由于IGP的cost规划不当导致部分业务路由环路

发布时间:  2012-07-27 浏览次数:  65 下载次数:  10
问题描述
设备版本信息:NE5000E-200R003C02B609+SPH012
              NE40E-V300R003C02B697
              防火墙-友商设备
组网介绍和拓扑:请见附件
故障信息:NE40E下挂部分用户访问某些网站(如taobao,tudou等)存在网站可以打开但是不能打开网站里面的应用链接(商品买卖、视频点播等)。
告警信息

处理过程
1、在NE40E-1上进行测试,发现公网用户正常,只有私网用户存在上面描述的问题,但是第三方出口禁止tracert,所以无法继续定位;
2、在NE40E-2上进行测试,发现公网用户和私网用户均正常,从而排除防火墙-2和第三方出口问题;
3、客户在友商防火墙-1上测试,发现到目标网站正常,排除防火墙-1问题;
4、在NE5000E-2上查看NAT网段(在防火墙-1上做了地址池)回程路由,发现有三个下一跳:NE5000E的互联,NE40E-1,NE40E-2;分析为IBGP路由通过OSPF迭代出现了多个下一跳。当下一跳为NE5000E-1时,私网用户正常,当为其他2个下一跳时,由于OSPF没有发布此NAT地址池的路由,所以会匹配缺省路由,50%的可能性会丢回NE5000E-2从而导致环路。应该为IGP的COST问题;
5、查看全网OSPF的COST值,发现NE5000E-2至NE40E的cost值(4)+NE40E至NE5000E-1的cost值(6)=NE5000-2到NE5000E-1的cost值(10);
6、将NE5000E之间互连的cost值调整为小于10后,测试业务全部恢复。
根因
初步分析有以下几点原因:
1、第三方出口问题,因为这些不能访问的网站都是走向了第三方出口;
2、友商防火墙问题;
3、NE5000E本身路由问题;
4、其他原因。
建议与总结
1、建议IGP的cost值在规划时候调整好,防止类似问题的发生。
2、如果客户要求cost值必须负载设置,那么需要在发布NAT地址时候,需要将此次静态路由引入到OSPF中,防止环路的发生。
3、缺省情况下,BGP在向EBGP对等体通告路由时,将下一跳属性设为自身的IP地址。BGP在向IBGP对等体通告路由时,不改变下一跳属性。

END