MPLS VPN故障排查指导及解析教案资料Word文件下载.docx

MPLS VPN故障排查指导及解析教案资料Word文件下载.docx

《MPLS VPN故障排查指导及解析教案资料Word文件下载.docx》由会员分享，可在线阅读，更多相关《MPLS VPN故障排查指导及解析教案资料Word文件下载.docx（12页珍藏版）》请在冰豆网上搜索。

三层VPN的排错方法，写作目地为指导实际的故障排错，工程师可对照此文一步一步的做，能找出或解决大部分简单问题也就达到我写作的目地了。

在初学MPLSVPN时，协议很复杂，涉及的表项也很多，根本不知从何入手，更不知如何解决问题，在实际工作不断的总结，为指导自己，也为指导大部分初学者，特总结了此文。

最后附上了一些常见问题的解决案例，希望对工程师的排障有所帮助。

在本文中做了一个完整的MPLSVPN实验，并详细列述了相关查看的命令，查看的方法以及出现故障时可能的多种原因，由浅入深的介绍了排障的方法。

在文中也附上了当时做实验时最后查看的所有的操作记录，工程师由此可以详尽的了解一个完整所VPN的相关正确的表项。

由于水平所限，难免有错误，还希望大家不吝赐教。

1 

、拓朴图：

2 

、MPLSVPN业务故障处理流程

3 

、一步步排除MPLS 

故障：

3.1 

Ping 

测试：

Quidway]ping-vpn-instancevpn1-a168.1.1.1168.3.1.1 

PING168.3.1.1:

56 

databytes,pressCTRL_Ctobreak 

Replyfrom168.3.1.1:

bytes=56Sequence=1ttl=254time=3ms 

～～～～～略

---168.3.1.1pingstatistics--- 

5packet（s）transmitted 

5packet（s）received 

0.00%packetloss 

round-tripmin/avg/max=2/2/3ms 

此为正常的情况，PING对端的绑VPN的三层接口地址。

首先这一步可以做一下，此可以证明公网的LSP和私网的路由学习以及转发没有问题，如CE还是不能互通，可能为CE与PE间的路由学习的问题。

3.2 

查看路由表，包括查看公网路由表和ＶＰＮ的路由表

（1）查看公网路由表：

查看是否正常的学习到了对端的loopback 

地址。

如无此明细路由，则无法建立到对端的lsp，即使BGP学到了路由，由于对端的loopback不可达，所以此路由也不会生效。

则在私网路由表中也无法学到对端的私网路由。

[Quidway]ping202.100.1.3 

PING202.100.1.3:

Replyfrom202.100.1.3:

bytes=56Sequence=1ttl=254time=2ms 

～～～～～略 

---202.100.1.3pingstatistics--- 

round-tripmin/avg/max=2/2/2ms 

[Quidway]dispiprouting-table202.100.1.3 

Destination/Mask 

ProtocolPre 

Cost 

Nexthop 

Interface 

202.100.1.3/32 

OSPF 

10 

3 

172.1.1.2 

Ethernet1/0/1 

（2）查看在ＶＰＮ的路由表中是否有相应的路由。

● 

如果没有发现去往对端CE的的路由，问题可能就出现在路由上面，首先查看一BGP邻居关系是否正常建立。

检查export-vpn-target与import-vpn-target是否匹配，如果不匹配，请更改vpn-targets。

检查BGP对等体配置的入口策略和出口策略，并检查VPN实例配置的策略。

检查当IPv4-VPN路由是通过BGP以外的协议学到时，是否在BGP的VPN实例中配置了路由引入。

检查两端的对等体是否都配置了BGP-VPNv4邻居。

检查是否有接口跟VPN绑定。

如果未绑定，那么主机路由就不可用。

如果静态路由没有激活，请检查VPN路由表中下一跳子网是否可用。

[Quidway]dispiprouting-tablevpn-instancevpn1 

vpn1 

RouteInformation 

RoutingTable:

Route-Distinguisher:

65535:

100 

ProtocolPre 

Cost 

168.1.0.0/16 

DIRECT 

0 

168.1.1.1 

LoopBack1 

168.1.1.1/32 

127.0.0.1 

InLoopBack0 

168.1.255.255/32 

168.3.0.0/16 

BGP 

256 

202.100.1.3 

3.3 

查看公网的IBGP的邻居状态

[Quidway]dispbgppeer 

Peer 

AS-numVerQueued-Tx 

Msg-Rx 

Msg-Tx 

Up/Down 

State 

--------------------------------------------------------------------------------

202.100.1.3 

65535 

4 

126 

128 

02:

05:

43Established

一般情况下，状态应该为Established 

状态，也有可能出现以下状态：

NE08E]display 

bgp 

peer 

Peer 

AS-num 

Ver 

Queued-Tx 

Msg-Rx 

Msg-Tx 

Up/Down 

State--------------------------------------------------------------------------------10.53.130.21 

65412 

4 

0 

5 

00:

01:

04 

No 

neg

出于安全或减小设备路由表考虑，在MPLSVPN网络中，很多运营商会考虑关闭BGPipv4unicast能力，这样避免接收和发布BGPipv4公网路由，而只接收和发布相关BGPvpnv4路由。

此时只要私网的MBGP邻居能建就没什么问题.

