MSR-G2系列路由器路由转发异常配置案例

MSR-G2系列路由器路由转发异常配置案例

一、 组网：

MSR G2路由器和流量清洗设备通过两个GE口进行互联，其中的G2/0/1接口与流量清洗设备建立EBGP邻居关系。

正常的业务流量会沿着PC1→MSR G2路由器→交换机→PC2的路径发送。但是当PC2认为自己受到攻击时，流量清洗设备会向路由器发布到PC2的32位主机路由，将攻击流量引至流量清洗设备进行处理。处理之后的流量再发送到MSR G2路由器的G2/0/2接口，该接口通过应用策略路由，将流量从G2/0/0接口转发出去。

具体组网情况如下图所示：

图1 MSR G2路由器路由转发异常配置组网图

二、 问题描述：

当模拟PC2遭受攻击时，在PC1上无法ping通1.1.1.1的主机地址。通过在PC1上tracert 1.1.1.1发现，MSR G2路由器上G2/0/2接口的策略路由未生效，导致去往1.1.1.1的流量在流量清洗设备和MSR G2路由器之间形成环路。而在流量清洗设备上，直接ping 1.1.1.1转发正常，且可以看到匹配了策略路由。

三、 过程分析：

MSR G2系列路由器使用版本：R0105P12

在MSR G2系列路由器上配置该组网环境的基本配置：

#

 ip unreachables enable

 ip ttl-expires enable

#

//创建策略路由，将从G2/0/2进入的流量，从G2/0/0转发出去

policy-based-route t permit node 5

 if-match acl 3000

 apply next-hop 192.168.3.2

#

policy-based-route t permit node 10

#

interface GigabitEthernet2/0/0

ip address 192.168.3.1 255.255.255.252

#

interface GigabitEthernet2/0/1

 ip address 192.168.2.1 255.255.255.252

#

//在接口下应用策略路由，将匹配acl 3000的报文按照策略指定下一跳转发出去

interface GigabitEthernet2/0/2

 ip address 192.168.1.1 255.255.255.252

 ip policy-based-route t

#

interface GigabitEthernet2/0/3

 ip address 2.2.2.1 255.255.255.252

#

//启用BGP进程，并与流量清洗设备建立EBGP邻居关系。使能其ipv4的邻居能力

bgp 1

 peer 192.168.2.2 as-number 2

 #

 address-family ipv4 unicast

  peer 192.168.2.2 enable

#

//配置静态路由，保证在流量清洗设备未发布32位主机路由时，到1.1.1.1的流量可以通过G2/0/0口直接转发

ip route-static 1.1.1.0 24 192.168.3.2

#

//定义acl，保证只对到1.1.1.1的流量匹配策略路由

acl number 3000

 rule 0 permit ip destination 1.1.1.1 0

#

在流量清洗设备上配置：

#

 ip unreachables enable

 ip ttl-expires enable

#

interface GigabitEthernet0/0

ip address 192.168.2.2 255.255.255.252

#

interface GigabitEthernet0/1

ip address 192.168.1.2 255.255.255.252

#

//启用BGP进程，与MSR G2路由器建立EBGP邻居关系。使能其ipv4的邻居能力，并发布1.1.1.1的32位主机路由给路由器

bgp 2

 peer 192.168.2.1 as-number 1

 #

 address-family ipv4 unicast

  network 1.1.1.1 255.255.255.255

  peer 192.168.2.1 enable

#

//配置静态路由，保证网络正常可达

ip route-static 1.1.1.1 32 192.168.1.1

 ip route-static 2.2.2.0 30 192.168.2.1

#

在流量清洗设备向路由器发布到1.1.1.1的32位主机路由之前，PC1可以正常ping通PC2。当流量清洗设备发布精确路由后，从PC1处tracert 1.1.1.1可以发现，数据流在流量清洗设备与MSR G2路由器之间形成环路，导致数据无法正常转发到PC2处。

此时查看设备的快转表，发现未能生成正确的快转表项。

[MSR-G2]display ip fast-forwarding cache 1.1.1.1

Total number of fast-forwarding entries: 2

SIP             SPort  DIP           DPort Pro  Input_If    Output_If     Flg

1.1.1.1         0       1.1.1.254       0     1     GE2/0/0     InLoop0     1   

1.1.1.254     0       1.1.1.1         768   1     GE2/0/2     GE2/0/0     1   

四、 解决方法：

MSR G2路由器搭载的是Comware V7平台，在缺省情况下，设备的快速转发负载分担功能是打开的：当一条数据流从不同入接口上来进行转发时，不再根据入接口不同区分数据流，仅根据五元组标识一条数据流。

该命令为：

[MSR-G2] ip fast-forwarding load-sharing

此时，对于MSR G2路由器来说，到1.1.1.1的精确路由是从流量清洗设备处学习到的，由于不区分流量的入接口，那么无论是从G2/0/3或是G2/0/2进来的流量，只要目的地址是1.1.1.1，就会转发到流量清洗设备处。由于已有生成的快转表项，报文将匹配该表项直接进行转发，使得配置的策略路由失效，导致在设备之间形成环路，流量无法被转发到PC2处。

关闭设备的快速转发负载分担功能后，将会根据入接口的不同对五元组标识的数据流再次做出区分，即将入接口作为区分数据流的另一特征标识。

[MSR-G2]undo ip fast-forwarding load-sharing

[MSR-G2]display ip fast-forwarding cache 1.1.1.1

Total number of fast-forwarding entries: 8

SIP           SPort   DIP            DPort   Pro  Input_If     Output_If    Flg

1.1.1.1      12737  2.2.2.2         0        1   GE2/0/0       GE2/0/3     1   

1.1.1.1      12737  2.2.2.2         0        1   GE2/0/1       GE2/0/3     1   

2.2.2.2      12737  1.1.1.1         2048  1   GE2/0/2       GE2/0/0     1   

2.2.2.2      12737  1.1.1.1         2048  1   GE2/0/3       GE2/0/1     1   

1.1.1.1        0        1.1.1.254      0       1   GE2/0/1       InLoop0     1   

1.1.1.1        0        1.1.1.254      0       1   GE2/0/0       InLoop0     1   

1.1.1.254      0      1.1.1.1         768    1   InLoop0       GE2/0/1     1   

1.1.1.254      0      1.1.1.1         768    1   GE2/0/2       GE2/0/0     1   

关闭该功能后，可以发现设备生成了正确的快转表项，从PC1到PC2处的流量将根据入接口是G2/0/2或G2/0/3的不同，来选择不同的出接口。

此时流量就可以按照组网规划中的情景来正常转发。