路由协议故障排除.doc

华为中低端路由器故障处理手册目 录目 录第1章 RIP协议故障排除1-11.1 RIP协议故障排除综述1-11.1.1 RIP配置的常见问题1-11.1.2 RIP性能问题1-31.1.3 其他相关问题1-41.1.4 RIP故障排除的一般步骤：1-41.2 与RIP故障相关的show、debug命令介绍1-51.2.1 Show ip rip1-61.2.2 Debug ip rip1-71.3 RIP典型案例分析1-81.3.1 路由器不能从其他路由器接受到任何更新的问题1-81.3.2 RIP1上要注意主网每一个接口上必须配置相同的子网掩码1-91.3.3 不连续子网问题RIP1不支持不连续子网，RIP2此时应取消自动汇总1-101.3.4 与Cisco互通时出现的MD5验证问题1-13第2章 OSPF故障排除2-12.1 OSPF故障排除综述2-12.1.1 OSPF协议介绍2-12.1.2 Quidway系列路由器中的OSPF特色2-22.1.3 OSPF配置介绍2-22.1.4 OSPF排错步骤2-52.2 与OSPF故障相关的show、debug命令介绍2-112.2.1 show ip ospf2-112.2.2 show ip ospf error2-122.2.3 show ip ospf interface2-132.2.4 show ip ospf neighbor2-142.2.5 debug ip ospf event2-152.2.6 debug ip ospf lsa2-152.2.7 debug ip ospf packet2-152.2.8 debug ip ospf spf2-162.3 OSPF典型案例分析2-162.3.1 不能建立邻居关系（一）2-162.3.2 不能建立邻居关系（二）2-182.3.3 邻居状态不能到达FULL状态2-202.3.4 邻居状态达到了full却不能正确学到路由2-222.3.5 与cisco路由器相连时的type75 LSA转换问题2-252.3.6 使用forwarding address优选路由2-292.3.7 最优路由的选择2-352.3.8 ROUTER ID问题2-402.3.9 地址聚合形成路由环路2-44第3章 BGP故障排除3-13.1 BGP故障排除综述3-13.1.1 BGP使用的报文3-13.1.2 BGP的状态机3-33.1.3 BGP的策略路由3-53.1.4 BGP的选路原则3-53.1.5 其它相关问题3-63.2 BGP常见故障及故障排除的一般步骤3-73.2.1 建立邻居时出现故障3-73.2.2 路由丢失3-93.2.3 路由选择不一致3-123.2.4 路由环路问题3-133.3 与BGP相关的show、debug命令3-133.3.1 show ip as-path3-133.3.2 show ip bgp3-153.3.3 show ip bgp cidr-only3-173.3.4 show ip bgp community3-183.3.5 show ip bgp comm-list3-193.3.6 show ip bgp dampened-paths3-203.3.7 show ip bgp filter-list3-203.3.8 show ip bgp flap-statistics3-213.3.9 show ip bgp inconsistent-as3-223.3.10 show ip bgp neighbors3-233.3.11 show ip bgp network3-253.3.12 show ip bgp paths3-263.3.13 show ip bgp peer-group3-263.3.14 show ip bgp regexp3-273.3.15 show ip bgp summary3-283.3.16 show route-map3-293.3.17 debug ip bgp all3-303.3.18 debug ip bgp events3-313.3.19 debug ip bgp keepalives3-323.3.20 debug ip bgp opens3-333.3.21 debug ip bgp packets3-353.3.22 debug ip bgp updates3-363.4 典型案例分析3-373.4.1 配置BGP联盟情况下与Cisco不能互通3-373.4.2 配置BGP反射，不同的群具有相同的cluster-id导致路由丢失3-393.4.3 使用network命令发布路由的精确匹配问题3-423.4.4 发布聚合路由产生的路由环路问题3-443.4.5 使用loopback口无法建立邻居关系的问题3-473.4.6 直连EBGP邻居发布下一跳非直接可达路由时，路由失效3-503.4.7 