- 论坛徽章:
- 0
|
网络拓扑大致如下:
用户有DDN和光纤专线,ISP给两条电路分别分配了若干IP地址。
在ISP侧:
7609-2上DDN专线指定静态路由:ip router DDN-ipaddress Mask serial0/0/1 192.168.1.2。
7609-1接口配置公网IP与用户Roouter_FE相连。
7609-1和-2配置OSPF,redistribute静态和直连路由。
在用户侧:
用户Router_FE配置多个IP,包括光纤专线的IP,和DDN给的IP(second)。
两条静态路由分别指向7609-1和7609-2,指向7609-1的metric小,使得平时路由从7609-1走。
用户想做到:当光纤中断时手工切换走DDN。
出现的问题:DDN这段IP无法从互联网访问。
于是要开始找出问题所在。
解决步骤:
怀疑一:路由是否正常?或者中间有其他用户配错IP和Mask,由于最长匹配原则而引起问题?
测试:
(1)在ISP的路由器上逐跳shouw ip route表明,DDN路由最终走到7609-2,光纤路由走到7609-1。
(2)在ISP分别跟踪目的为光纤和DDN的IP。光纤ping、trace正常,DDN路由trace到192.168.1.2即中断,ping time out。
(3)用户测试:Router上指定源地址为DDN,trace公网,路由到7609-1终止;指定源地址为光纤trace公网正常。
以上2个步骤表明,从公网访问用户,路由是没有问题的,DDN走DDN的路由,光纤走光纤的路由。因此,怀疑一被推翻。
怀疑二:用户是否在Router前还有一个switch,将某个DDN段的ip通过switch连到其他主机了,或者将DDN的ip段再划子网后从switch分出。
测试:在7609-2上ping和trace DDN路由均正常,用户也坚称不存在这种情况。因此,怀疑二被推翻。
怀疑三:是否有ACL对某些IP做了ICMP的限制?
仔细查ACL没有限制,怀疑三被推翻。
怀疑四:用户的配置有问题?
这一点,因为用户不能提供配置,我只能通过沟通、引导来判断,结果没有看出配置有什么问题。
联想到:“Router上指定源地址为DDN,trace公网,路由到7609-1终止。”看来7609-1上有什么东西阻挡了报文,而且初步判断是阻挡了回程报文。
再查7609-1接口配置,其中有ip verify unicast reverse-path,将此配置删除后。在公网trace DDN成功,从DDN trace公网也OK。
至此问题解决,由于7609-1的URPF存在,导致以DDN为源地址的报文不能通过检查而被丢弃。
那么我们再来验证一下,该故障是否确实由RPF引起。
在7609-1上show ip fib | i DDN-ipaddress输出表明DDN-ipaddress的端口是G1/1;show ip route DDN-ipaddress也表明DDN的路由源于G1/1,不是F1/1,因此URPF检查不能通过。
可是7609上所有用户端口都配置URPF,为什么唯独这个出问题?原因在于该网络结构较为特殊,再加上回程路由的配置不尽合理。正是因为所有用户端口都配置RPF没有问题,因此不会从一开始就想到是RPF引起的。
虽然RPF配置删除后问题解决,但对ISP来说毕竟存在安全隐患,RPF终归是要加上的。那么怎么解决问题呢?
我觉得可以在7609-1上添加上一条ip router DDN-ipaddress Mask F1/1 x.x.x.x即可。
除此之外还有什么方法,请大家支招。呵呵,原则是用户和ISP都不要做大的改变。
[ 本帖最后由 hjp0021 于 2009-2-26 14:41 编辑 ] |
|