（1）如果BGP邻居没有达到ESTABLISHED而是别的状态根据BGP状态来排除错误：

使用命令displayipinterface查看接口是否处于UP状态。

检查路由表，查找到对端路由器的路由。

检查对等体是否配置了正确的AS号。

检查对等体是否使用正确的AS号发送OPEN消息。

检查对等体是否配置了BGP协议配置的AS号。

检查对等体的IP地址是否与BGP协议配置的一致。

检查router-id是否配置在路由器上。

如果为多跳BGP配置会话，请检查ebgp-max-hop配置。

如果对等体使用了loopback接口地址，请检查对等体间的IGP。

检查BGP中是否配置了VPNv4地址族。

3.4 

查看私网的MBGP邻居的状态 

（重要）

[Quidway]dispbgpvpnv4allpeer 

1 

56Established

此状态必须为Established 

的状态.

3.5 

查看mplsldpseession 

建立的状态

[Quidway]dispmplsldp 

interface[d1] 

ShowinginformationaboutallLdpinterface:

InterfaceEthernet1/0/1（address=172.1.1.1） 

Labeldistributingenabled,boundtoentity:

202.100.1.1:

Genericlabelrangeconfigured:

1040--100000 

LabelAdvertisementMode:

DownstreamUnsolicited 

LabelDistributionControlMode:

Ordered 

SpecifiedKeepAlivetimerValue:

60,SpecifiedHelloTimerValue:

21 

NegotiatedHellotimerValue:

15,SendingHelloInterval:

Hellopacketsent/rcv:

16641/3700 

[Quidway]dispmplsldpsession 

Showinginformationaboutallsessions:

PeerID:

202.100.1.2:

0;

LocalID:

LocalLDPindex:

Tcpconnection:

202.100.1.2-172.1.1.1 

SessionState:

Operational[d2] 

SessionRole:

Passive 

Sessionexistedtime:

2hours22minutes32seconds 

KeepAlivepacketsent/received:

1412/357 

NegotiatedValueofKeepaliveTimer:

60 

NegotiatedSendIntervalofKeepalive:

6 

PeerPVLimit:

LDPdiscoveryInterface:

Ethernet1/0/1 

Addressesreceivedfrompeer:

（Count:

3） 

202.100.1.2 

172.3.1.2 

（１） 

LDP会话建立不起来

只要在接口上使能了LDP，会话一般都可以建立起来。

常见的的不能建立会话的情况有：

LSRID冲突。

在网络中，LSRID和routerid一样，需要保持全局唯一。

可以用displaymplsldp命令查看LSRID是否有冲突。

LDP的配置不同

LDP会话能够建立，对双方的配置还是有一些要求的。

比如一边配置了环路检测loopdetect，另一边却没有配置就会导致session建立不起来。

同样，用displaymplsldp命令就可以查看环路检测的配置，确认双方配置是否相同。

链路不通，LDP需要在邻居之间建立TCP连接。

如果IP转发都不通，会话当然也建立不起来了。

这个一般不会成为问题。

对端设备支持的协议选项不同，如果对方是其他厂商的设备，则可能是因为对方只支持DoD方式。

NE80/40支持的是DU方式，DU和DoD是不能互通的。

（２）LDP会话经常断

LDP会话是通过Hello和Keepalive来检测对方是否存活，如果检测不到，则必须断掉会话再重新建立．链路是否稳定，路由是否稳定。

应该使用loopback接口地址作为LSRID，避免接口up、down影响LDP会话。

用命令行displaymplsldpinterface查看双方配置的keepalive时间是否一致。

或者因为keepalive或者hello报文的时间设置的太小，加上链路忙等原因，导致断连。

打开调试开关查看是否收到异常的通知消息，分析产生通知消息的原因。

这一般由于不同厂商对协议的理解不一致造成。

3.6 

查看公网标签表

[Quidway]dispmplslspverbose 

Total:

2Record（s）Matched 

ID 

:

2 

I/O-Label 

---/3 

In-Interface 

---------- 

Out-Interface:

Prefix/Mask 

202.100.1.2/32 

Next-Hop 

Token 

Status 

Established 

:

---/1024[d3] 

202.100.1.3/32 

2Record（s）Displayed 

下面对各个字段的信息进行描述：

ID：

这个相当于计数功能，用来表示这个项目是当前显示的所有LSP中的位置。

基本上没有意义；

I/O-Label：

这个字段用于显示这条LSP的入标签和出标签。

在上面给出的例子中，含义为没有入标签，只有出标签（对应于PUSH操作）

In-Interface：

入接口。

如果I/O-Label中有入标签，这个入接口也会有效。

表明这条LSP的入口是什么。

在本例中正好没有入接口。

Out-Interface：

出接口。

指出本LSP的出接口是什么。

也就是说如果报文属于这条LSP，将从这个接口发出。

Prefix/Mask：

相当于路由中的目的地址和掩码。

也就是MPLS中的FEC。

Next-Hop：

对有些链路，比如以太网的链路，除了知道出接口外，还需要知道下一跳才可以正常转发。

这个字段就是显示的下一跳。

和路由中的下一跳意义相同。

Token：

这个字段表明了这条LSP在下行表中索引。

Status：

这个字段表明此LSP是否生效。

如果不是Established，则表明不生效。

也就是说执行displaymplslsp或者disp