今日熱議：【VPN路由】靜態路由的原理及使用方法

一、簡介

(資料圖片僅供參考)

靜態路由是一種需要管理員手工配置的特殊路由。

靜態路由在不同網絡環境中有不同的目的：

當網絡結構比較簡單時，只需配置靜態路由就可以使網絡正常工作。

在復雜網絡環境中，配置靜態路由可以改進網絡的性能，并可為重要的應用保證帶寬。

靜態路由可在VPN實例中使用，主要用于VPN路由的管理。

二、原理

一、靜態路由基礎

路由器根據路由轉發數據包，路由可通過手動配置和使用動態路由算法計算產生，其中手動配置產生的路由就是靜態路由。

靜態路由比動態路由使用更少的帶寬，并且不占用CPU資源來計算和分析路由更新。但是當網絡發生故障或者拓撲發生變化后，靜態路由不會自動更新，必須手動重新配置。

靜態路由有5個主要的參數：目的地址和掩碼、出接口和下一跳、優先級。

1、目的地址和掩碼

IPv4的目的地址為點分十進制格式，掩碼可以用點分十進制表示，也可用掩碼長度(即掩碼中連續‘1’的位數)表示。當目的地址和掩碼都為零時，表示靜態缺省路由。

2、出接口和下一跳地址

在配置靜態路由時，根據不同的出接口類型，指定出接口和下一跳地址。

1、對于點到點類型的接口，只需指定出接口。

因為指定發送接口即隱含指定了下一跳地址，這時認為與該接口相連的對端接口地址就是路由的下一跳地址。如10GE封裝PPP(Point-to-Point Protocol)協議，通過PPP協商獲取對端的IP地址，這時可以不指定下一跳地址。

2、對于NBMA(Non Broadcast Multiple Access)類型的接口(如ATM接口)，只需配置下一跳。

因為除了配置IP路由外，還需在鏈路層建立IP地址到鏈路層地址的映射。

3、對于廣播類型的接口(如以太網接口)和VT(Virtual-template)接口，必須指定通過該接口發送時對應的下一跳地址。

因為以太網接口是廣播類型的接口，而VT接口下可以關聯多個虛擬訪問接口(Virtual Access Interface)，這都會導致出現多個下一跳，無法唯一確定下一跳。

3、靜態路由優先級

對于不同的靜態路由，可以為它們配置不同的優先級，優先級數字越小優先級越高。配置到達相同目的地的多條靜態路由，如果指定相同優先級，則可實現負載分擔；如果指定不同優先級，則可實現路由備份。

4、靜態路由的特點

1、手動配置

2、路由路徑固定(除非手動修改)

3、不可通告

不會主動通告給其他路由器。但管理員可以在本地設備的動態路由中引入靜態路由，然后以對應動態協議路由進行通告。

4、單向性

僅為數據提供沿著下一跳的方向進行路由，不提供反向路由。如果要使源節點域目標網絡進行雙向通信，必須同時配置回程靜態路由

5、接力性

如果某條靜態路由中間經過的跳數大于1(路由要經過3個或以上路由節點)，則必須在除最后一個路由器外的其他路由器上依次配置到達相同目的節點或目的網絡的靜態路由。

(路由器各端口上直連的各個網絡都是直連互通的，因此之間默認是直連路由，因而無需另外配置路由。)

6、迭代性

理論上來說，靜態路由的下一跳可以是路徑中其他路由器中的任意一個接口，只要能保證路由到達下一跳就行了。(靜態路由沒有建立鄰居關系hello包，也不會被通告鄰居路由，所以他的下一跳純粹是配置的“下一跳IP地址”直接指定的，或者通過出接口間接指定。不是我們平常理解的必須與路由器直連的下一個設備接口。)

路由迭代

通過路由的下一跳信息來找到直連出接口的過程。

迭代深度

路由迭代中查找路由的次數，次數越少迭代深度越小。

二、靜態路由與BFD聯動

與動態路由協議不同，靜態路由自身沒有檢測機制，當網絡發生故障的時候，需要管理員介入。靜態路由與BFD聯動可為靜態路由綁定BFD會話，利用BFD會話來檢測靜態路由所在鏈路的狀態，具體過程如下：

當某條靜態路由上的BFD會話檢測到鏈路故障時，BFD會將故障上報系統，促使該路由失效，使該路由在IP路由表中不可見。

當某條靜態路由上的BFD會話檢測到故障的鏈路重新建立成功時，BFD會上報系統，激活該路由，使該路由重新出現在IP路由表中。

三、靜態路由與NQA聯動

靜態路由本身并沒有檢測機制，如果非本機直連鏈路發生了故障，靜態路由不會自動改變(不會從IP路由表中自動刪除)，需要管理員介入，這就無法保證及時進行鏈路切換，可能造成較長時間的業務中斷。

