由于filter-policy配置不合理,导致ME60无法学习到路由

发布时间:  2014-07-24 浏览次数:  75 下载次数:  0
问题描述
用户调整ACL配置时导致ME60 ospf路由异常,OSPF无法学习到路由。

调整内容acl 2020 中增加了一条rule 10 permit source X.X.101.0 0.0.0.255;此时设备上路由OSPF的路由中断;客户查看路由发现ospf路由都学习异常,默认路由也消失;
处理过程

1、查看故障时的设备配置。
  即ospf中配置了filter-policy的ACL。如果配置ACL的情况下ME60只能学到acl中permit的网段。
  可以看到ACL 2020中没有permit任何网段,因此无法学习路由。
acl number 2020
 rule 5 deny source 10.0.0.0 0.255.255.255
#


ospf 1
 filter-policy 2020 import
 filter-policy 2020 export

2、确认为什么之间业务没有问题。
查看设备的saved-config配置,即调整配置之前设备正确的配置信息。可以看到ACL 2020中的配置为
acl number 2020
 rule 5 deny source 10.0.0.0 0.255.255.255
 rule 10 permit
#

即ospf协议中除了不学习10.0.0.0/8的路由外,其它路由可以学习。

当时的操作日志:

Jun 26 2014 12:57:09 ME60 %%01SHELL/5/CMDRECORD(l)[290494]:Record command information. (Task=VT4, Ip=X.X.X.251, User=XX, Command="rule 10 permit source 10.X.X.0 0.0.0.255", Result=Success)

之后客户在acl 2020中删除新加的rule 10 ,故障现象依旧;最后在ospf 1中取消了过滤策略后,路由才学习正常;

客户反馈恢复:
Jun 26 2014 13:31:38 ME60 %%01SHELL/5/CMDRECORD(l)[358232]:Record command information. (Task=VT0, Ip=X.X.X.169, User=XX, Command="undo filter-policy 2020 import", Result=Success)

根因
设备之前acl 2020中配置了rule 10 permit。即permit了所有网段。
操作时,将rule 10覆盖了,只permit 一个网段。由于filter-policy里面配置了acl,没有通过过滤策略的路由不会被添加进路由表,也不会对外发布出去。因此Ospf除了能学习到rule 10的路由外,不能学习到其它路由,即使undo rule 10也不可以。
解决方案
解决方案:需要在acl 2020中需要增加permit相关的地址网段。不permit的网段,ME60是不能学习到的。
建议与总结
【Resolution Summary】需要在acl 2020中需要增加permit相关的地址网段。不permit的网段,ME60是不能学习到的。
【Resolution Details】问题原因:设备之前acl 2020中配置了rule 10 permit。即permit了所有网段。天中午操作时,将rule 10覆盖了,只permit 一个网段。由于filter-policy里面配置了acl,没有通过过滤策略的路由不会被添加进路由表,也不会对外发布出去。因此Ospf除了能学习到rule 10的路由外,不能学习到其它路由,即使undo rule 10也不可以。解决方案:需要在acl 2020中需要增加permit相关的地址网段。不permit的网段,ME60是不能学习到的。// Risk of Solution:Non-Risk Operation

END