SR8812到私网目的地址路由但转发不通问题经验案例

SR8812做三层转发，目的地址1.1.1.1在vpn实例ABC内。

SR8812到目的地址1.1.1.1不通，设备主动ping 1.1.1.1和做转发到1.1.1.1皆不通。不通时SR8812上有到1.1.1.1的路由，流统显示报文丢在SR8812没有转发出去。

转发不通时，SR8812上有到1.1.1.1的路由，

[SR8812]dis ip routing-table vpn-instance  ABC 1.1.1.1

Routing Table : ABC

Summary Count : 2

Destination/Mask    Proto  Pre  Cost  NextHop         Interface

1.1.1.0/24          BGP    130  174   10.200.X.X      Vlan1017

流统显示转发不通时报文丢在SR8812，流统过程略。

之后，需要查看设备硬件表项，以确认为何没有正常转发。

查看板卡fib表项，SR8812没有到1.1.1.1的fib。下面命令要在_hide模式下使用，vpn 8参数对应display ip vpn-instance中，ABC这个实例对应的vpn实例编号。

[SR8812-hidecmd]_dis drv l3 ipv4_route slot 4 ip 1.1.1.1 24 vpn 8

 The FTN/FIB table doesn't exist! Handle<0xFFFFFFFF>

 The FTN/FIB table doesn't exist! Handle<0xFFFFFFFF>

查看设备下发fib失败记录，有1.1.1.0/24下发失败的信息。该命令中flag f表示fail，即下发失败。

[SR8812-hidecmd]_dis fib vpn-id 8 flag f slot 4

Destination/Mask   Nexthop   Flag    OutInterface    InnerLabel Token

1.1.1.0/24  10.200.X.X  UDG     Vlan1017  Null  Invalid                   [VNToken : 0x37]

查看设备下发fib失败原因，为资源不足。

[DYW-Core-SR8812-A-hidecmd]_dis drv l3 ipv4_route err_operation slot 4

 Record Time: 2018/09/28, 17:45:11:761

 Operation: ADD

 Result: NO_ENOUGH_RESOURCE

 DstIP : 1.1.1.0/24

 Operate HW Or NOT: 1

 NEW Route Info :

   EcmpNum : 1

   Route 0

     Nexthop : 10.200.X.X

     RouteStatus : 0x64808030

     IfIndex : 0x73203f8

     TunnelDrvContext : [0]=0xffffffff [1]=0xffffffff

     DrvContext : [0]=0xffffffff [1]=0xffffffff

     ARPRouteDrvContext : [0]=0xf26a [1]=0xcc86218

     VrfIndex : 0x6  TeFlag: 0  TunnelId : 0x0

     InnerLabel : 10164

     LabelDepth : 2  Stack: 10164,3,0,0,0,

     FtnDrvContext [0]=ffffffff [1]=ffffffff

之后确认，现网设备上私网路由条目非常多，而现网设备使用板卡所支持的vpn fib数量要小于私网路由条目数，因此部分私网路由对应vpn fib表项无法下发，导致转发失败。

通过在上游设备做路由聚合，或删除部分vpn实例等方式，减少vpn路由数量至板卡所能支持的范围以内。