华为数通操作手册VRP全系列VRP故障处理手册路由器24984.docx-淘文阁

资源描述

《华为数通操作手册VRP全系列VRP故障处理手册路由器24984.docx》由会员分享，可在线阅读，更多相关《华为数通操作手册VRP全系列VRP故障处理手册路由器24984.docx（28页珍藏版）》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。

1、通用路由平台VRP 故障处理手册路由篇目录目录第5章路由策略故障处理5-15.1 路由策略与过滤器简介5-15.1.1 路由策略与策略路由5-15.1.2 地址前缀列表5-25.1.3 AS路径访问列表5-25.1.4 团体属性列表5-25.1.5 扩展团体属性列表5-25.1.6 路由策略5-35.2 路由策略故障处理5-35.2.1 典型组网环境5-35.2.2 配置注意事项5-55.2.3 故障诊断流程5-85.2.4 故障处理步骤5-95.3 故障处理案例5-115.3.1 使用IP-Prefix过滤路由问题5-115.3.2 使用AS-Path过滤路由问题5-135.3.3 使

2、用Community过滤路由问题5-155.3.4 使用Extcommunity过滤路由问题5-165.3.5 使用route-policy过滤路由问题5-185.4 FAQ5-215.5 故障诊断工具5-225.5.1 display命令5-225.5.2 debugging命令5-275.5.3 告警5-27i通用路由平台VRP 故障处理手册路由篇第5章路由策略故障处理第5章路由策略故障处理本章包含以下内容：l 路由策略与过滤器简介介绍了进行BGP故障处理时用户所需的知识要点。l 路由策略故障处理针对典型的BGP组网环境，介绍配置BGP时要注意的事项，BGP对等体不能建立连接故障处理的

3、流程和详细的故障处理步骤。l 故障处理案例介绍了若干实际的故障处理案例。l FAQ列出了用户常问的问题，并给出了相应的解答。l 故障诊断工具介绍了进行故障处理所需要的故障诊断工具，包括display命令和debugging命令、告警信息。5.1 路由策略与过滤器简介本节包含以下内容：l 路由策略与策略路由l 地址前缀列表l AS路径访问列表l 团体属性列表l 扩展团体属性列表l 路由策略5.1.1 路由策略与策略路由路由策略是为了改变网络流量所经过的途径而对路由信息采用的方法。主要通过改变路由属性（包括可达性）来实现。策略路由Policy-Based-Route用于指导报文转发。本章只介绍路由

4、策略。为实现路由策略，首先要定义将要实施路由策略的路由信息的特征，即定义一组匹配规则，可以以路由信息中的不同属性作为匹配依据进行设置，如目的地址、发布路由信息的路由器地址等。匹配规则可以预先设置好，然后再将它们应用于路由的发布、接收和引入等过程的路由策略中。路由器在发布与接收路由信息时，可能需要实施一些策略，以便对路由信息进行过滤，比如只接收或发布一部分满足条件的路由信息；一种路由协议（如RIPng）可能需要引入其它的路由协议发现的路由信息，从而丰富自己的路由知识；路由器在引入其它路由协议的路由信息时，可能需要只引入一部分满足条件的路由信息，并对所引入的路由信息的某些属性进行设置，以使其满足本

5、协议的要求。5.1.2 地址前缀列表地址前缀列表（IP-Prefix-Filter）包括IPv4地址前缀列表和IPv6地址前缀列表。地址前缀列表的作用类似于ACL，但比它更为灵活，且更易于为用户理解。地址前缀列表在应用于路由信息的过滤时，其匹配对象为路由信息的目的地址信息域。一个地址前缀列表由前缀列表名标识。每个前缀列表可以包含多个表项，每个表项可以独立指定一个网络前缀形式的匹配范围，并用一个Index-Number来标识，Index-Number指明了进行匹配检查的顺序。在匹配的过程中，路由器按升序依次检查由Index-Number标识的各个表项，只要有某一表项满足条件，就意味着通过该地址前

6、缀列表的过滤（不进入下一个表项的测试）。5.1.3 AS路径访问列表BGP路由信息中包含的AS_PATH路径属性逆序列出前缀所经过的自治系统。AS路径访问列表（as-path-filter）就是针对AS_PATH路径属性进行过滤的过滤器。5.1.4 团体属性列表BGP路由的Community属性被一组具有相同的特性的前缀所共享，团体属性列表（Community-Filter）就是针对团体属性域指定匹配条件的过滤器。5.1.5 扩展团体属性列表BGP的扩展团体属性也是定义了一组共享相同特性的前缀，目前VRP的Excommunity-Filter针对一种常用的扩展团体属性进行过滤：VPN-Targ

