SecPath F1000-S-G2路由問題

一、路由優先級導致的問題原因

1. 優先級衝突：當兩條靜態路由優先級均為60時，設備會默認形成等價路由，流量按哈希算法分擔。此時若其中一條鏈路（4IP光纖）存在健康性問題（如部分IP不可達），但設備無法自動感知鏈路質量，仍會繼續分擔流量，導致部分訪問失敗。

2. 優先級調整後的矛盾：當調高4IP光纖優先級至50時，設備優先選擇該鏈路。但1IP光纖優先級為60，此時低優先級路由會被抑製，導致該鏈路完全失效。需注意：靜態路由優先級值越小優先級越高（如50 > 60）。

二、解決方案建議

1. 主備路由+NQA健康檢測

• 配置主備路由：ip route-static 0.0.0.0 0 1.1.1.1（4IP光纖網關） track 1 preference 50 ip route-static 0.0.0.0 0 2.2.2.2（1IP光纖網關） preference 60
• 添加NQA探測：nqa entry test1 type icmp-echo destination-ip 1.1.1.1（網關地址） frequency 10 reaction 1 checked-element probe-fail threshold-type consecutive 3 track 1 nqa entry test1 reaction 1 通過NQA檢測4IP鏈路可達性，故障時自動切換到1IP鏈路。

2. 下一跳VRF與出接口的區別

• 下一跳VRF：用於多租戶場景，當網關位於不同VRF實例時需指定（如MPLS VPN環境）。
• 出接口：適用於直連網關場景（如同VLAN內），設備通過ARP解析網關MAC地址。在雙ISP場景中，若網關位於不同物理接口，建議使用出接口+VRF。

3. 路由標記（Route Tag）

• 路由標記用於策略路由過濾（如通過route-policy匹配標記值）。若未配置路由策略，保持標記為0無需修改。

4. 其他關鍵檢查項

• 安全策略放行：確認雙出口接口所在安全域間策略允許跨域通信。
• NAT配置：確保每條外網接口配置獨立的NAT outbound規則，避免地址混淆。
• ARP表項驗證：檢查網關ARP解析是否正確，排除二層連通性問題。

三、配置示例

四、驗證步驟

1. 鏈路切換測試：斷開4IP光纖，通過display ip routing-table確認路由切換至1IP鏈路。
2. NQA狀態檢查：display nqa result查看探測成功率，確認閾值觸發邏輯。
3. 會話跟蹤：display session table source-ip x.x.x.x觀察流量路徑是否符合預期。

通過以上調整，可實現雙鏈路智能切換，避免優先級衝突導致的訪問異常。若仍存在問題，建議收集display ip routing-table及debugging ip packet信息進一步分析。