基于以上原因，需要有一種有效的方案來檢測靜態路由所在的鏈路。對于靜態路由而言，現有的靜態路由與BFD聯動特性，由于受到互通設備兩端都必須支持BFD的限制，在某些應用場景無法實施。而靜態路由與NQA(Network Quality Analysis)聯動則只要求互通設備的其中一端支持NQA即可。

靜態路由與NQA聯動特性即為靜態路由綁定NQA測試例，利用NQA測試例來檢測靜態路由所在鏈路的狀態，根據NQA的檢測結果，決定靜態路由是否活躍，達到避免通信的中斷或服務質量降低的目的。靜態路由與NQA聯動特性的功能如下：

如果NQA測試例檢測到鏈路故障，路由器將這條靜態路由設置為“非激活”狀態(此條路由不可用，從IP路由表中刪除)

如果NQA測試例檢測到鏈路恢復正常，路由器將這條靜態路由設置為“激活”狀態(此條路由可用，添加到IP路由表)

靜態路由與NQA聯動時僅采用ICMP測試例來檢測源端到目的端的路由是否可達。

每條靜態路由只可以綁定一個NQA測試例。

圖1 靜態路由與NQA聯動應用組網圖

上圖1所示，每臺接入交換機下連接10個用戶，共100個用戶。由于在RouterB和用戶之間無法使用動態路由協議，所以在RouterB上配置到用戶的靜態路由。出于網絡穩定性的考慮，在RouterC上進行同樣的配置，作為冗余備份。

RouterA、RouterB和RouterC上運行動態路由協議，相互間可以學習路由。其中，RouterB和RouterC配置動態路由協議引入靜態路由，并且設置不同的度量值，這樣RouterA也能通過動態路由協議從RouterB和RouterC分別學習到用戶的路由，RouterA根據兩條鏈路的度量值不同選擇一條主用鏈路，另一條鏈路做為備份鏈路。

在RouterB上配置靜態路由與NQA聯動特性，利用NQA測試例檢測主用鏈路RouterB→SwitchA→SwitchC(SwitchD)的狀態，當主用鏈路發生故障時，撤銷靜態路由發布，使下行流量經無故障的鏈路RouterC→SwitchB→SwitchC(SwitchD)轉發。在兩條鏈路都正常時，控制下行流量優先選擇主用鏈路。

四、靜態路由永久發布

靜態路由永久發布可以為客戶提供一種低成本、部署簡單的鏈路檢測機制，并提高與其他廠商設備的兼容性。在客戶希望確定業務流量的轉發路徑，不希望流量從其它路徑穿越時，靜態路由永久發布可以通過Ping靜態路由目的地址的方式來檢測鏈路的有效性而達到業務監控的目的。

鏈路有效性直接影響網絡的穩定性和可用性，因此鏈路狀態的檢測對網絡維護具有重要意義。BFD作為一種常用方案，并不適合所有的場景。例如，在不同的ISP之間，客戶更希望采用更簡單、更自然的方式來達到這一目的。

配置永久發布屬性后，之前無法發布的靜態路由仍然被優選并添加到路由表中。具體可以分為以下兩種情況：

1、靜態路由配置出接口且出接口的IP地址存在時，無論接口狀態是Up或Down，只要配置了永久發布屬性，靜態路由都會被優選并添加到路由表。

2、靜態路由沒有配置出接口時，無論靜態路由是否能迭代到出接口，只要配置了永久發布屬性，路由都會被優選并添加到路由表中。

這樣，通過控制靜態路由的優先級和前綴長度，使Ping數據包始終通過靜態路由轉發，就可以檢測出鏈路的有效性。

該特性不判斷路由是否可達，而是一直會將靜態路由保留在IP路由表中，如果實際路徑不可達，靜態路由可能形成黑洞路由。

圖1 靜態路由永久發布應用組網圖

如上圖1所示，BR1、BR2和BR3分別屬于ISP1、ISP2和ISP3。從BR1到BR2有兩條鏈路(LinkA和LinkB)可達，但ISP1希望業務流量都通過LinkA直接轉發到ISP2，而不從ISP3穿越。

在BR1和BR2之間建立直連單跳EBGP鄰居，同時為了進行業務狀態監控，在BR1上配置到對端(BR2)BGP鄰居地址(10.1.1.2/24)的靜態路由(出接口為與BR2直連的本地接口)，并使能路由永久發布。網絡監控系統周期性的Ping 10.1.1.2，可通過Ping結果來判斷LinkA的狀態。

當LinkA正常時，Ping數據包都是通過LinkA進行轉發。如果LinkA發生故障，即使能通過LinkB到達BR2，但由于靜態路由使能了靜態路由永久發布，所以Ping數據包還是通過LinkA進行轉發，但此時轉發不通。對于BGP數據包也是相同的情況，故障會導致BGP鄰居斷開，監控系統可以通過Ping結果間接的檢測到業務問題，并通知維護人員及時響應。