Fehlerbehebung für MPLS-VPN

Einführung

In diesem Dokument wird die Fehlerbehebung im Dokument Konfigurieren eines einfachen MPLS-VPN-Dokuments beschrieben. Wir empfehlen, diese Beispielkonfiguration zu lesen und das Netzwerkdiagramm anzuzeigen, bevor Sie dieses Dokument verwenden.

Die Konfiguration eines MPLS-VPNs mit einfacher MPLS-Konfiguration zeigt ein voll funktionsfähiges MPLS-Backbone-Netzwerk, das es den PE-Routern (Provider Edge) ermöglicht, sich über den Backbone gegenseitig zu erreichen. Auf der Support-Seite für MPLS-Verifizierung und -Fehlerbehebung finden Sie Informationen zur Fehlerbehebung in einem MPLS-Netzwerk.

Bevor Sie ein MPLS-VPN einrichten, müssen Sie in der Lage sein, vom PE-Router B (10.10.10.4) einen Ping an den PE-Router A (10.10.10.6) und umgekehrt zu senden.

Beachten Sie, dass die Namen der VPN-Routing-/Weiterleitungsinstanz (VRF) Groß- und Kleinschreibung beachten. Beispiel: Customer_A ist nicht dasselbe wie customer_a.

Voraussetzungen

Anforderungen

Die Leser dieses Dokuments sollten mit folgenden Aspekten vertraut sein:

• Konfigurieren eines einfachen MPLS-VPN

Verwendete Komponenten

Dieses Dokument ist nicht auf bestimmte Software- und Hardwareversionen beschränkt.

Die Informationen in diesem Dokument wurden von den Geräten in einer bestimmten Laborumgebung erstellt. Alle in diesem Dokument verwendeten Geräte haben mit einer leeren (Standard-)Konfiguration begonnen. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die potenziellen Auswirkungen eines Befehls verstehen.

Konventionen

Weitere Informationen zu Dokumentkonventionen finden Sie in den Cisco Technical Tips Conventions.

Fehlerbehebung bei VRF-Konfigurationen

show ip vrf [vrf-name]

Der Befehl show ip vrf [vrf-name] gibt eine Zusammenfassung aller VRF-Instanzen des aktuellen Routers und der zugehörigen Route Distinguisher und Schnittstellen an.

Pesaro# show ip vrf 
  Name                             Default RD          Interfaces
  Customer_A                       100:101             Loopback101
                                                       Loopback111
  Customer_B                       100:102             Loopback102

Mit diesem Befehl können Sie Folgendes überprüfen:

• Die Konfiguration von VRFs (und deren Namen).

• Jeder Route Distinguisher (RD) ist für jeden betroffenen PE identisch.

show ip vrf [{detail | interfaces}] VRF-Name

Das show ip vrf [{detail] | interfaces}] VRF-Name-Befehl zeigt detaillierte Konfigurationen der VRF-Instanz an.

Pesaro# show ip vrf detail Customer_A
VRF Customer_A; default RD 100:101
  Interfaces:
    Loopback101              Loopback111             
  Connected addresses are not in global routing table
  Export VPN route-target communities
    RT:100:1001             
  Import VPN route-target communities
    RT:100:1001             
  No import route-map
  No export route-map

Pesaro# show ip vrf interfaces
Interface              IP-Address      VRF              Protocol
Loopback101            200.0.6.1       Customer_A       up      
Loopback111            200.1.6.1       Customer_A       up      
Loopback102            200.0.6.1       Customer_B       up

Mithilfe dieser Befehle können Sie Folgendes überprüfen:

• Die verbundenen Adressen befinden sich nicht in der globalen Routing-Tabelle.

• Die Routing-Attribute jeder VRF-Instanz. Was auf einer Seite exportiert wird, sollte woanders importiert werden.

• Der Schnittstellenstatus (und die IP-Adressen) der Schnittstellen.

Routing-Informationen

Verwenden Sie die gleichen Befehle, mit denen Sie die globale Routing-Tabelle mit den in diesem Abschnitt gezeigten Erweiterungen überprüfen, um Routing-Tabellen oder Routing-Protokoll-Datenbanken zu überprüfen.

Routing-Tabelle

Um die Routing-Tabelle zu überprüfen, fügen Sie den Befehl show ip route vrf [vrf-name] zur Überprüfung der Routing-Tabelle die Erweiterung zum Befehl show ip route hinzu, wie hier gezeigt:

Pescara# show ip route vrf Customer_A
Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area 
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
       i - IS-IS, L1 - ISIS level-1, L2 - ISIS level-2, ia - ISIS inter area
       * - candidate default, U - per-user static route, o - ODR
       P - periodic downloaded static route

Gateway of last resort is not set

B    200.0.6.0/24 [200/0] via 10.10.10.6, 00:42:14
B    200.1.6.0/24 [200/0] via 10.10.10.6, 00:42:14
C    200.0.4.0/24 is directly connected, Loopback101

Sie können auch den Befehl show ip route vrf Customer_A 1.2.3.4 verwenden, um das Ziel für eine bestimmte Adresse zu überprüfen.

