NE80E二层接口部署严格URPF后导致业务中断

发布时间:  2016-09-13 浏览次数:  198 下载次数:  0
问题描述

NE80E做SR,配置supervlan作为下边大客户业务的网关,配置严格urpf导致下边业务无法与网关通信。

告警信息

处理过程

1 实验室复现,排除NE80E软件问题。

根因

仔细分析严格URPF工作原理,进入G4/0/8接口的数据进行URPF检测接口不匹配,进入接口是G4/0/8,而通过路由表查看出接口是vlanif912,G4/0/8不属于vlanif912,所以URPF将报文丢弃。 

解决方案

详细分析过程及主要配置。

traffic classifier urpf 

if-match any


traffic behavior urpf-strict 

ip urpf strict


traffic policy urpf-strict

classifier urpf behavior urpf-strict


<NP-ZH-CG-SR-1.MAN.NE80E>display current-configuration interface GigabitEthernet 4/0/8

#

interface GigabitEthernet4/0/8

undo shutdown

portswitch

port link-type trunk

port trunk allow-pass vlan 200 202 to 203 303 347 441 560 590 4071

traffic-policy urpf-strict inbound vlan 590


NE80E上配置了super vlan。

<NP-ZH-CG-SR-1.MAN.NE80E>dis vlan 912

VLAN ID Type Status MAC Learning Broadcast/Multicast/Unicast Property 

--------------------------------------------------------------------------------

912 super enable enable forward forward forward default 

---------------

sub-VLAN List: 590 


URPF检测查看的路由表项。

<NP-ZH-CG-SR-1.MAN.NE80E>dis ip routing-table x.y.z.67

Route Flags: R - relay, D - download to fib

------------------------------------------------------------------------------

Routing Table : Public

Summary Count : 1

Destination/Mask Proto Pre Cost Flags NextHop Interface


x.y.z.67/32 Direct 0 0 D x.y.z.67 Vlanif912

建议与总结

1、二层接口配置super vlan的场景,如果配置严格urpf因为报文入接口与路由表的下一跳接口不一致导致被urpf过滤。

2、二层接口配置super vlan的场景,如果配置松散urpf,报文不会被urpf过滤。

3、二层接口配置普通vlan的场景,配置严格urpf或者松散urpf都没有问题。

END