MPLS VPN故障排查指导及解析教案资料.docx
《MPLS VPN故障排查指导及解析教案资料.docx》由会员分享,可在线阅读,更多相关《MPLS VPN故障排查指导及解析教案资料.docx(12页珍藏版)》请在冰豆网上搜索。
MPLSVPN故障排查指导及解析教案资料
MPLSVPN故障排查指导及解析
MPLSVPN故障排查指导及解析
Preparedby
拟制
邓志恒 (93844)
Date
日期
2007-11-14
Reviewedby
评审人
Date
日期
Approvedby
批准
Date
日期
HuaweiTechnologiesCo.,Ltd.
华为技术有限公司
Allrightsreserved
版权所有 XX
修订记录
日期
修订版本
修改章节
修改描述
作者
2007-11-14
1.00
initial 初稿完成
邓志恒
前言
本文主要介绍了MPLS 三层VPN的排错方法,写作目地为指导实际的故障排错,工程师可对照此文一步一步的做,能找出或解决大部分简单问题也就达到我写作的目地了。
在初学MPLSVPN时,协议很复杂,涉及的表项也很多,根本不知从何入手,更不知如何解决问题,在实际工作不断的总结,为指导自己,也为指导大部分初学者,特总结了此文。
最后附上了一些常见问题的解决案例,希望对工程师的排障有所帮助。
在本文中做了一个完整的MPLSVPN实验,并详细列述了相关查看的命令,查看的方法以及出现故障时可能的多种原因,由浅入深的介绍了排障的方法。
在文中也附上了当时做实验时最后查看的所有的操作记录,工程师由此可以详尽的了解一个完整所VPN的相关正确的表项。
由于水平所限,难免有错误,还希望大家不吝赐教。
1 、拓朴图:
2 、MPLSVPN业务故障处理流程
3 、一步步排除MPLS 故障:
3.1 Ping 测试:
Quidway]ping-vpn-instancevpn1-a168.1.1.1168.3.1.1
PING168.3.1.1:
56 databytes,pressCTRL_Ctobreak
Replyfrom168.3.1.1:
bytes=56Sequence=1ttl=254time=3ms
~~~~~略
---168.3.1.1pingstatistics---
5packet(s)transmitted
5packet(s)received
0.00%packetloss
round-tripmin/avg/max=2/2/3ms
此为正常的情况,PING对端的绑VPN的三层接口地址。
首先这一步可以做一下,此可以证明公网的LSP和私网的路由学习以及转发没有问题,如CE还是不能互通,可能为CE与PE间的路由学习的问题。
3.2 查看路由表,包括查看公网路由表和VPN的路由表
(1)查看公网路由表:
查看是否正常的学习到了对端的loopback 地址。
如无此明细路由,则无法建立到对端的lsp,即使BGP学到了路由,由于对端的loopback不可达,所以此路由也不会生效。
则在私网路由表中也无法学到对端的私网路由。
[Quidway]ping202.100.1.3
PING202.100.1.3:
56 databytes,pressCTRL_Ctobreak
Replyfrom202.100.1.3:
bytes=56Sequence=1ttl=254time=2ms
~~~~~略
---202.100.1.3pingstatistics---
5packet(s)transmitted
5packet(s)received
0.00%packetloss
round-tripmin/avg/max=2/2/2ms
[Quidway]dispiprouting-table202.100.1.3
Destination/Mask ProtocolPre Cost Nexthop Interface
202.100.1.3/32 OSPF 10 3 172.1.1.2 Ethernet1/0/1
(2)查看在VPN的路由表中是否有相应的路由。
● 如果没有发现去往对端CE的的路由,问题可能就出现在路由上面,首先查看一BGP邻居关系是否正常建立。
