0104 组播VPN故障处理.docx

1、0104 组播VPN故障处理目 录4 组播VPN故障处理 4-14.1 组播VPN简介 4-24.1.1 VRP实现组播VPN 4-24.1.2 MD VPN中的重点概念辨析 4-24.2 MD VPN故障处理过程 4-24.2.1 典型组网环境 4-34.2.2 配置注意事项 4-34.2.3 故障诊断流程 4-54.2.4 故障处理步骤 4-74.3 Switch-MDT故障处理 4-94.3.1 典型组网环境 4-94.3.2 配置注意事项 4-104.3.3 故障诊断流程 4-114.3.4 故障处理步骤 4-124.4 FAQ 4-134.5 故障诊断工具 4-144.5.1 dis

2、play命令 4-144.5.2 debugging命令 4-18插图目录图4-1 MD VPN典型组网 4-3图4-2 MD VPN故障诊断流程图 4-6图4-3 MD VPN典型组网 4-10图4-4 Switch-MDT故障诊断流程图 4-12表格目录表4-1 与组播VPN相关的display命令 4-14表4-2 display multicast-domain vpn-instance share-group命令输出信息描述 4-16表4-3 display multicast-domain vpn-instance switch-group receive命令输出信息描述 4-16

3、表4-4 display multicast-domain vpn-instance switch-group send命令输出信息描述 4-17表4-5 与组播VPN相关的debugging命令 4-184 组播VPN故障处理关于本章本章描述内容如下表所示。标题内容4.1 组播VPN简介介绍了进行组播VPN故障处理时用户所需的知识要点。4.2 MD VPN故障处理过程针对典型的MD VPN组网环境，介绍配置MD VPN时要注意的事项，故障处理的流程和详细的故障处理步骤。4.3 Switch-MDT故障处理针对典型的MD VPN组网环境，介绍配置Switch-MDT时要注意的事项，故障处理的流

4、程和详细的故障处理步骤。4.4 FAQ列出了用户常问的问题，并给出了相应的解答。4.5 故障诊断工具介绍了常用的故障诊断工具，包括display命令和debugging命令、告警信息、日志信息等。4.1 组播VPN简介4.1.1 VRP实现组播VPNVRP运用MD（Multicast Domains）方案实现组播VPN，简称为MD VPN。在MPLS/BGP VPN中应用MD的特点如下： PE上的VPN实例通过MTI接口实现私网组播数据跨越公网透明传输。 PE使用Share-Group或Switch-group的统一封装格式，将私网数据转换为公网数据。 PE上的公网实例利用MDT实现公网内的组

5、播数据传输。4.1.2 MD VPN中的重点概念辨析Share-Group和Share-MDTShare-Group用来唯一标识一个MD。所有PE上的同一VPN实例属于同一MD，拥有相同的Share-Group地址。拥有不同Share-Group地址的VPN实例集合构成不同的MD。Share-MDT是以Share-Group地址为组地址的组播分发树，建立在支持同一VPN实例的所有PE之间。在公网中通过Share-MDT转发组播数据时，PE使用Share-Group地址，将私网组播协议报文、数据报文统一进行GRE封装，转变为普通的公网组播数据报文。然后沿着Share-MDT以组播方式发送到该树上

6、的所有PE，而不管PE是否需要该信息。当私网中的组播数据速率比较大时，Share-MDT传输方式会在公网中造成大量的组播数据泛滥。这样一方面浪费网络带宽，另一方面增加了PE的处理负担。Switch-Group和Switch-MDTSwitch-MDT是以Switch-Group为组地址的组播分发树，建立在连接组播源的PE和有接收者的PE之间，实现了按需组播数据功能。Switch-Group称为切换组，是从Switch-group-pool中选取的，用于统一封装由某一PE进入公网的私网组播数据。配置Share-MDT后，PE1周期性地检测从本设备进入公网的私网组播数据的转发速率： 在Share-

7、MDT传输方式下，当转发速率超过阈值时，将数据流统一切换到Switch-MDT中转发。 在Switch-MDT传输方式下，当转发速率低于阈值时，将数据流统一切换回Share-MDT转发。4.2 MD VPN故障处理过程本节介绍如下的内容。 典型组网环境 配置注意事项 故障诊断流程 故障处理步骤4.2.1 典型组网环境MD VPN的典型组网如图4-1所示。MD VPN的故障处理将基于该网络。图4-1 MD VPN典型组网在上述组网图中，采用了如下的方案： VPN A的组播源为Source，接收者为Receiver。 全网运行MPLS/BGP VPN。 在PE和P之间建立公网实例组播、PE和CE之

