诊断四
AR32的loopback0无法访问ISIS区域内的任何设备
TAC4-1:变种1
解答
一、故障根因
1.1 AR28的ospf进程下没有引入isis或者引入错误的isis进程ID;
1.2 AR28的ospf进程下配置了外部路由汇总并加了关键字not-advertise,汇总后不通告;
1.3 AR28的ospf进程下使用filter-policy命令针对出方向的5类lsa进行了过滤;
1.4 AR28在GigabitEthernet0/0/0和GigabitEthernet2/0/0接口下配置了ospf filter-lsa-out ase。
二、故障分析
2.1 故障重现
AR32不能访问isis区域所有设备,为确定故障是否存在,需要在AR32上逐一进行测试,结果如下:
"""
<AR32>ping -a 10.5.1.32 10.5.1.34
PING 10.5.1.34: 56 data bytes, press CTRL_C to break
Request time out
Request time out
Request time out
Request time out
Request time out
--- 10.5.1.34 ping statistics ---
5 packet(s) transmitted
0 packet(s) received
100.00% packet loss
.....省略部分已经测试,但是无法ping通的结果
"""
结果显示,AR32的loopback0接口确实无法访问isis区域的任何设备,故障确实存在。
2.2 检查路由表
AR32想要访问isis区域的设备,首先需要在路由表上存在ISIS区域设备的路由,查看AR32的路由表,结果如下:
"""
<AR32>display ip routing-table
Route Flags: R - relay, D - download to fib
------------------------------------------------------------------------------
Routing Tables: Public
Destinations : 11 Routes : 11
Destination/Mask Proto Pre Cost Flags NextHop Interface
10.5.1.27/32 OSPF 10 2 D 10.5.232.28 GigabitEthernet
0/0/0
10.5.1.28/32 OSPF 10 1 D 10.5.232.28 GigabitEthernet
0/0/0
10.5.1.32/32 Direct 0 0 D 127.0.0.1 LoopBack0
10.5.128.0/24 OSPF 10 2 D 10.5.232.28 GigabitEthernet
0/0/0
10.5.232.0/24 Direct 0 0 D 10.5.232.32 GigabitEthernet
0/0/0
10.5.232.32/32 Direct 0 0 D 127.0.0.1 GigabitEthernet
0/0/0
10.5.232.255/32 Direct 0 0 D 127.0.0.1 GigabitEthernet
0/0/0
127.0.0.0/8 Direct 0 0 D 127.0.0.1 InLoopBack0
127.0.0.1/32 Direct 0 0 D 127.0.0.1 InLoopBack0
127.255.255.255/32 Direct 0 0 D 127.0.0.1 InLoopBack0
255.255.255.255/32 Direct 0 0 D 127.0.0.1 InLoopBack0
"""
结果显示,AR32上并不存在isis区域的任何路由,但是存在AR28的loopback0接口地址的路由,说明AR32与AR28之间的ospf邻居正常。
2.3 检查ospf的链路状态数据库
isis区域的路由数据ospf的外部路由,ospf传递外部路由使用5类lsa,查看AR32的ospf链路状态数据库中是否存在5类lsa,结果如下:
"""
<AR32>display ospf lsdb
OSPF Process 1 with Router ID 10.5.1.32
Link State Database
Area: 0.0.0.1
Type LinkState ID AdvRouter Age Len Sequence Metric
Router 10.5.1.32 10.5.1.32 505 48 80000006 1
Router 10.5.1.28 10.5.1.28 514 36 80000004 1
Network 10.5.232.32 10.5.1.32 505 32 80000002 0
Sum-Net 10.5.128.0 10.5.1.28 552 28 80000001 1
Sum-Net 10.5.1.28 10.5.1.28 552 28 80000001 0
Sum-Net 10.5.1.27 10.5.1.28 508 28 80000001 1
"""
结果显示,AR32的链路状态数据库中不存在任何5类lsa。
2.4 查看AR27的ospf链路状态数据库
由于5类lsa是在整个区域内泛洪的,AR27和AR28之间同样运行ospf路由协议,查看AR27上是否存在5类lsa,结果如下:
"""
<AR27>display ospf lsdb
OSPF Process 1 with Router ID 10.5.1.27
Link State Database
Area: 0.0.0.0
Type LinkState ID AdvRouter Age Len Sequence Metric
Router 10.5.1.27 10.5.1.27 625 48 80000006 1
Router 10.5.1.28 10.5.1.28 617 48 80000008 1
