• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
  • 漏洞说明
  • 全部
  • 全部
  • 大数据引擎
  • 知了引擎
产品线
搜索
取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式
高级搜索

BPR与track联动next-hop

2025-05-16提问
  • 0关注
  • 0收藏,583浏览
粉丝:0人 关注:0人

问题描述:

客户PBR配置了apply next-hop 1.1.1.1 ,没有联动track,假设1.1.1.1 这个IP不通了,如果没有联动track会不会导致业务中断。

如果配置track,用BFD echo 方法 还是用NQA方法 。客户设备是安全F1000-AI-90

最佳答案

已采纳
粉丝:19人 关注:0人

当PBR配置apply next-hop 1.1.1.1未联动Track时:

  1. 若1.1.1.1不可达,策略路由仍会强制将流量引向该不可达的下一跳,导致业务中断。
  2. 设备无法自动感知下一跳可达性变化,需依赖Track联动实现动态切换。

解决方案:

  1. 必须配置Track联动

    • 根据《H3C SecPath系列防火墙配置指导》,策略路由需通过Track模块实时监测下一跳可达性。当Track状态为Negative时,策略路由会自动失效,触发备用路径切换。
  2. 探测方式选择

    • BFD Echo方式(推荐直连场景):
      • 优点:毫秒级快速检测(典型检测时间300ms),适用于对延迟敏感的关键业务。
      • 配置要点:需指定BFD echo报文的出接口、本地IP和远端IP,且必须为直连链路。
      track 1 bfd echo interface GigabitEthernet1/0/1 remote ip 1.1.1.1 local ip 1.1.1.2 policy-based-route PBR permit node 10 apply next-hop 1.1.1.1 track 1
    • NQA方式(适用复杂场景):
      • 优点:支持跨设备探测,可通过ICMP/TCP等多种方式检测,适用于非直连或VPN场景。
      • 配置要点:需指定NQA测试组参数,且注意VPN实例一致性。
      nqa entry admin test type icmp-echo destination ip 1.1.1.1 frequency 1000 track 2 nqa entry admin test reaction 1 policy-based-route PBR permit node 10 apply next-hop 1.1.1.1 track 2
  3. 优先级建议

    • 直连链路优先使用BFD Echo(检测速度更快)。
    • 存在NAT、VPN或多跳路由时,必须使用NQA方式。
    • 可通过display track brief命令验证Track状态是否为Positive。

实施效果

  • 当1.1.1.1不可达时,Track状态会在3秒内(NQA默认3次失败检测)变为Negative,策略路由自动失效。
  • 流量将回退到路由表转发,或触发备用PBR策略(如有配置),保障业务连续性。

注:F1000-AI-90的V7平台完全支持上述功能,需确保版本为R9323P03及以上以获得最佳BFD性能。


感谢大佬解答

zhiliao_cGCjSS 发表时间:2025-05-16 更多>>

感谢大佬解答

zhiliao_cGCjSS 发表时间:2025-05-16
4 个回答
Xcheng 九段
粉丝:132人 关注:3人

特定情况下会


bfd或nqa都行,具体看需求吧


bfd更高效,nqa适用性更好

粉丝:0人 关注:0人

一般是用NQA


粉丝:32人 关注:1人

不通了就会走正常的路由转发

如果PBR配置了apply next-hop 1.1.1.1,但没有与track联动,当1.1.1.1这个IP不可达时,设备将无法自动切换到备用路径,这可能会导致业务中断。因为没有track联动,设备无法实时监测到下一跳的可达性状态,从而无法及时调整路由策略。 为了提高网络的可靠性和稳定性,建议配置track与PBR联动

如果对故障检测速度有较高要求,建议使用BFD的echo方法;如果需要更灵活的监测方式,NQA可能是一个更好的选择。


粉丝:2人 关注:0人

这个得看你的组网:

第一种情况:下一跳1.1.1.1的设备如果是做PBR设备的直连设备且不出现人为故意不配接口IP的情况,那么就不会有业务中断的风险。

第二种情况,就是做PBR设备和下一跳设备中存在中间设备,这时候就必须配置检测机制了,不然一旦中间设备到下一跳设备之间的链路down,业务就会出现中断的风险了。

因此,为了稳妥起见,强烈建议配置到下一跳地址的检测机制,以防万一。

编辑答案

你正在编辑答案

如果你要对问题或其他回答进行点评或询问,请使用评论功能。

分享扩散:

提出建议

    +

亲~登录后才可以操作哦!

确定

亲~检测到您登陆的账号未在http://hclhub.h3c.com进行注册

注册后可访问此模块

跳转hclhub

你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作

举报

×

侵犯我的权益 >
对根叔社区有害的内容 >
辱骂、歧视、挑衅等(不友善)

侵犯我的权益

×

泄露了我的隐私 >
侵犯了我企业的权益 >
抄袭了我的内容 >
诽谤我 >
辱骂、歧视、挑衅等(不友善)
骚扰我

泄露了我的隐私

×

您好,当您发现根叔知了上有泄漏您隐私的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您认为哪些内容泄露了您的隐私?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)

侵犯了我企业的权益

×

您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
  • 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
  • 3. 是哪家企业?(营业执照,单位登记证明等证件)
  • 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔社区有害的内容

×

垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载 >
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票

不规范转载

×

举报说明