返回Deny由即可。在RouterA上执行如下操作：步骤操作1将过滤规则替换为ipas-path-filter10permit65431使用displayiprouting-table命令查看RouterA上接收到的路由，发现路由表中出现路由/32，故障被排除。4.案例总结当配置AS-Path过滤路由时，需要注意：正则表达式的编写规则；若是仅配置Deny节点，那么对于没有命中AS-Path范围的系统返回Deny。所以，需要配置Permit节点对指定路由允许。请参考配置注意事项AS-Path小节。5.3.3使用Community过滤路由问题Community-Filter一般情况下作为route-policy的if-match子句的匹配条件，当满足if-matchmunity-filter<basicoradvancedmunity-list>时，对路由应用apply子句下的动作。需要注意AdvancedCommunity-List中正则表达式的编写规则。请参考配置注意事项的附注中正则表达式编写规则部分。5.3.4使用Extmunity过滤路由问题1.网络环境组网图请参考图5-2用户组网需求：CE1、CE3属于VPN-A，CE2、CE4属于VPN-B；VPN-A使用的VPN-Target属性为100:1VPN-B使用的VPN-Target属性为200:1。不同VPN用户之间不能互相访问；CE与PE之间配置EBGP交换VPN路由信息；PE与PE之间配置OSPF实现PE内部的互通、配置MP-IBGP交换VPN路由信息。用户在PE2上面又添加了一个VNP-C，ExportVPNTargets:300:1，ImportVPNTargets:100:1200:1，此时VNP-C可以接受到VPN-A和VPN-B的路由。用户此时有一个需求，希望VPN-C上只收到来自VPN-A的路由。此时利用Extmunity-Filter进行过滤。进行如下的配置：[Quidway]ipvpn-instancevpnc[Quidway–vpn-instance-vpnc]route-distinguisher300:1[Quidway–vpn-instance-vpnc]importroute-policyexm-filter[Quidway–vpn-instance-vpnc]vpn-target300:1export-extmunity[Quidway–vpn-instance-vpnc]vpn-target100:1200:1import-extmunity查看VPN-C的路由表：<Quidway>displayiprouting-tablevpn-instancevpnc#RoutingTables:vpncDestinations:6Routes:6Destination/MaskProtoPreCostNextHopInterface/32BGP2550Ethernet/32BGP2550Ethernet1/24BGP2550Ethernet1/24BGP2550Ethernet1/24BGP2550Ethernet10/32BGP.0.0.1InLoopBack0VPN-C的路由表中仍然有VPN-B的路由。/32这条路由没有过滤掉。2.故障分析故障现象：VPN-C的路由表中显示路由/32没有被过滤掉。使用以下步骤调查故障原因：(1)参考前例检查过程将故障原因定位到过滤器的应用上。(2)查看当前的路由策略Route-Policy和IPExtmunity-Filter首先使用displaycurrent-configurationconfigurationroute-policy命令查看一下VPN-C下引入路由时用的过滤器Extmunity-Filter。<Quidway>displaycurrent-configurationconfigurationroute-policy#route-policyexm-filterpermitnode10if-matchextmunity-filter1#然后使用displayipextmunity-filter命令查看一下VPN-C下过滤器Extmunity-Filter应用的过滤规则。<Quidway>displayipextmunity-filter#ExtendedCommunityfilterNumber1permitrt:0:0rt:100:1#(3)查找故障原因扩展团体属性列表Extmunity-List仅用于BGP。BGP的扩展团体有两种，一种是用于VPN的路由目标扩展团体。扩展团体属性列表就是扩展团体属性指定匹配条件。如果Extmunity-Filter的配置中只包含VPN-Target，则只要这些VPN-TARGET中有一个与BGP给出的VPN-Target集合匹配，就认为过滤器命中，返回指定的Permit或Deny结果。比如：配置ipextmunity-filterpermitrt100:1rt200:1BGP配置RT：100:1300:1400:1结果是：命中，PermitBGP给出RT：300:1400:1结果：不命中，Deny如果Extmunity-Filter的配置中指定VPN-Target0:0，则将匹配所有的VPN-Target。