刚配好一台新路由器,内网访问飞快,一连外网就卡成PPT;或者公司换了核心交换机,结果财务部总说ERP响应慢,IT同事查了一圈发现是路由策略没对上——这些不是设备坏了,而是网络设计原则在悄悄‘掉链子’。
冗余≠随便加一条静态路由
有人觉得“多配条备用路由更保险”,于是在主链路旁硬塞一条静态路由指向备用ISP。结果主链路明明在线,流量却跑去了高延迟的备份线路上。问题出在管理距离(AD)没调:默认静态路由AD是1,而OSPF是110,如果两条路由目标网段一样、掩码一样,设备只认AD小的那条。不检查AD值,冗余就变干扰。
汇总路由不是越粗越好
某园区网把整个10.0.0.0/8全汇总成一条发给上游,看着简洁,但实际出了故障根本没法定位——当10.32.15.0/24这台实验室交换机宕机时,上游看到的只是“10.0.0.0/8不可达”,压根不知道具体哪一段断了。合理做法是按物理区域或业务域做分级汇总,比如10.10.0.0/16代表办公区,10.20.0.0/16代表服务器区,既压缩路由表,又保留排错粒度。
ACL位置放错,等于白写
有次帮客户排查视频会议丢包,发现他们在出口路由器的入方向(inbound)写了条ACL禁止UDP 50000-50050端口,本意是防扫描,结果视频流正好走这个端口段。ACL生效方向错了——这类策略应该放在接口出方向(outbound),否则匹配的是进来的控制报文,不是出去的媒体流。更关键的是,ACL必须紧贴业务路径部署,不能图省事全堆在核心层,否则中间节点转发压力大,还容易误伤。
MTU不一致,大包直接被静默丢弃
某银行网点通过MPLS专线连总部,测试HTTP正常,但大附件上传总失败。抓包一看,TCP三次握手成功,SYN+ACK也回了,后续数据包却石沉大海。最后发现是分支路由器启用了PPPoE拨号(MTU 1492),而总部防火墙默认MTU 1500,中间没做TCP MSS调整。结果超长TCP分段在PPPoE封装后超过1492字节,被直接丢弃,还不发ICMP消息。解决方案很简单:
ip tcp adjust-mss 1452OSPF区域划分只看设备数,忽略拓扑逻辑
一个20台路由器的工厂网络,全扔进Area 0,邻居关系满天飞,某台接入交换机CPU突然飙到95%。查日志发现是LSA泛洪风暴——因为所有设备都在骨干区,一台设备接口up/down,整个区域都要同步更新LSDB。其实产线、办公、安防三个系统物理隔离明显,完全该拆成Area 1、2、3,用ABR汇总路由,既减少LSA数量,又天然做了广播域隔离。