相同路由比较时没有选择MED值小的路由3-523.4.8 利用AS-PATH访问列表过滤路由不正确3-55第4章 策略路由故障排除4-14.1 策略路由故障排除综述4-14.1.1 策略路由功能和性能的常见问题4-14.1.2 问题4-14.1.3 策略路由故障排除的一般步骤4-14.2 策略路由故障相关的show、debug命令介绍4-14.2.1 Show4-14.2.2 Debug4-14.3 策略路由故障案例分析4-24.3.1 策略路由适配顺序错误4-24.3.2 在以台网环境中使用策略路由错误4-3iii华为中低端路由器故障处理手册第1章 RIP协议故障排除第1章 RIP协议故障排除1.1 RIP协议故障排除综述RIP（Routing Information Protocol）协议是基于D-V算法的内部动态路由协议。它是第一个为所有主要厂商支持的标准IP选路协议，目前已成为路由器、主机路由信息传递的标准之一，适应于大多数的校园网和使用速率变化不大的连续的地区性网络。对于更复杂的环境，一般不应使用RIP协议。RIP1作为距离矢量路由协议，具有与D-V算法有关的所有限制，如慢收敛和易于产生路由环路和广播更新占用带宽过多等；RIP1作为一个有类别路由协议，更新消息中是不携带子网掩码，这意味着它在主网边界上自动聚合，不支持VLSM和CIDR；同样，RIP1作为一个古老协议，不提供认证功能，这可能会产生潜在的危险性。总之， 简单性是RIP1广泛使用的原因之一，但简单性带来的一些问题，也是RIP故障排除中必须关注的。RIP在不断地发展完善过程中，又出现了第二个版本：RIP2。与RIP1最大的不同是RIP2为一个无类别路由协议，其更新消息中携带子网掩码，它支持VLSM、CIDR、认证和多播。目前这两个版本都在广泛应用，两者之间的差别导致的问题在RIP故障排除时需要特别注意。我们还将关注RIP配置和与其他厂商互通中的一些问题。1.1.1 RIP配置的常见问题1. 配置的两台路由器间不能用RIP互通如果配置的两台路由器间不能用RIP互通，在物理连接没有问题的时候，就要考虑是否是下面原因: (1) 在Quidway系列路由器之间不通：l 可能是RIP没有启动, 也可能相应的网段没有使能。这里需要注意的是在用使用network命令时要按地址类别配置相应的网段。例如接口地址137.11.1.1，由于137.11.1.1是B类地址，如果设置“network 137.0.0.0”，报文将不会被对端接受，此时配置成“network 137.11.0.0” 就可以正确接收了。l 另一个可能原因是接口上把RIP给关掉了。这是要查看一下show run信息，看看接口上是不是设置了no ip rip work /no ip rip input/no ip rip output命令。l 还有一个可能原因是子网掩码的不匹配。在RIP1这样的有类别路由协议中，主网中的每一路由器和主机都应有相同的子网掩码。如果子网掩码长度不匹配，信息包就不能正确路由。(2) 在Quidway系列路由器与Cisco路由器之间不通：l 请先照（1）进行相应检查 l 然后考虑是不是版本设置不同。Quidway系列路由器缺省情况下，RIP可以接收RIP1和RIP2广播报文，但是只能发送RIP1报文。如果Quidway系列路由器之间互通时,一个配置为RIP1,一个配置为RIP2, 是可以正确的收发报文的； 但是如果Quidway系列路由器和Cisco路由器互通时， Quidway系列路由器配置了RIP2，而Cisco路由器还是RIP1,就会出现问题，Cisco路由器不会接受RIP1的报文。l 另外由于验证的不同也会导致互通问题. 在Quidway系列路由器中，对key-string的配置是在接口模式下进行，而Cisco路由器的key-string设置要在协议模式下进行。如下例所示：Cisco路由器（在接口模式下配置验证）：cisco(config-if)#ip rip authentication mode md5cisco(config-if)#ip rip authentication key-chain textCisco路由器（在协议模式下配置验证字）：cisco(config)#key chain text cisco(config-keychain)#key 1 cisco(config-keychain-key)#key-string aaaQuidway系列路由器（在接口模式下配置验证和验证字）：RTB（config-int-Serial0）#ip rip authentication md5 type ciscoRTB（config-int-Serial0）#ip rip authentication md5 key-string text 对于Cisco路由器有时候如果忘记在协议模式下配置key-string，或者误把Key-chain 当成key-string 配置，就会因为验证配置错误而引起的互通问题。 