0104 组播VPN故障处理.docx
《0104 组播VPN故障处理.docx》由会员分享,可在线阅读,更多相关《0104 组播VPN故障处理.docx(24页珍藏版)》请在冰豆网上搜索。
0104组播VPN故障处理
目录
4组播VPN故障处理4-1
4.1组播VPN简介4-2
4.1.1VRP实现组播VPN4-2
4.1.2MDVPN中的重点概念辨析4-2
4.2MDVPN故障处理过程4-2
4.2.1典型组网环境4-3
4.2.2配置注意事项4-3
4.2.3故障诊断流程4-5
4.2.4故障处理步骤4-7
4.3Switch-MDT故障处理4-9
4.3.1典型组网环境4-9
4.3.2配置注意事项4-10
4.3.3故障诊断流程4-11
4.3.4故障处理步骤4-12
4.4FAQ4-13
4.5故障诊断工具4-14
4.5.1display命令4-14
4.5.2debugging命令4-18
插图目录
图4-1MDVPN典型组网4-3
图4-2MDVPN故障诊断流程图4-6
图4-3MDVPN典型组网4-10
图4-4Switch-MDT故障诊断流程图4-12
表格目录
表4-1与组播VPN相关的display命令4-14
表4-2displaymulticast-domainvpn-instanceshare-group命令输出信息描述4-16
表4-3displaymulticast-domainvpn-instanceswitch-groupreceive命令输出信息描述4-16
表4-4displaymulticast-domainvpn-instanceswitch-groupsend命令输出信息描述4-17
表4-5与组播VPN相关的debugging命令4-18
4组播VPN故障处理
关于本章
本章描述内容如下表所示。
标题
内容
4.1组播VPN简介
介绍了进行组播VPN故障处理时用户所需的知识要点。
4.2MDVPN故障处理过程
针对典型的MDVPN组网环境,介绍配置MDVPN时要注意的事项,故障处理的流程和详细的故障处理步骤。
4.3Switch-MDT故障处理
针对典型的MDVPN组网环境,介绍配置Switch-MDT时要注意的事项,故障处理的流程和详细的故障处理步骤。
4.4FAQ
列出了用户常问的问题,并给出了相应的解答。
4.5故障诊断工具
介绍了常用的故障诊断工具,包括display命令和debugging命令、告警信息、日志信息等。
4.1组播VPN简介
4.1.1VRP实现组播VPN
VRP运用MD(MulticastDomains)方案实现组播VPN,简称为MDVPN。
在MPLS/BGPVPN中应用MD的特点如下:
●PE上的VPN实例通过MTI接口实现私网组播数据跨越公网透明传输。
●PE使用Share-Group或Switch-group的统一封装格式,将私网数据转换为公网数据。
●PE上的公网实例利用MDT实现公网内的组播数据传输。
4.1.2MDVPN中的重点概念辨析
Share-Group和Share-MDT
Share-Group用来唯一标识一个MD。
所有PE上的同一VPN实例属于同一MD,拥有相同的Share-Group地址。
拥有不同Share-Group地址的VPN实例集合构成不同的MD。
Share-MDT是以Share-Group地址为组地址的组播分发树,建立在支持同一VPN实例的所有PE之间。
在公网中通过Share-MDT转发组播数据时,PE使用Share-Group地址,将私网组播协议报文、数据报文统一进行GRE封装,转变为普通的公网组播数据报文。
然后沿着Share-MDT以组播方式发送到该树上的所有PE,而不管PE是否需要该信息。
当私网中的组播数据速率比较大时,Share-MDT传输方式会在公网中造成大量的组播数据泛滥。
这样一方面浪费网络带宽,另一方面增加了PE的处理负担。
Switch-Group和Switch-MDT
Switch-MDT是以Switch-Group为组地址的组播分发树,建立在连接组播源的PE和有接收者的PE之间,实现了按需组播数据功能。
Switch-Group称为切换组,是从Switch-group-pool中选取的,用于统一封装由某一PE进入公网的私网组播数据。
配置Share-MDT后,PE1周期性地检测从本设备进入公网的私网组播数据的转发速率:
●在Share-MDT传输方式下,当转发速率超过阈值时,将数据流统一切换到Switch-MDT中转发。
●在Switch-MDT传输方式下,当转发速率低于阈值时,将数据流统一切换回Share-MDT转发。
4.2MDVPN故障处理过程
本节介绍如下的内容。
●典型组网环境
●配置注意事项
●故障诊断流程
●故障处理步骤
4.2.1典型组网环境
MDVPN的典型组网如图4-1所示。
MDVPN的故障处理将基于该网络。
图4-1MDVPN典型组网
在上述组网图中,采用了如下的方案:
●VPNA的组播源为Source,接收者为Receiver。
●全网运行MPLS/BGPVPN。
●在PE和P之间建立公网实例组播、PE和CE之间建立VPN实例组播。
●全网启动PIM,在各PE上为VPNA实例配置MD。
4.2.2配置注意事项
配置项
子项
注意事项
MDVPN
MPLS/BGPVPN
确保MPLS/BGPVPN功能正常,确保属于同一VPN的不同CE之间能够通过MPLS网络进行互通。
组播
确保公网实例和VPN实例使能组播。
MD
确保各个PE上同一VPN实例配置相同的Share-Group、相同的MTI。
