《运维人必会的OSPF故障排查10大技巧.docx》由会员分享,可在线阅读,更多相关《运维人必会的OSPF故障排查10大技巧.docx(21页珍藏版)》请在三一办公上搜索。
1、OSPF,即开放式最短路径优先(OpenShortestPathFirst.OSPF)是广泛使用的一种动态路由协议,它属于链路状态路由协议,具有路由变化收敛速度快、无路由环路、支持变长子网掩码(V1.SM)和汇总、层次区域划分等优点。在网络中使用OSPF怖议后,大部分路由将由OSpF协议自行计舞和生成,无须网络管理员人工限置,当网络拓扑发生变化时,协议可以自动计兑、更正路山,极大地方便了网络管理.但如果使用时不结合具体网络应用环境,不做好细致的规划,OSPF协议的使用效果会大打折扣,甚至引发故障。OSPF路由问题,需要择查的地方较多,梳理一个清蜥的OSPE排查思路极为垂要。为什么需要OSPF?
2、在OSPF出现前,网络上广泛使用RIP(RoutingInformationProtocol)作为内部网关协议.由于RIP是基于距离矢量算法的路由协议,存在若收敛慢、路由环路、可扩展性差等问题,所以逐渐被OSPF取代.OSPF作为基于链路状态的协议,能够解决RlP所面临的诸多问题。此外,OSPF还有以下优点:OSPF采用组播形式收发报文,这样可以减少对其它不运行OSPF路由器的影响.OSPF支持无类型域间选路(CIDR).OSPF支持对等价路由进行负载分担。OSPF支持报文加密。由于OSPF具有以上优势使得OSPF作为优秀的内部网关协议被快速接收并广泛使用.原理及处理过程路由器类型先讲一下OS
3、PF协议中常用到的路由器类型,如图所示IS-ISASBR表路由器类型路由器类型含义区域内路由器(InternalRouter)该类设备的所有接口都属于同一个OSPF区域.区域边界路由器ABR(AreaBorderRouter)该类设备可以同时属于两个以上的区域,但其中一个必须是骨干区域.ABR用来连接骨干区域和非骨干区域,它与骨干区域之间既可以是物理连接,也可以是逻辑上的连接。骨干路由器(BackboneRouter)该类设备至少有一个接口属于骨干区域.所有的ABR和位于AreaO的内部设备都是骨干路由器.自治系统边界路由器ASBR(ASBoundaryRouter)与其他AS交换路由信息的设
4、备称为ASBR.ASBR并不一定位于AS的边界,它可能是区域内设备,也可能是ABR.只要一台OSPF设备引入了外部路由的信息,它就成为ASBR.路由类型AS区域内和区域间路由描述的是AS内部的网络结构,AS外部路由则描述了应该如何选择到AS以外目的地址的路由.OSPF将引入的AS外部路由分为Typel和Type2两类.如下表中按优先级从高到低顺序列出了路由类型。表路由类型路由类型含义IntraArea区域内路由.InterArea区域间路由.第一类外部路由(TyPelE这类路由的可信程度高一些,所以计算出的外部路由的开销与自治Xternal)系统内部的路由开销是相当的,并且和OSPF自身路由的
5、开销具有可比性.到第一类外部路由的开销=本设备到相应的ASBR的开销+ASBR到该路由目的地址的开销.第二类外部路由(TyPe2E这类路由的可信度比较低,所以OSPF协议认为从ASBR到自治系Xternal)统之外的开销远远大于在自治系统之内到达ASBR的开销.所以,OSPF计算路由开销时只考虑ASBR到自治系统之外的开销,即到第二类外部路由的开俏=ASBR到该路由目的地址的开俏.OSPF是如何工作的?OSPF协议路由的计算过程可简隼描述如下:建立邻接关系和路由计算.建立邻接关系它的过程如下:本端设备通过接口向外发送Hello报文与对端设备建立邻居关系.两端设备进行主/从关系协商和DD报文交换
6、.两端设备通过更新1.SA完成链路数据库1.SDB的同步.此时,邻接关系建立成功.路由计算OSPF采用SPF(ShortestPathFirst)算法计算路由,可以达到路由快速收敛的目的。好了,了解完这些基础技术后,我们回到OSPF的故障处理来,首先根据多年工作经验,整理出如下故障徘杳流程图:由于OSPF路由正确的加入到全局路由表,依赖于正确的OSPF路由计第,而OSPF计算路由依赖于正确的OSPF1.SDB数据库信息,要建立正确的OSPF1.SDB数据库则首先要确保邻居之间能够形成正确的邻接关系.因此OSPF路由问题的排查整体思路技巧为:首先检查OSPF邻居关系然后检查OSPF1.SDB数据
