MPLSVPN故障排查指导与解析

..MPLSVPN故障排查指导及解析Preparedby拟制邓志恒

<93844>Date日期2007-11-14Reviewedby评审人

Date日期

Approvedby批准

Date日期

HuaweiTechnologiesCo.,Ltd.华为技术Allrightsreserved版权所有侵权必究修订记录日期修订版本修改章节修改描述作者2007-11-141.00

initial

初稿完成邓志恒

前言本文主要介绍了MPLS

三层VPN的排错方法,写作目地为指导实际的故障排错,工程师可对照此文一步一步的做,能找出或解决大部分简单问题也就达到我写作的目地了。在初学MPLSVPN时,协议很复杂,涉及的表项也很多,根本不知从何入手,更不知如何解决问题,在实际工作不断的总结,为指导自己,也为指导大部分初学者,特总结了此文。最后附上了一些常见问题的解决案例,希望对工程师的排障有所帮助。在本文中做了一个完整的MPLSVPN实验,并详细列述了相关查看的命令,查看的方法以及出现故障时可能的多种原因,由浅入深的介绍了排障的方法。在文中也附上了当时做实验时最后查看的所有的操作记录,工程师由此可以详尽的了解一个完整所VPN的相关正确的表项。由于水平所限,难免有错误,还希望大家不吝赐教。目录1....、拓朴图：2....、MPLSVPN业务故障处理流程3....、一步步排除MPLS

故障：3.1Ping

测试：3.2查看路由表,包括查看公网路由表和ＶＰＮ的路由表3.3查看公网的IBGP的邻居状态3.4查看私网的

MBGP邻居的状态度

<重要>3.5查看mplsldpseession

建立的状态3.6查看公网标签表3.7查看私网标签表3.8查看接口表的ＦＩＢ表项4....、实验配置及操作记录5....、MPLS的相关实用案例1、拓朴图：2、MPLSVPN业务故障处理流程3、一步步排除MPLS

故障：3.1Ping

测试：

Quidway]ping-vpn-instancevpn1-a168.1.1.1168.3.1.1

PING168.3.1.1:56

databytes,pressCTRL_Ctobreak

Replyfrom168.3.1.1:bytes=56Sequence=1ttl=254time=3ms

～～～～～略

---168.3.1.1pingstatistics---

5packet<s>transmitted

5packet<s>received

0.00%packetloss

round-tripmin/avg/max=2/2/3ms

此为正常的情况,PING对端的绑VPN的三层接口地址。首先这一步可以做一下,此可以证明公网的LSP和私网的路由学习以及转发没有问题,如CE还是不能互通,可能为CE与PE间的路由学习的问题。3.2查看路由表,包括查看公网路由表和ＶＰＮ的路由表〔1查看公网路由表：查看是否正常的学习到了对端的loopback

地址。如无此明细路由,则无法建立到对端的lsp,即使BGP学到了路由,由于对端的loopback不可达,所以此路由也不会生效。则在私网路由表中也无法学到对端的私网路由。

[Quidway]ping202.100.1.3

PING202.100.1.3:56

databytes,pressCTRL_Ctobreak

Replyfrom202.100.1.3:bytes=56Sequence=1ttl=254time=2ms

～～～～～略

---202.100.1.3pingstatistics---

5packet<s>transmitted

5packet<s>received

0.00%packetloss

round-tripmin/avg/max=2/2/2ms

[Quidway]dispiprouting-table202.100.1.3

Destination/Mask

ProtocolPre

Cost

Nexthop

Interface

202.100.1.3/32

OSPF

10

3

172.1.1.2

Ethernet1/0/1

〔2查看在ＶＰＮ的路由表中是否有相应的路由。如果没有发现去往对端CE的的路由,问题可能就出现在路由上面,首先查看一BGP邻居关系是否正常建立。检查export-vpn-target与import-vpn-target是否匹配,如果不匹配,请更改vpn-targets。检查BGP对等体配置的入口策略和出口策略,并检查VPN实例配置的策略。检查当IPv4-VPN路由是通过BGP以外的协议学到时,是否在BGP的VPN实例中配置了路由引入。检查两端的对等体是否都配置了BGP-VPNv4邻居。检查是否有接口跟VPN绑定。如果未绑定,那么主机路由就不可用。如果静态路由没有激活,请检查VPN路由表中下一跳子网是否可用。[Quidway]dispiprouting-tablevpn-instancevpn1

vpn1

RouteInformation

RoutingTable:

vpn1

Route-Distinguisher:

