問

BPR與track聯動next-hop

Track

2025-05-16提問

0關注
0收藏，433瀏覽

zhiliao_cGCjSS

zhiliao_cGCjSS 四段

粉絲：0人關注：0人

問題描述：

客戶PBR配置了apply next-hop 1.1.1.1 ,沒有聯動track，假設1.1.1.1 這個IP不通了，如果沒有聯動track會不會導致業務中斷。

如果配置track，用BFD echo 方法還是用NQA方法。客戶設備是安全F1000-AI-90

最佳答案

已采納

我是馬化騰

我是馬化騰九段

粉絲：19人關注：0人

當PBR配置apply next-hop 1.1.1.1未聯動Track時：

若1.1.1.1不可達，策略路由仍會強製將流量引向該不可達的下一跳，導致業務中斷。
設備無法自動感知下一跳可達性變化，需依賴Track聯動實現動態切換。

解決方案：

必須配置Track聯動：
- 根據《H3C SecPath係列防火牆配置指導》，策略路由需通過Track模塊實時監測下一跳可達性。當Track狀態為Negative時，策略路由會自動失效，觸發備用路徑切換。
探測方式選擇：
- BFD Echo方式（推薦直連場景）：
  - 優點：毫秒級快速檢測（典型檢測時間300ms），適用於對延遲敏感的關鍵業務。
  - 配置要點：需指定BFD echo報文的出接口、本地IP和遠端IP，且必須為直連鏈路。
  track 1 bfd echo interface GigabitEthernet1/0/1 remote ip 1.1.1.1 local ip 1.1.1.2 policy-based-route PBR permit node 10 apply next-hop 1.1.1.1 track 1
- NQA方式（適用複雜場景）：
  - 優點：支持跨設備探測，可通過ICMP/TCP等多種方式檢測，適用於非直連或VPN場景。
  - 配置要點：需指定NQA測試組參數，且注意VPN實例一致性。
  nqa entry admin test type icmp-echo destination ip 1.1.1.1 frequency 1000 track 2 nqa entry admin test reaction 1 policy-based-route PBR permit node 10 apply next-hop 1.1.1.1 track 2
優先級建議：
- 直連鏈路優先使用BFD Echo（檢測速度更快）。
- 存在NAT、VPN或多跳路由時，必須使用NQA方式。
- 可通過display track brief命令驗證Track狀態是否為Positive。

實施效果：

當1.1.1.1不可達時，Track狀態會在3秒內（NQA默認3次失敗檢測）變為Negative，策略路由自動失效。
流量將回退到路由表轉發，或觸發備用PBR策略（如有配置），保障業務連續性。

注：F1000-AI-90的V7平台完全支持上述功能，需確保版本為R9323P03及以上以獲得最佳BFD性能。

感謝大佬解答

zhiliao_cGCjSS 發表時間：2025-05-16 更多>>

感謝大佬解答

zhiliao_cGCjSS 發表時間：2025-05-16

4 個回答

按時間按讚數

Xcheng

Xcheng 九段

粉絲：128人關注：3人

特定情況下會

bfd或nqa都行，具體看需求吧

bfd更高效，nqa適用性更好

網工小爬蟲

網工小爬蟲二段

粉絲：0人關注：0人

一般是用NQA

zhiliao_v6hOyc

zhiliao_v6hOyc 九段

粉絲：31人關注：1人

不通了就會走正常的路由轉發

如果PBR配置了apply next-hop 1.1.1.1，但沒有與track聯動，當1.1.1.1這個IP不可達時，設備將無法自動切換到備用路徑，這可能會導致業務中斷。因為沒有track聯動，設備無法實時監測到下一跳的可達性狀態，從而無法及時調整路由策略。為了提高網絡的可靠性和穩定性，建議配置track與PBR聯動

如果對故障檢測速度有較高要求，建議使用BFD的echo方法；如果需要更靈活的監測方式，NQA可能是一個更好的選擇。