交換機升級引發OSPF鄰居故障

■浙江 盛建平

為保障網絡可靠運行，減少網絡設備版本不一致引起的各種問題，某單位開啟“掃雷行動”，對H3C S7506E V5平臺的匯聚交換機升級到統一版本Comware Software V5.20 R6710P03。該故障就是在本次升級過程中出現的。

網絡拓撲

如圖1所示。

問題描述

匯聚02交換機升級完成重啟后，發現匯聚02與網點02交換機之間OSPF鄰居無法建立，引起網絡異常。因匯聚與網點交換機采取口字形連接，匯聚02與網點02 OSPF鄰居建立不成功，相當于廣域網線路中斷，網點會自動切換到另一條線路，對業務無影響。但需盡快排查原因解決，以使升級工作繼續。

應急處置

圖1 網絡拓撲圖

經查，匯聚02到網點02廣域網鏈路正常，ping大包測試也正常。匯聚與網點交換機廣域網鏈路上配置OSPF驗證，嘗試在匯聚02上刪除OSPF接口驗證，匯聚與網點OSPF鄰居建立成功。

匯聚02廣域網端口配置如下：

原因分析

再次對匯聚與網點交換機的配置進行分析，發現網點交換機僅在廣域網接口配置了OSPF驗證密鑰，并未配置驗證，同時OSPF進程中也未配置驗證。實際上，從網點端看，該廣域網鏈路并未啟用OSPF驗證。

網點交換機廣域網端口配置如下：

那么問題來了，為什么升級前雙方OSPF鄰居建立成功，而升級后卻不能建立OSPF鄰居呢？還是從匯聚交換機上查找原因吧。

匯聚設備為華三S7506E交換機，查找H3C官方文檔，發現H3C S7506E Release6708以前的版本配置OSPF驗證，除在OSPF接口配置驗證外，還需在OSPF進程中配置驗證。而Release6708及以后的版本OSPF驗證配置分為OSPF區域驗證和OSPF接口驗證，并且OSPF接口驗證優先于區域驗證。版本升級前（版本為R6701P01），匯聚02交換機僅在廣域網接口配置OSPF驗證，OSPF進程中并未配置，此時匯聚交換機與網點02廣域網接口OSPF驗證不生效，與網點交換機情況一致，因此OSPF鄰居建立沒有問題；版本升級后，匯聚02只需在廣域網接口下配置了OSPF驗證就有效，導致與網點交換機OSPF驗證配置不匹配，從而引起鄰居建立不成功。

解決方案

在匯聚01/02上配置OSPF區域驗證（可以有效簡化配置），同時所有網點交換機廣域網接口開啟OSPF驗證（配置命令為：ip ospf authentication messagedigest)。

經驗與收獲

1、某項功能上線前，需對該功能有詳細的了解。由于各廠商配置不同，且同一廠商不同版本配置也會有變動，需要仔細查看文檔。

2、問題發生時，不慌張，認真分析，必要時通過應急手段規避，先保證業務正常，后續再查找原因。