MTI地址必须指定为配置公网IBGPpeer的本地接口地址,并在MTI上使能PIM协议。
PIM
确保公网和私网的PIM功能正常。
确保各个PE上VPN实例接口和MTI配置了与私网组播相同的PIM协议。
IGMP
确保私网CE连接客户端的出接口IGMP功能正常。
下面以PE-A的配置为例说明配置MDVPN时需要注意的事项。
以下所列的配置命令只包含MD相关部分的命令。
详细的配置请参见《VRP配置指南IP组播》。
使能组播功能
#使能公网组播。
[PE-A]multicastrouting-enable
#进入VPN实例视图。
[PE-A]ipvpn-instanceA
#使能VPN组播。
[PE-A-vpn-instance-A]multicastrouting-enable
[PE-A-vpn-instance-A]quit
配置接口
#在公网实例接口GigabitEthernet1/0/0上使能PIM-SM。
[PE-A]interfacegigabitethernet1/0/0
[PE-A-GigabitEthernet1/0/0]pimsm
[PE-A-GigabitEthernet1/0/0]quit
#在VPNA实例接口GigabitEthernet2/0/0上使能PIM-SM。
[PE-A]interfacegigabitethernet2/0/0
[PE-A-GigabitEthernet2/0/0]pimsm
#在公网IBGP本地接口Loopback1上启动PIM-SM。
[PE-A]interfaceloopback1
[PE-A-LoopBack1]ipaddress1.1.1.132
[PE-A-LoopBack1]pimsm
[PE-A-LoopBack1]quit
配置MD
#配置Share-Group组,指定要绑定本VPN实例的MTI。
[PE-A-vpn-instance-A]multicast-domainshare-group239.1.1.1bindingmtunnel0
[PE-A-vpn-instance-A]quit
#配置MTI的IP地址,该地址应该和公网IBGP接口地址相同。
在MTI上启动PIM-SM协议。
[PE-A]interfaceMTunnel0
[PE-A-MTunnel0]ipaddress1.1.1.132
[PE-A-MTunnel0]pimsm
[PE-A-MTunnel0]quit
4.2.3故障诊断流程
针对图4-1所示的网络,在配置各路由器后发现故障:
Receiver没有收到私网组播数据(S,G)。
请使用下面的故障诊断流程,如图4-2所示。
图4-1MDVPN故障诊断流程图
4.2.4故障处理步骤
在定位MDVPN故障之前,请务必先排除MPLS/BGPVPN故障。
检查方法请参见《VRP故障处理VPN篇》中的“BGPMPLSIPVPN故障处理”。
步骤1检查单播路由是否连通。
1.在各PE和P上执行命令displayiprouting-table,查看公网各路由器之间单播路由是否连通。
2.在各PE上执行命令displayiprouting-tablevpn-instancevpn-instance-name,查看从PE上的VPN实例到达私网各路由器的单播路由是否连通。
3.在各CE上执行命令ping,检查私网路由是否连通。
着重检查CE-B和CE-C是否能ping通CE-A。
如果单播路由不通,表明MPLS/BGPVPN故障。
步骤2检查组播源发送的数据的TTL是否足够到达接收端。
在直连组播源的路由器上执行命令debuggingippacket,查看转发组播报文的TTL值。
根据显示信息推断组播源发送报文时设置的TTL值,如果发现该TTL值太小,建议在Source服务器上调高发送报文的TTL值。
步骤3检查公网和私网是否使能组播。
在网络中各路由器上执行命令displaycurrent-configuration,观察路由器当前配置信息。
建议着重检查各PE上的配置信息。
1.组播VPN要求PE支持多实例组播。
对PE设备的配置要求:
●在系统视图下,执行命令multicastrouting-enable使能公网组播。
●在所支持的各VPN实例视图下,分别执行命令multicastrouting-enable使能对应各个VPN的组播。
所以在PE设备的显示信息中,系统视图下和各VPN视图下必须都要有multicastrouting-enable命令。
如果某实例下未出现此命令,表明未使能该实例的组播。
处理办法:
在该实例视图下执行此命令。
2.如果P(或CE)设备的显示信息中没有multicastrouting-enable命令,表明该设备未使能组播功能。
处理办法:
在系统视图下执行此命令。
步骤4检查各PE上的VPN实例对应的Share-Group是否配置一致。
在各PE上执行命令displaymulticast-domainvpn-instancevpn-instance-nameshare-group,查看指定VPN实例是否配置了相同的Share-Group。
如果没有配置或配置不一致,在该VPN实例视图下使用multicast-domainshare-groupgroup-addressbindingmtunnelnumber命令重新配置Share-Group地址,同时绑定到指定的MTI接口。
Share-Group地址不能配置在SSMRange范围内。
步骤5检查各PE上的MTI接口是否配置正确。
