华为数通操作手册VRP全系列VRP故障处理手册路由器

华为数通操作手册VRP全系列VRP故障处理手册路由

器

第5章路由策略故障处理.............................................................5-1

5.1路由策略与过滤器简介.........................................................5-1

5.1.1路由策略与策略路由.....................................................5-1

5.1.2地址前缀列表...........................................................5-2

5.1.3AS路径访问列表.......................................................5-2

5.1.4团体属性列表...........................................................5-2

5.1.5扩展团体属性列表.......................................................5-2

5.1.6路由策略...............................................................5-2

5.2路由策略故障处理............................................................5-3

5.2.1典型组网环境...........................................................5-3

522配置注怠事项............................................................b-5

5.2.3故障诊断流程...........................................................5-9

5.2.4故障处理步骤..........................................................5-10

5.3故障处理案例...............................................................5-12

5.3.1使用IP-Prefix过滤路由问题.............................................5-12

5.3.2使用AS-Path过滤路由问题.............................................5-14

5.3.3使用Community过滤路由问题..........................................5-16

5.3.4使用Extcommunity过滤路由问题........................................5-16

5.3.5使用route-policy过滤路由问题..........................................5-19

5.4FAQ...................................................................................................................................5-21

5.5故障诊断工具...............................................................5-22

5.5.1display命令...........................................................5-22

5.5.2debugging命令........................................................5-28

5.5.3告警..................................................................5-28

第5章路由策略故障处理

本章包含下列内容：

■路由策略与过■器简介

介绍了进行BGP故障处理时用户所需的知识要点。

»路由策略故障处理

针对典型的BGP组网环境，介绍配置BGP时要注意的事项，BGP对等体不

能建立连接故障处理的流程与全面的故障处理步骤。

■故障处理案例

介绍了若干实际的故障处理案例。

■FAQ

列出了用户常问的问撅,并给出了相应的解答。

•故障诊断工具

介绍了进行故障处理所需要的故障诊断工具，包含display命令与debugging

命令、告警信息。

5.1路由策略与过滤器简介

本节包含下列内容：

•路由策略与策略路由

•地址前缀列表

•AS路径访问列表

■团体属性列表

•扩展团体属性列表

•路由策略

5.1.1路由策略与策略路由

路由策略是为了改变网络流量所通过的途径而对路由信息使用的方法。要紧通过改

变路由属性（包含可达性）来实现。

策略路由Policy-Based-RouteF•指导报文转发。

本章只介绍路由策略。

为实现路由策略，首先要定义将要实施路由策略的路由信息的特征，即定义一组匹

配规则，能够以路由信息中的不一致属性作为匹配根据进行设置，如目的地址、公

布路由信息的路由器地址等。匹配规则能够预先设置好，然后再将它们应用于路由

的公布、接收与引入等过程的路由策略中。

路由器在公布与接收路由信息时，可能需要实施一些策略，以便对路由信息进行过

滤，比如只接收或者公布•部分满足条件的路由信息；--种路由协议(如RIPng)