● 检查export-vpn-target与import-vpn-target是否匹配,如果不匹配,请更改vpn-targets。
● 检查BGP对等体配置的入口策略和出口策略,并检查VPN实例配置的策略。
● 检查当IPv4-VPN路由是通过BGP以外的协议学到时,是否在BGP的VPN实例中配置了路由引入。
● 检查两端的对等体是否都配置了BGP-VPNv4邻居。
● 检查是否有接口跟VPN绑定。
如果未绑定,那么主机路由就不可用。
● 如果静态路由没有激活,请检查VPN路由表中下一跳子网是否可用。
[Quidway]dispiprouting-tablevpn-instancevpn1
vpn1 RouteInformation
RoutingTable:
vpn1 Route-Distinguisher:
65535:
100
Destination/Mask ProtocolPre Cost Nexthop Interface
168.1.0.0/16 DIRECT 0 0 168.1.1.1 LoopBack1
168.1.1.1/32 DIRECT 0 0 127.0.0.1 InLoopBack0
168.1.255.255/32 DIRECT 0 0 127.0.0.1 InLoopBack0
168.3.0.0/16 BGP 256 0 202.100.1.3 InLoopBack0
3.3 查看公网的IBGP的邻居状态
[Quidway]dispbgppeer
Peer AS-numVerQueued-Tx Msg-Rx Msg-Tx Up/Down State
--------------------------------------------------------------------------------
202.100.1.3 65535 4 0 126 128 02:
05:
43Established
一般情况下,状态应该为Established 状态,也有可能出现以下状态:
NE08E]display bgp peer Peer AS-num Ver Queued-Tx Msg-Rx Msg-Tx Up/Down State--------------------------------------------------------------------------------10.53.130.21 65412 4 0 4 5 00:
01:
04 No neg
出于安全或减小设备路由表考虑,在MPLSVPN网络中,很多运营商会考虑关闭BGPipv4unicast能力,这样避免接收和发布BGPipv4公网路由,而只接收和发布相关BGPvpnv4路由。
此时只要私网的MBGP邻居能建就没什么问题.
(1)如果BGP邻居没有达到ESTABLISHED而是别的状态根据BGP状态来排除错误:
● 使用命令displayipinterface查看接口是否处于UP状态。
● 检查路由表,查找到对端路由器的路由。
● 检查对等体是否配置了正确的AS号。
● 检查对等体是否使用正确的AS号发送OPEN消息。
● 检查对等体是否配置了BGP协议配置的AS号。
● 检查对等体的IP地址是否与BGP协议配置的一致。
● 检查router-id是否配置在路由器上。
● 如果为多跳BGP配置会话,请检查ebgp-max-hop配置。
● 如果对等体使用了loopback接口地址,请检查对等体间的IGP。
● 检查BGP中是否配置了VPNv4地址族。
3.4 查看私网的MBGP邻居的状态 (重要)
[Quidway]dispbgpvpnv4allpeer
Peer AS-numVerQueued-Tx Msg-Rx Msg-Tx Up/Down State
--------------------------------------------------------------------------------
202.100.1.3 65535 4 0 1 1 02:
05:
56Established
此状态必须为Established 的状态.