Network 10.5.128.28 10.5.1.28 617 32 80000002 0
Sum-Net 10.5.1.32 10.5.1.28 629 28 80000001 1
Sum-Net 10.5.232.0 10.5.1.28 666 28 80000001 1
"""
结果显示,AR27上也不存在相应的5类lsa。目前推断是AR28上没有上将isis的路由引入ospf出现了问题。
2.5 查看AR34和AR31的路由表
通信是双向的,不仅需要AR32上存在isis区域设备的路由,同样需要isis区域设备上存在AR32的loopback0接口的路由,查看AR34和AR31的路由表,结果如下:
"""
# AR31的路由表
<AR31>display ip routing-table
Route Flags: R - relay, D - download to fib
------------------------------------------------------------------------------
Routing Tables: Public
Destinations : 20 Routes : 20
Destination/Mask Proto Pre Cost Flags NextHop Interface
10.5.1.27/32 ISIS-L2 15 74 D 10.5.231.28 GigabitEthernet
0/0/2
10.5.1.28/32 ISIS-L2 15 74 D 10.5.231.28 GigabitEthernet
0/0/2
10.5.1.30/32 ISIS-L1 15 20 D 10.5.234.34 GigabitEthernet
0/0/1
10.5.1.31/32 Direct 0 0 D 127.0.0.1 LoopBack0
10.5.1.32/32 ISIS-L2 15 74 D 10.5.231.28 GigabitEthernet
0/0/2
10.5.1.34/32 ISIS-L1 15 10 D 10.5.234.34 GigabitEthernet
0/0/1
10.5.128.0/24 ISIS-L2 15 74 D 10.5.231.28 GigabitEthernet
0/0/2
10.5.134.0/24 ISIS-L1 15 20 D 10.5.234.34 GigabitEthernet
0/0/1
10.5.230.0/24 ISIS-L1 15 30 D 10.5.234.34 GigabitEthernet
0/0/1
10.5.231.0/24 Direct 0 0 D 10.5.231.31 GigabitEthernet
0/0/2
10.5.231.31/32 Direct 0 0 D 127.0.0.1 GigabitEthernet
0/0/2
10.5.231.255/32 Direct 0 0 D 127.0.0.1 GigabitEthernet
0/0/2
10.5.232.0/24 ISIS-L2 15 74 D 10.5.231.28 GigabitEthernet
0/0/2
10.5.234.0/24 Direct 0 0 D 10.5.234.31 GigabitEthernet
0/0/1
10.5.234.31/32 Direct 0 0 D 127.0.0.1 GigabitEthernet
0/0/1
10.5.234.255/32 Direct 0 0 D 127.0.0.1 GigabitEthernet
0/0/1
127.0.0.0/8 Direct 0 0 D 127.0.0.1 InLoopBack0
127.0.0.1/32 Direct 0 0 D 127.0.0.1 InLoopBack0
127.255.255.255/32 Direct 0 0 D 127.0.0.1 InLoopBack0
255.255.255.255/32 Direct 0 0 D 127.0.0.1 InLoopBack0
# AR34的路由表
<AR34>display ip routing-table
Route Flags: R - relay, D - download to fib
------------------------------------------------------------------------------
Routing Tables: Public
Destinations : 16 Routes : 17
Destination/Mask Proto Pre Cost Flags NextHop Interface
0.0.0.0/0 ISIS-L1 15 10 D 10.5.234.31 GigabitEthernet
0/0/1
ISIS-L1 15 10 D 10.5.134.30 GigabitEthernet
0/0/0
10.5.1.30/32 ISIS-L1 15 10 D 10.5.134.30 GigabitEthernet
0/0/0
10.5.1.31/32 ISIS-L1 15 10 D 10.5.234.31 GigabitEthernet
0/0/1
10.5.1.34/32 Direct 0 0 D 127.0.0.1 LoopBack0
10.5.134.0/24 Direct 0 0 D 10.5.134.34 GigabitEthernet
0/0/0
10.5.134.34/32 Direct 0 0 D 127.0.0.1 GigabitEthernet
0/0/0
10.5.134.255/32 Direct 0 0 D 127.0.0.1 GigabitEthernet
0/0/0
10.5.230.0/24 ISIS-L1 15 20 D 10.5.134.30 GigabitEthernet
0/0/0
10.5.231.0/24 ISIS-L1 15 20 D 10.5.234.31 GigabitEthernet