比如：配置ipextmunity-filterpermitrt0:0BGP给出任何RT都将匹配。但如果不给RT则不匹配。如果Extmunity-Filter的配置中未指定VPN-Target，则无论BGP给出任何RT，结果都将是不匹配。Deny使用同样的规则。检查本例中VPN-C下的过滤器Extmunity-Filter的过滤规则：permitrt:0:0rt:100:1同时应用了RT:0:0和RT:100:1。故障的原因定位：在VPN-C下使用Extmunity-List过滤路由问题。过滤规则permitrt:0:0rt:100:1RT:0:0和RT:100:1VPN-B的路由也被接受了。3.处理步骤在PE2上的VPN-C下执行如下操作步骤操作1更改ipextmunity-filter1为如下所示的配置：<Quidway>displayipextmunity-filter1#permitrt:100:1#使用displayiprouting-tablevpn-instancevpnc命令查看VPN-C的路由表项，发现已经没有来自VPN-B的路由了，表明故障解决。4.案例总结此案例是Extmunity-FilterExtmunity-Filter则。特别注意RT0:0配置的使用规则。如果Extmunity-Filter的配置中指定VPN-Target0:0，则将匹配所有的VPN-Target。如果BGP没有指定VPN-Target，视为不匹配。5.3.5使用route-policy过滤路由问题1.网络环境组网图请参考图5-2。CE1、CE3属于VPN-A，CE2、CE4属于VPN-B。VPN-A使用的VPN-Target属性为100:1VPN-B使用的VPN-Target属性为200:1。不同VPN用户之间不能互相访问。CE与PE之间配置EBGP交换VPN路由信息。PE与PE之间配置OSPF实现PE内部的互通，配置MP-IBGP交换VPN路由信息。在PE2上面有添加了一个VNP-C，ExportVPNTargets:300:1，ImportVPNTargets:100:1200:1，此时VNP-C可以接受到VPN-A和VPN-B的路由。希望VPN-C上收到来自VPN-A的路由和来自VPN-B的路由，并且把从VPN-A引入的路由Cost加100，把从VPN-B引入的路由Cost加200。利用Route-Policy完成此需求。进行如下配置：[Quidway]route-policyFilter-policypermitnode10[Quidway-route-policy]if-matchextmunity-filter1[Quidway-route-policy]applycost+100[Quidway-route-policy]if-matchextmunity-filter2[Quidway-route-policy]applycost+200查看VPN-C的路由表：<Quidway>displayiprouting-tablevpn-instancevpnc#RoutingTables:vpncDestinations:6Routes:6Destination/MaskProtoPreCostNextHopInterface/32BGP.1.1.9Ethernet/32BGP.1.1.9Ethernet1/24BGP.1.1.9Ethernet1/24BGP.1.1.9Ethernet1/24BGPEthernet10/32BGPInLoopBack0#发现故障：没有得到预期的效果，VPN-C的路由表中显示：不论来自VPN-A还是VPN-B的路由都应用了Cost+200的策略。2.故障分析故障现象：来自VPN-A的路由Cost应该加100，而不是200。使用以下步骤调查故障原因：(1)参考前例检查过程将故障原因定位到过滤器的应用上。(2)查看当前的路由策略Route-Policy和IPExtmunity-Filter。首先使用displaycurrent-configurationconfigurationroute-policy命令查看一下VPN-C下引入路由时用的过滤器Filter-Policy<Quidway>displaycurrent-configurationconfigurationroute-policy#route-policyFilter-policypermitnode10if-matchextmunity-filter12applycost+200#然后使用displayipextmunity-filter命令查看一下拓展团体属性列表<Quidway>displayipextmunity-filterExtendedCommunityfilterNumber1permitrt:100:1ExtendedCommunityfilterNumber2permitrt:200:1(3)查找故障原因首先来回顾一下Route-Policy的应用规则：一个Route-Policy可以由多个节点构成，不同节点之间是“或”的关系。