USG6600配置DSVPN时OSPF路由翻滚

发布时间:  2016-09-03 浏览次数:  217 下载次数:  0
问题描述

版本信息:总部USG6600 V100R001C30 分支:USG6300 V1R001C00

组网情况如下:


配置见配置案例:《Web举例:配置DSVPN基本场景(通过OSPF发布和学习路由)》

故障现象:

分支1宣告了一条路由:分支2、3上观察到都是指向总部,但总部上这个路由下一跳总在变化,导致业务一会通一会不通。

注意preference和cost,稍后排错有用。

并且下一跳172.16.0.4是另一个分支的tunnel接口IP,172.16.0.254是总部tunnel接口的IP,正确的应该是172.16.0.7。

 

 

告警信息
处理过程

1.检查用户DSVPN配置,发现建立正常,而且建立时间都在1个小时以上,证明和DSVPN没有任何关系。

2.检查OSPF的LSDB,发现那条路由也是有时有,检查出错时路由是由其他分支学过来的。

  正常情况下,OSPF有水平分割原则,不可能从DR学到的LSA又发回给DR。检查OSPF配置,发现有一个小错误,因遗留问题,DSVPN tunnel接口都在区域0里,但底下所有区域都在区域1。因此防火墙从区域0学习到了路由,又通过区域1通告给了DR。

3.即使在这种情况下,路由应该也是要加上接口和链路开销,即使DR收到了,也不应该放在路由表中。

  怀疑是分支1通告路由使用了E2的方式,查看配置,果然是这个问题:

 

4.重新配置引入路由后,路由就正确了,不再出现翻滚的情况。


 

根因

该问题产生极为特殊,首先是配置区域没有按照一个分支一个区域来规则(配置案例中也都是一个区域),建议一个分支一个区域。

其次,通告路由时使用2类的方式,因为2类路由宣告时不会加上链路和接口开销,因此导致总部路由混乱。

 

解决方案
重配重分发路由后问题解决。
建议与总结

建议如下:

1.DSVPN在配置OSPF时,建议一个分支一个区域。

2.重分布路由使用默认即可,不要使用2类的方式引入。

END