2. RIP1与RIP2的区别引起的问题由于RIP2对RIP1有许多功能上的扩充，它们之间的混淆也会带来一些问题。(1) 配了验证，却没有起作用：由于RIP-1不支持验证，如果在启动RIP后就配验证，实际上是不起作用的（缺省条件下时RIP-1），只有在两端的接口上配了ip rip version 2 后验证能生效。(2) 子网掩码没有配上在取消自动聚合的情况下， 如果发送的报文中有一条B类地址的路由，但是 配了24位掩码，结果发现对端路由表上的出现的是16位掩码，如： 137.11.1.0/24, 得到137.11.0.0/16 , 就是由于没有配ip rip version 2, 因为RIP-1不支持子网掩码，只能按地址类别聚合发路由，137.11.1.0是B类地址就会按类聚合为137.11.0.0发出去, RIP2支持子网掩码, 这样配置的子网掩码就能发过去了。相关的问题还有对于两条在同一主网中的路由，如10.1.0.0和10.110.0.0，在RIP1下不做区别都聚合成10.0.0.0往外发。RIP-2下都配16位掩码就可以区别发出。(3) 自动聚合引起的问题RIP1永远使用聚合 ，且RIP的聚合是按照类进行的，RIP2 缺省也使用聚合，但是可以在协议模式下取消。需要注意的有两点：l 取消自动聚合只对RIP2接口有效.l 自动聚合是为了减少网络中路由量，如果没有特殊原因，一般不要取消。1.1.2 RIP性能问题(1) 仅以hop作为metric的问题RIP协议仅仅是以跳数作为选择路由的度量值，完全不考虑不同路径带宽的影响。这在某些情况下，我们会发现报文到达目的地所经过的路由并非最佳路由。例如：从源到目的的报文可能从hop为1的ISDN链路（该链路其真实作用是用于备份）转发，而不走带宽高达10Mbps的两个局域网链路，仅仅是因为其hop值为2。此时的解决办法就是重新设计网络或使用其他具有更大灵活性的路由协议（如：OSPF）。(2) 广播更新问题RIP协议缺省设置是每隔30秒进行广播交换整个路由表信息，这将大量消耗网络带宽，尤其是在广域网环境中，可能出现严重性能问题。当由于RIP广播而产生网络性能问题时，可以考虑使用“neighbor”命令配置RIP报文的定点传送。一方面，定点传送可用于在非广播网络（如帧中继网络）支持RIP协议。另一方面，定点传送用于以太网环境可以显著减少其上的网络流量。(3) 慢收敛问题RIP协议是一个距离矢量协议，同时由于Garbage定时器的设置，可能会产生下面这个有趣的现象： 有时候配置了一个命令却发现没起作用, 这可能会使我们认为是配置出错或者其他故障，其实是由于RIP慢收敛的原因需要一段延时，不要着急，先等几分钟，也许你什么都没做就可以看到一切都正常了。& 说明：Garbage 时间：当路由被标记为无效之后，此时路由器并不立即删除此路由，而是保持一段时间，只有在经过这段时间之后，路由器才真正将此路由从路由表中彻底删除。这段时间就称为Garbage时间。Garbage时间有助于增加网络的稳定性，但付出的代价是路由再次可用的时间推迟，即收敛更缓慢。1.1.3 其他相关问题(1) 帧中继中的水平分割问题：在帧中继，X25等NBMA网络上运行的时候，要取消水平分割，在接口模式下配置no ip rip split，如果使用水平分割，使用同一个物理接口下的逻辑接口之间就不能交换路由信息了。(2) 验证问题：配置验证时，在配置了验证类型，没有配验证字时是不显示验证信息的，这时候验证也不起作用。(3) 地址借用问题：地址借用必须两端同时借用，如果只有一端借用，会由于两端不在同一网段而导致不能互通，如果两端都借用就可以取消对源地址的检查。(4) Cisco在RIP配置下用verison 1|2来设置全局版本，在接口模式下用ip rip receive|send version 1|2来分别控制接收和发送的RIP报文版本。 Quidway版本配置只在接口下设置，通过ip rip version 1|2来区分。 1.1.4 RIP故障排除的一般步骤：在网络上测定IP连通性的最常用方法是Ping命令。从源点向目的端发送Ping命令成功的话，意味着所有物理层、数据链路层、网络层功能均正常运转。而当IP连通失败，我们首先要检查的是源到目标间所有物理连接是否正常、所有接口和线路协议是否运行。当物理层和数据链路层检查无误后，我们将排错重点转向网络层，假定此网络运行的路由协议为RIP协议，那么一般故障排除的步骤如下：1. 检查从源到目的间的所有路由设备的路由表，看是否丢失路由表项。例如：从源设备Ping目标设备161.7.9.10 没有响应，我们应当使用show ip route命令依次检查从源到目的间所有路由表项为161.7.x.x （x.x根据使用的RIP版本不同可能会有所不同）的项。