交換機升級引發(fā)OSPF鄰居故障

■浙江 盛建平

為保障網(wǎng)絡(luò)可靠運行，減少網(wǎng)絡(luò)設(shè)備版本不一致引起的各種問題，某單位開啟“掃雷行動”，對H3C S7506E V5平臺的匯聚交換機升級到統(tǒng)一版本Comware Software V5.20 R6710P03。該故障就是在本次升級過程中出現(xiàn)的。

網(wǎng)絡(luò)拓?fù)?/h2>

如圖1所示。

問題描述

匯聚02交換機升級完成重啟后，發(fā)現(xiàn)匯聚02與網(wǎng)點02交換機之間OSPF鄰居無法建立，引起網(wǎng)絡(luò)異常。因匯聚與網(wǎng)點交換機采取口字形連接，匯聚02與網(wǎng)點02 OSPF鄰居建立不成功，相當(dāng)于廣域網(wǎng)線路中斷，網(wǎng)點會自動切換到另一條線路，對業(yè)務(wù)無影響。但需盡快排查原因解決，以使升級工作繼續(xù)。

應(yīng)急處置

圖1 網(wǎng)絡(luò)拓?fù)鋱D

經(jīng)查，匯聚02到網(wǎng)點02廣域網(wǎng)鏈路正常，ping大包測試也正常。匯聚與網(wǎng)點交換機廣域網(wǎng)鏈路上配置OSPF驗證，嘗試在匯聚02上刪除OSPF接口驗證，匯聚與網(wǎng)點OSPF鄰居建立成功。

匯聚02廣域網(wǎng)端口配置如下：

原因分析

再次對匯聚與網(wǎng)點交換機的配置進行分析，發(fā)現(xiàn)網(wǎng)點交換機僅在廣域網(wǎng)接口配置了OSPF驗證密鑰，并未配置驗證，同時OSPF進程中也未配置驗證。實際上，從網(wǎng)點端看，該廣域網(wǎng)鏈路并未啟用OSPF驗證。

網(wǎng)點交換機廣域網(wǎng)端口配置如下：

那么問題來了，為什么升級前雙方OSPF鄰居建立成功，而升級后卻不能建立OSPF鄰居呢？還是從匯聚交換機上查找原因吧。

匯聚設(shè)備為華三S7506E交換機，查找H3C官方文檔，發(fā)現(xiàn)H3C S7506E Release6708以前的版本配置OSPF驗證，除在OSPF接口配置驗證外，還需在OSPF進程中配置驗證。而Release6708及以后的版本OSPF驗證配置分為OSPF區(qū)域驗證和OSPF接口驗證，并且OSPF接口驗證優(yōu)先于區(qū)域驗證。版本升級前（版本為R6701P01），匯聚02交換機僅在廣域網(wǎng)接口配置OSPF驗證，OSPF進程中并未配置，此時匯聚交換機與網(wǎng)點02廣域網(wǎng)接口OSPF驗證不生效，與網(wǎng)點交換機情況一致，因此OSPF鄰居建立沒有問題；版本升級后，匯聚02只需在廣域網(wǎng)接口下配置了OSPF驗證就有效，導(dǎo)致與網(wǎng)點交換機OSPF驗證配置不匹配，從而引起鄰居建立不成功。

解決方案

在匯聚01/02上配置OSPF區(qū)域驗證（可以有效簡化配置），同時所有網(wǎng)點交換機廣域網(wǎng)接口開啟OSPF驗證（配置命令為：ip ospf authentication messagedigest)。

經(jīng)驗與收獲

1、某項功能上線前，需對該功能有詳細(xì)的了解。由于各廠商配置不同，且同一廠商不同版本配置也會有變動，需要仔細(xì)查看文檔。

2、問題發(fā)生時，不慌張，認(rèn)真分析，必要時通過應(yīng)急手段規(guī)避，先保證業(yè)務(wù)正常，后續(xù)再查找原因。