65535:100

Destination/Mask

ProtocolPre

Cost

Nexthop

Interface

168.1.0.0/16

DIRECT

0

0

168.1.1.1

LoopBack1

168.1.1.1/32

DIRECT

0

0

127.0.0.1

InLoopBack0

168.1.255.255/32

DIRECT

0

0

127.0.0.1

InLoopBack0

168.3.0.0/16

BGP

256

0

202.100.1.3

InLoopBack0

3.3查看公网的IBGP的邻居状态[Quidway]dispbgppeer

Peer

AS-numVerQueued-Tx

Msg-Rx

Msg-Tx

Up/Down

State

--------------------------------------------------------------------------------202.100.1.3

65535

4

0

126

128

02:05:43Established一般情况下,状态应该为Established

状态,也有可能出现以下状态：NE08E]display

bgp

peer

Peer

AS-num

Ver

Queued-Tx

Msg-Rx

Msg-Tx

Up/Down

State

--------------------------------------------------------------------------------

10.53.130.21

65412

4

0

4

5

00:01:04

No

neg出于安全或减小设备路由表考虑,在MPLSVPN网络中,很多运营商会考虑关闭BGPipv4unicast能力,这样避免接收和发布BGPipv4公网路由,而只接收和发布相关BGPvpnv4路由。此时只要私网的MBGP邻居能建就没什么问题.〔1如果BGP邻居没有达到ESTABLISHED而是别的状态根据BGP状态来排除错误：使用命令displayipinterface查看接口是否处于UP状态。检查路由表,查找到对端路由器的路由。检查对等体是否配置了正确的AS号。检查对等体是否使用正确的AS号发送OPEN消息。检查对等体是否配置了BGP协议配置的AS号。检查对等体的IP地址是否与BGP协议配置的一致。检查router-id是否配置在路由器上。如果为多跳BGP配置会话,请检查ebgp-max-hop配置。如果对等体使用了loopback接口地址,请检查对等体间的IGP。检查BGP中是否配置了VPNv4地址族。3.4查看私网的MBGP邻居的状态

<重要>[Quidway]dispbgpvpnv4allpeer

Peer

AS-numVerQueued-Tx

Msg-Rx

Msg-Tx

Up/Down

State

--------------------------------------------------------------------------------202.100.1.3

65535

4

0

1

1

02:05:56Established此状态必须为Established

的状态.3.5查看mplsldpseession

建立的状态[Quidway]dispmplsldp

interface[d1]ShowinginformationaboutallLdpinterface:

InterfaceEthernet1/0/1<address=172.1.1.1>

Labeldistributingenabled,boundtoentity:202.100.1.1:1

Genericlabelrangeconfigured:1040--100000

LabelAdvertisementMode:DownstreamUnsolicited

LabelDistributionControlMode:Ordered

SpecifiedKeepAlivetimerValue:60,SpecifiedHelloTimerValue:21

NegotiatedHellotimerValue:15,SendingHelloInterval:1

Hellopacketsent/rcv:16641/3700

[Quidway]dispmplsldpsession

Showinginformationaboutallsessions:

PeerID:202.100.1.2:0;

LocalID:202.100.1.1:1

LocalLDPindex:1

Tcpconnection:202.100.1.2-172.1.1.1

SessionState:

Operational[d2]

SessionRole:Passive

Sessionexistedtime:2hours22minutes32seconds

KeepAlivepacketsent/received:1412/357

NegotiatedValueofKeepaliveTimer:60

NegotiatedSendIntervalofKeepalive:6

PeerPVLimit:0

LDPdiscoveryInterface:Ethernet1/0/1

Addressesreceivedfrompeer:<Count:3>

202.100.1.2

172.1.1.2

172.3.1.2

〔１

LDP会话建立不起来只要在接口上使能了LDP,会话一般都可以建立起来。常见的的不能建立会话的情况有：LSRID冲突。在网络中,LSRID和routerid一样,需要保持全局唯一。可以用displaymplsldp命令查看LSRID是否有冲突。LDP的配置不同LDP会话能够建立,对双方的配置还是有一些要求的。比如一边配置了环路检测loopdetect,另一边却没有配置就会导致session建立不起来。同样,用displaymplsldp命令就可以查看环路检测的配置,确认双方配置是否相同。链路不通,LDP需要在邻居之间建立TCP连接。如果IP转发都不通,会话当然也建立不起来了。这个一般不会成为问题。对端设备支持的协议选项不同,如果对方是其他厂商的设备,则可能是因为对方只支持DoD方式。NE80/40支持的是DU方式,DU和DoD是不能互通的。〔２LDP会话经常断LDP会话是通过Hello和Keepalive来检测对方是否存活,如果检测不到,则必须断掉会话再重新建立．链路是否稳定,路由是否稳定。应该使用loopback接口地址作为LSRID,避免接口up、down影响LDP会话。用命令行displaymplsldpinterface查看双方配置的keepalive时间是否一致。或者因为keepalive或者hello报文的时间设置的太小,加上链路忙等原因,导致断连。打开调试开关查看是否收到异常的通知消息,分析产生通知消息的原因。这一般由于不同厂商对协议的理解不一致造成。3.6查看公网标签表[Quidway]dispmplslspverbose