系统按节点序号匹配测试。检查本例中VPN-C下的过滤器Filter-Policy的过滤规则：if-matchextmunity-filter12applycost+200由于每个if-match配置项的关系是“与”的关系，希望VPN-C上收到来自VPN-A的路由和来自VPN-B的路由，并且把从VPN-A引入的路由Cost加100，把从VPN-B引入的路由Cost加200，应该应用多节点的“或”关系。故障的原因定位：在VPN-C下使用Route-Policy过滤路由问题。3.处理步骤在PE2上的VPN-C下执行如下操作步骤操作1更改route-policyFilter-policypermitnode10为如下所示的配置：<Quidway>displaycurrent-configurationconfigurationroute-policyroute-policyFilter-policypermitnode10if-matchextmunity-filter1applycost+100route-policyFilter-policypermitnode20

if-matchextmunity-filter2applycost+200使用displayiprouting-tablevpn-instancevpnc命令查看VPN-C的路由表项，来自VPN-A的路由Cost增加了100，表明故障解决。4.案例总结此案例是一个Route-PolicyRoute-Policy特别注意Route-Policy中不同的节点之间是“或的关系，每个if-match之间是“与的关系。5.4FAQ(1)IPv4前缀列表进行路由过滤，应用该策略后发现无法达到预先设计的过滤结果？(2)答：可能的故障原因及解决方案：使用displayipip-prefixprefix-list-name命令查看指定的前缀列表是否存在或没被应用。如果指定的前缀列表不存在，则该路由策略将引入所有路由。确认允许所有路由通过的缺省表项位于所有过滤规则之后。(3)IPv6前缀列表进行路由过滤，应用该策略后发现无法过滤路由？(4)答：可能的故障原因及解决方案：使用displayipipv6-prefixprefix-list-name命令查看指定的前缀列表是否存在或没被应用。如果指定的前缀列表不存在，则该路由策略将引入所有路由。确认允许所有路由通过的缺省表项位于所有过滤规则之后。(5)问：BGP使用AS-Path过滤器过滤路由，发现要过滤的路由没有被过滤？(6)答：可能的故障原因及解决方案：使用displaycurrent-configurationconfigurationbgp命令查看BGP的配置，确认使用的AS-Path。使用displayipas-path-filteras-path-list-number查看配置的AS-PathDeny要配置一个Permit节点。(7)BGP协议使用Route-Policy来过滤指定路由，发现所有的路由都被过滤？(8)答：可能的故障原因及解决方案：使用displaycurrent-configurationconfigurationbgp命令查看BGP的配置，确认使用的Route-Policy。使用displayroute-policypolicy-name查看配置的路由策略，在所有Deny节点配置之后，至少需要配置一个Permit节点。5.5故障诊断工具5.5.1display命令命令内容说明displayipip-prefix[ip-prefix-name]显示IP-Prefix过协议使用滤器的当前配置信IP-Prefix的方息。式请参考各个协议的配置方式。displayipipv6-prefix[ipv6-prefix-name]显示IPv6-Prefix协议使用过滤器的当前配置IPv6-Prefix的信息。方式请参考各个协议的配置方式。displayipas-path-filter[as-path-filternumbe显示协议使用r]AS-Path-Filter过AS-Path-Filte滤器的当前配置信r的方式请参考息。各个协议的配置方式。displayipmunity-filter显示[munity-filternumber]Community-Filter过滤器的当前配置信息。过滤器值在<1-99>的为基本团<100-199>的为高级团体过滤器。displayipextmunity-filter显示[extmunity-filternumber]Extmunity-Filter过滤器的当前配置信息。displayroute-policy显示Route-Policy协议使用[route-policyname]过滤器的当前配置Route-Policy信息。的方式请参考各个协议的配置方式。1.displayipip-prefix<Quidway>displayipip-prefixPrefix-listtestPermitted0Denied0index:10permit/24ge24le32index:20permit/32表5-1displayipip-prefix命令输出信息描述项目描述Prefix-list已配置的Prefix名称。