7、et，定义了私网路由的VPN成员关系。5.1.6 路由策略路由策略（Route-policy）是一种复杂的过滤器，它不仅可以匹配给定路由信息的某些属性，并在条件满足时改变路由信息的属性。Route-Policy可以使用前面几种过滤器定义自己的匹配规则。一个Route-policy可以由多个节点Node构成，不同节点之间是“或”的关系。系统按节点序号依次检查各个节点，如果通过了其中一节点，就意味着通过该策略，不再对其他节点进行匹配测试。每个节点由一组if-match和apply子句组成。if-match子句定义匹配规则，匹配对象是路由信息的一些属性。同一节点中的不同if-match子句是“与”的

8、关系，只有满足节点内所有if-match子句指定的匹配条件，才能通过该节点的匹配测试。apply子句指定动作，也就是在通过节点的匹配后，对路由信息的一些属性进行设置。5.2 路由策略故障处理本节介绍如下的内容：l 典型组网环境l 配置注意事项l 故障诊断流程l 故障处理步骤5.2.1 典型组网环境路由策略的典型组网如图5-1与图5-2所示。路由策略的故障处理将基于该网络。1. 公网环境拓扑图5-1 路由策略故障公网环境拓扑公网环境时，在某个路由器上接受另外一个路由器通告来的路由时，发送者使用路由策略发布指定路由，接收者使用路由策略接收指定路由，以上拓扑是一个简化的拓扑，用于模拟实际环境中的路由

9、发送/接收者。2. VPN环境拓扑图5-2 路由策略故障VPN环境拓扑VPN环境时，路由策略可以应用在PE与CE上，用来发布/接收指定的路由。其中，在PE上对于VPNv4和VPN Instance可同时应用策略。以上拓扑是实际环境中VPN的一个简化拓扑，用于模拟实际环境中PE与CE中的路由发送/接收者。5.2.2 配置注意事项1. 路由策略中常用过滤器配置配置项子项注意事项ip-prefixip ip-prefix ip-prefix-name index index-number permit | deny ip-address mask-length greater-equal great

10、er-equal-value | less-equal less-equal-value l 配置IPv4前缀地址列表，列表名由ip-prefix-name指定，列表名下可以配置多个匹配项，每一项可以指定索引值Index，若没有指定索引值，则生成项的索引值由此前缀列表已存在的最大索引值+10；l 若同时指定前缀长度在greater-equal和less-equal之间时，匹配的范围就在二者之间，配置的greater-equal值和less-equal值必须满足条件：mask-length=greater-equal =less-equal =32；l 在匹配过程中，系统按索引号升序依次检查各个

11、表项，只要有一个表项下的地址/掩码与要检查的路由地址/掩码相同，就返回此表项下配置的过滤模式（Permit或Deny），不再去匹配其他表项；l 如果所有表项都是Deny模式，则任何路由都不能通过该过滤列表。建议在多条Deny模式的表项后定义一条permit 0.0.0.0 0 greater-equal 0 less-equal 32表项，允许其它所有IPv4路由信息通过。l 使用中最常见的理解错误是把IP-Prefix的配置方法和ACL的配置方法等同，实际上，在只指定IP-Address/Mask-Length的情况下，IP-Prefix只精确匹配一条路由，不匹配一段掩码范围内的路由。要匹配

12、一段掩码范围内的路由，必须指定Greater-Equal和Less-Equal参数。ipv6-prefixip ipv6-prefix ipv6-prefix-name index index-number permit | deny ipv6-address mask-length greater-equal greater-equal-value | less-equal less-equal-value l 配置IPv6前缀地址列表，列表名由ipv6-prefix-name指定，此列表名下可以配置多个匹配项，每一项可以指定索引值index，若没有指定索引值，则生成项的索引值由此前缀列表已

13、存在的最大索引值+10；l 若同时指定前缀长度在greater-equal和less-equal之间时，匹配的范围就在二者之间，配置的greater-equal值和less-equal值必须满足条件：mask-length=greater-equal=less-equal=128；l 在匹配过程中，系统按索引号升序依次检查各个节点，只要有一个节点满足条件，就认为通过该过滤列表，不再去匹配其他表项；l 如果所有表项都是Deny模式，则任何路由都不能通过该过滤列表。建议在多条Deny模式的表项后定义一条permit :0 0 greater-equal 0 less-equal 128表项，允许其

