华为数通操作手册VRP全系列VRP故障处理手册路由器

目录TOC\o"1-3"第5章路由策略故障解决 5-15.1路由策略与过滤器简介 5-15.1.1路由策略与策略路由 5-15.1.2地址前缀列表 5-25.1.3AS途径访问列表 5-25.1.4团队属性列表 5-25.1.5扩展团队属性列表 5-25.1.6路由策略 5-35.2路由策略故障解决 5-35.2.1典型组网环境 5-35.2.2配置注意事项 5-55.2.3故障诊断流程 5-85.2.4故障解决环节 5-95.3故障解决案例 5-115.3.1使用IP-Prefix过滤路由问题 5-115.3.2使用AS-Path过滤路由问题 5-135.3.3使用Community过滤路由问题 5-155.3.4使用Extcommunity过滤路由问题 5-165.3.5使用route-policy过滤路由问题 5-185.4FAQ 5-215.5故障诊断工具 5-225.5.1display命令 5-225.5.2debugging命令 5-275.5.3告警 5-27路由策略故障解决本章包含以下内容：HYPERLINK路由策略与过滤器简介

介绍了进行BGP故障解决时用户所需的知识要点。HYPERLINK路由策略故障解决

针对典型的BGP组网环境，介绍配置BGP时要注意的事项，BGP对等体不能建立连接故障解决的流程和具体的故障解决环节。HYPERLINK故障解决案例

介绍了若干实际的故障解决案例。HYPERLINKFAQ

列出了用户常问的问题，并给出了相应的解答。HYPERLINK故障诊断工具

介绍了进行故障解决所需要的故障诊断工具，涉及display命令和debugging命令、告警信息。路由策略与过滤器简介本节包含以下内容：HYPERLINK路由策略与策略路由HYPERLINK地址前缀列表HYPERLINKAS途径访问列表HYPERLINK团队属性列表HYPERLINK扩展团队属性列表HYPERLINK路由策略路由策略与策略路由路由策略是为了改变网络流量所通过的途径而对路由信息采用的方法。重要通过改变路由属性（涉及可达性）来实现。策略路由Policy-Based-Route用于指导报文转发。本章只介绍路由策略。为实现路由策略，一方面要定义将要实行路由策略的路由信息的特性，即定义一组匹配规则，可以以路由信息中的不同属性作为匹配依据进行设立，如目的地址、发布路由信息的路由器地址等。匹配规则可以预先设立好，然后再将它们应用于路由的发布、接受和引入等过程的路由策略中。路由器在发布与接受路由信息时，也许需要实行一些策略，以便对路由信息进行过滤，比如只接受或发布一部分满足条件的路由信息；一种路由协议（如RIPng）也许需要引入其它的路由协议发现的路由信息，从而丰富自己的路由知识；路由器在引入其它路由协议的路由信息时，也许需要只引入一部分满足条件的路由信息，并对所引入的路由信息的某些属性进行设立，以使其满足本协议的规定。地址前缀列表地址前缀列表（IP-Prefix-Filter）涉及IPv4地址前缀列表和IPv6地址前缀列表。地址前缀列表的作用类似于ACL，但比它更为灵活，且更易于为用户理解。地址前缀列表在应用于路由信息的过滤时，其匹配对象为路由信息的目的地址信息域。一个地址前缀列表由前缀列表名标记。每个前缀列表可以包含多个表项，每个表项可以独立指定一个网络前缀形式的匹配范围，并用一个Index-Number来标记，Index-Number指明了进行匹配检查的顺序。在匹配的过程中，路由器按升序依次检查由Index-Number标记的各个表项，只要有某一表项满足条件，就意味着通过该地址前缀列表的过滤（不进入下一个表项的测试）。AS途径访问列表BGP路由信息中包含的AS_PATH途径属性逆序列出前缀所通过的自治系统。AS途径访问列表（as-path-filter）就是针对AS_PATH途径属性进行过滤的过滤器。团队属性列表BGP路由的Community属性被一组具有相同的特性的前缀所共享，团队属性列表（Community-Filter）就是针对团队属性域指定匹配条件的过滤器。扩展团队属性列表BGP的扩展团队属性也是定义了一组共享相同特性的前缀，目前VRP的Excommunity-Filter针对一种常用的扩展团队属性进行过滤：VPN-Target，定义了私网路由的VPN成员关系。路由策略路由策略（Route-policy）是一种复杂的过滤器，它不仅可以匹配给定路由信息的某些属性，并在条件满足时改变路由信息的属性。Route-Policy可以使用前面几种过滤器定义自己的匹配规则。一个Route-policy可以由多个节点Node构成，不同节点之间是“或”的关系。系统按节点序号依次检查各个节点，假如通过了其中一节点，就意味着通过该策略，不再对其他节点进行匹配测试。每个节点由一组if-match和apply子句组成。if-match子句定义匹配规则，匹配对象是路由信息的一些属性。同一节点中的不同if-match子句是“与”的关系，只有满足节点内所有if-match子句指定的匹配条件，才干通过该节点的匹配测试。apply子句指定动作，也就是在通过节点的匹配后，对路由信息的一些属性进行设立。路由策略故障解决本节介绍如下的内容：HYPERLINK典型组网环境HYPERLINK配置注意事项HYPERLINK故障诊断流程HYPERLINK故障解决环节典型组网环境路由策略的典型组网如REF_Ref\r\h‎图5-1与REF_Ref\r\h‎图5-2所示。路由策略的故障解决将基于该网络。公网环境拓扑路由策略故障公网环境拓扑公网环境时，在某个路由器上接受此外一个路由器通告来的路由时，发送者使用路由策略发布指定路由，接受者使用路由策略接受指定路由，以上拓扑是一个简化的拓扑，用于模拟实际环境中的路由发送/接受者。VPN环境拓扑路由策略故障VPN环境拓扑VPN环境时，路由策略可以应用在PE与CE上，用来发布/接受指定的路由。其中，在PE上对于VPNv4和VPNInstance可同时应用策略。以上拓扑是实际环境中VPN的一个简化拓扑，用于模拟实际环境中PE与CE中的路由发送/接受者。