2. 当发生路由表项丢失或其他问题，检查网络设备的RIP基本配置(1) 使用show ip rip 命令察看RIP的各种参数设置。l 看RIP是否已经启动，相关的接口是否 已经使能，network命令设置的网段是否正确；l 设置了snapshot的接口可以通过show ip rip snapshot来查看有关snapshot的一些配置信息，如该接口是服务器端还是客户端，激活周期多长，静止周期多长，现在接口处于静止状态还是激活状态等。(2) 用debug ip rip 系列命令看RIP的调试信息。每隔30秒钟，在所指定运行RIP协议的接口上，路由器将报告RIP协议路由更新报文的传输，debug信息显示了发送每个路由更新报文的路由和度量值。通过debug信息可以很明白的看出RIP报文是否被正确的收发；如果发送或接收有问题，也可以由debug信息中看到是什么原因而导致发送或接收报文失败。3. 当RIP协议基本配置没有发现问题，应当考虑是否在接口上配置“No ip rip work”命令，是否验证有问题，是否引入其他路由有问题，是否访问控制列表配置不正确等等。使用show running-config 命令察看接口和RIP的相关配置。例如：Quidway# show run!interface Ethernet1 ip address 100.1.1.5 255.255.255.0 ip rip authentication simple aaa ip rip version 2 mcast !router rip network 10.0.0.0 network 137.11.0.0redistribute staticl 查看接口的show run信息可以看到RIP在接口模式下的配置信息是否正确。如该接口是否收发RIP报文，接口配置验证了么和验证是什么类型的，接口向外发送的报文是RIP-1还是RIP-2，是广播发送还是多播发送，接口在接收和发送路由时是否增加附加的路由权。l 查看show run信息可以看到RIP在协议模式下的配置信息是否正确。如是否引入其他协议的路由，如果引入，是已多大的路由权值引入的；是否对路由进行过滤和按什么规则过滤等。1.2 与RIP故障相关的show、debug命令介绍Quidway系列路由器上用于排除RIP故障的常用命令包括：Show ip rip 和debug ip rip packet。下面分别介绍这两个命令。1.2.1 Show ip rip【用法说明】显示RIP的各种参数配置和当前运行状态。 【语法】Show ip rip snapshot【参数说明】snapshot：显示snapshot的配置与当前运行状态 【输出实例】Quidway#show ip rip RIP is turned on Checkzero is on Default-metric : 1 Auto-summary is on Preference : 100 No neighbor Network : 20.0.0.0Quidway# show ip rip snapshotInterface Serial 1/0/0: snapshot clientLength of Active period: 5 minutesLength of Quiet period : 10 minutesLength of Retry period : 8 minutesCurrent status : Active , remain 3 minutes【输出字段说明】1. 第一段含义如下：显示信息表示RIP当前处于运行状态，对零域进行检查，缺省路由权值为1，启动自动聚合，RIP优先级为100，未指定定点传送，使能的网络是20.0.0.0。若指定了定点传送，相应的显示信息可能为：“neighbor :202.38.165.1”2. 第二段显示信息表示snapshot当前的运行状态信息。具体解释如下：l Interface Serial 1/0/0: snapshot client配置了snapshot的接口，及接口属性l Length of Active period: 5 minutes激活周期的时间间隔l Length of Quiet period : 10 minutes静止周期的时间间隔l Length of Retry period : 8 minutes重传周期的时间间隔l Current status : Active , remain 3 minutes当前状态，及此状态还有多少时间超时1.2.2 Debug ip rip 【用法说明】此命令打开RIP的调试信息，可以在配置终端上显示RIP报文信息，以用于查看RIP报文的收发情况。