7、库信息最后检直全同路由表解决方案具体排查如下:1.OSPF邻居状态查看两端OSPF邻居状态是否正需,正常情况下DRother之间的邻居关系应该稳定在2-way状态,非DRother之间的邻居关系应该稳定在Full状态命令:displayospfpeer.x.x.x例如:通过命令直看,可以确认OSPF的邻居状态是否正常.ID10.1.4.4NeighborsArea0.0.0.224interfaceRouterID:10.1.222.12State:FullMoie:NbrDR:10.1.224.12BDR:Deadtimerduein3SdisospCpeer10.1.222.12OSPFP
8、rocess1withRouter10.1.224.4(GioabitEthernetOZOZO),5neighborsAddress:10.1.224.12isMasterPriority:110.1.224.4MTU:0secRetranstimerinterval:5Neighborisupfor00:48:53AuthenticationSequence:02.是否加入OSPF路由表查看OSPF路由表中是否存在相应路由。命令:displayospfroutingx.x.例如:查看外部路由9.9.9.9是否加入ospf路由表disosfrouting10.1.2.2OSPFProcess
9、1withRouterID10.1.4.4Descinaxion:10.1.2.2/32AdvetRouter:10.1.222.12Tag:301Cost:1Type:Type2NextHop:10.1.224.12Interface:GigabitEthernetOZOZOPriority:MediumAge:00S0m53sdisospfroutinginclude10.1.2.2OSPFProcess1withRouwrID10.1.4.4RoutingTablesRoutingforASEjDestinationcostTypeTagNextHopAd1t10.1.2.2/321Ty
10、j230110.1.224.1210.1.222.123.接口使能OSPF及邻居参数是否匹配第一步确认接口启动OSPFOSPF的运行是基于设备接口的,如果OSPF没有在接口启动,那么邻居关系肯定无法形成.在接口上启用OSPF是通过Area视图下的network命令实现的,必须确保network中的网络范围包括需要启动OSPF的接口地址.命令:displayospfinterface例如:通过命令查看接口是否启动OSPF(redisplayospfinterfaceOSPFProcess1withRouterID.1.4.4Interfacesr*a:0.0.0.0(MP1.STEnotenab
11、led)IPAddressTypeStateCostPriDR10.1.4.4P2PP-2-P010.0.0.00.0.0.0第二步确认邻居两端OSPF参数匹配命令:displayospferror例如:通过命令查看邻居两端OSPF参数匹配dsplyospferror05PFProcess1withRouterD10.1.4.4OSPFerrorStatiaticaGeneralpacketexrcrs:000000000:IP:receivedmyownpacket0:Badpacket:Badversion0:Badchecksum:Badareaid0:Droponunnusheredi
12、nterface:Badvictuallia0:Badauthenticationtype:BadauthenticationkeyO:Pacetoosxall:Packetsi2eIplengthO:Tranaaxterror:InterfacedownO:Unknownneighbor:BadnetaeMntO:Externoptionusmatcb:RouteridconfusionHE1.1.Opacketerrors:OOO:Ketaflaarr.BtchO:HellotunecXianatch:CeadtxermismatchO:Vixtuolneighborunknown:KBM
13、AneiQhbocunknownO:InvalidSourceAddressDDO0PAceterrors:NeighborcatelowO:Unknown1.SAtyp:WHJoption11i0mazc1.SOACKpocketerrora:NeighborstateXowO:Unnown1.SArypc1.SOORQpacketerrors:xKcxghbcxstatelowO:Emptycquet:Badrequest1.SOOOUPDpacketerrors:NeighborscarelowO:NewereelfO:Kuxbcrofpolicyfoiled1.SAa:Ku113ero