14、它所有IPv6路由信息通过。as-path-filterip as-path-filter as-path-filter-number deny | permit regular-expressionl 使用正则表达式来定义AS-Path属性过滤规则，BGP可以使用此过滤器来匹配BGP路由的AS-Path属性，以此决定是否发布/接收路由。l 如果所有表项都是Deny模式，则任何路由都不能通过该过滤列表。建议在多条Deny模式的表项后定义一条permit .* 表项，允许其它所有路由信息通过；community-filterl ip community-filter basic-comm-fil

16、nternet选项表示匹配所有的团体属性；而对高级团体属性过滤器，正则表达式 ”.*” 表示匹配所有的团体属性。l 对于基本团体属性过滤器，有完全匹配模式Whole-Match和一般匹配模式。在完全匹配模式下，BGP给出的团体属性列表必须完全与过滤器规则中定义的团体属性一致才能匹配。在一般匹配模式下，BGP给出的团体属性列表必须要包含过滤器规则中定义的团体属性才能匹配。l 如果所有表项都是Deny模式，则任何路由都不能通过该过滤列表。建议在多条Deny模式的表项后定义一条permit .*表项（高级团体属性过滤器）或permit internet（基本团体属性过滤器）表项，允许其它所有路由信息

17、通过。extcommunity-filterip extcommunity-filter ext-comm-list-number deny | permit rt as-number : nn | ipv4-address : as-number 定义扩展团体属性过滤器规则。route-policyroute-policy route-policy-name permit | deny node node-number l Permit指定节点的匹配模式为允许。当路由项通过该节点的过滤后，将执行该节点的Apply子句，不进入下一个节点的测试；如果路由项没有通过该节点过滤，将进入下一个节点继续

18、测试；当节点下没有If-Match子句时，所有节点路由都允许。l Deny指定节点的匹配模式为拒绝，这时Apply子句不会被执行。当路由项满足该节点的所有If-Match子句时，将被拒绝通过该节点，不进入下一个节点；如果路由项不满足该节点的If-Match子句，将进入下一个节点继续测试；当节点下没有If-Match子句时，所有的路由都被拒绝。l 如果所有的节点的If-Match规则都不能匹配，则整个策略的过滤结果默认是Deny。l 当所有节点都是配置Deny时，将导致所有路由均被拒绝，所以在所有Deny节点后至少配置一个Permit节点，以允许其它的路由通过。2. 过滤器应用注意事项(1) 假

19、设当前过滤器下配置了至少一个节点，Permit或Deny。若是没有节点符合到要过滤路由的地址/掩码范围，则此路由过滤结果为Deny。(2) 若是在策略中使用了某个不存在的过滤器，则结果为对所有要过滤的路由为Permit。3. 正则表达式编写规则正则表达式是按照一定的模板来匹配字符串的公式。符号说明匹配一个字符串的开始。如“300”表示只匹配AS_Path的第一个值为300。$匹配一个字符串的结束。如“300$”表示只匹配AS_Path的最后一个值为300。.匹配任何单个字符，包括空格。+匹配前面的一个字符或者一个序列，1次或者多次出现。_匹配一个符号。如逗号，括号，空格符号等。*匹配前面的一个

20、字符或者一个序列，可以0次或者多次出现。？匹配前面的一个字符，可以0次或者多次出现。( )匹配的变化的AS或者一个独立的匹配，通常和“|”一起使用。|逻辑或。匹配的一个范围内的AS，通常和“-”一起使用。-连接符。举例：l ip as-path-filter 10 deny $：拒绝发布本地始发路由。l ip as-path-filter 10 permit .*：允许发布/接收其他AS的路由。l ip as-path-filter 2 deny (60-9|70-9|80-9|90-9|10-30-9|130)$：拒绝从AS60-130始发的路由。l ip community-filter

21、 100 permit 1000:100-9$：允许团体属性为1000:100至1000:109之间的路由。5.2.3 故障诊断流程针对图5-1或图5-2所示的网络，在配置各路由器后发现指定的路由没有被过滤或全部被过滤。请使用下面的故障诊断流程，如图5-3所示。图5-3 路由策略故障诊断流程图5.2.4 故障处理步骤概要的故障处理步骤如下：步骤操作1检查网络的连通性。2检查路由协议配置是否正确。3检查IP-Prefix-Filter是否配置。4检查AS-Path-Filter是否配置。5检查Community-Filter是否配置。6检查Extcommunity-Filter是否配置。7检查R

