故障背景:如图14.6所示的网络环境,工程师在相应的接口配置了接口地址,并在整个网络启动了RIP路由协议,由于一些特殊原因在路由器S2/0的接口上没有配置具体的IP地址,使用了无编号IP地址(ipunnumbered e1/0),事实上S2/0接口上的IP地址是向E1/0接口借的,在实际的生产环境中,产生这种无编号IP地址的原因是为了在点对点的链路上节省IP地址,防止地址浪费,所以这种应用是合法的。然后为了某些安全特性,工程师在路由器R1的E1/0接口的入方向上配置了ACL列表,只允许源地址为192.168.3.1、源子网为192.168.6.0/24的子网访问任意网络,其他的流量被ACL101隐藏的Deny语句所拒绝。当完成上述的配置后,现在出现了一个现象:路由器R1无法学到任何路由如图14.7所示;R2路由学习完全正常如图14.8所示;R3也无法学习到任何路由如图14.9所示。
现在请分析出现这些故障的原因,并在不改变原有配置的情况排除故障。
wKiom1MCHsyA4Am-AAEVkzI3Z0M995.jpg
wKioL1MCHqjgi5JlAAIU1lTitBY637.jpg
wKiom1MCHs2hYdFdAAIp5vMsd6g357.jpg
wKioL1MCHsKBTGHMAAH_LugBFVY154.jpg
产生故障的原始配置:产生故障的原始配置如下所示。
路由器R1的原始配置:
interface Loopback1
ip address 192.168.5.1 255.255.255.0
!
interfaceEthernet1/0
ip address 192.168.2.1 255.255.255.0
ip access-group 101 in
duplex half
!
router rip
version 2
network 192.168.2.0
network 192.168.5.0
no auto-summary
access-list 101permit ip host 192.168.3.1 any
access-list 101permit ip 192.168.6.0 0.0.0.255 any
路由器R2的原始配置:
interfaceEthernet1/0
ip address 192.168.2.2 255.255.255.0
duplex half
!
interface Serial2/0
ip unnumbered Ethernet1/0
encapsulation ppp
!
routerrip
version 2
network 192.168.2.0
no auto-summary
路由器R3的原始配置:
interface Loopback1
ip address 192.168.6.1 255.255.255.0
!
interface Serial2/0
ip address 192.168.3.2 255.255.255.252
encapsulation ppp
!
router rip
version 2
network 192.168.3.0
network 192.168.6.0
no auto-summary
故障分析:在事实的工作环境中,有时遇到的故障,通常不在一处,比如:这个故障就产生在路由器R1和R3上,恰好中间的路由器R2工作正常,当遇到这种复合型故障时,请首先将分而治之,进行独立分析,这样可以减小故障重叠后的排除范围,注意这将是一个非常好的建议。所以现在首先在路由器R3上,使用debug ip rip events指令来调试RIP的工作过程,这样可以看到RIP在后台工作的数据包,得到如图14.10所示,指示路由器R3的S2/0的接口收到一个坏的RIP的数据包,发送一个坏的RIP数据包的源地址是192.168.2.2事实上就是路由器R2的S2/0接口,因为路由器R2的S2/0接口是向E1/0借的IP地址,而产生这个故障的原因是路由器R2的S2/0使用了无编号IP地址(ip unnumbered),而路由器R3的S2/0接口使用了具体的IP地址,在这种情况下,路由器R3会检测更新源的合法性,必须要求路由器R2的路由更新源地址与自己的S2/0接口上的IP地址在同一个子网,否则路由器R3会报告收到坏的路由更新,解决这个故障有两种方案:一是为路由器R2的S2/0的接口配置一个与路由器R3的S2/0接口相同子网的具体IP地址,但这种解决方案破坏了原有的地址设计,改变了原有配置,因为在很多情况下进行故障排除时,是以不破坏设备原有配置为原则。第二个解决方案就是关闭路由器R3上关于RIP更新源合法性检测的功能,默认情况下这个功能是被启动的,具体的排除过程请参看解决方案部分,当完成这个行为后,可以看到路由器R3的路由学习正常,路由表成功学到了R2发来的路由更新,如图14.12所示。现在已经成功解决路由器R3的路由故障。
在路由器R1的配置看上去似乎很合理,因为在ACL中允许了RIP网络中的所有远程子网到达路由器R1。在这种情况下,还是首先在路由器R1上使用debug ip rip event指令查看RIP更新的情况,如图14.11所示,指示路由器R1没有收到任何来自路由器R2的路由更新,如果物理链路正常并且保证RIP的配置正常,那么就是ACL的隐藏的Deny语句拒绝了目标地址是224.0.0.9的RIP更新组播地址,这将导致RIP的路由更新失败,解决方案是在路由器R1现有的ACL中加入一条允许目标地址224.0.0.9的组播地址到达路由器R1,
具体的排除过程请参看解决方案部分,当完成这个行为后,可以看到路由器R1的路由学习正常,如图14.13所示。故障成功排除。
wKiom1MCHziDd56lAAFBivE92bg272.jpg
wKioL1MCHxPwtEXlAAJnYQuQjR4312.jpg
解决方案:
R3(config)#router rip
R3(config-router)#no validate-update-source* 关闭RIP更新源合法性检测。
R3(config-router)#exit
R1(config)#access-list 101 permit ip any host 224.0.0.9
* 增加允许RIP更新组播通过的ACL条目。
wKioL1MCH5CDl0WoAAKSHMGjROM180.jpg
wKiom1MCH7XQ_ouGAAHhyn_odg0466.jpg
阅读(1608) | 评论(0) | 转发(0) |