14、fwrongperiod1.5A3Configurationerrors:TunnelcostmatAe反宜使用以上命令显示,对应错误数增加则存在问题相应的参数匹配问勉.常见几种错误如下:(I)OSPF区域配置是否匹配启动OSPF的接口属于某个区域,同时区域有多种类型,区域依齐区域ID进行标识,如果两边的区域类型或区域ID不匹配,则不会形成邻居关系.(2)OSPF验证配用是否匹配OSPF支持报文验证功能,验证分为简单甄证和MD5验证两种类型,如果两边脸证类型或密钥配送不同,则OSPF无法通过验证,邻居关系无法形成。(3)两端OSPF接口上计时器设定值是否匹配OSPF通过周期性的交互HelIO报
15、文维系邻居关系,Hell。报文中携带了Hell。报文的发送间隔计时器及邻居失效计时器,如果这些计时器的值在两边的Hello报文中不匹配,那么OSPF的邻居关系无法形成。注意deadtimer的值至少应为hellotimer值的4倍.(4)两端OSPF接口类型是否匹配OSPF邻居关系的正常建立需要确保邻居两端接口的OSPF网络类型一致,否则将无法形成邻居关系。需要说明的是若邻居双方一端设芭为P2P类型另一端设置为广播类型,那么邻居状态可以达到FU1.1.状态,但此时无法计算出路由信息.(5)广播网络中两端接口子网掩码是否相同OSPFHello报文中携带子网掩码信息.在广播网络中,如果两端接口属于
16、不同的IP子网,那么邻居关系无法形成.(6)NBMA网络星否指定邻居OSPF网络类型为NBMA时必须手工指定邻居的IP地址,否则端口无法发送Hello报文,无法形成邻居关系.命令:displaycurrent-configurationinterfacedisplaycurrent-configurationconfigurationospf例如:通过命令查看接口下的OSPF参数设首是否一致.AR-?Jdisplaycurrent-configurationinterfacegigabitethernet002IinterfaceGigabicEthernetO/O/2ipaddressX.1
17、.27.7255.255.255.0ospfnetwork-typep2p6IARQJdisplaycurrent-configurationinterfacegigabitethernec002*interfaceGigabitEthernet002ipaddressX.1.27.6255.255.255.0ospfntwork-typp2p,4 .是否使能静默端口当接口在OSPF协议视图中被设置为静默端口时,它将不能发送OSPFHello报文,因此OSPF邻居关系无法形成命令:displaycurrent-configurationconfigurationospf例如:通过命令查看接口正
18、确启动OSPF并设置为非睁默端口,下例中配笆了岸默端口r4displaycurrent-configurationconfigurationospfospf1router-id10.1.4.4silent-interfaceGigabitEtherne10/0/2peer10.1.145.1area0.0.0.0authentication-modemd51plainHuaWeinetwork10.1.4.40.0.0.0network10.1.145.40.0.0.05 .全局路由表是否正确查看OSPF路由是否正确加入到全局路由表内,只有加入到全局路由表的路由才能指导数据包的转发如果相同的路
19、由信息同时也从其他路由为议学到,为了确保OSPF学习的路由能够最终加入全局路由表,需要确保其优先级为最优命令:displayiprouting-tablex.x.xverboseIr4displayiprouting-table10.1.6.6verboseRouteFlags:R-relay,D-downloadtofibRoutingTable:PublicSummaryCount:2Destination:10.1.6.6/32Protocol:OASEProcessID:IPrefrnc:ISOCost:100NextHop:10.1.145.5Neighbour:0.0.0.0Sta
20、te:ActiveAdvAge:02hlh44sTag:100Priority:medium1.abel:NU1.1.QoSlnfo:0x0IndirectJD:0x0RelayKextHop:2.0.0.0Interface:Seriall00TunnelID:0x9Flags:DDestination:10.1.6.6/32Protocol:StaticProcessID:0Prfrnc:190Cost:0NextHop:10.1.145.1Neighbour:0.0.0.0State:InactivedvReliedAge:00h001103sTag:0Priority:medium1.