【语法】debug ip rip packet / recv / send【参数说明】packet：查看RIP接收和发送报文的信息recv： 查看RIP发送报文的信息send： 查看RIP接收报文的信息【输出实例】RIP: send from 202.38.168.1 to 255.255.255.255 Packet:vers 1, cmd Response, length 64 dest 11.0.0.0,Metric 1dest 202.38.169.0,Metric 2dest 131.108.0.0,Metric 3RIP: Receive Response from 202.38.168.2Packet:vers 1, cmd Response, length 24 dest 129.134.0.0,Metric 1【输出字段说明】1. 第一段含义如下：l send from 202.38.168.1 to 255.255.255.255：由地址为202.38.168.1的接口向外发送广播报文，255.255.255.255是广播地址。如果是“send from 202.38.168.1 to 224.0.0.9”，这时是由接口向外发送多播报文，224.0.0.9是RIP2的多播地址。l Packet:vers 1, cmd Response, length 64 该报文版本为1，为响应报文，报文长度64字节l dest 11.0.0.0,Metric 1发送的具体的路由，目的地址11.0.0.0，路由权值是1。2. 第二段含义如下：l RIP: Receive Response from 202.38.168.2接收到来自接口202.38.168.2的报文l Packet:vers 1, cmd Response, length 24该报文版本为1，为响应报文，报文长度24字节l dest 129.134.0.0,Metric 1路由项为129.134.0.0，路由权值为1。3. 其他可能出现的信息如下：l ignoring RIP Response: 0 packet from 20.1.1.1+520 - authentication failure由于认证检查失败，拒绝接收该响应报文。l ignoring RIP Response: 0 packet from 12.110.1.3+520 - ignoring RIP packet for the source address is not on the same network with the receiving interface检查报文的源地址出错，拒绝接收该响应报文。l ignoring RIP Response: 0 packet from 10.110.100.6+520 - not receiving RIP 1由于版本错误而导致拒绝接收该响应报文。1.3 RIP典型案例分析1.3.1 路由器不能从其他路由器接受到任何更新的问题1. 现象描述问题如下：在物理连接正常的情况下收不到更新报文。2. show信息或debug信息显示打开debug开关时，长时间（大于30秒）没有收到更新报文。3. 原因分析有如下几种可能原因：l 相应的接口上RIP没有运行（如执行了no ip rip work 命令）或该接口未通过network命令使能。l 对端路由器上配置的是组播方式（如执行了ip rip version 2 mcast 命令），但在本地路由器上没有配置组播方式。4. 处理过程对照3 中给出的原因检查配置，执行相应的配置命令即可。1.3.2 RIP1上要注意主网每一个接口上必须配置相同的子网掩码1. 现象描述在该应用中（请见下面的组网图），路由器Router1的四个接口分别配置了同一主网下不同子网的地址，在路由器上使各个接口运行RIP-1协议，配置如下：!router ripnetwork 129.134.0.0! 问题如下：只有s1和e0发送彼此接口网段的信息（129.134.10.0和129.134.20.0），另外的两个接口s0和s2不发送RIP路由信息。2. show信息或debug信息显示在Router1上使用debug ip rip send命令，有下列显示：Router1#debug ip rip sendRip send debugging is onRouter1#*RM-7-RTDBG: RIP: send from 129.134.20.1(Ethernet0) to 255.255.255.255 Packet:vers 1, cmd Response, length 24 dest 129.134.10.0,metric 1,tag 0*RM-7-RTDBG: RIP: send from 129.134.192.1(Serial0) to 255.255.255.255*RM-7-RTDBG:Packet:vers 1, cmd Response, suppressing-null update*RM-7-RTDBG: RIP: send from 129.134.10.1(Serial1) to 255.255.255.255 Packet:vers 1, cmd Response, length 24 dest 129.134.20.0,metric 1,tag 0*RM-7-RTDBG: RIP: send from 129.134.0.1(Serial2) to 255.255.255.255*RM-7-RTDBG:Packet:vers 1, cmd Response, suppressing-null update 3. 