...门 手把手教你配置默认路由
金荣良 郭潇翔
[摘 要]本文主要阐述了中国联通浙江省分公司对某客户MPLS VPN线路故障所采取的诊断排障措施,对该客户故障的原因进行了分析,从而得出客户CE路由器默认路由配置的方式对其通信业务的影响,以指导、规范客户端CE路由器配置。
[关键词]MV电路 故障 路由器 ARP协议
中图分类号:TN915.85 文献标识码:A 文章编号:1009-914X(2018)15-0104-02
1 研究背景
某客户A申告:我省N市PE路由器割接更换之后,其MPLS VPN电路中断。
2 故障排查
N市客响中心接到故障后,联系网管在本地PE设备上Ping本地客户CE设备,結果显示线路正常。随后,N市客响人员联系本地客户,了解到故障现象为N市至客户总部省外S市不通,并联系客户总部提供端到端trace记录如下所示:
router01#traceroute 210.52.134.94
Type escape sequence to abort
Tracing the route to 210.52.134.94
1 192.168.27.2 4msec 8msec 4msec
2 210.78.21.34 20msec 16msec 20msec
3 * * *
4 * * *
5 * * *
6 * * *
7 * * *
省客响中心将故障升级至集团IP网管,请其核实割接后N市PE路由器上端口的配置情况。集团反馈数据配置正确,要求分公司本地处理。
随后,省客响中心联系省网管数据专业分析N市PE上vrf路由。省网管反馈PE上存在至S市192.168.27.0/30的路由,无210.78.21.34路由,同时不清楚210.78.21.34为哪一跳地址。省客响中心和集团IP网管联系确认210.78.21.34为N市PE地址。
省客响中心召集省网管数据专业对故障进行分析:于N市PE上带源地址210.52.134.93去Ping客户总部S市的CE路由器192.168.27.1正常,说明N市PE至S市CE之间路由可达,集团数据配置正确。初步判断是否为N市客户CE回程路由依赖PE侧的互联的MAC地址,这需要和客户核实其配置。
经协调,省客响中心联系S市申障的第三方网管维护人员,以第三方网管名义自N市PE登陆客户CE,检查用户CE路由器默认路由指向端口FE0/0:
cn-pil-nb(config)#ip route 0.0.0.0 0.0.0.0 FastEthernet0/0
修改客户CE路由器默认路由,指向下一跳IP地址后,自N市CE路由器可正常Ping通S市客户CE路由器,具体如下:
router01(config)#ip route 0.0.0.0 0.0.0.0 210.52.134.93
router01(config)#end
router01#ping
Protocol [ip]:
Target IP address:192.168.27.1
Repeat count [5]:
Datagram size [100]:
Timeout in seconds [2]:
Extended commands [n]:e
Sweep range of sizes [n]:
Type escape sequence to abort.
Sending 5,100-byte ICMP Echos to 192.168.27.1,timeout is 2 seconds:
!!!!!
Seccess rate is 100 percent (5/5),round-trip min/avg/max = 16/17/20 ms
省客响中心联系S市第三方网管、N市客户,验证客户业务已恢复正常。
3 原因分析
3.1 ARP和代理ARP
ARP(Address Resolution Protocol地址解析协议)是根据IP地址获取物理地址的一个TCP/IP协议。ARP报文是主机发送出来的,在该主机只知道对方的IP地址且想知道对方的MAC地址时,它以广播的方式将ARP请求发送到自己所在网段的各个节点。当有主机响应时,回发的报文是单播发送。
代理ARP就是通过使用一个主机(通常为router),来作为指定的设备对另一设备作出ARP请求的应答代理。当主机知道一个IP地址且它想知道该IP地址对应的MAC地址时,主机广播发送ARP请求,但是如果有同一网段的部分主机在另一个物理网络时,就需要中间设备(路由器)进行代理ARP。因为路由器默认是不转发广播报文的,所以当路由器收到ARP请求时,它将启动代理ARP服务,将发送广播ARP报文。以图1拓扑为例说明ARP代理工作流程如下:
1.HostA和HostC虽然属于不同的广播域,但它们处于同一网段中,因此HostA会向HostC发出ARP请求广播包,请求获得HostC的MAC地址。由于路由器不会转发广播包,因此ARP请求只能到达路由器,不能到达HostC。
2.当在路由器上启用ARP代理后,路由器会查看ARP请求,发现IP地址172.16.20.100属于它连接的另一个网络,因此路由器用自己的接口MAC地址代替HostC的MAC地址,向HostA发送了一个ARP应答。
3.HostA收到ARP应答后,会认为HostC的MAC地址就是00-00-0c-94-36-ab,不会感知到ARP代理的存在。
4.在接下来的数据通信中,HostA先将数据发送给路由器,由路由器转发给HostC。
代理ARP最主要的优点就是能够在不影响其他router的路由表的情况下在网络上添加一个新的router,這样使得子网的变化对主机是透明的,主要使用在主机没有配置默认网关或没有任何路由策略的网络上
使用代理ARP也会为网络带来大量的负面影响,主要有
1.增加了某一网段上ARP流量
2.主机需要更大的ARP table来处理IP地址到MAC地址的映射
3.安全问题,比如ARP欺骗(spoofing)
4.不会为不使用ARP来解析地址的网络工作
5.不能够概括和推广网络拓扑
3.2 默认/静态路由目标为出端口和下一跳地址的区别
默认/静态路由目标为出端口时,路由器会认为目标网络与自己是直连网络,会认为目标网络与接口FE0/0 直连,做ARP请求时,会直接请求目标地址的二层链路地址。默认/静态路由目标为下一跳地址时,路由器会认为目标网络与自己是不同网络,做ARP请求时,会请求下一跳IP地址的二层链路地址,先跟下一跳地址所在的主机通信,再跟目标主机通信。当配置默认/静态路由时,如果指定远程目标为直连,则可能因为下一跳路由器关闭了代理ARP而造成通信失败,但默认/静态路由指定为下一跳地址时,通信不会受到任何影响。
3.3 本案例中客户端CE及局端PE配置对业务的影响
在本案例中,客户端CE路由器默认路由指向了出端口,在N市原PE设备端口默认为代理ARP功能开启时网络通信不受影响;而新更换的PE设备端口默认为代理ARP功能关闭,则造成了网络通信中断。默认参数的区别的导致客户默认路由未能正确指向PE。
4 总结
通过此次研究,我们发现默认/静态路由目标为出端口时,网络通信受制于下一跳路由器代理ARP功能是否开启。若下一跳路由器未开启该功能,则可能导致通信中断,因此在客户端CE路由配置中最好不要将默认路由的目标设为出端口。对此,我们检查了原有的CE路由器配置模板并传达给分公司,希望各分公司于客户支撑项目中注意该事项。
参考文献
[1] Jeff Doyle, Jennifer Carroll.《Routing TCP/IP Volume Ι》.人民邮电出版社.
[2] Jeff Doyle, Jennifer Carroll.《Routing TCP/IP Volume II》.人民邮电出版社.
[3] 曹俏梅.《邮电设计技术》.邮电设计技术杂志社有限公司.
[4] Todd Lammle.《CCNA 学习指南》.人民邮电出版社.
[5] Paquet.《CCNP自学指南》.人民邮电出版社.
[6] 陈明.《计算机广域网教程》.清华大学出版社.