使用displaycurrent-configuration命令查看各PE上的MTI接口地址是否配置且是否与公网IBGPPeer的本地接口地址一致。
如果没有配置或配置不一致,组播报文从MTI接口到达PE上的VPN实例后将无法通过RPF检查。
这时,需要在MTI接口视图下使用ipaddress命令修改IP地址。
同时检查MTI接口是否使能与私网组播相同的PIM协议。
步骤6检查各路由器接口是否建立PIM邻居关系。
使用displaypim[vpn-instancevpn-instance-name]neighbor命令查看各路由器上的接口是否正确建立了PIM邻居关系。
着重检查各个PE的MTI接口是否启动相同的PIM协议,是否正确建立了PIM邻居关系。
如果没有建立PIM邻居关系,处理步骤如下:
1.检查接口状态是否Up
首先使用displayinterfaceinterface-typeinterface-number命令查看接口是否Up,如果公网和私网的所有路由器的接口(包括MTI接口)都已经Up,则需要在接口视图下使能PIM-SM或PIM-DM。
2.检查PIM协议是否全网一致
●在私网中通过displaycurrent-configuration命令查看各路由器接口上配置的PIM协议是否一致,包括各PE上的VPN实例接口和MTI。
建议着重检查同一MTI接口是否配置相同的PIM协议。
如果不一致,则需要进入相应接口视图,重新配置PIM协议。
●在公网中通过displaycurrent-configuration命令查看各路由器接口上配置的PIM协议是否一致,包括各PE上的公网实例接口。
如果不一致,则需要进入相应接口视图,重新配置PIM协议。
公网和私网上各自运行的PIM协议可以不一致。
步骤7PIM-SM协议需要BSR和RP的支持。
1.如果私网选用PIM-SM,则需要配置私网BSR和RP。
●在各PE上使用displaypimvpn-instancevpn-instance-namebsr-info命令查看私网BSR信息是否正确;使用displaypimvpn-instancevpn-instance-namerp-info命令查看私网RP信息是否正确。
●在CE(其他私网路由器上)使用displaypimbsr-info命令查看私网BSR信息是否正确,使用displaypimrp-info命令查看私网RP信息是否正确。
2.如果公网选用PIM-SM,则需要配置公网BSR和RP。
在各PE和P上使用displaypimbsr-info命令查看公网BSR信息是否正确,使用displaypimrp-info命令查看公网RP信息是否正确。
若为单域组播VPN,则公网只有一个BSR和一个RP,称为一对。
若为跨域组播VPN,则公网的两个域内各有一对BSR和RP。
如果BSR和RP信息不正确,处理方法请参见《VRP故障处理IP组播篇》中的“PIM故障处理”。
步骤8SSM需要SSMRange的支持。
1.如果私网选用SSM,则需要配置统一的私网SSMRange。
●在各PE上使用displaycurrent-configuration命令查看私网SSMRange是否配置且是否配置一致。
如果不一致,则需要进入VPN实例的PIM视图,使用ssm-policyacl-number命令重新配置SSMRange。
●在CE(其他私网路由器上)使用displaycurrent-configuration命令查看私网SSMRange信息是否正确。
如果不一致,则需要进入PIM视图,使用ssm-policyacl-number命令重新配置SSMRange。
2.如果公网选用SSM,则需要配置统一的公网SSMRange。
在各PE和P上使用displaycurrent-configuration命令查看公网SSMRange是否配置且是否配置一致。
如果不一致,则需要进入PIM视图,使用ssm-policyacl-number命令重新配置SSMRange。
步骤9检查私网CE连接客户端的出接口是否有IGMP组信息。
使用displayigmpgroupinterfaceinterface-typeinterface-number命令检查私网CE连接客户端的出接口,如果没有IGMP组信息,处理方法请参见IGMP故障处理流程。
如果检查结束,故障仍然无法排除,请联系华为的技术支持工程师。
----结束
4.3Switch-MDT故障处理
本节介绍如下的内容。
●典型组网环境
●配置注意事项
●故障诊断流程
●故障处理步骤
4.3.1典型组网环境
MDVPN的典型组网如图4-3所示。
Switch-MDT的故障处理将基于该网络。
图4-1MDVPN典型组网
在上述组网图中,采用了如下的方案:
●VPNA的组播源为Source,接收者为Receiver。
●全网运行MPLS/BGPVPN。
●在PE和P之间建立公网实例组播、PE和CE之间建立VPN实例组播。
●全网启动PIM,在各PE上为VPNA实例配置MD。
4.3.2配置注意事项
配置项
子项
注意事项
Switch-MDT
MDVPN
确保MDVPN功能正常,确保属于同一VPN的不同CE之间能够通过Share-MDT实现组播。
Switch-group-pool
确保各个PE上同一VPN实例配置相同的Switch-group-pool。
同一台PE上,不同VPN实例对应的Switch-group-pool不能互相重叠。
threshold
切换阈值配置的不能太大,否则将很难进行切换。