原因分析为了分析以上情况出现的原因，首先看一下RIP发送路由的处理流程：图1-1 RIP发送路由的处理流程图根据以上流程可知，由于s0和s2上接口地址的子网掩码与其它接口都不同，所以不发布其它接口的子网路由； e0和s1上接口地址的子网掩码相同，所以彼此发布对方的子网路由信息。4. 处理过程为了使用RIP1发布子网路由信息，要求主网每一个接口上必须配置同样的子网掩码，将上面的四个接口配置成同样的子网掩码（比如24位掩码），则可以从其它接口上发布自己接口的子网信息，问题解决。5. 其他为了更有效的解决上面的问题，可以配置RIP2。由于RIP2对RIP1进行了扩展，报文中带有掩码（mask），支持可变长子网掩码（VLSM），所以不必将各接口配置成相同的子网掩码，问题同样可以解决。1.3.3 不连续子网问题RIP1不支持不连续子网，RIP2此时应取消自动汇总1. 现象描述所谓不连续子网，是指属于同一个主网(按类别)的几个子网被不同的主网所分割开。如下面的组网中，网络137.99.0.0被网络192.168.10.0和193.168.10.0分割开。在下面的组网图中运行RIP1，配置如下：Router1：!router rip network 192.168.10.0 network 137.99.0.0! Router2：!router rip network 137.99.0.0 network 193.168.10.0! Router3：!router rip network 193.168.10.0 network 192.168.10.0! 问题如下：通过show ip route 可以看到，Router3 的路由表中只有一条到137.99.0.0的路由（下一跳为192.168.10.1或者193.168.10.1）。但是从组网图中可以看出，Router3应该有这样两条路由：137.99.88.0/24，向Router1转发；137.99.99.0/24，向Router2转发。2. show信息或debug信息显示l 在Router3上使用show ip route rip 命令，有下列显示：Router3#show ip route ripRIP Routing tables: Summary count: 1RIP Routing tables status: Summary count: 1Destination/Mask Proto Pre Metric Nexthop Interface137.99.0.0/16 RIP 100 1 192.168.10.1 Serial0RIP Routing tables status: Summary count: 0 l 在Router1和Router2上使用debug ip rip send 命令，分别观察从s0接口发出的RIP报文，有下列显示：Router1#debug ip rip send Rip send debugging is onRouter1#*RM-7-RTDBG: RIP: send from 192.168.10.1(Serial0) to 255.255.255.255 Packet:vers 1, cmd Response, length 24 dest 137.99.0.0 ,metric 1,tag 0 Router2#debug ip rip send Rip send debugging is onRouter2#*RM-7-RTDBG: RIP: send from 193.168.10.1(Serial0) to 255.255.255.255 Packet:vers 1, cmd Response, length 24 dest 137.99.0.0 ,metric 1,tag 03. 原因分析从Router1和Router2的调试信息来看，Router1向Router3按类发布路由137.99.0.0；Router2也向Router3按类发布路由137.99.0.0；从Router3的路由表中可以看出Router3只接受了其中的一条。这也就是RIP1不支持不连续子网的原因。4. 