华为设备上路指由聚合和路由过滤是优化网络、控制路由传播的关键手段，但如果配置不当，反而会引发各种网络问题。下面我将为你梳理一些常见的配置错误、它们的现象及解决方法，并辅以相关的配置命令解析。

以下是路由聚合与过滤配置中常见问题的快速概览：

| 配置类型 | 常见错误 | 主要现象 | 核心解决思路 |

| :--- | :--- | :00 | :--- |

| 路由聚合 | as-set参数缺失 | 跨AS环路风险| 聚合时添加as-set关键字 |

| | detail-suppressed使用不当 | 路由黑洞或未能减少路由 | 明确聚合目的，合理使用detail-suppressed|

| | 抑制策略逻辑混淆 | 该抑制的路由未抑制，不该抑制的反被抑制 | 理解suppress-policy中permit表示抑制 |

| | 聚合路由优先级低于明细路由 | 路由振荡 | 调整协议优先级，确保聚合路由优先 |

| 路由过滤 | ACL中忘写permit语句 | 业务中断 | 在ACL末尾添加permit any规则 |

| | ACL规则顺序错误 | 预期允许的流量被拒绝 | 将更精确的permit规则前置 |

| | 路由策略应用方向错误 | 过滤策略不生效 | 确认策略应用于正确的方向（import/export） |

| | 未开启团体属性传递 | 基于团体的策略失效 | 使用peer advertise-community开启传递 |

一、路由聚合常见错误

​​1. 缺失 as-set参数导致防环信息丢失​​

​​错误说明​：在聚合来自不同AS的路由时，若未使用as-set关键字，聚合路由会丢失原始明细路由的AS_PATH信息，破坏BGP的AS间防环机制

​​潜在风险​：可能引发跨AS环路。

​​配置示例与解决​​：

# ❌ 错误配置：聚合时未保留AS_SET信息

[HUAWEI-bgp-af-ipv4] aggregate 172.16.0.0 255.255.0.0 detail-suppressed

# ✅ 正确配置：聚合时添加`as-set`关键字，继承原有AS路径属性以防环

[HUAWEI-bgp-af-ipv4] aggregate 172.16.0.0 255.255.0.0 detail-suppressed as-set

​​2. detail-suppressed使用不当​​

​​错误说明：该关键字用于抑制所有明细路由的通告，只发布聚合路由。但如果聚合范围过大（如将10.0.0.0/8聚合），而实际网络中只存在该大网段中的一小部分子网，会导致发往未存在于网络中的子网的流量被吸引到聚合点后因无明细路由而被丢弃，形成路由黑洞.​

​​配置示例与解决​​：

# 确保聚合的网段精确覆盖实际存在的子网，避免过度聚合# 假设实际网络只有172.16.1.0/24和172.16.2.0/24，则聚合为172.16.0.0/22是相对安全的

[HUAWEI-bgp-af-ipv4] aggregate 172.16.0.0 255.255.252.0 detail-suppressed

​​3. 抑制策略 (suppress-policy) 逻辑混淆​​

​​错误说明：在配合路由策略使用suppress-policy参数时，其逻辑是：在策略中被permit语句匹配到的路由将被抑制（不发布），而被deny语句匹配或未匹配到的路由不会被抑制（继续发布）。这一点与通常的“permit即放行”逻辑相反，容易导致配置错误.

​​配置示例与解决​​：

# 意图：抑制除172.16.1.0/24之外的所有172.16.0.0/16的明细路由# 1. 创建前缀列表匹配不希望被抑制的路由（172.16.1.0/24）

[HUAWEI] ip ip-prefix PERMIT-ROUTE index 10 permit 172.16.1.0 24# 2. 创建路由策略，PERMIT-ROUTE会被抑制，其他路由不受影响

[HUAWEI] route-policy SUPPRESS-EXCEPT permit node 10

[HUAWEI-route-policy] if-match ip-prefix PERMIT-ROUTE# 3. 应用抑制策略

[HUAWEI-bgp-af-ipv4] aggregate 172.16.0.0 255.255.0.0 suppress-policy SUPPRESS-EXCEPT

​​关键理解​：此配置中，路由172.16.1.0/24在策略中被permit，意味着它将被抑制。而其他路由未被此策略匹配（隐含deny），反而会被发布。

​​4. 聚合路由优先级低于明细路由​​

​​错误说明：在某些场景下（如同时使用IBGP和静态黑洞路由进行聚合发布），如果BGP协议的优先级（默认60）高于静态路由的优先级（默认60，但华为设备上有时需要具体看），可能会导致路由振荡.