配置注意事项路由策略中常用过滤器配置配置项子项注意事项ip-prefixipip-prefixip-prefix-name[indexindex-number]{permit|deny}ip-addressmask-length[greater-equalgreater-equal-value|less-equalless-equal-value]配置IPv4前缀地址列表，列表名由ip-prefix-name指定，列表名下可以配置多个匹配项，每一项可以指定索引值Index，若没有指定索引值，则生成项的索引值由此前缀列表已存在的最大索引值+10；若同时指定前缀长度在greater-equal和less-equal之间时，匹配的范围就在两者之间，配置的greater-equal值和less-equal值必须满足条件：mask-length<=greater-equal<=less-equal<=32；在匹配过程中，系统按索引号升序依次检查各个表项，只要有一个表项下的地址/掩码与要检查的路由地址/掩码相同，就返回此表项下配置的过滤模式（Permit或Deny），不再去匹配其他表项；假如所有表项都是Deny模式，则任何路由都不能通过该过滤列表。建议在多条Deny模式的表项后定义一条permit0greater-equal0less-equal32表项，允许其它所有IPv4路由信息通过。使用中最常见的理解错误是把IP-Prefix的配置方法和ACL的配置方法等同，事实上，在只指定IP-Address/Mask-Length的情况下，IP-Prefix只精确匹配一条路由，不匹配一段掩码范围内的路由。要匹配一段掩码范围内的路由，必须指定Greater-Equal和Less-Equal参数。ipv6-prefixipipv6-prefixipv6-prefix-name[indexindex-number]{permit|deny}ipv6-addressmask-length[greater-equalgreater-equal-value|less-equalless-equal-value]配置IPv6前缀地址列表，列表名由ipv6-prefix-name指定，此列表名下可以配置多个匹配项，每一项可以指定索引值index，若没有指定索引值，则生成项的索引值由此前缀列表已存在的最大索引值+10；若同时指定前缀长度在greater-equal和less-equal之间时，匹配的范围就在两者之间，配置的greater-equal值和less-equal值必须满足条件：mask-length<=greater-equal<=less-equal<=128；在匹配过程中，系统按索引号升序依次检查各个节点，只要有一个节点满足条件，就认为通过该过滤列表，不再去匹配其他表项；假如所有表项都是Deny模式，则任何路由都不能通过该过滤列表。建议在多条Deny模式的表项后定义一条permit::00greater-equal0less-equal128表项，允许其它所有IPv6路由信息通过。as-path-filteripas-path-filteras-path-filter-number{deny|permit}regular-expression使用正则表达式来定义AS-Path属性过滤规则，BGP可以使用此过滤器来匹配BGP路由的AS-Path属性，以此决定是否发布/接受路由。假如所有表项都是Deny模式，则任何路由都不能通过该过滤列表。建议在多条Deny模式的表项后定义一条permit.*表项，允许其它所有路由信息通过；community-filteripcommunity-filterbasic-comm-filter-num{deny|permit}[community-number|aa:nn]*&<1-16>[internet|no-export-subconfed|no-advertise|no-export]*ipcommunity-filteradv-comm-filter-num{deny|permit}regular-expression定义一个团队属性过滤器。有两种配置方式，属性号在1-99的为基本团队属性过滤器，通过指定明确的团队属性来定义过滤规则；属性号在100-199为高级团队属性过滤器，通过指定正则表达式来定义过滤规则。对于基本团队属性过滤器，Internet选项表达匹配所有的团队属性；而对高级团队属性过滤器，正则表达式”.*”表达匹配所有的团队属性。对于基本团队属性过滤器，有完全匹配模式Whole-Match和一般匹配模式。在完全匹配模式下，BGP给出的团队属性列表必须完全与过滤器规则中定义的团队属性一致才干匹配。在一般匹配模式下，BGP给出的团队属性列表必须要包含过滤器规则中定义的团队属性才干匹配。假如所有表项都是Deny模式，则任何路由都不能通过该过滤列表。建议在多条Deny模式的表项后定义一条permit.*表项（高级团队属性过滤器）或permitinternet（基本团队属性过滤器）表项，允许其它所有路由信息通过。extcommunity-filteripextcommunity-filterext-comm-list-number{deny|permit}rt{as-number:nn|ipv4-address:as-number}定义扩展团队属性过滤器规则。route-policyroute-policyroute-policy-name{permit|deny}node{node-number}Permit指定节点的匹配模式为允许。当路由项通过该节点的过滤后，将执行该节点的Apply子句，不进入下一个节点的测试；假如路由项没有通过该节点过滤，将进入下一个节点继续测试；当节点下没有If-Match子句时，所有节点路由都允许。Deny指定节点的匹配模式为拒绝，这时Apply子句不会被执行。当路由项满足该节点的所有If-Match子句时，将被拒绝通过该节点，不进入下一个节点；假如路由项不满足该节点的If-Match子句，将进入下一个节点继续测试；当节点下没有If-Match子句时，所有的路由都被拒绝。假如所有的节点的If-Match规则都不能匹配，则整个策略的过滤结果默认是Deny。