处理过程由于RIP1不支持不连续子网，所以我们可以在上面的组网图中配置RIP2，以得到期望的结果。需要注意的是，配置RIP2上，要在Router1和Router2上取消汇总(no auto-summary)。Router1:!interface Serial0 encapsulation ppp ip address 192.168.10.1 255.255.255.0 ip rip version 2 mcast! router rip no auto-summary network 192.168.10.0 network 137.99.0.0! Router2:!interface Serial0 encapsulation ppp ip address 193.168.10.1 255.255.255.0 ip rip version 2 mcast! router rip no auto-summary network 137.99.0.0 network 193.168.10.0! Router3:!interface Serial0 encapsulation ppp ip address 192.168.10.2 255.255.255.0 ip rip version 2 mcast!interface Serial1 encapsulation ppp ip address 193.168.10.2 255.255.255.0 ip rip version 2 mcast!router rip network 193.168.10.0 network 192.168.10.0! 5. 其他虽然RIP1不支持不连续子网，但也可以通过配置辅助地址（属于同一主网且掩码相同）的方法来解决这个问题。但是这样做，无疑会增加带宽，而且容易引起必要的配置错误，所以并不提倡这样做。1.3.4 与Cisco互通时出现的MD5验证问题1. 现象描述在下面的组网图，Quidway路由器与Cisco路由器通过串口相连，在各接口上运行RIP2协议，在两个路由器相连的串口上配置RIP2的MD5验证。问题如下：Cisco路由器能够正常接收从Quidway路由器发送的RIP2报文，并把10.0.0.0网段路由加入到自己的路由表中；Quidway路由器能够接收到Cisco 路由器发送的RIP2报文，但是并没有把20.0.0.0加入到自己的路由表中。2. show信息或debug信息显示分别在两台路由器上打开RIP的debug开关，有下列显示：Quidway#debug ip rip recv Rip receive debugging is on*RM-7-RTDBG: RIP: Receive Response from 172.10.1.2 via Serial0 Packet:vers 2, cmd Response, length 64 Authentication: MD5 Digest: 6f4d1b95.b3d7d008.3fc65975.3c5d8442 Sequence: 00000049 dest 20.0.0.0 mask 255.0.0.0 ,router 0.0.0.0 ,metric 1,tag 0*RM-7-RTDBG:ignoring RIP Response 0 packet from 172.10.1.2+520 - authentication failure Cisco#debug ip rip 03:52:20: RIP: received packet with MD5 authentication03:52:20: RIP: received v2 update from 172.10.1.1 on Serial1/203:52:20: 10.0.0.0/8 via 0.0.0.0 in 1 hops 3. 原因分析从Quidway的调试信息来看，它提示从Cisco S0接口发送过来的报文验证失败： authentication failure。而Cisco接到Quidway的报文后没有提示验证失败。所以要从报文验证的角度来分析问题。查看关于报文认证的一些配置信息：Quidway#show run int s0!interface Serial0 encapsulation ppp ip address 172.10.1.1 255.255.0.0 ip rip authentication md5 key-string aaa ip rip authentication md5 key-id 20 ip rip version 2 mcast! Cisco#show run int s0Building configuration.Current configuration : 217 bytes!interface Serial0 ip address 172.10.1.2 255.255.0.0 ip rip send version 2 ip rip receive version 2 ip rip authentication mode md5 ip rip authentication key-chain test encapsulation ppp clockrate 38400end Cisco#show run （下面只给出了关于key chain的信息）.key chain test key 10 key-string 111 key 20 key-string aaa .