22、oute-Policy是否配置。详细的故障处理步骤如下：1. 检查网络的连通性使用display ip interface brief命令来检查各个接口的状态。Up表示可用，Down表示不可用。如果接口状态为Down请检查线路是否连接好，接口是否被Shutdown。2. 检查路由协议配置是否正确使用display current-configuration命令来检查当前的路由器配置。使用display current-configuration configuration命令来检查路由协议配置是否正确。如果路由协议配置的不正确，请您参考相应协议的故障处理手册。3. 检查IP-Prefix-Fi

23、lter是否配置使用display ip ip-prefix命令检查当前路由器是否配置IP-Prefix-Filter。如果已配置请查看IP-Prefix-Filter配置注意事项请查看配置注意事项中有关IP-Prefix-Filter的部分。4. 检查AS-Path-Filter是否配置使用display ip as-path-filter命令检查当前路由器是否配置AS-Path-Filter。如果已配置请查看AS-Path-Filter配置注意事项请查看配置注意事项中有关AS-Path-Filter的部分。5. 检查Community-Filter是否配置使用display ip comm

24、unity-filter命令查看当前路由器是否配置Community-Filter。如果已配置请查看团体属性过滤器配置注意事项请查看配置注意事项中有关Community-Filter的部分。6. 检查Excommunity-Filter是否配置使用display ip excommunity-filter命令查看当前路由器是否配置Excommunity-Filter。如果已配置请查看拓展团体属性过滤器配置注意事项请查看配置注意事项中有关Excommunity-Filter的部分。7. 检查Route-Policy是否配置使用display route-policy命令检查当前路由器是否配置了R

25、oute-Policy。如果已配置请查看Route-Policy过滤器配置注意事项请查看配置注意事项中有关Route-Policy的部分。如果检查结束，故障仍然无法排除，请联系华为的技术支持工程师Http:/。5.3 故障处理案例本节列出了常见的故障处理案例，如下：l 使用IP-Prefix过滤路由问题l 使用AS-Path过滤路由问题l 使用Community过滤路由问题l 使用Extcommunity过滤路由问题l 使用Route-Policy过滤路由问题5.3.1 使用IP-Prefix过滤路由问题1. 网络环境组网图请参考图5-1案例中RouterA采用IP-Prefix过滤器对从Ro

26、uterB中接收到的路由进行过滤：RouterA上的配置：#bgp 100 peer 192.168.1.2 as-number 200 # ipv4-family unicast undo synchronization peer 192.168.1.2 enable peer 192.168.1.2 ip-prefix rta import#ip ip-prefix rta index 20 deny 2.2.2.2 32#RouterB上的配置：# bgp 200 peer 192.168.1.1 as-number 100 # ipv4-family unicast undo sync

27、hronization network 1.1.1.1 255.255.255.255 network 2.2.2.2 255.255.255.255 peer 192.168.1.1 enable # 使用display ip routing-table命令查看RouterA上接收到的路由，应该可以接收到1.1.1.1/32，但是路由表中没有。2. 故障分析使用以下步骤调查故障原因：(1) 检查RouterB路由表信息，确定是否所有路由已被通告给邻居RouterA。在RouterB上使用display bgp routing-table，显示路由表信息，发现1.1.1.1/32及2.2.2.

28、2/32这两条路由均已通告给RouterA，问题应该是在RouterA上。(2) 检查RouterA上的BGP配置，确定BGP在接收路由时是否使用了过滤器。在RouterA上使用display current-configuration configuration bgp命令检查BGP的配置，发现在接收从RouterB通告过来的路由时使用了IP-Prefix过滤器，预计是过滤器将所有路由都过滤了。(3) 检查IP-Prefix过滤器的配置。确定此路由是否被过滤器过滤掉了。在Router A上使用display ip ip-prefix rta命令查看过滤器的配置，发现仅对路由2.2.2.2/3

29、2配置了Deny策略，但对于路由1.1.1.1/32没有配置Permit。故障的原因定位：在RouterA上使用IP-Prefix过滤路由问题。系统过滤路由时对于没有匹配的路由默认返回Deny，所以将1.1.1.1/32也过滤了。3. 处理步骤因为系统过滤路由时，没有匹配的路由默认返回Deny，所以过滤策略仅配置可以通过的路由即可。在RouterA上执行如下操作：步骤操作1将过滤规则替换为ip ip-prefix rta index 10 permit 1.1.1.1 32使用display ip routing-table 命令查看RouterA上接收到的路由，发现路由表中出现路由1.1.1

