问
public和vpn路由互通的问题
1天前提问
- 0关注
- 0收藏,62浏览
各位大佬,请教一下,border上有ext实例,g1/0/2加入该实例,该接口通过ospf vpn-instance进行宣告,在border上的Ext实例内通过route-replicat复制了public云内的underlay路由(ospf)到Ext,border可以看到,但是out设备没有通过ospf学到,是模拟器bug还是配置有问题
zhiliao_Gixe
六段
排查步骤及关键命令:
1. 确认border配置:Ext实例OSPF需配置从公网OSPF复制路由,命令:ospf vpn-instance route-replicate from unpublic ospf <公网OSPF进程号>,检查配置:display ospf vpn-instance route-replicate
2. 检查out设备:确认OSPF进程绑定Ext实例、接口加入Ext实例、OSPF宣告正确;
3. 验证路由:border上查Ext实例OSPF路由:display ip routing-table vpn-instance protocol ospf;out设备查OSPF邻居:display ospf vpn-instance peer,查路由:display ip routing-table vpn-instance protocol ospf;
4. 模拟器场景:优先排查配置方向/实例绑定,部分模拟器对route-replicate支持不完善。
1. 确认border配置:Ext实例OSPF需配置从公网OSPF复制路由,命令:ospf vpn-instance
2. 检查out设备:确认OSPF进程绑定Ext实例、接口加入Ext实例、OSPF宣告正确;
3. 验证路由:border上查Ext实例OSPF路由:display ip routing-table vpn-instance
4. 模拟器场景:优先排查配置方向/实例绑定,部分模拟器对route-replicate支持不完善。
这大概率不是模拟器Bug,而是配置逻辑上的一个常见误区。在 Border 设备上能看到复制进来的路由,但 Out 设备学不到,通常是因为路由没有成功从 Border 的 Public 路由表引入到 Ext 实例的 OSPF 进程中。
在 OSPF VPN 实例(VRF)的场景下,路由的传递需要经历“复制 -> 引入 -> 宣告”的过程。你可以按照以下三个核心步骤进行排查:
1. 检查 Border 上 OSPF 进程是否引入了复制的路由
这是最容易被忽略的一步。
route-replicate 只是把 Public 云内的 Underlay 路由复制到了 Ext 实例的全局路由表中,但 Ext 实例内的 OSPF 进程并不会自动把这些路由发布出去。- 排查方法:在 Border 的 Ext 实例 OSPF 进程下,检查是否有引入直连或静态路由的配置。因为复制过来的路由在 Ext 实例看来,通常是一条直连或静态路由。
- 配置示例(华为/H3C 风格):
1[Border] ospf 1 vpn-instance Ext 2[Border-ospf-1] import-route direct // 尝试引入直连路由 3[Border-ospf-1] import-route static // 如果复制后表现为静态路由,则引入静态 - 验证命令:在 Border 上执行
display ospf lsdb(需指定 VPN 实例),查看是否生成了对应的 5类 LSA(外部路由)。如果没有 5类 LSA,说明引入失败,Out 设备自然学不到。
2. 检查 Border 与 Out 设备之间的 OSPF 邻居状态
确认 Border 和 Out 设备之间是否真的建立了正常的 OSPF 邻居关系。
- 排查方法:在 Border 和 Out 设备上分别查看邻居状态。
- 验证命令:
display ospf peer(指定 VPN 实例)。 - 注意:邻居状态必须是 Full 才能正常同步 LSDB(链路状态数据库)。如果卡在 2-Way 或 ExStart,可能是 MTU 不匹配或网络类型不一致导致的。
3. 检查 Out 设备是否存在路由过滤或区域类型限制
如果 Border 已经生成了 5类 LSA,且邻居状态是 Full,但 Out 设备依然没有路由,说明路由在传递过程中被过滤了。
- 排查方法:
- 路由过滤:检查 Out 设备上是否配置了
filter-policy或distribute-list,不小心把 Border 发过来的外部路由给过滤掉了。 - 区域类型:确认 Out 设备所在的 OSPF 区域类型。如果 Out 设备在 Stub 或 Totally Stub 区域,这些区域是不允许 5类 LSA(外部路由)进入的。
- 路由过滤:检查 Out 设备上是否配置了
暂无评论
故障分析:border 路由复制后 out 设备 OSPF 收不到 3.3.3.3 路由
组网梳理
- border:GE0/1 接入公网 underlay(13.1.1.1、3.3.3.3 走 public 全局 OSPF);GE0/02 绑定 VPN 实例 Ext,IP:34.1.1.1,和 out(GE0/1)同网段,Ext 实例下运行 OSPF VPN。
- 配置:
route-replicate from public vpn-instance Ext→ 3.3.3.3 仅复制进 Ext 实例路由表,本机 VPN 路由表可见;out 设备 OSPF 收不到 3.3.3.3。
根因说明 ⚠️
route-replicate 仅做路由表拷贝,不会自动注入 VPN 内 OSPF 进程:
- 复制进来的路由在 Ext 路由表中是静态导入路由,不属于 OSPF VPN 本地路由;
- OSPF VPN 进程只发布本接口直连、本 OSPF 学习路由,不会自动把复制路由引入 OSPF,因此不会通过 34.1.1.1 网段发给 out。
两种标准整改方案(任选其一)
方案 1:OSPF VPN 引入复制路由(推荐)
plaintext
ip vpn-instance Ext
#
ospf 1 vpn-instance Ext
import-route static //route-replicate生成的路由在VPN内归类为静态
导入后,border 的 OSPF VPN 会将 3.3.3.3 生成 LSA,out 设备正常 OSPF 学习。
方案 2:在 Ext 实例配置静态 + 引入 OSPF(备选)
plaintext
ip vpn-instance Ext
ip route-static 3.3.3.3 255.255.255.255 public
ospf 1 vpn-instance Ext
import-route static
补充排查验证命令
plaintext
#border查看VPN内路由来源
display ip routing-table vpn-instance Ext
#查看OSPF引入路由
display ospf 1 vpn-instance Ext lsdb
#out查看OSPF路由
display ip routing-table protocol ospf
补充结论
不是模拟器 BUG,为配置缺失引入路由导致,补齐
import-route static即可通。暂无评论
编辑答案
➤
✖
亲~登录后才可以操作哦!
确定
✖
✖
你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
✖
举报
×
侵犯我的权益
>
对根叔社区有害的内容
>
辱骂、歧视、挑衅等(不友善)
侵犯我的权益
×
侵犯了我企业的权益
>
抄袭了我的内容
>
诽谤我
>
辱骂、歧视、挑衅等(不友善)
骚扰我
侵犯了我企业的权益
×
您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。
抄袭了我的内容
×
原文链接或出处
诽谤我
×
您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。
对根叔社区有害的内容
×
垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载
>
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票
不规范转载
×
举报说明
暂无评论