8、间建立VPN实例组播。 全网启动PIM，在各PE上为VPN A实例配置MD。4.2.2 配置注意事项配置项子项注意事项MD VPNMPLS/BGP VPN 确保MPLS/BGP VPN功能正常，确保属于同一VPN的不同CE之间能够通过MPLS网络进行互通。组播确保公网实例和VPN实例使能组播。MD确保各个PE上同一VPN实例配置相同的Share-Group、相同的MTI。MTI地址必须指定为配置公网IBGP peer的本地接口地址，并在MTI上使能PIM协议。PIM确保公网和私网的PIM功能正常。确保各个PE上VPN实例接口和MTI配置了与私网组播相同的PIM协议。IGMP确保私网CE连接客户

9、端的出接口IGMP功能正常。下面以PE-A的配置为例说明配置MD VPN时需要注意的事项。以下所列的配置命令只包含MD相关部分的命令。详细的配置请参见VRP 配置指南 IP组播。使能组播功能# 使能公网组播。PE-A multicast routing-enable# 进入VPN实例视图。PE-A ip vpn-instance A# 使能VPN组播。PE-A-vpn-instance-A multicast routing-enablePE-A-vpn-instance-A quit配置接口# 在公网实例接口GigabitEthernet1/0/0上使能PIM-SM。PE-A interfa

10、ce gigabitethernet 1/0/0PE-A-GigabitEthernet1/0/0 pim smPE-A-GigabitEthernet1/0/0 quit# 在VPN A实例接口GigabitEthernet2/0/0上使能PIM-SM。PE-A interface gigabitethernet 2/0/0PE-A-GigabitEthernet2/0/0 pim sm# 在公网IBGP本地接口Loopback1上启动PIM-SM。PE-A interface loopback 1PE-A-LoopBack1 ip address 1.1.1.1 32PE-A-LoopBa

11、ck1 pim smPE-A-LoopBack1 quit配置MD# 配置Share-Group组，指定要绑定本VPN实例的MTI。PE-A-vpn-instance-A multicast-domain share-group 239.1.1.1 binding mtunnel 0PE-A-vpn-instance-A quit# 配置MTI的IP地址，该地址应该和公网IBGP接口地址相同。在MTI上启动PIM-SM协议。PE-A interface MTunnel 0PE-A-MTunnel0 ip address 1.1.1.1 32PE-A-MTunnel0 pim smPE-A-MT

12、unnel0 quit4.2.3 故障诊断流程针对图4-1所示的网络，在配置各路由器后发现故障：Receiver没有收到私网组播数据（S，G）。请使用下面的故障诊断流程，如图4-2所示。图4-1 MD VPN故障诊断流程图4.2.4 故障处理步骤在定位MD VPN故障之前，请务必先排除MPLS/BGP VPN故障。检查方法请参见VRP 故障处理 VPN篇中的“BGP MPLS IP VPN故障处理”。步骤 1 检查单播路由是否连通。1. 在各PE和P上执行命令display ip routing-table，查看公网各路由器之间单播路由是否连通。2. 在各PE上执行命令display ip r

13、outing-table vpn-instance vpn-instance-name，查看从PE上的VPN实例到达私网各路由器的单播路由是否连通。3. 在各CE上执行命令ping，检查私网路由是否连通。着重检查CE-B和CE-C是否能ping通CE-A。如果单播路由不通，表明MPLS/BGP VPN故障。步骤 2 检查组播源发送的数据的TTL是否足够到达接收端。在直连组播源的路由器上执行命令debugging ip packet，查看转发组播报文的TTL值。根据显示信息推断组播源发送报文时设置的TTL值，如果发现该TTL值太小，建议在Source服务器上调高发送报文的TTL值。步骤 3 检查

14、公网和私网是否使能组播。在网络中各路由器上执行命令display current-configuration，观察路由器当前配置信息。建议着重检查各PE上的配置信息。1. 组播VPN要求PE支持多实例组播。对PE设备的配置要求： 在系统视图下，执行命令multicast routing-enable使能公网组播。 在所支持的各VPN实例视图下，分别执行命令multicast routing-enable使能对应各个VPN的组播。所以在PE设备的显示信息中，系统视图下和各VPN视图下必须都要有multicast routing-enable命令。如果某实例下未出现此命令，表明未使能该实例的组播。

15、处理办法：在该实例视图下执行此命令。2. 如果P（或CE）设备的显示信息中没有multicast routing-enable命令，表明该设备未使能组播功能。处理办法：在系统视图下执行此命令。步骤 4 检查各PE上的VPN实例对应的Share-Group是否配置一致。在各PE上执行命令display multicast-domain vpn-instance vpn-instance-name share-group，查看指定VPN实例是否配置了相同的Share-Group。如果没有配置或配置不一致，在该VPN实例视图下使用multicast-domain share-group group-