当所有节点都是配置Deny时，将导致所有路由均被拒绝，所以在所有Deny节点后至少配置一个Permit节点，以允许其它的路由通过。过滤器应用注意事项假设当前过滤器下配置了至少一个节点，Permit或Deny。若是没有节点符合到要过滤路由的地址/掩码范围，则此路由过滤结果为Deny。若是在策略中使用了某个不存在的过滤器，则结果为对所有要过滤的路由为Permit。正则表达式编写规则正则表达式是按照一定的模板来匹配字符串的公式。符号说明^匹配一个字符串的开始。如“^300”表达只匹配AS_Path的第一个值为300。$匹配一个字符串的结束。如“300$”表达只匹配AS_Path的最后一个值为300。.匹配任何单个字符，涉及空格。+匹配前面的一个字符或者一个序列，1次或者多次出现。_匹配一个符号。如逗号，括号，空格符号等。*匹配前面的一个字符或者一个序列，可以0次或者多次出现。？匹配前面的一个字符，可以0次或者多次出现。()匹配的变化的AS或者一个独立的匹配，通常和“|”一起使用。|逻辑或。[]匹配的一个范围内的AS，通常和“-”一起使用。-连接符。举例：ipas-path-filter10deny^$：拒绝发布本地始发路由。ipas-path-filter10permit.*：允许发布/接受其他AS的路由。ipas-path-filter2deny(6[0-9]|7[0-9]|8[0-9]|9[0-9]|1[0-3][0-9]|130)$：拒绝从AS60-130始发的路由。ipcommunity-filter100permit1000:10[0-9]$：允许团队属性为1000:100至1000:109之间的路由。故障诊断流程针对REF_Ref\r\h‎图5-1或REF_Ref\r\h‎图5-2所示的网络，在配置各路由器后发现指定的路由没有被过滤或所有被过滤。请使用下面的故障诊断流程，如REF_Ref\r\h‎图5-3所示。路由策略故障诊断流程图故障解决环节概要的故障解决环节如下：环节操作1HYPERLINK检查网络的连通性。2HYPERLINK检查AS-Path-Filter是否配置。5HYPERLINK检查Community-Filter是否配置。6HYPERLINK检查Extcommunity-Filter是否配置。7HYPERLINK检查Route-Policy是否配置。具体的故障解决环节如下：检查网络的连通性使用displayipinterfacebrief命令来检查各个接口的状态。Up表达可用，Down表达不可用。假如接口状态为Down请检查线路是否连接好，接口是否被Shutdown。检查路由协议配置是否对的使用displaycurrent-configuration命令来检查当前的路由器配置。使用displaycurrent-configurationconfiguration命令来检查路由协议配置是否对的。假如路由协议配置的不对的，请您参考相应协议的故障解决手册。检查IP-Prefix-Filter是否配置使用displayipip-prefix命令检查当前路由器是否配置IP-Prefix-Filter。假如已配置请查看IP-Prefix-Filter配置注意事项请查看HYPERLINK配置注意事项中有关IP-Prefix-Filter的部分。检查AS-Path-Filter是否配置使用displayipas-path-filter命令检查当前路由器是否配置AS-Path-Filter。假如已配置请查看AS-Path-Filter配置注意事项请查看HYPERLINK配置注意事项中有关AS-Path-Filter的部分。检查Community-Filter是否配置使用displayipcommunity-filter命令查看当前路由器是否配置Community-Filter。假如已配置请查看团队属性过滤器配置注意事项请查看HYPERLINK配置注意事项中有关Community-Filter的部分。检查Excommunity-Filter是否配置使用displayipexcommunity-filter命令查看当前路由器是否配置Excommunity-Filter。假如已配置请查看拓展团队属性过滤器配置注意事项请查看HYPERLINK配置注意事项中有关Excommunity-Filter的部分。检查Route-Policy是否配置使用displayroute-policy命令检查当前路由器是否配置了Route-Policy。假如已配置请查看Route-Policy过滤器配置注意事项请查看HYPERLINK配置注意事项中有关Route-Policy的部分。假如检查结束，故障仍然无法排除，请联系华为的技术支持工程师Http://。故障解决案例本节列出了常见的故障解决案例，如下：HYPERLINK使用IP-Prefix过滤路由问题HYPERLINK使用AS-Path过滤路由问题HYPERLINK使用Community过滤路由问题HYPERLINK使用Extcommunity过滤路由问题HYPERLINK使用Route-Policy过滤路由问题使用IP-Prefix过滤路由问题网络环境组网图请参考REF_Ref\r\h‎图5-1案例中RouterA采用IP-Prefix过滤器对从RouterB中接受到的路由进行过滤：RouterA上的配置：#bgp100peeras-number200#ipv4-familyunicastundosynchronizationpeerenablepeerip-prefixrtaimport#ipip-prefixrtaindex20deny32#RouterB上的配置：#bgp200peeras-number100#ipv4-familyunicastundosynchronizationnetwork55network55peerenable#使用displayiprouting-table命令查看RouterA上接受到的路由，应当可以接受到/32，但是路由表中没有。故障分析使用以下环节调查故障因素：检查RouterB路由表信息，拟定是否所有路由已被通告给邻居RouterA。

