问

BPR与track联动next-hop

Track

2025-05-16提问

0关注
0收藏，583浏览

zhiliao_cGCjSS

zhiliao_cGCjSS 四段

粉丝：0人关注：0人

问题描述：

客户PBR配置了apply next-hop 1.1.1.1 ,没有联动track，假设1.1.1.1 这个IP不通了，如果没有联动track会不会导致业务中断。

如果配置track，用BFD echo 方法还是用NQA方法。客户设备是安全F1000-AI-90

最佳答案

已采纳

我是马化腾

我是马化腾九段

粉丝：19人关注：0人

当PBR配置apply next-hop 1.1.1.1未联动Track时：

若1.1.1.1不可达，策略路由仍会强制将流量引向该不可达的下一跳，导致业务中断。
设备无法自动感知下一跳可达性变化，需依赖Track联动实现动态切换。

解决方案：

必须配置Track联动：
- 根据《H3C SecPath系列防火墙配置指导》，策略路由需通过Track模块实时监测下一跳可达性。当Track状态为Negative时，策略路由会自动失效，触发备用路径切换。
探测方式选择：
- BFD Echo方式（推荐直连场景）：
  - 优点：毫秒级快速检测（典型检测时间300ms），适用于对延迟敏感的关键业务。
  - 配置要点：需指定BFD echo报文的出接口、本地IP和远端IP，且必须为直连链路。
  track 1 bfd echo interface GigabitEthernet1/0/1 remote ip 1.1.1.1 local ip 1.1.1.2 policy-based-route PBR permit node 10 apply next-hop 1.1.1.1 track 1
- NQA方式（适用复杂场景）：
  - 优点：支持跨设备探测，可通过ICMP/TCP等多种方式检测，适用于非直连或VPN场景。
  - 配置要点：需指定NQA测试组参数，且注意VPN实例一致性。
  nqa entry admin test type icmp-echo destination ip 1.1.1.1 frequency 1000 track 2 nqa entry admin test reaction 1 policy-based-route PBR permit node 10 apply next-hop 1.1.1.1 track 2
优先级建议：
- 直连链路优先使用BFD Echo（检测速度更快）。
- 存在NAT、VPN或多跳路由时，必须使用NQA方式。
- 可通过display track brief命令验证Track状态是否为Positive。

实施效果：

当1.1.1.1不可达时，Track状态会在3秒内（NQA默认3次失败检测）变为Negative，策略路由自动失效。
流量将回退到路由表转发，或触发备用PBR策略（如有配置），保障业务连续性。

注：F1000-AI-90的V7平台完全支持上述功能，需确保版本为R9323P03及以上以获得最佳BFD性能。

感谢大佬解答

zhiliao_cGCjSS 发表时间：2025-05-16 更多>>

感谢大佬解答

zhiliao_cGCjSS 发表时间：2025-05-16

4 个回答

按时间按赞数

Xcheng

Xcheng 九段

粉丝：132人关注：3人

特定情况下会

bfd或nqa都行，具体看需求吧

bfd更高效，nqa适用性更好

网工小爬虫

网工小爬虫二段

粉丝：0人关注：0人

一般是用NQA

zhiliao_v6hOyc

zhiliao_v6hOyc 九段

粉丝：32人关注：1人

不通了就会走正常的路由转发

如果PBR配置了apply next-hop 1.1.1.1，但没有与track联动，当1.1.1.1这个IP不可达时，设备将无法自动切换到备用路径，这可能会导致业务中断。因为没有track联动，设备无法实时监测到下一跳的可达性状态，从而无法及时调整路由策略。为了提高网络的可靠性和稳定性，建议配置track与PBR联动

如果对故障检测速度有较高要求，建议使用BFD的echo方法；如果需要更灵活的监测方式，NQA可能是一个更好的选择。