可能需要引入其它的路由协议发现的路由信息，从而丰富自己的路由知识；路由器

在引入其它路由协议的路由信息时，可能需要只引入一部分满足条件的路由信息，

并对所引入的路由信息的某些属性进行设置，以使其满足本协议的要求。

5.1.2地址前缀列表

地址前缀列表(IP-Prefix-Filter)包含IPv4地址前缀列表与IPv6地址前缀列表。

地址前缀列表的作用类似于ACL,但比它更为灵活，且更易于为用户懂得。地址前

缀列表在应用于路由信息的过滤时，其匹配对象为路由信息的H的地址信息域。

一个地址前缀列表由前缀列表名标识。每个前缀列表能够包含多个表项，每个表项

能够独立指定一个网络前缀形式的匹配范围，并用一个Index-Number来标识，

lndex・Number指明「进行匹配检查的顺序。

在匹配的过程中，路由器按升序依次检杳由Index-Number标识的各个表项，只要

有某•表项满足条件，就意味着通过该地址前缀列表的过滤(不进入下一个表项的

测试)。

5.1.3AS路径访问列表

BGP路由信息中包含的AS_PATH路径属性逆序列出前缀所通过的自治系统。AS

路径访问列表(as-path-filter)就是针对AS_PATH路径属性进行过滤的过滤器。

5.1.4团体属性列表

BGP路由的Community属性被一组具有相同的特性的前缀所共享，团体属性列表

(Community-Filter)就是针对团体属性域指定匹配条件的过滤器。

5.1.5扩展团体属性列表

BGP的扩展团体属性也是定义了一组共享相同特性的前缀，目前VRP的

Izxcommunity-Hlter针对一种常用的扩展团体属性进行过滤：VPN-larget,定义了

私网路由的VPN成员关系。

5.1.6路由策略

路由策略(Route-policy)是一种复杂的过滤岩，它不仅能够匹配给定路由信息的某

些属性，并在条件满足时改变路由信息的属性。Route-Policy能够使用前面几种过

滤器定义自己的匹配规则。

一个Route-policy能够由多个节点Node构成，不一致节点之间是“或者”的关系。

系统按节点序号依次检查各个节点，假如通过了其中一节点，就意味着通过该策略,

不再对其他节点进行匹配测试。

每个节点由一组if-match与apply子句构成。if-match『句定义匹配规则，匹配对

象是路由信息的一些属性。同一节点中的不一致if・match子句是“与”的关系，只

有满足节点内所有if-match子句指定的匹配条件，才能通过该节点的匹配测试。

apply子句指定动作，也就是在通过节点的匹配后，对路由信息的一些属性进行设

置。

5.2路由策略故障处理

本节介绍如下的内容：

.典型组网环境

■配置注意事项

.故隙诊断流程

.故障处理步骤

5.2.1典型组网环境

路由策略的典型组网如图5-1与图5-2所示。路由策略的故障处理将基于该网络。

1.公网环境拓扑

公网环境时，在某个路由器上同意另外一个路由器通告来的路由时「发送者使用路

由策略公布指定路由，接收者使用路由策略接收指定路由，以上拓扑是一个简化的

拓扑，用于模拟实际环境中的路由发送/接收者o

2.VPN环境拓扑

VPN环境时，路由策略能够应用在PE与CE上，用来公布/接收指定的路由。其中,

在PE上关于VPNv4与VPNInstance可同时应用策略。以上拓扑是实际环境

中VPN的一个简化拓扑，用于模拟实际环境中PE与CE中的路由发送/接收者。

5.2.2配置注意事项

1.路由策略中常用过滤器配置

配置项子项注意事项

ip-prefixipip-prefix•配置IPv4前缀地址列表，列表名由

',p-prefix-name[indexip-pre仃x-name指定,列表名卜能够配置多个匹

:ndex-number]{permit配项，每一项能够指定索引值Index,若没有指

|deny}ip-address定索引值，则生成项的索引值由此前缀列表已存

mask-length

在的最大索引值+10：

[greater-equal

greater-equal-value\•若同时指定前缀长度在greater-equal与

less-equal/ess-egua/之间时，匹配的范围就在二者之间，

'ess-equal-value]配置的greater-equal1j/ess-equa/值务必满

足条隼mask-length<=greater-equal

<=less-equal<=32：

•在匹配过程中，系统按索引号升序依次检查各个

表项，只要有一个表项卜.的地址/掩码与要检查

的路由地址/掩码相同，就返回此表项下配置的

过滤碟式（Permit或者Deny）,不再去匹配其

他表项；

•假如所有表项都是Deny模式，则任何路由都不

能通过该过滤列表。建议在多条Deny模式的表

项后定义一条permit0.0.0.00greater-equal0

less-equal32表项，同意其它所有IPv4路由信

息通过。

•使用中最常见的懂得错误是把IP-Prefix的配置

方法与ACL的配置方法等同，实际上，隹只指

定IP-Address/Mask-Length的情况下，

