SecPath F1000-S-G2路由问题

一、路由优先级导致的问题原因

1. 优先级冲突：当两条静态路由优先级均为60时，设备会默认形成等价路由，流量按哈希算法分担。此时若其中一条链路（4IP光纤）存在健康性问题（如部分IP不可达），但设备无法自动感知链路质量，仍会继续分担流量，导致部分访问失败。

2. 优先级调整后的矛盾：当调高4IP光纤优先级至50时，设备优先选择该链路。但1IP光纤优先级为60，此时低优先级路由会被抑制，导致该链路完全失效。需注意：静态路由优先级值越小优先级越高（如50 > 60）。

二、解决方案建议

1. 主备路由+NQA健康检测

• 配置主备路由：ip route-static 0.0.0.0 0 1.1.1.1（4IP光纤网关） track 1 preference 50 ip route-static 0.0.0.0 0 2.2.2.2（1IP光纤网关） preference 60
• 添加NQA探测：nqa entry test1 type icmp-echo destination-ip 1.1.1.1（网关地址） frequency 10 reaction 1 checked-element probe-fail threshold-type consecutive 3 track 1 nqa entry test1 reaction 1 通过NQA检测4IP链路可达性，故障时自动切换到1IP链路。

2. 下一跳VRF与出接口的区别

• 下一跳VRF：用于多租户场景，当网关位于不同VRF实例时需指定（如MPLS VPN环境）。
• 出接口：适用于直连网关场景（如同VLAN内），设备通过ARP解析网关MAC地址。在双ISP场景中，若网关位于不同物理接口，建议使用出接口+VRF。

3. 路由标记（Route Tag）

• 路由标记用于策略路由过滤（如通过route-policy匹配标记值）。若未配置路由策略，保持标记为0无需修改。

4. 其他关键检查项

• 安全策略放行：确认双出口接口所在安全域间策略允许跨域通信。
• NAT配置：确保每条外网接口配置独立的NAT outbound规则，避免地址混淆。
• ARP表项验证：检查网关ARP解析是否正确，排除二层连通性问题。

三、配置示例

四、验证步骤

1. 链路切换测试：断开4IP光纤，通过display ip routing-table确认路由切换至1IP链路。
2. NQA状态检查：display nqa result查看探测成功率，确认阈值触发逻辑。
3. 会话跟踪：display session table source-ip x.x.x.x观察流量路径是否符合预期。

通过以上调整，可实现双链路智能切换，避免优先级冲突导致的访问异常。若仍存在问题，建议收集display ip routing-table及debugging ip packet信息进一步分析。