在RouterB上使用displaybgprouting-table，显示路由表信息，发现/32及/32这两条路由均已通告给RouterA，问题应当是在RouterA上。检查RouterA上的BGP配置，拟定BGP在接受路由时是否使用了过滤器。

在RouterA上使用displaycurrent-configurationconfigurationbgp命令检查BGP的配置，发现在接受从RouterB通告过来的路由时使用了IP-Prefix过滤器，预计是过滤器将所有路由都过滤了。检查IP-Prefix过滤器的配置。拟定此路由是否被过滤器过滤掉了。

在RouterA上使用displayipip-prefixrta命令查看过滤器的配置，发现仅对路由/32配置了Deny策略，但对于路由/32没有配置Permit。故障的因素定位：在RouterA上使用IP-Prefix过滤路由问题。系统过滤路由时对于没有匹配的路由默认返回Deny，所以将/32也过滤了。解决环节由于系统过滤路由时，没有匹配的路由默认返回Deny，所以过滤策略仅配置可以通过的路由即可。在RouterA上执行如下操作：环节操作1将过滤规则替换为ipip-prefixrtaindex10permit32使用displayiprouting-table命令查看RouterA上接受到的路由，发现路由表中出现路由/32，故障被排除。案例总结当配置IP-Prefix过滤路由时，若是仅配置Deny节点，那么对于没有命中匹配地址/掩码的路由系统默认返回Deny。所以，需要配置Permit节点对指定路由允许。请参考HYPERLINK配置注意事项IP-Prefix小节。使用AS-Path过滤路由问题网络环境AS-Path过滤路由故障解决案例组网图案例中RouterA采用AS-Path过滤器对从RouterB通告过来的路由进行过滤：RouterA上的配置：#bgp100peeras-number200#ipv4-familyunicastundosynchronizationpeerenablepeeras-path-filter10import#ipas-path-filter10deny65430#RouterB上的配置：#bgp200peeras-number100peeras-number65431peeras-number65430#ipv4-familyunicastundosynchronizationpeerenablepeerenablepeerenable#RouterC上的配置：#bgp65430peeras-number200#ipv4-familyunicastundosynchronizationnetwork55peerenable#RouterD上的配置：#bgp65431peeras-number200#ipv4-familyunicastundosynchronizationnetwork55peerenable#发现故障：使用displayiprouting-table命令查看RouterA上接受到的路由，应当可以看到RouterA过滤了RouterC通告的路由，接受了RouterD通告的路由，但路由表中显示RouterC及RouterD的路由均被RouterA过滤掉了。故障分析故障现象：RouterA路由表中没有RouterD通告的路由。使用以下环节调查故障因素：检查RouterB是否已将所有路由通告给邻居RouterA。