Permitted显示使用此过滤器允许的路由条目数。Denied显示使用此过滤器拒绝的路由条目数。Index此过滤器下的表项索引值。Permit允许的IP前缀。Deny拒绝的IP前缀。Ge大于等于路由的前缀长度。Le小于等于路由的前缀长度(必须<=32)。2.displayipipv6-prefix<Quidway>displayipipv6-prefixPrefix-list610Permitted0Denied0index:10permit1::/64ge64le128index:20deny2::/64表5-2displayipipv6-prefix命令输出信息描述项目描述Prefix-list6已配置的Prefix6名称。Permitted显示使用此过滤器允许的路由条目数。Denied显示使用此过滤器拒绝的路由条目数。Index此过滤器下的表项索引值。Permit允许的IP前缀。Deny拒绝的IP前缀。3.displayipas-path-filter<Quidway>displayipas-path-filterListIDModeExpression10permit10010deny200表5-3displayipas-path-filter命令输出信息描述项目描述ListIDAS-Path过滤器的序列号。项目描述Mode匹配的模式：Permit：允许。Deny：拒绝。Expression要过滤的AS-Path的正则表达式。4.displayipmunity-filter<Quidway>displayipmunity-filterCommunityfilterNumber100permit.*:.*CommunityfilterNumber199deny110:10表5-4displayipmunity-filter命令输出信息描述项目描述CommunityfilterNumber团体过滤器的序列号。Permit允许的团体属性正则表达式。Deny拒绝的团体属性正则表达式。5.displayipextmunity-filter<Quidway>displayipextmunity-filterExtendedCommunityfilterNumber100permitrt:1:1denyrt:2:2表5-5displayipextmunity-filter命令输出信息描述项目描述ExtendedCommunityfilterNumber扩展团体过滤器的序列号。Permit允许的RT。Deny拒绝的RT。Rt路由目标扩展团体属性。6.displayroute-policy表5-6displayroute-policy命令输出信息描述项目描述Route-policy配置的路由策略名。Permit被允许的节点索引。Deny被拒绝的过滤节点索引。MatchClauses配置的匹配策略。项目描述ApplyClauses对路由应用某种操作。表5-7MatchClauses策略规则MatchClauses描述if-matchaclacl-number根据ACL匹配。if-matchas-path-filteras-path-acl-number根据BGP路由的自治域系统路径列表匹配。if-matchmunity-filter{std-m-list-number[whole-match]|ext-m-list-number}根据BGP路由的基本团体属性<1-99>或是高级团体属性匹配<100-199>。if-matchcostvalue根据路由的权值匹配。if-matchextmunity-filterext-m-list-number根据路由的扩展团体属性列表匹配。if-matchinterfaceinterface-typeinterface-number根据路由的出接口匹配。if-matchip{next-hop|route-source}{aclacl-number|ip-prefixip-prefix-name}根据路由的IPv4信息匹配，下一跳或源地址可根据ACL或IP-Prefix匹配。if-matchip{next-hop|route-source}{aclacl-number|ip-prefixip-prefix-name}根据路由的源地址匹配，源地址可根据ACL或IP-Prefix匹配。if-matchip-prefixip-prefix-name根据路由的前缀列表匹配。MatchClauses描述if-matchipv6{address|next-hop|route-source}prefix-listipv6-prefix-name根据路由的IPv6信息匹配，源地址或下一跳地址可根据前缀列表匹配。if-matchmpls-label根据路由标签匹配。if-matchroute-typeexternal-type1根据OSPF外部度量类型1匹配。if-matchroute-typeexternal-type1or2根据OSPF外部度量类型1或2匹配。if-