Total:

2Record<s>Matched

ID

:

2

I/O-Label

:

---/3

In-Interface

:

----------

Out-Interface:

Ethernet1/0/1

Prefix/Mask

:

202.100.1.2/32

Next-Hop

:

172.1.1.2

Token

:

2

Status

:

Established

ID

:

3

I/O-Label

:

---/1024[d3]

In-Interface

:

----------

Out-Interface:

Ethernet1/0/1

Prefix/Mask

:

202.100.1.3/32

Next-Hop

:

172.1.1.2

Token

:

3

Status

:

Established

2Record<s>Displayed

下面对各个字段的信息进行描述：ID：这个相当于计数功能,用来表示这个项目是当前显示的所有LSP中的位置。基本上没有意义；I/O-Label：这个字段用于显示这条LSP的入标签和出标签。在上面给出的例子中,含义为没有入标签,只有出标签〔对应于PUSH操作In-Interface：入接口。如果I/O-Label中有入标签,这个入接口也会有效。表明这条LSP的入口是什么。在本例中正好没有入接口。Out-Interface：出接口。指出本LSP的出接口是什么。也就是说如果报文属于这条LSP,将从这个接口发出。Prefix/Mask：相当于路由中的目的地址和掩码。也就是MPLS中的FEC。Next-Hop：对有些链路,比如以太网的链路,除了知道出接口外,还需要知道下一跳才可以正常转发。这个字段就是显示的下一跳。和路由中的下一跳意义相同。Token：这个字段表明了这条LSP在下行表中索引。Status：这个字段表明此LSP是否生效。如果不是Established,则表明不生效。也就是说执行displaymplslsp或者displaymplslspvpn-instance看不到这条LSP。Vpn-instance：这个字段表明此LSP是哪个VPN实例的,不同的VPN实例可能有相同的路由,因此在查看时一定要注意。公网的LSP没有这一项。3.7查看私网标签表查看方式一,可以看到学习的对端的和本端分配出去的标签。[Quidway]dispbgpvpnv4vpn-instancevpn1routing-table

Flags:

#-valid

^-active

I-internal

D-damped

H-history

S-aggregatesuppressed

In/out

As

Dest/mask

Next-hop

Med

Local-pref

label

path

----------------------------------------------------------------------------

RouteDistinguisher:65535:100<VPNinstance:vpn1>

#^

168.1.0.0

0.0.0.0

1040/0

[d4]#^I168.3.0.0

202.100.1.3

100

0/1024

[d5]查看方式二：[Quidway]dispmplslspvpn-instancevpn1

Total:

1Record<s>Matched

ID

:

1

I/O-Label

:

---/1024|1024[d6]

In-Interface

:

----------

Out-Interface:

Ethernet1/0/1

Prefix/Mask

:

168.3.0.0/16

Next-Hop

:

202.100.1.3

Vpn-instance

:

vpn1

1Record<s>Displayed

要求这两种查看方式查到的学习到对端的标签是相同的。3.8查看接口表的ＦＩＢ表项[Quidway-diag]dispefufib1168.3.0.016vpn1

Startdisplaylpufibonboard01...

Messagesendingsuccess.

[Quidway-diag]

IPaddress

=168.3.0.0

IPprefixLength

=16

VRFindex

=1

Signature

=0

ecmpThr1

=100

ecmpThr2

=0

nextHop[0]lsptoken=5

innerlabel=1024

[d7]

egressContext=0

tb=2tp=0x7subIndex=0

nextHop[0]actionFlags=0x00004010:

nextHop[0]isMPLS

nextHop[0]isWITH_BGP_LABEL

关于转发有问题的定位方法,请见"8011三层转发问题定位方法"此文档。4、实验配置及操作记录以下为一个完整的实验配置。以下记录中有做实验时最后查看的所有的操作记录,工程师由此可以详尽的了解一个完整所VPN的相关正确的表项,也可看到具体的操作命令的使用方法。相关的信息以及配置详见附件。5、MPLS的相关实用案例1.由于私网标签下发为空导致部分私网用户不通

SC00002240892.如何向某个VPN实例内发布缺省路由

SC00001962833.S8016中如何实现mplsvpn私网用户访问公网

SC00001604084.NE5000E设备与Alcatel设备的LDP协议无法互通

SC00001881425.NE80E和S8016对接mpls不能建立LDP会话

SC00001637846.