16、address binding mtunnel number命令重新配置Share-Group地址，同时绑定到指定的MTI接口。Share-Group地址不能配置在SSM Range范围内。步骤 5 检查各PE上的MTI接口是否配置正确。使用display current-configuration命令查看各PE上的MTI接口地址是否配置且是否与公网IBGP Peer的本地接口地址一致。如果没有配置或配置不一致，组播报文从MTI接口到达PE上的VPN实例后将无法通过RPF检查。这时，需要在MTI接口视图下使用ip address命令修改IP地址。同时检查MTI接口是否使能与私网组播相同的PIM

17、协议。步骤 6 检查各路由器接口是否建立PIM邻居关系。使用display pim vpn-instance vpn-instance-name neighbor命令查看各路由器上的接口是否正确建立了PIM邻居关系。着重检查各个PE的MTI接口是否启动相同的PIM协议，是否正确建立了PIM邻居关系。如果没有建立PIM邻居关系，处理步骤如下：1. 检查接口状态是否Up首先使用display interface interface-type interface-number命令查看接口是否Up，如果公网和私网的所有路由器的接口（包括MTI接口）都已经Up，则需要在接口视图下使能PIM-SM或PIM

18、-DM。2. 检查PIM协议是否全网一致 在私网中通过display current-configuration命令查看各路由器接口上配置的PIM协议是否一致，包括各PE上的VPN实例接口和MTI。建议着重检查同一MTI接口是否配置相同的PIM协议。如果不一致，则需要进入相应接口视图，重新配置PIM协议。 在公网中通过display current-configuration命令查看各路由器接口上配置的PIM协议是否一致，包括各PE上的公网实例接口。如果不一致，则需要进入相应接口视图，重新配置PIM协议。公网和私网上各自运行的PIM协议可以不一致。步骤 7 PIM-SM协议需要BSR和RP的支

19、持。1. 如果私网选用PIM-SM，则需要配置私网BSR和RP。 在各PE上使用display pim vpn-instance vpn-instance-name bsr-info命令查看私网BSR信息是否正确；使用display pim vpn-instance vpn-instance-name rp-info命令查看私网RP信息是否正确。 在CE（其他私网路由器上）使用display pim bsr-info命令查看私网BSR信息是否正确，使用display pim rp-info命令查看私网RP信息是否正确。2. 如果公网选用PIM-SM，则需要配置公网BSR和RP。在各PE和P上使

20、用display pim bsr-info命令查看公网BSR信息是否正确，使用display pim rp-info命令查看公网RP信息是否正确。若为单域组播VPN，则公网只有一个BSR和一个RP，称为一对。若为跨域组播VPN，则公网的两个域内各有一对BSR和RP。如果BSR和RP信息不正确，处理方法请参见VRP 故障处理 IP组播篇中的“PIM故障处理”。步骤 8 SSM需要SSM Range的支持。1. 如果私网选用SSM，则需要配置统一的私网SSM Range。 在各PE上使用display current-configuration命令查看私网SSM Range是否配置且是否配置一致。

21、如果不一致，则需要进入VPN实例的PIM视图，使用ssm-policy acl-number命令重新配置SSM Range。 在CE（其他私网路由器上）使用display current-configuration命令查看私网SSM Range信息是否正确。如果不一致，则需要进入PIM视图，使用ssm-policy acl-number命令重新配置SSM Range。2. 如果公网选用SSM，则需要配置统一的公网SSM Range。在各PE和P上使用display current-configuration命令查看公网SSM Range是否配置且是否配置一致。如果不一致，则需要进入PIM视图，

22、使用ssm-policy acl-number命令重新配置SSM Range。步骤 9 检查私网CE连接客户端的出接口是否有IGMP组信息。使用display igmp group interface interface-type interface-number命令检查私网CE连接客户端的出接口，如果没有IGMP组信息，处理方法请参见IGMP故障处理流程。如果检查结束，故障仍然无法排除，请联系华为的技术支持工程师。-结束4.3 Switch-MDT故障处理本节介绍如下的内容。 典型组网环境 配置注意事项 故障诊断流程 故障处理步骤4.3.1 典型组网环境MD VPN的典型组网如图4-3所示。

