H3C M9008-S

1. 检查防火墙策略（关键步骤）

• 问题点：B位于untrust区，防火墙可能默认阻止了从untrust到trust的流量。
• 操作：
  • 在防火墙上添加规则，允许从B到A的OSPF协议（IP协议号89）双向通行。
  • 确保策略同时放行目的端口为组播地址224.0.0.5和224.0.0.6的流量（OSPF使用组播通信）。

2. 验证VRF绑定配置

• 问题点：vlanif接口未正确绑定到VRF，或VRF间路由泄漏未配置。
• 操作：
  • 在A和B交换机上检查VRF配置：
    bash

    复制
    # 华为/华三设备示例： display ip vpn-instance # 确认VRF存在 display interface vlanifX # 确认接口绑定了正确的VRF ​
  • 确保OSPF进程关联到对应的VRF：
    bash

    复制
    # OSPF配置示例（华为）： router ospf vrf <VRF_NAME> ​
  • 若需跨VRF通信，需配置路由泄漏（如通过策略或静态路由指向对方VRF）。

3. 检查VLAN和接口配置

• 问题点：VLAN ID不一致、接口未启用或IP地址配置错误。
• 操作：
  • 确认A和B的vlanif接口VLAN ID相同，且处于同一子网。
  • 检查接口状态是否为UP：
    bash

    复制
    display interface vlanifX ​
  • 验证IP地址配置：
    bash

    复制
    display ip interface vlanifX ​

4. 检查OSPF参数一致性

• 问题点：区域ID、网络类型、认证等参数不匹配。
• 操作：
  • 确认A和B的OSPF 区域ID一致。
  • 检查网络类型（如广播或点对点）是否匹配：
    bash

    复制
    display ospf interface vlanifX ​
  • 若启用认证，确保认证类型（MD5/明文）和密钥一致。

5. 抓包排查单向流量问题

• 操作：
  • 在A的vlanif接口抓包，确认是否收到B发送的OSPF Hello报文：
    bash

    复制
    tcpdump -i vlanifX -nnp ospf ​
  • 若A未收到报文，检查中间设备（防火墙、物理链路）是否丢弃流量。

6. 验证MTU和物理链路

• 问题点：MTU不匹配或物理链路故障。
• 操作：
  • 确认A和B的接口MTU一致（通常为1500）：
    bash

    复制
    display interface vlanifX | include MTU ​
  • 检查交换机端口错误计数：
    bash

    复制
    display interface GigabitEthernetX/X/X # 查看是否有CRC错误、丢包 ​

最终验证

• 完成上述调整后，重置OSPF进程并观察邻居状态：
  bash

  复制
  reset ospf process # 华为/华三设备 ​
• 使用命令检查邻居状态：
  bash

  复制
  display ospf peer # 查看是否进入Full状态 ​

根本原因可能性排序：

1. 防火墙拦截B到A的OSPF报文（最常见）。
2. VRF绑定错误导致路由失效。
3. VLAN或接口配置错误（如VLAN未放行、IP地址错误）。
4. 物理链路或MTU问题。

建议优先排查防火墙策略和VRF配置，确保OSPF报文双向可达后再验证其他参数。