MSR-G2系列路由器路由转发异常配置案例
一、 组网:
MSR G2路由器和流量清洗设备通过两个GE口进行互联,其中的G2/0/1接口与流量清洗设备建立EBGP邻居关系。
正常的业务流量会沿着PC1→MSR G2路由器→交换机→PC2的路径发送。但是当PC2认为自己受到攻击时,流量清洗设备会向路由器发布到PC2的32位主机路由,将攻击流量引至流量清洗设备进行处理。处理之后的流量再发送到MSR G2路由器的G2/0/2接口,该接口通过应用策略路由,将流量从G2/0/0接口转发出去。
具体组网情况如下图所示:
图1 MSR G2路由器路由转发异常配置组网图
二、 问题描述:
当模拟PC2遭受攻击时,在PC1上无法ping通1.1.1.1的主机地址。通过在PC1上tracert 1.1.1.1发现,MSR G2路由器上G2/0/2接口的策略路由未生效,导致去往1.1.1.1的流量在流量清洗设备和MSR G2路由器之间形成环路。而在流量清洗设备上,直接ping 1.1.1.1转发正常,且可以看到匹配了策略路由。
三、 过程分析:
MSR G2系列路由器使用版本:R0105P12
在MSR G2系列路由器上配置该组网环境的基本配置:
#
ip unreachables enable
ip ttl-expires enable
#
//创建策略路由,将从G2/0/2进入的流量,从G2/0/0转发出去
policy-based-route t permit node 5
if-match acl 3000
apply next-hop 192.168.3.2
#
policy-based-route t permit node 10
#
interface GigabitEthernet2/0/0
ip address 192.168.3.1 255.255.255.252
#
interface GigabitEthernet2/0/1
ip address 192.168.2.1 255.255.255.252
#
//在接口下应用策略路由,将匹配acl 3000的报文按照策略指定下一跳转发出去
interface GigabitEthernet2/0/2
ip address 192.168.1.1 255.255.255.252
ip policy-based-route t
#
interface GigabitEthernet2/0/3
ip address 2.2.2.1 255.255.255.252
#
//启用BGP进程,并与流量清洗设备建立EBGP邻居关系。使能其ipv4的邻居能力
bgp 1
peer 192.168.2.2 as-number 2
#
address-family ipv4 unicast
peer 192.168.2.2 enable
#
//配置静态路由,保证在流量清洗设备未发布32位主机路由时,到1.1.1.1的流量可以通过G2/0/0口直接转发
ip route-static 1.1.1.0 24 192.168.3.2
#
//定义acl,保证只对到1.1.1.1的流量匹配策略路由
acl number 3000
rule 0 permit ip destination 1.1.1.1 0
#
在流量清洗设备上配置:
#
ip unreachables enable
ip ttl-expires enable
#
interface GigabitEthernet0/0
ip address 192.168.2.2 255.255.255.252
#
interface GigabitEthernet0/1
ip address 192.168.1.2 255.255.255.252
#
//启用BGP进程,与MSR G2路由器建立EBGP邻居关系。使能其ipv4的邻居能力,并发布1.1.1.1的32位主机路由给路由器
bgp 2
peer 192.168.2.1 as-number 1
#
address-family ipv4 unicast
network 1.1.1.1 255.255.255.255
peer 192.168.2.1 enable
#
//配置静态路由,保证网络正常可达
ip route-static 1.1.1.1 32 192.168.1.1
ip route-static 2.2.2.0 30 192.168.2.1
#
在流量清洗设备向路由器发布到1.1.1.1的32位主机路由之前,PC1可以正常ping通PC2。当流量清洗设备发布精确路由后,从PC1处tracert 1.1.1.1可以发现,数据流在流量清洗设备与MSR G2路由器之间形成环路,导致数据无法正常转发到PC2处。
此时查看设备的快转表,发现未能生成正确的快转表项。
[MSR-G2]display ip fast-forwarding cache 1.1.1.1
Total number of fast-forwarding entries: 2
SIP SPort DIP DPort Pro Input_If Output_If Flg
1.1.1.1 0 1.1.1.254 0 1 GE2/0/0 InLoop0 1
1.1.1.254 0 1.1.1.1 768 1 GE2/0/2 GE2/0/0 1
四、 解决方法:
MSR G2路由器搭载的是Comware V7平台,在缺省情况下,设备的快速转发负载分担功能是打开的:当一条数据流从不同入接口上来进行转发时,不再根据入接口不同区分数据流,仅根据五元组标识一条数据流。
该命令为:
[MSR-G2] ip fast-forwarding load-sharing
此时,对于MSR G2路由器来说,到1.1.1.1的精确路由是从流量清洗设备处学习到的,由于不区分流量的入接口,那么无论是从G2/0/3或是G2/0/2进来的流量,只要目的地址是1.1.1.1,就会转发到流量清洗设备处。由于已有生成的快转表项,报文将匹配该表项直接进行转发,使得配置的策略路由失效,导致在设备之间形成环路,流量无法被转发到PC2处。
关闭设备的快速转发负载分担功能后,将会根据入接口的不同对五元组标识的数据流再次做出区分,即将入接口作为区分数据流的另一特征标识。
[MSR-G2]undo ip fast-forwarding load-sharing
[MSR-G2]display ip fast-forwarding cache 1.1.1.1
Total number of fast-forwarding entries: 8
SIP SPort DIP DPort Pro Input_If Output_If Flg
1.1.1.1 12737 2.2.2.2 0 1 GE2/0/0 GE2/0/3 1
1.1.1.1 12737 2.2.2.2 0 1 GE2/0/1 GE2/0/3 1
2.2.2.2 12737 1.1.1.1 2048 1 GE2/0/2 GE2/0/0 1
2.2.2.2 12737 1.1.1.1 2048 1 GE2/0/3 GE2/0/1 1
1.1.1.1 0 1.1.1.254 0 1 GE2/0/1 InLoop0 1
1.1.1.1 0 1.1.1.254 0 1 GE2/0/0 InLoop0 1
1.1.1.254 0 1.1.1.1 768 1 InLoop0 GE2/0/1 1
1.1.1.254 0 1.1.1.1 768 1 GE2/0/2 GE2/0/0 1
关闭该功能后,可以发现设备生成了正确的快转表项,从PC1到PC2处的流量将根据入接口是G2/0/2或G2/0/3的不同,来选择不同的出接口。
此时流量就可以按照组网规划中的情景来正常转发。
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作