23、Switch-MDT的故障处理将基于该网络。图4-1 MD VPN典型组网在上述组网图中，采用了如下的方案： VPN A的组播源为Source，接收者为Receiver。 全网运行MPLS/BGP VPN。 在PE和P之间建立公网实例组播、PE和CE之间建立VPN实例组播。 全网启动PIM，在各PE上为VPN A实例配置MD。4.3.2 配置注意事项配置项子项注意事项Switch-MDTMD VPN确保MD VPN功能正常，确保属于同一VPN的不同CE之间能够通过Share-MDT实现组播。Switch-group-pool确保各个PE上同一VPN实例配置相同的Switch-group-poo

24、l。同一台PE上，不同VPN实例对应的Switch-group-pool不能互相重叠。threshold切换阈值配置的不能太大，否则将很难进行切换。ACLACL规则permit的私网组播组的数据才能进行切换。确保ACL配置合理。下面以PE-A的配置为例说明配置Switch-MDT时需要注意的事项。配置可以分为如下三种情况：以下所列的配置命令只包含Switch-MDT相关部分的命令。详细的配置请参见VRP 配置指南 IP组播。一旦有私网组播数据立即切换# 进入VPN instance视图。PE-A ip vpn-instance A# 配置VPN A的Switch-Group-Pool是225.

25、2.2.1到225.2.2.16。PE-A-vpn-instance-A multicast-domain switch-group-pool 225.2.2.1 28 私网组播数据转发速率超过切换阕值才能切换# 进入VPN instance视图。PE-A ip vpn-instance A# 配置VPN A的Switch-Group-Pool是225.2.2.1到225.2.2.16，切换阈值是3kbits/s。PE-A-vpn-instance-A multicast-domain switch-group-pool 225.2.2.1 28 threshold 3私网组播报文通过高级AC

26、L过滤才能切换# 配置高级ACL，只允许源地址为10.1.1.2/32，组地址范围为225.1.0.0/16的私网组播报文。PE-A acl number 3100PE-A-acl-adv-3100 rule permit ip source 10.1.1.2 0 destination 225.1.0.0 0.0.255.255PE-A-acl-adv-3100 quitPE-A ip vpn-instance A# 配置VPN A的Switch-Group的地址范围是225.2.2.1到225.2.2.16，过滤策略为ACL3100PE-A-vpn-instance-A multicast

27、-domain switch-group-pool 225.2.2.1 28 acl 3100如果需要同时规定切换阈值和报文过滤策略，命令行如下：PE-A-vpn-instance-A multicast-domain switch-group-pool 225.2.2.1 28 threshold 3 acl 31004.3.3 故障诊断流程针对图4-3所示的网络，在各PE上配置了切换组地址池后，发现故障：由PE-A进入MD的私网组播数据并没有切换到Switch-MDT，仍然通过Share-MDT转发到PE-B和PE-C。请使用下面的故障诊断流程，如图4-4所示。图4-1 Switch-MD

28、T故障诊断流程图4.3.4 故障处理步骤步骤 1 检查各个PE上同一VPN实例是否配置了相同的Switch-group-pool。分别在各个PE上使用display current-configuration命令查看当前配置。在VPN A实例下查找multicast-domain switch-group-pool group-address group-mask | group-mask-len 命令，检查各PE上配置的group-address group-mask | group-mask-len 是否完全一致。 如果某PE上未配置该命令，则必须进入VPN实例视图下使用命令multica

29、st-domain switch-group-pool group-address group-mask | group-mask-len 配置Switch-group-pool。 如果不一致，则必须进入VPN实例视图下使用命令undo multicast-domain switch-group-pool取消当前配置，然后再使用multicast-domain switch-group-pool group-address group-mask | group-mask-len 重新配置正确的Switch-group-pool。步骤 2 检查是否配置了切换阈值threshold。在PE-A上使

30、用display current-configuration命令查看当前配置。在VPN A实例下查找multicast-domain switch-group-pool group-address group-mask | group-mask-len 命令，检查是否配置了threshold。如果发现配置了一个较大的threshold-value，则必须进入VPN实例视图下使用命令undo multicast-domain switch-group-pool取消当前配置。但这样也同时取消了Switch-group-pool，必须重新配置Switch-group-pool。 如果希望一旦有私网组

31、播数据流就立即切换，则在VPN实例视图下使用命令multicast-domain switch-group-pool group-address group-mask | group-mask-len 只配置Switch-group-pool。 如果仍然希望设置切换阈值，则在VPN实例视图下使用命令multicast-domain switch-group-pool group-address group-mask | group-mask-len threshold threshold-value配置Switch-group-pool和一个更低的切换阈值。步骤 3 检查是否配置了切换组地址过滤规则。在PE-A上使用display current-configuration命令查看当前配置。在VPN A实例下查找mu