​​解决命令：

# 调整BGP协议的优先级，确保其优先级高于明细路由的来源协议（如静态路由）

[HUAWEI] bgp 100

[HUAWEI-bgp] preference 20  # 将BGP协议的优先级调整为20（值越小优先级越高）

 二、路由过滤常见错误

​​1. ACL默认行为误解​​

​​错误说明：在华为设备上，ACL（访问控制列表）默认行为是拒绝所有（implicit deny any）。如果在ACL中只配置了deny规则而没有显式的permit规则，所有流量都将被拒绝，可能导致业务中断.

​​配置示例与解决​​：

# ❌ 错误配置：仅配置了拒绝规则，未显式允许其他流量

[HUAWEI] acl 3000

[HUAWEI-acl-adv-3000] rule 5 deny ip source 192.168.1.0 0.0.0.255 # 只拒绝192.168.1.0/24

# ✅ 正确配置：在ACL末尾添加显式的permit规则

[HUAWEI] acl 3000

[HUAWEI-acl-adv-3000] rule 5 deny ip source 192.168.1.0 0.0.0.255

[HUAWEI-acl-adv-3000] rule 10 permit ip # 允许所有其他IP流量

​​2. ACL规则顺序错误​​

​​错误说明：ACL规则从上到下逐条匹配，一旦匹配即停止。如果将较广泛的permit或deny规则放在前面，后面更精确的规则可能失效.

​​配置示例与解决​​：

# ❌ 错误顺序：先拒绝所有IP，后续的允许规则无效

[HUAWEI] acl 3001

[HUAWEI-acl-adv-3001] rule 5 deny ip # 此条已匹配所有，规则10永不生效

[HUAWEI-acl-adv-3001] rule 10 permit ip source 192.168.2.1 0

# ✅ 正确顺序：将更精确的规则前置

[HUAWEI] acl 3001

[HUAWEI-acl-adv-3001] rule 5 permit ip source 192.168.2.1 0 # 精确允许优先

[HUAWEI-acl-adv-3001] rule 10 deny ip # 最后拒绝所有

​​3. 路由策略应用方向错误​​

​​错误说明：路由策略（Route-Policy、Filter-Policy）在应用时需明确方向：import（对接收的路由进行处理）和export（对发送的路由进行处理）。将策略应用在错误的方向会导致策略不生效.

​​配置示例与解决​​：

# 意图：对从对等体10.1.1.2接收的路由进行过滤，只允许192.168.0.0/16# ❌ 错误：将策略应用在出方向（export），无法过滤接收的路由

[HUAWEI-bgp-af-ipv4] peer 10.1.1.2 filter-policy 2000 export

# ✅ 正确：将策略应用在入方向（import）

[HUAWEI-bgp-af-ipv4] peer 10.1.1.2 filter-policy 2000 import

​​4. 未开启团体属性传递​​

​​错误说明：BGP默认不会将路由的团体属性（Community）传递给对等体。即使配置了复杂的基于团体属性的路由策略，如果忘记开启传递，对端设备收不到团体属性，所有策略都会失效.

​​配置示例与解决​​：

# 在BGP地址族视图下，针对需要接收团体属性的对等体开启传递

[HUAWEI] bgp 100

[HUAWEI-bgp] ipv4-family unicast

[HUAWEI-bgp-af-ipv4] peer 10.1.1.2 advertise-community

 三、验证与排查命令

配置完成后或出现问题时，使用以下命令进行验证和排查：

1.检查BGP路由表：查看路由的详细信息，特别是AS_PATH、Community等属性。

<HUAWEI> display bgp routing-table 172.16.0.0 verbose

2.检查路由策略：查看已配置的路由策略详情。

<HUAWEI> display route-policy POLICY-NAME

3.查看ACL配置：确认ACL规则顺序和动作。

<HUAWEI> display acl 3000

4.监控日志信息：查看设备日志，捕捉可能的错误或告警信息。

<HUAWEI> display logbuffer | include BGP|ACL|policy

总结与建议

为了避免上述错误，在配置路由聚合和过滤时，请遵循以下最佳实践：

1. 规划先行：在配置前，仔细规划聚合范围、过滤策略和路由属性。
2. 充分测试：任何路由策略在应用到生产环境前，都应在实验室环境中进行充分测试。
3. 逐条添加：配置ACL或路由策略时，逐条添加规则并立即验证效果，避免规则间相互影响。
4. 清晰文档：为复杂的路由策略添加注释和文档，说明其设计意图和逻辑，便于后续维护和排查。
5. 持续监控：配置变更后，持续监控网络状态和日志，确保没有引入新的问题。

希望这些信息能帮助你更安全、高效地在华为设备上配置路由聚合和过滤！