30、.1/32，故障被排除。4. 案例总结当配置IP-Prefix过滤路由时，若是仅配置Deny节点，那么对于没有命中匹配地址/掩码的路由系统默认返回Deny。所以，需要配置Permit节点对指定路由允许。请参考配置注意事项IP-Prefix小节。 5.3.2 使用AS-Path过滤路由问题1. 网络环境图5-4 AS-Path过滤路由故障处理案例组网图案例中RouterA采用AS-Path过滤器对从RouterB通告过来的路由进行过滤：RouterA上的配置：#bgp 100 peer 192.168.1.2 as-number 200 # ipv4-family unicast undo sy

31、nchronization peer 192.168.1.2 enable peer 192.168.1.2 as-path-filter 10 import# ip as-path-filter 10 deny 65430#RouterB上的配置：#bgp 200 peer 192.168.1.1 as-number 100 peer 10.1.1.1 as-number 65431 peer 172.11.10.1 as-number 65430 # ipv4-family unicast undo synchronization peer 192.168.1.1 enable peer

32、10.1.1.1 enable peer 172.11.10.1 enable#RouterC上的配置：#bgp 65430 peer 172.11.10.2 as-number 200 # ipv4-family unicast undo synchronization network 3.3.3.3 255.255.255.255 peer 172.11.10.2 enable#RouterD上的配置：#bgp 65431 peer 10.1.1.2 as-number 200 # ipv4-family unicast undo synchronization network 4.4.4

33、.4 255.255.255.255 peer 10.1.1.2 enable#发现故障：使用display ip routing-table 命令查看RouterA上接收到的路由，应该可以看到RouterA过滤了RouterC通告的路由，接收了RouterD通告的路由，但路由表中显示RouterC及RouterD的路由均被RouterA过滤掉了。2. 故障分析故障现象：RouterA路由表中没有RouterD通告的路由。使用以下步骤调查故障原因：(1) 检查RouterB是否已将所有路由通告给邻居RouterA。在RouterB上使用display ip routing-table，查看Ro

34、uterB是否接收到了来自RouterC和RouterD的路由，结果显示已经接收到了。所以判断问题应该是在RouterA上。(2) 检查RouterA上的BGP配置，确定BGP在接收路由时是否使用了过滤器。在RouterA上使用display current-configuration configuration bgp查看BGP的配置，发现BGP对从RouterB通告过来的路由使用了名为10的as-path过滤器过滤路由，估计是过滤器将所有路由都过滤了。(3) 检查RouterA上AS-Path正则表达式的编写和过滤器的配置。在RouterA上使用display ip as-path-fil

35、ter 10查看过滤器的配置，发现仅对来自AS号为65430的路由配置了Deny策略，但对于来自65431域的路由没有配置Permit。故障的原因定位：在RouterA上使用AS-Path过滤路由问题。系统过滤路由时对于没有匹配的路由默认返回Deny，所以将来自AS65431域的路由也过滤掉了。3. 处理步骤因为系统过滤路由时对于没有匹配的路由默认返回Deny，那么过滤策略仅配置可以通过的路由即可。在RouterA上执行如下操作：步骤操作1将过滤规则替换为ip as-path-filter 10 permit 65431使用display ip routing-table 命令查看Router

36、A上接收到的路由，发现路由表中出现路由4.4.4.4/32，故障被排除。4. 案例总结当配置AS-Path过滤路由时，需要注意：正则表达式的编写规则；若是仅配置Deny节点，那么对于没有命中AS-Path范围的系统返回Deny。所以，需要配置Permit节点对指定路由允许。请参考配置注意事项AS-Path小节。5.3.3 使用Community过滤路由问题Community-Filter一般情况下作为route-policy的if-match子句的匹配条件，当满足if-match community-filter 时，对路由应用apply子句下的动作。需要注意Advanced Communit

37、y-List中正则表达式的编写规则。请参考配置注意事项的附注中正则表达式编写规则部分。5.3.4 使用Extcommunity过滤路由问题1. 网络环境组网图请参考图5-2用户组网需求：l CE1、CE3属于VPN-A，CE2、CE4属于VPN-B；l VPN-A使用的VPN-Target属性为100:1，VPN-B使用的VPN-Target属性为200:1。不同VPN用户之间不能互相访问；l CE与PE之间配置EBGP交换VPN路由信息；l PE与PE之间配置OSPF实现PE内部的互通、配置MP-IBGP交换VPN路由信息。l 用户在PE2上面又添加了一个VNP-C，Export VPN T

