华为/思科路由器选路实战当直连路由失效你的数据包去了哪里作为一名网络工程师最令人困惑的故障莫过于明明接口亮着绿灯ping测试却显示请求超时。上周深夜我就被这样一个看似简单的直连路由故障折腾了三小时——两台核心交换机通过万兆光纤直连物理层状态全部正常但业务流量却诡异地绕道备用路径。这种灯亮路不通的异常往往暴露了路由选路机制中最精妙的博弈规则。本文将带你亲历一次典型的长掩码路由劫持事件。通过华为CE12800与思科Nexus 9000的对比实验我们将用Wireshark抓包解密IS-IS的LSP报文如何欺骗路由表并演示如何用三条策略路由精准夺回流量控制权。无论你习惯使用dis ip routing-table还是show ip route最后都会发现真正决定数据包去向的从来不只是配置界面上的那几条静态命令。1. 故障现场重建当直连路由从路由表消失那晚的故障拓扑简单得令人放松警惕数据中心A区的CE12800通过10GigE1/0/1接口直连B区的Nexus 93180YC-EX两端配置的互联IP是192.168.100.1/30和192.168.100.2/30。当我在A区核心执行ping 192.168.100.2时返回的却是Destination unreachable。1.1 基础排查中的反常现象按照标准排障流程我依次检查了以下环节# 华为设备检查命令 CE12800 display interface 10GigE1/0/1 10GigE1/0/1 current state : UP (ifindex: 1024) Line protocol current state : UP Description : TO_NEXUS_93180_B_ZONE Last 300 seconds input rate: 0 bytes/sec, 0 packets/sec Last 300 seconds output rate: 0 bytes/sec, 0 packets/sec # 思科设备检查命令 Nexus93180# show interface Ethernet1/1 Ethernet1/1 is up Hardware: 10000 Ethernet, address: 547f.ee00.0101 MTU 1500 bytes, BW 10000000 Kbit, DLY 10 usec物理层和数据链路层状态完全正常但路由表却显示出诡异现象# 华为路由表异常显示 CE12800 display ip routing-table 192.168.100.2 Route Flags: R - relay, D - download to fib ------------------------------------------------------------------------------ Routing Table : Public Destinations : 1 Routes : 1 Destination/Mask Proto Pre Cost Flags NextHop Interface 192.168.100.0/24 ISIS-L2 15 20 D 10.10.10.10 Vlanif100直连的/30路由竟然被一条/24的IS-IS路由覆盖了这与网络工程师熟知的直连路由优先级最高的常识相悖。1.2 最长掩码匹配原则的陷阱在路由选择的三重判断标准中最长掩码匹配 协议优先级 路由开销最长掩码匹配原则具有最高决策权。这意味着即使直连路由的协议优先级Direct0优于IS-ISL215即使直连路径的开销Cost0小于IS-IS路径Cost20只要IS-IS通告的路由掩码更长/24 /30数据包就会优先匹配该路由这个案例中B区的管理员意外配置了一条静态聚合路由Nexus93180(config)# ip route 192.168.100.0/24 10.10.10.10该路由被重分发到IS-IS域最终导致A区核心收到掩码更长的异常路由。2. 协议优先级与路由渗透的博弈2.1 华为与思科设备协议优先级对比不同厂商对路由协议优先级的默认值存在微妙差异路由来源华为优先级思科优先级备注DIRECT00直连路由OSPF10110思科OSPF优先级值较大IS-IS15115STATIC601思科静态路由优先级极高BGP25520华为BGP优先级最低这种差异会导致混合组网时出现意料之外的路由选择。例如思科设备的静态路由优先级1会覆盖华为设备通告的IS-IS路由优先级15但华为设备的静态路由优先级60却会被思科的IS-IS路由优先级115覆盖。2.2 路由渗透的隐蔽影响在本次故障中IS-IS Level-2区域的路由渗透加剧了问题复杂性。通过抓包分析可见到异常的LSP报文IS-IS Level-2 LSP Fragment: Source ID: Nexus93180.00 LSP Number: 0x0001 Sequence Number: 0x00a3 Attributes: L2, Attached TLVs: Extended IP Reachability: 192.168.100.0/24, Metric: 20 IPv6 Reachability: (略)这条LSP通过Level-2洪泛传播到整个IS-IS域导致所有设备都学习到这条掩码更长的路由。由于Level-2路由默认会渗透到Level-1区域最终影响了直连路由的选路。3. 实战解决方案三阶流量夺回策略3.1 立即修复路由过滤华为示例在IS-IS进程下配置路由策略过滤异常路由# 创建ACL匹配异常路由 acl number 2001 rule 5 deny source 192.168.100.0 0.0.0.255 rule 10 permit source any # 创建路由策略 route-policy ISIS-DENY-192.168.100 permit node 10 if-match acl 2001 apply cost 1000 # 应用策略 isis 100 filter-policy route-policy ISIS-DENY-192.168.100 import该策略会给异常路由增加1000开销值使其失去竞争力。3.2 中期加固调整协议优先级思科示例修改Nexus设备上的IS-IS路由优先级Nexus93180(config)# router isis 100 Nexus93180(config-isis)# distance 115 10.10.10.10 0.0.0.0 1这条命令将来自10.10.10.10的IS-IS路由优先级从115调整为10低于直连路由的优先级0。3.3 长期防护路由策略联动跨厂商方案建立路由策略联动机制关键配置包括华为设备配置route-policy PROTECT-DIRECT permit node 10 if-match interface 10GigE1/0/1 apply preference 0思科设备配置route-map PROTECT-DIRECT permit 10 match interface Ethernet1/1 set distance 0这套方案能确保直连路由始终获得最高优先级不受其他路由协议影响。4. 深度诊断路由表背后的隐藏逻辑4.1 华为设备调试技巧查看路由表的完整决策过程CE12800 debugging ip routing-table event CE12800 terminal monitor *May 12 03:15:23.789 RT: Received ISIS LSP route 192.168.100.0/24 *May 12 03:15:23.791 RT: Comparing 192.168.100.0/24 (ISIS) and 192.168.100.0/30 (Direct) *May 12 03:15:23.793 RT: Select 192.168.100.0/24 for longer mask match4.2 思科设备高级验证检查路由选择的过程细节Nexus93180# show ip route 192.168.100.2 detail Route metric is 20, traffic share count is 1 Selected based on the longest matching prefix Routing Descriptor Blocks: 10.10.10.10, from 10.10.10.10 Route metric is 20 Route tag is 04.3 关键对比路由决策树两种设备的路由选择逻辑对比决策阶段华为实现思科实现最长掩码匹配优先选择优先选择协议优先级Pre值越小越优AD值越小越优路由开销Cost值越小越优Metric值越小越优等价负载分担支持需配置maximum-paths策略路由覆盖支持if-match多条件需route-map配合那次深夜故障最终以在两端设备同时部署路由策略告终。凌晨四点当我看到ping响应时间重新回到1ms时突然意识到路由选择从来不是简单的优先级排序而是厂商实现、协议规则和运维习惯的复杂博弈。下次当你看到直连路由失效时不妨先检查这三处路由表中是否存在掩码更长的路由协议优先级在不同厂商间的映射关系路由重分发是否引入了异常路径