IP-Prefix只精确匹配一条路由，不匹配•段掩码

范围内的路由。要匹配一段掩码范围内的路由，

务必由定Greater-Equal与Less-Equal参数。

配置项子项注意事项

ipv6-prefixipipv6-prefix•配国IPv6前缀地址列表，列表名由

:pv6-prefix-nameipv6-orefix-name指定,此列表名下能够配置多

[indexindex-number]个匹配项,每一项能够指定索引值index,若没

•permit|deny)有指定索引值，则生成项的索引值由此前缀列表

:pv6-address

已存在的最大索引值+10；

mask-length

[greater-equal•若同时指定前缀长度在greater-equal与

greater-equal-value\lossoquH之间时，匹配的范围就在二者之间，

less-equal配置的greater-equal(M与less-equal值务必满

'.ess-equal-value]足条生

mask-length<=greater-equal<=less-equal<=1

28：

•在匹配过程中，系统按索引号升序依次检查各个

节点，只要有一个节点满足条件，就认为通过该

过滤列表，不再去匹配其他表项：

•假如所有表项都是Deny模式，则任何路由都不

能通过该过滤列表。建议在多条Deny模式的表

项后定义一条permit::00greater-equal0

less-equal128表项，同意其它所有IPv6路由

信息通过.

as-path-filteripas<path-filter•使用正则表达式来定义AS-Path属性过滤规则，

as-path-filter-numberBGP能够使用此过渡器来匹配BGP路由的

•deny|permit}AS-Path属性，以此决定是否公布/接收路由。

「egular-expression

•假如所有表项都是Deny模式，则任何路由都不

能通过该过滤列表。建议在多条Deny模式的表

项后定义一条permit.,衣项，同意其它所有路

由信息通过；

配置项子项注意事项

community-fil•iP•定义一个团体屈性过滤器。有两种配置方式，属

tercommunity-filter性号在1-99的为基本团体属性过滤器，通过指

basic-comm-filter-n定明确的团体属性来定义过滤规则；属性号在

um{deny|permit}

100-199为高级团体属性过滤器，通过指定正则

[community-numbe

表达式来定义过滤规则。

r\aa:nn]*&<1-16>

[internet|•关于基本团体属性过滤器，Internet选项表示匹

no-cxport-subconf配所有的团体属性；而对高级团体属性过滤器，

ed|no-advertise|正则表达式表示匹配所有的团体属性。

no-export],•关于基本团体属性过滤器，有完全匹配模式

•iP

Whole-Match与通常匹配模式。在完全匹配模

community-filter

式下，BGP给出的团体属性列表务必完全与过

adv-comm-filter-nu

滤器规则中定义的团体属性一致才能匹配。在通

m{deny|permit}

regular-expression常匹配模式下，BGP给出的团体属性列表务必

要包含过滤器规则中定义的团体属性才能I兀配。

•假如所有表项都是Deny模式，则任何路由都不

能诵过该过滤列表“建议在多条Deny模式的表

项后定义一条permit.*表项（高级团体属性过滤

器）或者permitinternet（基本团体属性过滤器）

表项，同意其它所有路由信息通过。

extcommunitipextcommunity-filter定义扩展团体属性过滤器规则。

y-filterext-comm-list-number

•deny|permit}rt

•as-number:nn|

:pv4-address:

as-number}

配置项子项注意事项

route-policyroute-policy•Permit指定节点的匹配模式为同意。当路山顶

route-policy-name通过亥节点的过浦后，将执行该节点的Apply

•permit|deny}node子句，不进入下一个节点的测试；假如路由项没

•node-number}有通过该节点过滤，将进入下一个节点继续测

试：当节点下没有If-Match子句时,所有节点

路由都同意。

•Deny指定节点的匹配模式为拒绝，这时Apply

子句不可能被执行。当路由项满足该节点的所有

If-Match子句时，将被拒绝通过该节点，不进入

下一个节点：假如路由项不满足该节点的

If-Match子句，将进入下一个节点继续测试；当

节点下没有If-Match子句时，所有的路曰都被

拒绝.

•假如所有的节点的If-Match规则都不能匹配，

则整个策略的过滤结果默认是Deny。

•当所行节点都是配皆Deny时,将导致所有路由

均被杳绝，因此在所有Deny打点后至少配置一

个Permit节点，以同意其它的路由通过.