通过查看上面的配置信息，可以知道两个路由器之间传送报文时要进行MD5验证，key-id为20，key-string为aaa。但是为什么Quidway提示验证失败呢？首先来看Cisco RIP MD5验证的实现：Cisco可以同时配置多个key-chain，在每个key-chain中可以选择配置多个Key id，每个key-id 对应一个key-string（密码）。缺省情况下，Cisco总是选用key-id最小的key-string做发送报文的验证，而选择与对端匹配的key-id做接收报文的验证。经过上面的解释，并结合在组网中的配置，不难发现，Cisco通过s0发送报文时选择key-id最小的10做发送报文验证（对应密码为“111”），所以Quidway接收后提示验证失败；而Quidway通过s0发送报文是采用的验证为：key-id为20，key-string 为aaa，Cisco接收到后用匹配的key-id=20进行报文验证，发现密码相同（都为aaa），所以接收该报文。4. 处理过程由于Cisco总是选用key-id最小的key-string做发送报文的验证，那么可以将Quidway一端配置成与Cisco最小key-id相匹配的验证方式：ip rip authentication md5 key-string 111 ip rip authentication md5 key-id 10问题即可得到解决。5. 其他需要注意的一点是以上配置的验证并不是标准的MD5验证，而是兼容Cisco的MD5验证。Quidway还提供了标准MD5验证的方式，可以通过在接口模式下使用命令ip rip authentication md5 type usual和ip rip authentication md5 key-string进行配置。1-15 华为中低端路由器故障处理手册第2章 OSPF故障排除第2章 OSPF故障排除2.1 OSPF故障排除综述2.1.1 OSPF协议介绍OSPF是Open Shortest Path First（即“开放最短路由优先协议”）的缩写。它是IETF组织开发的一个基于链路状态的自治系统内部路由协议。在IP网络上，它通过收集和传递自治系统中的链路状态来动态地发现并传播路由；OSPF协议支持IP子网和外部路由信息的标记引入；它支持基于接口的报文验证以保证路由计算的安全性；OSPF协议使用IP Multicasting方式发送和接收报文。每个支持OSPF协议的路由器都维护着一份描述整个自治系统拓扑结构的数据库这一数据库是收集所有路由器的链路状态广播而得到的。每一台路由器总是将描述本地状态的信息（如可用接口信息、可达邻居信息等）广播到整个自治系统中去。在各类可以多址访问的网络中，如果存在两台或两台以上的路由器，该网络上要选举出“指定路由器”(DR)和“备份指定路由器”(BDR)。“指定路由器”负责将网络的链路状态广播出去。引入这一概念，有助于减少在多址访问网络上各路由器之间邻接关系的数量。OSPF协议允许自治系统的网络被划分成区域来管理，区域间传送的路由信息被进一步抽象，从而减少了占用网络的带宽。OSPF使用4类不同的路由，按优先顺序来说分别是：l 区域内路由l 区域间路由l 第一类外部路由l 第二类外部路由区域内和区域间路由描述的是自治系统内部的网络结构，而外部路由则描述了应该如何选择到自治系统以外目的地的路由。一般来说，第一类外部路由对应于OSPF从其它内部路由协议所引入的信息，这些路由的花费和OSPF自身路由的花费具有可比性；第二类外部路由对应于OSPF从外部路由协议所引入的信息，它们的花费远大于OSPF自身的路由花费，因而在计算时，将只考虑外部的花费。根据链路状态数据库，各路由器构建一棵以自己为根的最短路径树，这棵树给出了到自治系统中各节点的路由。外部路由信息出现在叶节点上，外部路由还可由广播它的路由器进行标记以记录关于自治系统的额外信息。OSPF的区域由BackBone（骨干区域）进行连接，该区域以0.0.0.0标识。所有的区域都必须在逻辑上连续，为此，骨干区域上特别引入了虚连接的概念以保证即使在物理上分割的区域仍然在逻辑上具有连通性。在同一区域内的所有路由器都应该一致同意该区域的参数配置。因此，在配置同区域内的路由器时，应该注意大多数配置