38、argets : 300:1，Import VPN Targets : 100:1 200:1，此时VNP-C可以接受到VPN-A和VPN-B的路由。l 用户此时有一个需求，希望VPN-C上只收到来自VPN-A的路由。此时利用Extcommunity-Filter进行过滤。进行如下的配置：Quidway ip vpn-instance vpncQuidwayvpn-instance-vpnc route-distinguisher 300:1Quidwayvpn-instance-vpnc import route-policy excomm-filterQuidwayvpn-instance

39、-vpnc vpn-target 300:1 export-extcommunityQuidwayvpn-instance-vpnc vpn-target 100:1 200:1 import-extcommunity查看VPN-C的路由表： display ip routing-table vpn-instance vpnc#Routing Tables: vpnc Destinations : 6 Routes : 6Destination/Mask Proto Pre Cost NextHop Interface1.1.1.1/32 BGP 255 0 1.1.1.9 Ethernet1

40、/0/29.9.9.9/32 BGP 255 0 1.1.1.9 Ethernet1/0/210.1.1.0/24 BGP 255 0 1.1.1.9 Ethernet1/0/210.2.1.0/24 BGP 255 0 1.1.1.9 Ethernet1/0/210.3.1.0/24 BGP 255 0 10.3.1.2 Ethernet1/0/010.3.1.2/32 BGP 255 0 127.0.0.1 InLoopBack0发现故障：没有得到预期的效果，VPN-C的路由表中仍然有VPN-B的路由。9.9.9.9/32这条路由没有过滤掉。2. 故障分析故障现象：VPN-C的路由表中显示

41、路由9.9.9.9/32没有被过滤掉。使用以下步骤调查故障原因：(1) 参考前例检查过程将故障原因定位到过滤器的应用上。(2) 查看当前的路由策略Route-Policy和IP Extcommunity-Filter首先使用display current-configuration configuration route-policy命令查看一下VPN-C下引入路由时用的过滤器Extcommunity-Filter。 display current-configuration configuration route-policy#route-policy excomm-filter permi

42、t node 10 if-match extcommunity-filter 1# 然后使用display ip extcommunity-filter命令查看一下VPN-C下过滤器Extcommunity-Filter应用的过滤规则。 display ip extcommunity-filter#Extended Community filter Number 1 permit rt : 0:0 rt : 100:1# (3) 查找故障原因扩展团体属性列表Extcommunity-List仅用于BGP。BGP的扩展团体有两种，一种是用于VPN的路由目标扩展团体。扩展团体属性列表就是扩展团体属

43、性指定匹配条件。l 如果Extcommunity-Filter的配置中只包含VPN-Target，则只要这些VPN-TARGET中有一个与BGP给出的VPN-Target集合匹配，就认为过滤器命中，返回指定的Permit或Deny结果。比如：配置ip extcommunity-filter permit rt 100:1 rt 200:1BGP配置RT：100:1 300:1 400:1结果是：命中，PermitBGP给出RT：300:1 400:1结果：不命中，Denyl 如果Extcommunity-Filter的配置中指定VPN-Target 0:0，则将匹配所有的VPN-Target。

44、比如：配置ip extcommunity-filter permit rt 0:0BGP给出任何RT都将匹配。但如果不给RT则不匹配。l 如果Extcommunity-Filter的配置中未指定VPN-Target，则无论BGP给出任何RT，结果都将是不匹配。l Deny使用同样的规则。检查本例中VPN-C下的过滤器Extcommunity-Filter的过滤规则：permit rt : 0:0 rt : 100:1同时应用了RT : 0:0 和RT : 100:1。故障的原因定位：在VPN-C下使用Extcommunity-List过滤路由问题。过滤规则permit rt : 0:0 rt

45、: 100:1，同时应用了RT : 0:0 和RT : 100:1，导致VPN-B的路由也被接受了。3. 处理步骤在PE2上的VPN-C下执行如下操作步骤操作1更改ip extcommunity-filter 1为如下所示的配置： display ip extcommunity-filter 1# permit rt : 100:1#使用display ip routing-table vpn-instance vpnc命令查看VPN-C的路由表项，发现已经没有来自VPN-B的路由了，表明故障解决。4. 案例总结此案例是Extcommunity-Filter的经典案例，在使用Extcommunity-Filter之前，要了解其应用规则。特别注意RT 0:0配置的使用规则。如果Extcommunity-Filter的配置中指定VPN-

展开阅读全文