2.过滤器应用注意事项

(1)假设当前过滤器下配置了至少一个节点，Permit或者Deny。若是没有节点符

合到要过滤路由的地址/掩码范围，则此路由过滤结果为Deny。

(2)若是在策略中使用了某个不存在的过滤器，则结果为对所有要过滤的路由为

Pcrmito

3.正则表达式编写规则

正则表达式是按照一定的模板来匹配字符串的公式。

符号说明

A匹配一个字符串的开始。如"300”表示只匹配AS_Path的第一个值为300。

$匹配一个字符串的结束。如“300$”表示只匹配AS_Path的最后一个值为300。

•匹配任何单个字符，包含空格。

+匹配前面的一个字符或者者一个序列，1次或者者多次出现。

—匹配一个符号。如逗号，括号，空格符号等。

*匹配前面的一个字符或者者一个序列，能够0次或者者多次出现。

9匹配前面的一个字符，能够0次或者者多次出现。

0他配的变化的AS或者者一个独立的匹配，通常与一起使用。

I逻辑或者。

[]匹配的一个范围内的AS,通常与一起使用。

连接符。

举例：

•ipas-path-filter10denyA$：拒绝公布本地始发路由。

•ipas-path-filter10permit.*：R]意公布/接收其他AS的路由。

•ipas-path-filter2deny(6[0-9]|7[0-9]|8|0-9]|9[0-9]|1[0-3][0-9]|130)$：拒绝从

AS60-13。始发的路由。

•ipcommunity-filter100permit1000:10[0-9]$：同意团体属性为1000:100至

1000:109之间的路由。

5.2.3故障诊断流程

针对图5-1或者图5-2所示的网络，在配置各路由器后发现指定的路由没有被过滤或

者全部被过滤。

请使用卜面的故障诊断流程，如图5-3所示。

图5-3路由策略故障诊断流程图

5.2.4故障处理步骤

概要的故障处理步骤如下:

步骤操作

1检查网络的连通性。

2检查路山协议配宣是否正确。

3检查IP-Prefix-Filter是否配置.

4检查AS-Path-FHter是否配置。

5检查Community-Filter是否配置。

6检杳Extcommunity-Filter是否配置。

7检查Route-Policy是否配置〃

全面的故障处理步骤如下：

1.检查网络的连通性

使用displayipinterfacebrief命令来检查各个接口的状态。Up表示可用,Down

表示不可用。假如接口状态为Down清检查线路是否连接好，接口是否被

Shutdowno

2.检查路由协议配置是否正确

使用displaycurrent-configuration命令来检查当前的路由器配置。使用display

current-configurationconfiguration命令来检查路由协议配置是否正确。假如路

由协议配置的不正确，请您参考相应协议的故障处理手册。

3.检查IP-Prefix-Filter是否配置

使用displayipip-prefix命令检查当前路由器是否配置IP-Prefix-FHter。假如已配

置请查看IP-Prefix-Filter配置注意事项

请查看配置注意事项中有关IP-Prefix-Filter的部分。

4.检查AS-Path-Filter是否配置

使用displayipas-path・filter命令检查当前路由器是否配置AS-Path-Filter。假如

已配置请杳看AS-Path-Filter配置注意事项

请查看配置注意事项中有关AS-Path-Filter的部分。

5.检查Community-Filter是否配置

使用displayipcommunity・filter命令查看当前路由器是否配置Commun让y-Fikerc

假如己配置请查看团体属性过滤器配置注意事项

请查看配置注意事项中有关Community-Filter的部分。

6.检查Excommunity-Filter是否配置

使用displayipexcommunity-filter命令查看当前路由器是否配置

Excommunity-Filter。假如已配置请杳看拓展团体属性过滤器配置注意事项

请查看配置注意事项中有关Excommunity-Filter的部分。

7.检查Route-Policy是否配置

使用displayroute-policy命令检杳当前路由器是否配置了Route-Policy。假如已

配置请查看Route-Policy过滤器配置注意事项

请查看配置.注意事项中有关Route-Policy的部分。

5.3故障处理案例

本节列出了常见的故障处理案例，如下：

.使用IP・Prefix过滤路由问题

•使用AS-Path过滤路由问题

•使用Commurdty过滤路由问题

•使用Extcommunitv过滤路由问题

■使用Route-Policy过滤路由问题

5.3.1使用IP-Prefix过滤路由问题

1.网络环境

组网图请参考图5-1

案例中RouterA使用IP-Prefix过滤器对从RouterB中接收到的路由进行过滤：

RouterA上的配置：

*

bgp100

peer192.168.1.2as-number200

ipv4-familyunicaat

undosynchronization

peer192.168.1.2enable

peer192.168.1.2ip-prefixrtaimport

*

ipip-prefixrtaindex20deny2.2.2.232

*

RouterB上的配置:

bgp200

peer192.168.1.1as-number100

¥

ipv4-familyunicast

undosynchronization

network1.1.1.1255.255.255.255

network2.2.2.2255.255.255.255

peer192.168.1.1enable

#

使用displayiprouting-table命令查看RouterA上接收到的路由，应该能够接收到

1.1.1.1/32,但是路由表中没有。

2.故障分析

使用下列步骤调查故障原因：

(1)检查RnutftrB路由表信息,确定是否所有路由已被通告给邻居RoutftrA,

在RouterB上使用displaybgprouting-table,显示路由表信息，发现

1.1.1.1/32及2.2.2.2/32这两条路由均已通告给RouterA,问题应该是在

RouterA上。

(2)检查RouterA上的BGP配置.，确定BGP在接收路由时是否使用了过滤器。

在RouterA」.使用displaycurrent-configurationconfigurationbgp命令

检查BGP的配置，发现在接收从RouterB通告过来的路由时使用了IP-Prefix

过滤器，估计是过滤渊将所有路由都过滤了。

(3)检杳IP-Prefix过滤器的配置。确定此路由是否被过滤器过滤掉了。

在RouterA上使用displayipip-prefixrta命令查看过滤器的配置，发现仅

对路由2.2.2.2/32配置了Deny策略，但关于路由1.1.1.1/32没有配置Permit。

故障的原因定位：在RouterA上使用IP-Prefix过滤路由问题。系统过滤路由时关于

没有匹配的路由默认返回Deny,因此将1.111/32也过滤了。

3.处理步骤

由于系统过滤路由时，没有匹归的路由默认返回Deny,因此过滤策略仅配置能够通

过的路由即可。在RouterA上执行如下操作：

步骤操作

1将过渡规则替换为ipip-prefixrtaindex10permit1.1.1.132

使用displayiprouting-table命令查看RouterA上接收到的路由，发现路由表中出

现路由1.1.1.1/32,故障被排除。

4,案例总结

当配置IP-Prefix过滤路由时，若是仅配置Deny节点，那么关于没有命中匹配地址/

掩码的路由系统默认返回Deny。因此，需要配置Permit节点对指定路由同意。请

参考配置注意事项IP-Prefix小节。

5.3.2使用AS-Path过滤路由问题

1.网络环境

案例中RouterA使用AS-Path过滤器对从RouterB通告过来的路由进行过滤:

RouterA上的配置：

#

bgp100

peer192.168.1.2as-number200

#

ipv4-familyunicast

undosynchronization

peer192.168.1.2enable

peer192.168.1.2as-path-filter10import

*

ipas-path-filter10deny65430

#

RouterB上的配置:

*

bgp200

peer192.168.1.1as-number100

peer10.1.1.1as-number65431

peer172.11.10.1as-number65430

ipv4-familyunicast

undosynchronization

peer192.168.1.1enable

peer10.1.1.1enable

peer172.11.10.1enable

*

RouterC上的配置：

*

bgp65430

peer172.11.10.2as-number200

#

ipv4-familyunicast

undosynchronization

network3.3.3.3255.255.255.255

peer172.11.10.2enable

RouterD上的配置：

*

bgp65431

peer10.1.1.2as-number200

ipv4-familyunicast

undosynchronization

network4.4.4.4255.255.255.235

peer10.1.1.2enable

*

发现故障：使用displayiprouting・table命令查看RouterA上接收到的路由，应该

能够看到RouterA过滤了RouterC通告的路由，接收了RouterD通告的路由，但路

由表中显示RouterC及RouterD的路由均被RouterA过滤掉了。

2.故障分析

故障现象：RouterA路由表中没有RouterD通告的路由。

使用下列步骤调查故障原因：

(1)检杳RouterB是否已将所有路由通告给邻居RouterA.

