[转帖]unr路由产生场景（20200820更新）

jy404360704

Unr路由

Unr路由释义

Unr即用户网络路由user network route的简写，按照平时的理解，路由一般都有很明确的协议，比如ospf、bgp、static等，可以通过ospf、bgp等从其他设备学习路由，也可以通过本地发布的方式发布路由，如静态路由、黑洞路由等； 但是unr路由并没有类似明确的协议，一般来说，要产生路由，首先要在接口上配置ip，再其次是配置IP的端口需要UP，然后才会产生本地路由，出现在本地路由表；或者配置相关静态路由，发布到本地路由表，但是unr路由有一个统一特征，就是由非接口IP产生，不存在于任何接口上；

Unr路由产生

无法直接undo删除

Case1：bras发布，如ME60

在配置bras设备时，不同于一般的网络设备直接配置接口dhcp或者普通全局地址池进行ip地址分发，需要创建bas远端地址池 ip pool test1 bas remote，并在地址池内配置网关及掩码后，产生unr路由，调用dhcp服务器组并由组内服务器对ip地址进行下发管理；

Bras基于运营商的用户管理，一般使用pppoe技术，基于会话连接的(点对点连接)，在二层网络上增加了一个管道，本身就包含了一整套控制机制，如LCP协商链路层参数/监控链路状态、PAP/CHAP用户认证、IPCP分配网络层地址等等，因此“可运营、可管理”的控制能力很强，包括用户异常下线快速检测、会话与物理端口/逻辑端口绑定等等；

而IPoE是由一些相对松散的机制组成，包括DHCP地址分配、WEB认证，本身缺少用户异常下线快速检测机制、在端口绑定方面有不足，对接入网的要求比较高；由于IPoE技术比PPPoE来得简单，所以在安全性方面存在更多隐患，例如地址盗用、私设DHCP服务器等等，需要花费更多精力来应付。同时，由于宽带是从窄带发展而来，窄带时代的主流上网技术就是PPP，因此能够充分继承窄带时代的后台系统和运营体系。

IPoE认证又称为DHCP+认证的技术，使用DHCP配合其他技术实现认证，例如DHCP+Web+Radius，DHCP+OPTION扩展字段进行认证；DHCP（ RFC-1541）本身是一种动态主机配置协议，最初主要针对于LAN应用。DHCP协议本身并没有用来认证的功能，但是DHCP可以配合其他技术实现认证，所有这些扩展方式都统称DHCP+认证。IPoE认证基于上网用户的物理位置（通过唯一的VLAN ID/PVC ID标示）对用户进行认证和计费，用户上网时无需输入用户名和密码。

无论是ipoe还是pppoe，我们在设备上查看用户时，都会发现用户掩码为32位；

用户上线后，不管该用户获得的IP地址是否在ME60上存在，即地址池不在本地或者IP直接由radius下发，都会产生一个32位的用户路由，该路由指向用户上线的BAS口。

并且，对发布在bras地址池掩码内的所有主机，都会发布一条32位的unr路由，但是用户网关gateway、以及用来接收dhcp服务器报文的giaddr ip-address，则会发布到127.0.0.1的32位unr路由；

对外的路由发布则import后由其他协议如BGP或者OSPF完成；

Case2：网关路由，如防火墙

防火墙访问公网，除配置默认静态路由指向网关外，还可以在出接口下配置gateway网关，从而也可以访问公网，并产生下一跳为gateway的unr默认路由，是不是和bras下的unr路由很像？

其实此配置实际是基于全局选路策略下多出口智能选路成员接口的配置，gateway后其实隐藏了命令route enable，这样才发布了默认路由，并且这个默认路由也是不能用undo ip route-static来删除了，可以通过增加route disable 来取消发布默认路由；

当然，如果防火墙只有一个出接口，也可以通过gateway方式下发默认路由；

Case3：防火墙nat address-group发布

在防火墙作为公网出口场景下，如果内网用户基数大，则使用easy-ip方式不能满足需求，可以通过nat address-group方式创建地址组扩容；

当公网用户主动访问NAT地址池中的地址时，FW收到此报文后，无法匹配到会话表，根据缺省路由转发给路由器，路由器收到报文后，查找路由表再转发给FW。此报文就会在FW和路由器之间循环转发，造成路由环路。特别是nat地址池与公网出接口地址不再同一网段时候，必须配置黑洞路由防环；此种场景下，也可以在nat address-group视图下，配置route enable命令来下发unr路由，作用与黑洞路由的作用相同，可以防止路由环路，同时也可以引入到OSPF等动态路由协议中发布出去。

设备会根据地址范围自动下发最短掩码的unr路由

Case4：路由器nat address-group

nat address-group 1 112.1.1.1 112.1.1.2

接口下配置NAT地址池后，会自动生成一条32位UNR本机路由，其优先级为64。发往该地址的过路报文经过路由器时，会命中该32位本机路由送至设备协议栈。但由于设备缺少该IP地址的协议栈，路由器无法转发该报文，则会将报文丢弃。

可以使用命令ip route-static配置一条静态路由。静态路由优先级缺省值为60，高于自动产生的UNR路由，可以防止发往该地址池中IP地址的报文被意外丢弃。

https://support.huawei.com/hedex/hdx.do?lib=EDOC1100028613AZH0627H&docid=EDOC1100028613&lang=zh&v=05&tocLib=EDOC1100028613AZH0627H&tocV=05&id=ZH-CN_CONCEPT_0177896144&tocURL=resources%2fdc%2fdc%5far%5ffaq%5fipserv%5f024040%2ehtml&p=t&fe=1&ui=3&keyword=unr%25252525u8def%25252525u7531