21、abel:NU1.1.QoSInfo:00IndirectID:080000002RelayNextHop:0.0.0.0Interface:Seriall00TunnelID:0x0Flags:R6 .路由信息是否正确发布若查看OSPF路由表未发现相应路由信息,请首先确认路由信息是否在OSPF中正确发布,对于未进行发布的路由请修改配置将路由正确发布命令:displaycurrent-configurationconfigurationospf例如:查看10.1.145.4/24的路由信息是否在OSPF中发布r4displaycurrent-configurationconfiguration
22、ospf#ospf1router-id10.1.4.4peer10.1.145.1area0.0.0.0network10.1.4.40.0.0.0network10.1.145.40.0.0.07 .确认1.SA信息正确确认OSPF1.SDB数据库中是否存在路由计算所需的正确1.SA信息.对于区域内的路由需要检直是否存在该路由始发者的Router1.SA,DR的Network1.SA(广播网络);对于区域间的路由需要首先检查是否存在1.SID为该网段的Summary1.SA,然后检百是否存在该SUmmary1.SA所对应AdvRtr的Router1.SA;如果外部路由是通过区域内学习到的,需
23、要首先检杳是否存在1.SID为该网段的ASE1.SA,然后检查是否存在该ASE1.SA中所对应AdvRtr的Router1.SA;如果外部路由是通过区域间学到的那么首先检有对应的ASE1.SA.然后检直是否存在该ASE1.SA所对应AdvRtr的AsbrSumarry1.SA,最后检宜该AsbrSummary1.SA所对应AdvRtr的Router1.SA4命令:displayospfIsdbrouterdisplayospfIsdbnetworkdisplayospfIsdbsummarydisplayospfIsdbasbrdisplayospfIsdbase例如:通过命令查看外部路由9.
24、999相关的1.SA信息.displayospfIsdbase171.10.0.0OSPFProcess1withRouterID10.1.4.41.inkStateDatabaseType1.sidAdvrtr1.sage1.enOptionsseq#:External:171.10.0.0:10.1.5.5:1145:E:80000005:36chksum:0xf24bNetmask:255.255.252.0TOS0Metric:100Etype:2ForvjardingAddress:0.0.0.0Tag:100Priority:1.owdisplayospfIsdbasbr10.1.
25、5.5OSPFProcess1withRouterID10.1.4.4Area:0.0.0.01.inkStateDatabaseType1.sidAdvrtr1.sage1.enOptionsseq#chksum:Sum-Asbr:10.1.5.5:10.1.1.1:1129:28:E:80000005:0xe3ecTos0metric:101Type1.sidAdvrtr1.sage1.enOptionsseq#chksum:Sum-Asbr:10.1.5.5:10.1.3.3:1132:28:E:60000005:0dd53Tos0metric:1Area:0.0.0.341.inkSC
26、aCeDatabaseArea:0.0.0.2241.inkStateDatabaseType1.sidAdvrtr1.sage1.enOptionsseq#chksum:Sum-Asbr:10.1.5.5:10.1.4.4:1196:28:E:80000006:0a656Tos0metric:46例如:通过命令查看区域内路由10l145.024相关的1.SA信息displayospf19dbsUiranary10.1.145.0OSPFProcess1withRouterID10.1.4.Area:C.0.0.01.inkStateDatabaseTyPe1.sidAdvr*r1.aage1
27、.enOptionsseqtchkaumNetmask:Sum-Net:10.1145.0:10.1.4.4:674:28:None:aoooooo6:0fa7f:255.255.255.0Tos0metric:42Priority:1.owArea:0.00.2241.inkS*atDatabaseTyPa1.sidAdvrcr1.sage1.enCPCionSseqJchksuxnNetmask:Sum-Net:10.1.145.0:10.1.4.4:693:28:E:80000006:0dc9b:255.255.255.0Tos0metric:48Priority:Ifowdisplay