在RouterB上使用displayiprouting-table,查看RouterB是否接收到了来

自RouterC与RouterD的路由，结果显示已经接收到了。因此推断问题应该

是在RouterA上。

(2)检查RouterA上的BGP配置，确定BGP在接收路由时是否使用了过滤器。

在RouterA上使用displaycurrent-configurationconfigurationbgp查看

BGP的配.置，发现BGP对从RouterB通告过来的路由使用了名为10的

as-path过滤器过滤路由，估计是过滤器将所有路由都过滤了。

(3)检查RouterAAS-Path正则表达式的编写与过滤器的配置。

在RouterA上使用displayipas-path-filter10查看过滤器的配置，发现仅对

来自AS号为65430的路由配置了Deny策略，但关于来自65431域的路由没

有配置Permit。

故障的原因定位：在RouterA上使用AS-Path过滤路由问题。系统过滤路由时关于

没有匹配的路由默认返回Deny,因此将来自AS65431域的路由也过滤掉了。

3.处理步骤

由于系统过漉路由时关于没有匹配的路由默认返回Deny,那么过滤策略仅配置能够

通过的路由即可。

在RouterA上执行如下操作：

步骤操作

1将过滤规则替换为ipas-path-filter10permit65431

使用displayiprouting-table命令查看RouterA上接收到的路由，发现路由表中出

现路由4.4.4.4/32,故障被排除。

4.案例总结

当配置AS・Path过滤路由时，需要注意：正则表达式的编写规则：若是仅配置Deny

节点，那么关于没有命中AS-Path范围的系统返I可Deny。因此，需要配置Permit

节点对指定路由同意。请参考配置注意事项AS-Path小节。

5.3.3使用Community过滤路由问题

Community-Filter通常情况下作为route-policy的if-match子句的匹配条件，当满足

if-matchcommunity-filter<basicoradvancedcommunity-list>时，对路由应用

apply子句下的动作。需要注意AdvancedCommunity-List中正则表达式的编写规

则。请参考配置注意事项的附注中正则表达式编写规则部分。

5.3.4使用Extcommurdty过滤路由问题

1.网络环境

组网图请参考图5-2

用户组网需求：

•CE1、CE3属于VPN-A,CE2、CE4属于VPN-B；

•VPN-A使用的VPN-Target属性为100:1,VPN-B使用的VPN-Target属性为

200:1o不一致VPN用户之间不能互相访问；

•CE与PE之间配置EBGP交换VPN路由信息；

•PE与PE之间配置OSPF实现PE内部的互通、配置MP/BGP交换VPN路

由信息。

•用户在PE2上面又添加了一个VNP-C,ExportVPNTargets:300:1,Import

VPNTargets:100:1200:1,如今VNP-C能够同意到VPN-A与VPN-B的路

由°

•用户如今有一个需求，希望VPN-C上只收到来自VPN-A的路由。如今利用

Extcommunity-Filter进行过滤。

进行如下的配置.：

(Quidway]ipvpn-instancevpnc

[Quidway-vpn-instance-vpnc]route-distinguisher300:1

[Quidway-vpn-instance-vpnc]importroute-policyexcomm-filter

(Quidway-vpn-instance-vpnc]vpn-target300:1export-extcommunity

[Quidway-vpn-instance-vpnc]vpn-target100:1200:1import-extcommunity

查看VPN-C的路由表：

<Quidway>displayiprouting-tablevpn-instancevpnc

RoutingTables:vpnc

Destinations:6Routes:6

Destination/MaskProtoPreCostNextHopInterface

1.1.1.1/32BGP25501.1.1.9Ethernetl/0/2

9.9.9.9/32BGP25501.1.1.9Ethernetl/0/2

10.1.1.0/24BGP25501.1.1.9Ethernetl/0/2

10.2.1.0/24BGP25501.1.1.9Ethernetl/0/2

10.3.1.0/24BGP255010.3.1.2Ethernetl/0/0

10.3.1.2/32BGP2550127.0.0.1InLoopBackO

发现故障：没有得到预期的效果，VPN-C的路由表中仍然有VPN-B的路由。

9.9.9.9/32这条路由没有过滤掉。

2.故障分析

故障现象：VPN-C的路由表中显示路由9.9.9.9/32没有被过滤掉。