在RouterB上使用displayiprouting-table，查看RouterB是否接受到了来自RouterC和RouterD的路由，结果显示已经接受到了。所以判断问题应当是在RouterA上。检查RouterA上的BGP配置，拟定BGP在接受路由时是否使用了过滤器。

在RouterA上使用displaycurrent-configurationconfigurationbgp查看BGP的配置，发现BGP对从RouterB通告过来的路由使用了名为10的as-path过滤器过滤路由，估计是过滤器将所有路由都过滤了。检查RouterA上AS-Path正则表达式的编写和过滤器的配置。

在RouterA上使用displayipas-path-filter10查看过滤器的配置，发现仅对来自AS号为65430的路由配置了Deny策略，但对于来自65431域的路由没有配置Permit。故障的因素定位：在RouterA上使用AS-Path过滤路由问题。系统过滤路由时对于没有匹配的路由默认返回Deny，所以将来自AS65431域的路由也过滤掉了。解决环节由于系统过滤路由时对于没有匹配的路由默认返回Deny，那么过滤策略仅配置可以通过的路由即可。在RouterA上执行如下操作：环节操作1将过滤规则替换为ipas-path-filter10permit65431使用displayiprouting-table命令查看RouterA上接受到的路由，发现路由表中出现路由/32，故障被排除。案例总结当配置AS-Path过滤路由时，需要注意：正则表达式的编写规则；若是仅配置Deny节点，那么对于没有命中AS-Path范围的系统返回Deny。所以，需要配置Permit节点对指定路由允许。请参考HYPERLINK配置注意事项AS-Path小节。使用Community过滤路由问题Community-Filter一般情况下作为route-policy的if-match子句的匹配条件，当满足if-matchcommunity-filter<basicoradvancedcommunity-list>时，对路由应用apply子句下的动作。需要注意AdvancedCommunity-List中正则表达式的编写规则。请参考HYPERLINK配置注意事项的附注中正则表达式编写规则部分。使用Extcommunity过滤路由问题网络环境组网图请参考REF_Ref\r\h‎图5-2用户组网需求：CE1、CE3属于VPN-A，CE2、CE4属于VPN-B；VPN-A使用的VPN-Target属性为100:1，VPN-B使用的VPN-Target属性为200:1。不同VPN用户之间不能互相访问；CE与PE之间配置EBGP互换VPN路由信息；PE与PE之间配置OSPF实现PE内部的互通、配置MP-IBGP互换VPN路由信息。用户在PE2上面又添加了一个VNP-C，ExportVPNTargets:300:1，ImportVPNTargets:100:1200:1，此时VNP-C可以接受到VPN-A和VPN-B的路由。用户此时有一个需求，希望VPN-C上只收到来自VPN-A的路由。此时运用Extcommunity-Filter进行过滤。