28、ospfIsdbrouterdisplayospfIsdbrouter10.1.4.4OSPFProcess1withRouterID10.1.4.Area:0.0.0.01.inkStateDatabaseType:Router1.sid:10.1.4.4Advrtr:10.1.4.41.sage:6361.en:48Options:ASBRABRESeqg:000000echk,sum:0x4d3f1.inkcount:2&1.inkID:10.1.4.4Data:255.255.255.2551.inkType:StubNetMetric:0Priority:Medium*1.inkID
29、:10.1.145.1Data:10.1.145.41.inkType:TransNetMetric:48displayospfIsdbsummary10.1.35.0OSPFProcess1withRouterID10.1.4.4Area:0.0.0.01.inkStateDatabaseType1.sidAdvrtr1.sage1.enOptionsseq#chksur11NetmaskSum-Net10.1.35.010.1.3.36728Eaoooooo60d047255.255.255.0Tos0metric:1Priority:1.owdisplayoapfIsdbrouter10
30、.1.3.3OSPFProcess1withRouterID10.1.4.4Area:0.0.0.01.inkStateDatabaseType:Router1.sid:10.1.3.3Advrtr:10,1.3.31.sage:831.en:36Options:ASBRABRseq#:80000006chkauu:0ae321.inkcount:1*1.inkID:10.1.5.5Data:10.1.35.31.inkType:VirtualMetric:1导致OSPF数据库中1.SA异常或缺失的原因主要包括如下几种情况,需要从相关的配苣或规划角度进行修正:1 .骨干区域被分割,导致1.SA
31、缺失2 .虚连接配置错误,导致1.SA缺失3 .RouterlD冲突,导致1.SA震荡8 .外部路由FA地址确认若外部路由携带FA地址确认FA路由为有效珞由.OSPF必须能够通过区域内或区域间路由到达该FA地址,否则该外部路由不会加入OSPF路由表.例如:外部路由172.1.40.0携带了FA地址为10.1.4.4,通过OSPF内部路由能够学习到10.1.4.4的路由,外部路由172.1.40.0正确加入路由表3ipleyopIsdba*?172.1.40.OOSPFProcess23wthRoUCorDla72.1.23.31.inkStateDatabaseDcotxnAtionAdvor
32、RouterCostNextHopPricrity10.1.4.4/3210.1.S.S4910.1,35.5MediumAreaTypeInterfaceAge:Stub:GigabitEt,.r11r.DZI:OOhl322s-TyPe1.sIdAdvrtr1.sageX#enOptionsseqtchkttumNetTnbdk:EtrnAl:172.1.40.0:172.1.23.3:718:36:EDN:00000001:0x2女5:255.25S.25S.0TOSGHetric:1Etype:2ForwardingAddress:1.1.4.4TagPriority:34896612
33、73:1.owdisplayospfrouting10.1.4.4OSPFProcess1withRoute;XD10.1.39 .确认路由过滤策略排查路由策略过源路由的配JS是否正确。:l(matchedcounts:)IHtCh-:1.:if-matchacl2000:applycostlapplytagl10 .确认OSPF路由优先级查看OSPF的路由优先级diaplayiprouting*vtableRouteFlags:R-relay,D-downloadtofibRoutingTables:PublicDestinations:3SRoutes:35DeatinationZMaskProtoPreCostFlagsNextHopInterfeco10.1.1.1/32OSPF0/0/1102D10.1.3S.SGigabitEthernct.10.1.2.2/32O_A3E0/0/11501D10.1.35.5GigabitEthernet10.1.3.3/32Direct00D127.0.0.11.oopBackD
