H3C M9008-S

1. 檢查防火牆策略（關鍵步驟）

• 問題點：B位於untrust區，防火牆可能默認阻止了從untrust到trust的流量。
• 操作：
  • 在防火牆上添加規則，允許從B到A的OSPF協議（IP協議號89）雙向通行。
  • 確保策略同時放行目的端口為組播地址224.0.0.5和224.0.0.6的流量（OSPF使用組播通信）。

2. 驗證VRF綁定配置

• 問題點：vlanif接口未正確綁定到VRF，或VRF間路由泄漏未配置。
• 操作：
  • 在A和B交換機上檢查VRF配置：
    bash

    複製
    # 華為/華三設備示例： display ip vpn-instance # 確認VRF存在 display interface vlanifX # 確認接口綁定了正確的VRF ​
  • 確保OSPF進程關聯到對應的VRF：
    bash

    複製
    # OSPF配置示例（華為）： router ospf vrf <VRF_NAME> ​
  • 若需跨VRF通信，需配置路由泄漏（如通過策略或靜態路由指向對方VRF）。

3. 檢查VLAN和接口配置

• 問題點：VLAN ID不一致、接口未啟用或IP地址配置錯誤。
• 操作：
  • 確認A和B的vlanif接口VLAN ID相同，且處於同一子網。
  • 檢查接口狀態是否為UP：
    bash

    複製
    display interface vlanifX ​
  • 驗證IP地址配置：
    bash

    複製
    display ip interface vlanifX ​

4. 檢查OSPF參數一致性

• 問題點：區域ID、網絡類型、認證等參數不匹配。
• 操作：
  • 確認A和B的OSPF 區域ID一致。
  • 檢查網絡類型（如廣播或點對點）是否匹配：
    bash

    複製
    display ospf interface vlanifX ​
  • 若啟用認證，確保認證類型（MD5/明文）和密鑰一致。

5. 抓包排查單向流量問題

• 操作：
  • 在A的vlanif接口抓包，確認是否收到B發送的OSPF Hello報文：
    bash

    複製
    tcpdump -i vlanifX -nnp ospf ​
  • 若A未收到報文，檢查中間設備（防火牆、物理鏈路）是否丟棄流量。

6. 驗證MTU和物理鏈路

• 問題點：MTU不匹配或物理鏈路故障。
• 操作：
  • 確認A和B的接口MTU一致（通常為1500）：
    bash

    複製
    display interface vlanifX | include MTU ​
  • 檢查交換機端口錯誤計數：
    bash

    複製
    display interface GigabitEthernetX/X/X # 查看是否有CRC錯誤、丟包 ​

最終驗證

• 完成上述調整後，重置OSPF進程並觀察鄰居狀態：
  bash

  複製
  reset ospf process # 華為/華三設備 ​
• 使用命令檢查鄰居狀態：
  bash

  複製
  display ospf peer # 查看是否進入Full狀態 ​

根本原因可能性排序：

1. 防火牆攔截B到A的OSPF報文（最常見）。
2. VRF綁定錯誤導致路由失效。
3. VLAN或接口配置錯誤（如VLAN未放行、IP地址錯誤）。
4. 物理鏈路或MTU問題。

建議優先排查防火牆策略和VRF配置，確保OSPF報文雙向可達後再驗證其他參數。