进行如下的配置：[Quidway]ipvpn-instancevpnc[Quidway–vpn-instance-vpnc]route-distinguisher300:1[Quidway–vpn-instance-vpnc]importroute-policyexcomm-filter[Quidway–vpn-instance-vpnc]vpn-target300:1export-extcommunity[Quidway–vpn-instance-vpnc]vpn-target100:1200:1import-extcommunity查看VPN-C的路由表：<Quidway>displayiprouting-tablevpn-instancevpnc#RoutingTables:vpncDestinations:6Routes:6Destination/MaskProtoPreCostNextHopInterface/32BGP2550Ethernet1/0//32BGP2550Ethernet1/0//24BGP2550Ethernet1/0//24BGP2550Ethernet1/0//24BGP2550Ethernet1/0/0/32BGP2550InLoopBack0发现故障：没有得到预期的效果，VPN-C的路由表中仍然有VPN-B的路由。/32这条路由没有过滤掉。故障分析故障现象：VPN-C的路由表中显示路由/32没有被过滤掉。使用以下环节调查故障因素：参考前例检查过程将故障因素定位到过滤器的应用上。查看当前的路由策略Route-Policy和IPExtcommunity-Filter一方面使用displaycurrent-configurationconfigurationroute-policy命令查看一下VPN-C下引入路由时用的过滤器Extcommunity-Filter。<Quidway>displaycurrent-configurationconfigurationroute-policy#route-policyexcomm-filterpermitnode10if-matchextcommunity-filter1#然后使用displayipextcommunity-filter命令查看一下VPN-C下过滤器Extcommunity-Filter应用的过滤规则。<Quidway>displayipextcommunity-filter#ExtendedCommunityfilterNumber1permitrt:0:0rt:100:1#查找故障因素扩展团队属性列表Extcommunity-List仅用于BGP。BGP的扩展团队有两种，一种是用于VPN的路由目的扩展团队。扩展团队属性列表就是扩展团队属性指定匹配条件。假如Extcommunity-Filter的配置中只包含VPN-Target，则只要这些VPN-TARGET中有一个与BGP给出的VPN-Target集合匹配，就认为过滤器命中，返回指定的Permit或Deny结果。

比如：配置ipextcommunity-filterpermitrt100:1rt200:1

BGP配置RT：100:1300:1400:1

结果是：命中，Permit

BGP给出RT：300:1400:1

结果：不命中，Deny假如Extcommunity-Filter的配置中指定VPN-Target0:0，则将匹配所有的VPN-Target。

比如：配置ipextcommunity-filterpermitrt0:0

BGP给出任何RT都将匹配。但假如不给RT则不匹配。假如Extcommunity-Filter的配置中未指定VPN-Target，则无论BGP给出任何RT，结果都将是不匹配。Deny使用同样的规则。检查本例中VPN-C下的过滤器Extcommunity-Filter的过滤规则：permitrt:0:0rt:100:1同时应用了RT:0:0和RT:100:1。故障的因素定位：在VPN-C下使用Extcommunity-List过滤路由问题。过滤规则permitrt:0:0rt:100:1，同时应用了RT:0:0和RT:100:1，导致VPN-B的路由也被接受了。解决环节在PE2上的VPN-C下执行如下操作环节操作1更改ipextcommunity-filter1为如下所示的配置：<Quidway>displayipextcommunity-filter1#permitrt:100:1#使用displayiprouting-tablevpn-instancevpnc命令查看VPN-C的路由表项，发现已经没有来自VPN-B的路由了，表白故障解决。案例总结此案例是Extcommunity-Filter的经典案例，在使用Extcommunity-Filter之前，要了解其应用规则。特别注意RT0:0配置的使用规则。假如Extcommunity-Filter的配置中指定VPN-Target0:0，则将匹配所有的VPN-Target。假如BGP没有指定VPN-Target，视为不匹配。使用route-policy过滤路由问题网络环境组网图请参考REF_Ref\r\h‎图5-2。CE1、CE3属于VPN-A，CE2、CE4属于VPN-B。VPN-A使用的VPN-Target属性为100:1，VPN-B使用的VPN-Target属性为200:1。