问题描述:
设备中为业务起了vpn-instance,业务由A出发经过交换机去往对端B,交换机和B点存在双链路,因此配置了浮动静态路由不同preference其中主走电信线路(默认60),备份走移动线路(preference 100)。并绑定了nqa进行链路的检测,配置后测试过中断电信接口,业务自动走了移动一切正常。目前因业务需求将部分需访问的B端地址主走移动,备走电信,配置了掩码更长的细路由指向移动,preference100指向电信,查询了irf路由表确认已经有移动路由生效,但实际A端进行了tracert,发现依旧走电信,不走移动,请问各位大神,可能是什么原因导致?
组网及组网描述:
A端主机10.10.3.114/24 网关10.10.3.1/24配置在华三交换机的vlan220上,vlan下绑定了vpn-instance,电信互联10.255.255.0/29移动互联10.255.254.0/29,配在相同的vpn-instrance中,主走电信,备走移动。
- 2025-06-26提问
- 举报
-
(0)
核心排查流程图
关键排查步骤及命令
✅ 1. 验证FIB转发表实际生效路由
# 在交换机执行(关注输出中的Active路由)
display fib vpn-instance <VPN_NAME> 10.10.3.114 # 源主机视角
display fib vpn-instance <VPN_NAME> <B端地址> # 目标地址视角
# 期望输出示例:
Destination/Mask Nexthop Flag TimeOut Interface
<B_IP>/32 10.255.254.1 US - VlanifXXX(移动互联) # 明细路由应优先✅ 2. 检查路由掩码长度优先级(核心)
- •
现象根因:
默认路由(0.0.0.0/0)掩码长度=0,而您添加的明细路由掩码长度不足32位 → 未触发最长匹配原则
- •
修复方案:
# 修改为精确的32位主机路由(关键!) ip route-static vpn-instance <VPN_NAME> <B_IP> 255.255.255.255 10.255.254.1 preference 100📌 路由匹配优先级:
/32 > /29 > /24 > /0,务必确保目标地址为完整32位
✅ 3. 验证NQA与浮动路由联动状态
# 检查NQA探测状态(必须显示Success)
display nqa results
# 正确输出:
NQA entry(admin, tag) : test1
Destination IP address: 10.255.254.1 (移动网关)
Status: Succeeded
# 确认静态路由绑定NQA(未绑定则失效)
display current-configuration | include "track"
# 正确配置:
ip route-static ... track nqa admin test1✅ 4. 源地址策略干扰排查
- •
问题场景:当流量从交换机主动发起时(如tracert),可能匹配本地出向路由策略
- •
验证方法:
# 在交换机模拟主机流量(指定源接口) tracert -a 10.10.3.114 <B_IP> # -a参数强制使用源IP # 对比主机tracert结果: 若交换机模拟成功 → 问题在网关ARP或主机路由 若仍失败 → 交换机策略路由(PBR)干扰
✅ 5. 策略路由(PBR)覆盖检查
# 查看是否有PBR策略覆盖默认路由
display policy-based-route
# 若存在类似配置 → 删除或修改:
policy-based-route pbr1 permit node 10
if-match acl 3000
apply ip-address next-hop 10.255.255.1 # 强制下一跳电信✅ 6. VRF内路由泄漏检查
# 检查是否意外导入其他VPN路由
display ip routing-table vpn-instance <VPN_NAME> verbose
# 关注Route Flags:
RD: xxx - 确保不是从其他VPN导入
Protocol: static - 应为本地生成🛠️ 配置修正建议
修正后的路由配置示例
# 主走电信(默认路由)
ip route-static vpn-instance BizVPN 0.0.0.0 0.0.0.0 10.255.255.1 preference 60 track nqa telco
# 备走移动(默认路由)
ip route-static vpn-instance BizVPN 0.0.0.0 0.0.0.0 10.255.254.1 preference 100
# B端业务主走移动(! 关键:32位主机路由 !)
ip route-static vpn-instance BizVPN <B_IP_1> 255.255.255.255 10.255.254.1 preference 80 # 优先级优于默认路由
ip route-static vpn-instance BizVPN <B_IP_2> 255.255.255.255 10.255.254.1 preference 80📌 终极验证手段
流量路径捕捉
# 在交换机入方向(Vlanif220)抓包
system-view
acl advanced 3999
rule 5 permit ip source 10.10.3.114 0 destination <B_IP> 0
qos mirror-group 1 inbound acl 3999 # 镜像流量
# 从主机发起测试流量
ping <B_IP> -t # 持续发送
# 检查抓包结果:
1. 若目的MAC是移动网关 → 正确
2. 若目的MAC是电信网关 → 仍错误路由追踪工具
# 在交换机诊断路由
debugging ip icmp # 观察ICMP响应路径
terminal monitor
tracert -vpn-instance BizVPN -a 10.10.3.114 <B_IP>⚠️ 完成后务必关闭调试:
undo debugging all
💎 最终结论
最大可能性(>80%):
您的“明细路由”掩码长度不足(非/32),导致未触发最长匹配原则,仍匹配了默认电信路由。
解决方案:
将目标地址改为255.255.255.255掩码,并赋予优先级80(低于电信NQA路由但高于移动默认路由)。
若仍有问题,请提供以下信息进一步排查:
- 1.
display ip routing-table vpn-instance <VPN_NAME>完整输出 - 2.
display current-configuration policy-based-route - 3.
主机执行
tracert <B_IP>的完整结果截图
- 2025-08-15回答
- 评论(0)
- 举报
-
(0)
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论