使用下列步骤调查故隙原因：

(1)参考前例检查过程将故障原因定位到过滤耕的应用上。

(2)查看当前的路由策略Route-Policy与IPExtcommunity-Filter

首先使用displaycurrent-configurationconfigurationroute-policy命令查看一

下VPN-C下引入路由时用的过滤器Extcommunity-Filtero

<Quidway>displaycurrent-configurationconfigurationroute-policy

*

route-policyexcomm-filterpermitnode10

if-matchextcommunity-filter1

*

然后使用displayipextcommunity-filter命令查看一下VPN-C下过滤器

Extcommunity-Filter应用的过滤规则。

<Quidway>displayipextcommunity-filter

*

ExtendedCommunityfilterNumber1

permitrt:0:0rt:100:1

*

(3)查找故障原因

扩展团体属性列表Extcommunity-List仅用于BGP。

BGP的扩展团体有两种，一种是用于VPN的路由目标扩展团体。扩展团体属性列

表就是扩展团体属性指定匹配条件。

•假如Extcommunity-Filter的配置中只包含VPN-Target,则只要这些

VPN-TARGET中有一个与BGP给出的VPN-Target集合匹配，就认为过滤器

命中，返回指定的Permit或者Deny结果。

比如：配置ipextcommunity-fiIterpermitrt100:1rt200:1

BGP配置RT：100:1300:1400:1

结果是：命中，Permit

BGP给出RT：300:1400:1

结果：不命中，Deny

•假如Extcommunity-Filter的配置中指定VPN-Target0:0,则将匹配所有的

VPN-Tarceto

比如：配置ipextcommunity-filterpermitrt0:0

BGP给出任何RT都将匹配。但假如不给RT则不匹配。

•假如Extcommunity-Filter的配置中未指定VPN-Target,则不管BGP给出任

何RT,结果都将是不匹配。

•Deny使用同样的规则。

检查本例中VPN-C下的过滤器Extcommunity-Filter的过滤规则：

permitrt:0:0rt:100:1

同时应用了区T：0:0与区丁：100:1。

故障的原因定位：在VPN-C下使用Extcommunity-List过滤路由问题。

过滤规则permitrt:0:0rt:100:1,同时应用了RT:0:0与RT:100:1,导致VPN-B

的路由也被同意了。

3.处理步骤

在PE2上的VPN-C下执行如下操作

步骤操作

1更换ipextcommunity-filter1为如下所示的配置：

<Quidway>displayipextconununity-filter1

*

permitrt:100:1

使用displayiprouting-tablevpn-instancevpnc命令查看VPN-C的路由表项，

发现已经没有来自VPN-B的路由了，说明故障解决。

4.案例总结

此案例是Extcommunity-Filter的经典案例，在使用Extcommunity-Filter之前，要熟

悉其应用规则。特别注意RT0:0配置的使用规则。

假如Extcommunity-Filter的配置中指定VPN-Target0:0,则将匹配所有的

VPN-Targeto假如BGP没有指定VPN-Target,视为不匹配。

5.3.5使用route-policy过滤路由问题

1.网络环境

组网图请参考图5-2。

•CE1、CE3属于VPN-A,CE2、CE4属于VPN-B。

•VPN-A使用的VPN-Target属性为100:1,VPN-B使用的VPN-Target属性为

200:1o不一致VPN用户之间不能互相访问。

•CE与PE之间配置EBGP交换VPN路由信息。

•PF与PF之间配置QSPF实现PF内部的互通，配置MP-IRGP交换VPN路

由信息。

•在PE2上面有添加了一个VNP-C,ExportVPNTargets:300:1,ImportVPN

Targets:100:1200:1,如今VNP-C能够同意到VPN-A与VPN-B的路由。

•希望VPN-C上收到来自VPN-A的路由与来自VPN-B的路由，同时把从VPN-A

引入的路由Cost力II100,把从VPN-B引入的路由Cost力11200o利用

Route-Poicy完成此需求。

进行如下配置:

[Quidway]route-policyFilter-policypermitnode10

[Quidway-route-policy]if-matchextccmmunity-filter1

[Quidway-rou