不同VPN用户之间不能互相访问。CE与PE之间配置EBGP互换VPN路由信息。PE与PE之间配置OSPF实现PE内部的互通，配置MP-IBGP互换VPN路由信息。在PE2上面有添加了一个VNP-C，ExportVPNTargets:300:1，ImportVPNTargets:100:1200:1，此时VNP-C可以接受到VPN-A和VPN-B的路由。希望VPN-C上收到来自VPN-A的路由和来自VPN-B的路由，并且把从VPN-A引入的路由Cost加100，把从VPN-B引入的路由Cost加200。运用Route-Policy完毕此需求。进行如下配置：[Quidway]route-policyFilter-policypermitnode10[Quidway-route-policy]if-matchextcommunity-filter1[Quidway-route-policy]applycost+100[Quidway-route-policy]if-matchextcommunity-filter2[Quidway-route-policy]applycost+200查看VPN-C的路由表：<Quidway>displayiprouting-tablevpn-instancevpnc#RoutingTables:vpncDestinations:6Routes:6Destination/MaskProtoPreCostNextHopInterface/32BGP255200Ethernet1/0//32BGP255200Ethernet1/0//24BGP255200Ethernet1/0//24BGP255200Ethernet1/0//24BGP255200Ethernet1/0/0/32BGP255200InLoopBack0#发现故障：没有得到预期的效果，VPN-C的路由表中显示：不管来自VPN-A还是VPN-B的路由都应用了Cost+200的策略。故障分析故障现象：来自VPN-A的路由Cost应当加100，而不是200。使用以下环节调查故障因素：参考前例检查过程将故障因素定位到过滤器的应用上。查看当前的路由策略Route-Policy和IPExtcommunity-Filter。一方面使用displaycurrent-configurationconfigurationroute-policy命令查看一下VPN-C下引入路由时用的过滤器Filter-Policy<Quidway>displaycurrent-configurationconfigurationroute-policy#route-policyFilter-policypermitnode10if-matchextcommunity-filter12applycost+200#然后使用displayipextcommunity-filter命令查看一下拓展团队属性列表<Quidway>displayipextcommunity-filterExtendedCommunityfilterNumber1permitrt:100:1ExtendedCommunityfilterNumber2permitrt:200:1查找故障因素一方面来回顾一下Route-Policy的应用规则：一个Route-Policy可以由多个节点构成，不同节点之间是“或”的关系。系统按节点序号依次检查各个节点，假如通过了其中任一节点，就意味着通过该策略，不再对其他节点进行匹配测试。检查本例中VPN-C下的过滤器Filter-Policy的过滤规则：if-matchextcommunity-filter12applycost+200由于每个if-match配置项的关系是“与”的关系，希望VPN-C上收到来自VPN-A的路由和来自VPN-B的路由，并且把从VPN-A引入的路由Cost加100，把从VPN-B引入的路由Cost加200，应当应用多节点的“或”关系。故障的因素定位：在VPN-C下使用Route-Policy过滤路由问题。解决环节在PE2上的VPN-C下执行如下操作环节操作1更改route-policyFilter-policypermitnode10为如下所示的配置：<Quidway>displaycurrent-configurationconfigurationroute-policyroute-policyFilter-policypermitnode10if-matchextcommunity-filter1applycost+100route-policyFilter-policypermitnode20if-matchextcommunity-filter2applycost+200使用displayiprouting-tablevpn-instancevpnc命令查看VPN-C的路由表项，来自VPN-A的路由Cost增长了100，表白故障解决。案例总结此案例是一个Route-Policy的经典案例，在使用Route-Policy之前，需要了解其应用规则。特别注意Route-Policy中不同的节点之间是“或”的关系，每个if-match之间是“与”的关系。FAQ问：路由策略配置IPv4前缀列表进行路由过滤，应用该策略后发现无法达成预先设计的过滤结果？