0/0/1
10.5.234.0/24 Direct 0 0 D 10.5.234.34 GigabitEthernet
0/0/1
10.5.234.34/32 Direct 0 0 D 127.0.0.1 GigabitEthernet
0/0/1
10.5.234.255/32 Direct 0 0 D 127.0.0.1 GigabitEthernet
0/0/1
127.0.0.0/8 Direct 0 0 D 127.0.0.1 InLoopBack0
127.0.0.1/32 Direct 0 0 D 127.0.0.1 InLoopBack0
127.255.255.255/32 Direct 0 0 D 127.0.0.1 InLoopBack0
255.255.255.255/32 Direct 0 0 D 127.0.0.1 InLoopBack0
"""
结果显示,AR31的路由表中存在AR32的loopback0接口地址的路由,AR34上虽然不存在,但是存在两条指向AR31、AR30的等价默认路由,这说明AR34与AR30、AR31之间的level-1级别的isis邻居正常,AR28与AR30、AR31之间的level-2级别的isis邻居正常,AR28已经正确的将ospf区域的路由引入isis进程中。
2.6 结论
通过以上分析,说明AR28上的ospf没有将5类lsa发送给AR32,主要有以下4中原因:
2.6.1 AR28的ospf进程下没有引入isis或者引入错误的isis进程ID;
2.6.2 AR28的ospf进程下配置了外部路由汇总并加了关键字not-advertise,汇总后不通告;
2.6.3 AR28的ospf进程下使用filter-policy命令针对出方向的5类lsa进行了过滤;
2.6.4 AR28在GigabitEthernet0/0/0和GigabitEthernet2/0/0接口下配置了ospf filter-lsa-out ase。
三、故障解决
3.1 针对上述不同的问题,需要在AR28上执行不同的命令,详细情况如下:
3.1.1 AR28的ospf进程下没有引入isis或者引入错误的isis进程ID
system-view //进入系统视图
ospf {ospf进程ID} //进入ospf进程下
display this //查看当前配置
import-route isis {正确的isis进程ID} //引入正确的isis进程
3.1.2 AR28的ospf进程下配置了外部路由汇总并加了关键字not-advertise,汇总后不通告
system-view //进入系统视图
ospf {ospf进程ID} //进入ospf进程下
display this //查看当前配置
undo asbr-summary 10.5.0.0 255.255.0.0 //删除区域间路由汇总
3.1.3 AR28的ospf进程下使用filter-policy命令针对出方向的5类lsa进行了过滤
system-view //进入系统视图
ospf {ospf进程ID} //进入ospf进程下
display this //查看当前配置
undo filte-policy export //删除路由过滤规则
3.1.4 AR28在GigabitEthernet0/0/0和GigabitEthernet2/0/0接口下配置了ospf filter-lsa-out ase
system-view //进入系统视图
interface xxx //进入接口视图
undo ospf filter-lsa-out ase //删除对5类lsa的过滤
执行完上述命令之后,需要在AR32上执行以下命令进行检查:
display ospf lsdb //查看是否存在5类lsa
display ip routing-table //查看是否存在isis区域设备的路由
ping -a 10.5.1.32 10.5.1.34 //查看故障是否排除
ping -a 10.5.1.32 10.5.1.31
3.2 如果执行上述命令未能排除故障,则存在以下高可能性故障:
3.2.1 AR28与AR32的ospf进程下存在路由过滤
system-view //进入系统视图
ospf {ospf进程ID} //进入ospf进程下
undo filte-policy export //删除路由过滤规则
undo filte-policy import
3.2.2 AR28与AR27、AR32互联接口、以及isis区域设备接口下存在流量过滤
display traffic-policy applied-record //查看调用流量过滤规则的接口
display acl all
system-view //进入系统视图
interface {调用流量过滤策略的接口ID} //进入接口视图
undo traffic-policy inbound //删除流量过滤策略
undo traffic-policy outbound
undo traffic-filter inbound
undo traffic-filter outbound
执行完上述命令之后,需要在AR32上执行以下命令进行检查:
display ospf lsdb //查看是否存在5类lsa
display ip routing-table //查看是否存在isis区域设备的路由
ping -a 10.5.1.32 10.5.1.34 //查看故障是否排除
ping -a 10.5.1.32 10.5.1.31
3.3 如果执行上述命令成功测排除故障,则需要继续在执行过命令的设备上继续执行以下命令:
return //回到用户视图
save //保存当前配置
3.4 如果执行以上命令未能排除故障,则需要用户提供完整的设备配置信息或者派遣一线工程师到达用户现场进行现场排障,同时拨打华为400服务热线请求华为专家的协助,谢谢!
TAC4-2:变种2
解答
# AR27上存在5类lsa,删除相关的可能性