ACL
ACL规则permit的私网组播组的数据才能进行切换。
确保ACL配置合理。
下面以PE-A的配置为例说明配置Switch-MDT时需要注意的事项。
配置可以分为如下三种情况:
以下所列的配置命令只包含Switch-MDT相关部分的命令。
详细的配置请参见《VRP配置指南IP组播》。
一旦有私网组播数据立即切换
#进入VPNinstance视图。
[PE-A]ipvpn-instanceA
#配置VPNA的Switch-Group-Pool是225.2.2.1到225.2.2.16。
[PE-A-vpn-instance-A]multicast-domainswitch-group-pool225.2.2.128
私网组播数据转发速率超过切换阕值才能切换
#进入VPNinstance视图。
[PE-A]ipvpn-instanceA
#配置VPNA的Switch-Group-Pool是225.2.2.1到225.2.2.16,切换阈值是3kbits/s。
[PE-A-vpn-instance-A]multicast-domainswitch-group-pool225.2.2.128threshold3
私网组播报文通过高级ACL过滤才能切换
#配置高级ACL,只允许源地址为10.1.1.2/32,组地址范围为225.1.0.0/16的私网组播报文。
[PE-A]aclnumber3100
[PE-A-acl-adv-3100]rulepermitipsource10.1.1.20destination225.1.0.00.0.255.255
[PE-A-acl-adv-3100]quit
[PE-A]ipvpn-instanceA
#配置VPNA的Switch-Group的地址范围是225.2.2.1到225.2.2.16,过滤策略为ACL3100
[PE-A-vpn-instance-A]multicast-domainswitch-group-pool225.2.2.128acl3100
如果需要同时规定切换阈值和报文过滤策略,命令行如下:
[PE-A-vpn-instance-A]multicast-domainswitch-group-pool225.2.2.128threshold3acl3100
4.3.3故障诊断流程
针对图4-3所示的网络,在各PE上配置了切换组地址池后,发现故障:
由PE-A进入MD的私网组播数据并没有切换到Switch-MDT,仍然通过Share-MDT转发到PE-B和PE-C。
请使用下面的故障诊断流程,如图4-4所示。
图4-1Switch-MDT故障诊断流程图
4.3.4故障处理步骤
步骤1检查各个PE上同一VPN实例是否配置了相同的Switch-group-pool。
分别在各个PE上使用displaycurrent-configuration命令查看当前配置。
在VPNA实例下查找multicast-domainswitch-group-poolgroup-address{group-mask|group-mask-len}命令,检查各PE上配置的group-address{group-mask|group-mask-len}是否完全一致。
●如果某PE上未配置该命令,则必须进入VPN实例视图下使用命令multicast-domainswitch-group-poolgroup-address{group-mask|group-mask-len}配置Switch-group-pool。
●如果不一致,则必须进入VPN实例视图下使用命令undomulticast-domainswitch-group-pool取消当前配置,然后再使用multicast-domainswitch-group-poolgroup-address{group-mask|group-mask-len}重新配置正确的Switch-group-pool。
步骤2检查是否配置了切换阈值threshold。
在PE-A上使用displaycurrent-configuration命令查看当前配置。
在VPNA实例下查找multicast-domainswitch-group-poolgroup-address{group-mask|group-mask-len}命令,检查是否配置了threshold。
如果发现配置了一个较大的threshold-value,则必须进入VPN实例视图下使用命令undomulticast-domainswitch-group-pool取消当前配置。
但这样也同时取消了Switch-group-pool,必须重新配置Switch-group-pool。
●如果希望一旦有私网组播数据流就立即切换,则在VPN实例视图下使用命令multicast-domainswitch-group-poolgroup-address{group-mask|group-mask-len}只配置Switch-group-pool。
●如果仍然希望设置切换阈值,则在VPN实例视图下使用命令multicast-domainswitch-group-poolgroup-address{group-mask|group-mask-len}thresholdthreshold-value配置Switch-group-pool和一个更低的切换阈值。
步骤3检查是否配置了切换组地址过滤规则。
在PE-A上使用displaycurrent-configuration命令查看当前配置。
在VPNA实例下查找mu
升级会员 