答：也许的故障因素及解决方案：使用displayipip-prefixprefix-list-name命令查看指定的前缀列表是否存在或没被应用。假如指定的前缀列表不存在，则该路由策略将引入所有路由。确认允许所有路由通过的缺省表项位于所有过滤规则之后。问：路由策略配置IPv6前缀列表进行路由过滤，应用该策略后发现无法过滤路由？

答：也许的故障因素及解决方案：使用displayipipv6-prefixprefix-list-name命令查看指定的前缀列表是否存在或没被应用。假如指定的前缀列表不存在，则该路由策略将引入所有路由。确认允许所有路由通过的缺省表项位于所有过滤规则之后。问：BGP使用AS-Path过滤器过滤路由，发现要过滤的路由没有被过滤？

答：也许的故障因素及解决方案：使用displaycurrent-configurationconfigurationbgp命令查看BGP的配置，确认使用的AS-Path。使用displayipas-path-filteras-path-list-number查看配置的AS-Path过滤器，确认正则表达式的编写是否对的，确认在所有Deny节点配置之后，至少需要配置一个Permit节点。问：BGP协议使用Route-Policy来过滤指定路由，发现所有的路由都被过滤？

答：也许的故障因素及解决方案：使用displaycurrent-configurationconfigurationbgp命令查看BGP的配置，确认使用的Route-Policy。使用displayroute-policypolicy-name查看配置的路由策略，在所有Deny节点配置之后，至少需要配置一个Permit节点。故障诊断工具display命令命令内容说明displayipip-prefix[ip-prefix-name]显示IP-Prefix过滤器的当前配置信息。协议使用IP-Prefix的方式请参考各个协议的配置方式。displayipipv6-prefix[ipv6-prefix-name]显示IPv6-Prefix过滤器的当前配置信息。协议使用IPv6-Prefix的方式请参考各个协议的配置方式。displayipas-path-filter[as-path-filternumber]显示AS-Path-Filter过滤器的当前配置信息。协议使用AS-Path-Filter的方式请参考各个协议的配置方式。displayipcommunity-filter[community-filternumber]显示Community-Filter过滤器的当前配置信息。过滤器值在<1-99>的为基本团队过滤器；过滤值在<100-199>的为高级团队过滤器。displayipextcommunity-filter[extcommunity-filternumber]显示Extcommunity-Filter过滤器的当前配置信息。displayroute-policy[route-policyname]显示Route-Policy过滤器的当前配置信息。协议使用Route-Policy的方式请参考各个协议的配置方式。displayipip-prefix<Quidway>displayipip-prefixPrefix-listtestPermitted0Denied0index:10permit/24ge24le32index:20permit/32 displayipip-prefix命令输出信息描述项目描述Prefix-list已配置的Prefix名称。Permitted显示使用此过滤器允许的路由条目数。Denied显示使用此过滤器拒绝的路由条目数。Index此过滤器下的表项索引值。Permit允许的IP前缀。Deny拒绝的IP前缀。Ge大于等于路由的前缀长度。Le小于等于路由的前缀长度(必须<=32)。displayipipv6-prefix<Quidway>displayipipv6-prefixPrefix-list610Permitted0Denied0index:10permit1::/64ge64le128index:20deny2::/64displayipipv6-prefix命令输出信息描述项目描述Prefix-list6已配置的Prefix6名称。Permitted显示使用此过滤器允许的路由条目数。Denied显示使用此过滤器拒绝的路由条目数。Index此过滤器下的表项索引值。Permit允许的IP前缀。Deny拒绝的IP前缀。displayipas-path-filter<Quidway>displayipas-path-filterListIDModeExpression10permit10010deny200displayipas-path-filter命令输出信息描述项目描述ListIDAS-Path过滤器的序列号。Mode匹配的模式：Permit：允许。Deny：拒绝。Expression要过滤的AS-Path的正则表达式。displayipcommunity-filter<Quidway>displayipcommunity-filterCommunityfilterNumber100permit.*:.*CommunityfilterNumber199deny110:10displayipcommunity-filter命令输出信息描述项目描述CommunityfilterNumber团队过滤器的序列号。Permit允许的团队属性正则表达式。Deny拒绝的团队属性正则表达式。displayipextcommunity-filter<Quidway>displayipextcommunity-filterExtendedCommunityfilterNumber100permitrt:1:1denyrt:2:2displayipextcommunity-filter命令输出信息描述项目描述ExtendedCommunityfilterNumber扩展团队过滤器的序列号。Permit允许的RT。Deny拒绝的RT。Rt路由目的扩展团队属性。displayroute-policydisplayroute-policy命令输出信息描述项目描述Route-policy配置的路由策略名。Permit被允许的节点索引。Deny被拒绝的过滤节点索引。MatchClauses配置的匹配策略。ApplyClauses对路由应用某种操作。MatchClauses策略规则MatchClauses描述if-matchaclacl-number根据ACL匹配。if-matchas-path-filteras-path-acl-number根据BGP路由的自治域系统途径列表匹配。if-matchcommunity-filter{std-comm-list-number[whole-match]|ext-comm-list-number}根据BGP路由的基本团队属性<1-99>或是高级团队属性匹配<100-199>。if-matchcostvalue根据路由的权值匹配。if-matchextcommunity-filterext-comm-list-number根据路由的扩展团队属性列表匹配。if-matchinterfaceinterface-typeinterface-number根据路由的出接口匹配。if-matchip{next-hop|route-source}{aclacl-number|ip-prefixip-prefix-name}根据路由的IPv4信息匹配，下一跳或源地址可根据ACL或IP-Prefix匹配。if-matchip{next-hop|route-source}{aclacl-number|ip-prefixip-prefix-name}根据路由的源地址匹配，源地址可根据ACL或IP-Prefix匹配。if-matchip-prefixip-prefix-name根据路由的前缀列表匹配。if-matchipv6{address|next-hop|route-source}prefix-listipv6-prefix-name根据路由的IPv6信息匹配，源地址或下一跳地址可根据前缀列表匹配。if-matchmpls-label根据路由标签匹配。if-matchroute-typeexternal-type1根据OSPF外部度量类型1匹配。if-matchroute-typeexternal-type1or2根据OSPF外部度量类型1或2匹配。if-matchroute-typeexternal-type2根据OSPF外部度量类型2匹配。if-matchroute-typeinternal根据IS-IS内部权值匹配。if-matchroute-typeis-is-level-1根据IS-IS接口级别1匹配。if-matchroute-typeis-is-level-2根据I