3.5 查看mplsldpseession 建立的状态
[Quidway]dispmplsldp interface[d1]
ShowinginformationaboutallLdpinterface:
InterfaceEthernet1/0/1(address=172.1.1.1)
Labeldistributingenabled,boundtoentity:
202.100.1.1:
1
Genericlabelrangeconfigured:
1040--100000
LabelAdvertisementMode:
DownstreamUnsolicited
LabelDistributionControlMode:
Ordered
SpecifiedKeepAlivetimerValue:
60,SpecifiedHelloTimerValue:
21
NegotiatedHellotimerValue:
15,SendingHelloInterval:
1
Hellopacketsent/rcv:
16641/3700
[Quidway]dispmplsldpsession
Showinginformationaboutallsessions:
PeerID:
202.100.1.2:
0; LocalID:
202.100.1.1:
1
LocalLDPindex:
1
Tcpconnection:
202.100.1.2-172.1.1.1
SessionState:
Operational[d2]
SessionRole:
Passive
Sessionexistedtime:
2hours22minutes32seconds
KeepAlivepacketsent/received:
1412/357
NegotiatedValueofKeepaliveTimer:
60
NegotiatedSendIntervalofKeepalive:
6
PeerPVLimit:
0
LDPdiscoveryInterface:
Ethernet1/0/1
Addressesreceivedfrompeer:
(Count:
3)
202.100.1.2 172.1.1.2 172.3.1.2
(1) LDP会话建立不起来
只要在接口上使能了LDP,会话一般都可以建立起来。
常见的的不能建立会话的情况有:
● LSRID冲突。
在网络中,LSRID和routerid一样,需要保持全局唯一。
可以用displaymplsldp命令查看LSRID是否有冲突。
● LDP的配置不同
● LDP会话能够建立,对双方的配置还是有一些要求的。
比如一边配置了环路检测loopdetect,另一边却没有配置就会导致session建立不起来。
同样,用displaymplsldp命令就可以查看环路检测的配置,确认双方配置是否相同。
● 链路不通,LDP需要在邻居之间建立TCP连接。
如果IP转发都不通,会话当然也建立不起来了。
这个一般不会成为问题。
● 对端设备支持的协议选项不同,如果对方是其他厂商的设备,则可能是因为对方只支持DoD方式。
NE80/40支持的是DU方式,DU和DoD是不能互通的。
(2)LDP会话经常断
LDP会话是通过Hello和Keepalive来检测对方是否存活,如果检测不到,则必须断掉会话再重新建立.链路是否稳定,路由是否稳定。
应该使用loopback接口地址作为LSRID,避免接口up、down影响LDP会话。
用命令行displaymplsldpinterface查看双方配置的keepalive时间是否一致。
或者因为keepalive或者hello报文的时间设置的太小,加上链路忙等原因,导致断连。
打开调试开关查看是否收到异常的通知消息,分析产生通知消息的原因。
这一般由于不同厂商对协议的理解不一致造成。
3.6 查看公网标签表
[Quidway]dispmplslspverbose
Total:
2Record(s)Matched
ID :
2
I/O-Label :
---/3
In-Interface :
----------
Out-Interface:
Ethernet1/0/1
Prefix/Mask :
202.100.1.2/32
Next-Hop :
172.1.1.2
Token :
2
Status :
Established
ID :
3
I/O-Label :
---/1024[d3]
In-Interface :
----------
Out-Interface:
Ethernet1/0/1
Prefix/Mask :
202.100.1.3/32
Next-Hop :
172.1.1.2
Token :
3
Status :
Established
2Record(s)Displayed
下面对各个字段的信息进行描述:
● ID:
这个相当于计数功能,用来表示这个项目是当前显示的所有LSP中的位置。
基本上没有意义;
● I/O-Label:
这个字段用于显示这条LSP的入标签和出标签。
在上面给出的例子中,含义为没有入标签,只有出标签(对应于PUSH操作)
● In-Interface:
入接口。
如果I/O-Label中有入标签,这个入接口也会有效。
表明这条LSP的入口是什么。
在本例中正好没有入接口。
● Out-Interface:
出接口。
指出本LSP的出接口是什么。
也就是说如果报文属于这条LSP,将从这个接口发出。
● Prefix/Mask:
相当于路由中的目的地址和掩码。
也就是MPLS中的FEC。
● Next-Hop:
对有些链路,比如以太网的链路,除了知道出接口外,还需要知道下一跳才可以正常转发。
这个字段就是显示的下一跳。
和路由中的下一跳意义相同。
● Token:
这个字段表明了这条LSP在下行表中索引。
● Status:
这个字段表明此LSP是否生效。
如果不是Established,则表明不生效。
也就是说执行displaymplslsp或者disp
升级会员 