BGP

Border Gateway Protocol (BGP) wird zwischen den PE-Routern verwendet und ist für die standortübergreifende Anbindung erforderlich. In diesem Beispiel wird internes BGP (iBGP) verwendet. Sie können auch externes BGP (eBGP) als externes Routing-Protokoll für die PE-CE-Routenpropagierung verwenden.

Sie können die folgenden Befehle zur Fehlerbehebung für BGP verwenden:

• show ip bgp neighbors

• show ip bgp vpnv4 all (oder show ip bgp vpnv4 vrf [VRF-Name])

• show ip bgp vpnv4 vrf VRF-Name-Tags (dieser Befehl ist VPN/MPLS-spezifisch)

• show ip bgp vpnv4 vrf VRF-Name A.B.C.D

Beispiel:

Pescara# show ip bgp vpnv4 vrf Customer_A
BGP table version is 40, local router ID is 10.10.10.4
Status codes: s suppressed, d damped, h history, * valid, > best, i - internal
Origin codes: i - IGP, e - EGP, ? - incomplete

   Network          Next Hop            Metric LocPrf Weight Path
Route Distinguisher: 100:101 (default for vrf Customer_A)
*>i200.0.6.0        10.10.10.6               0    100      0 ?
*> 200.0.4.0        0.0.0.0                  0         32768 ?
*>i200.1.6.0        10.10.10.6               0    100      0 ?

Auf den BGP-Support-Seiten finden Sie weitere Informationen zur Behebung von BGP-Problemen.

PE-CE-Routing-Protokoll

Wenn das auf Kundenseite verwendete Routing-Protokoll kein BGP ist, können Sie herkömmliche Show-Befehle verwenden und auf das richtige VRF anwenden.

Verwenden Sie den Befehl show ip rip database vrf [VRF name], wenn Sie Routing Information Protocol (RIP) verwenden. Beispiel:

Alcazaba# show ip rip database vrf vrf101
       0.0.0.0/0 auto-summary  
       0.0.0.0/0
       [2] via 150.150.0.2, 00:00:12, Ethernet1/1
       6.0.0.0/8 auto-summary
       6.6.6.6/32 redistributed
       [1] via 223.0.0.21,
       7.0.0.0/8 auto-summary
       7.7.7.0/24
       [1] via 150.150.0.2, 00:00:12, Ethernet1/1 
       10.0.0.0/8 auto-summary
       10.0.0.0/8 redistributed
       [1] via 125.2.2.2,
       10.0.0.0/16
       [1] via 150.150.0.2, 00:00:12, Ethernet1/1 
       10.200.8.0/22

Verwenden Sie den Befehl show ip ospf [process-id area-id] database, und geben Sie die richtige Prozessnummer an, wenn Sie OSPF verwenden. Beispiel:

Alcazaba# show ip ospf 2 database
       
                  OSPF Router with ID (222.0.0.10) (Process ID 2)
       
                      Router Link States (Area 1)
       
      Link ID         ADV Router      Age         Seq#       Checksum Link count
      222.0.0.1       222.0.0.1       1364        0x80000013 0x7369   3
      222.0.0.10      222.0.0.10      1363        0x80000002 0xFEFE   2
       
                      Net Link States (Area 1)
       
      Link ID         ADV Router      Age         Seq#       Checksum
      150.150.0.1     222.0.0.10      1363        0x80000001 0xEC6D  
       
                      Summary Net Link States (Area 1)
       
      Link ID         ADV Router      Age         Seq#       Checksum
      6.6.6.6         222.0.0.10      1328        0x80000001 0x4967  
      69.69.0.0       222.0.0.10      1268        0x80000001 0x2427  
      222.0.0.3       222.0.0.10      1328        0x80000001 0xEEF7  
      222.0.0.30      222.0.0.10      1268        0x80000001 0x7B5A

Mit diesem Befehl können Sie Folgendes überprüfen:

• Wenn die Routing-Tabelle korrekt ist (aus Kundensicht) oder was in der Routing-Tabelle fehlt.

• Dieses BGP funktioniert (oder Sie sehen, welcher Nachbar fehlt).

Etiketten

MPLS VPN verwendet einen zweistufigen Label-Stack. Eines der Labels wird zur Identifizierung der VRF-Instanz verwendet und zwischen den beiden PEs eingerichtet. Das andere Label (oben im Stack) ist das vom Standard-MPLS-Netzwerk eingerichtete "Backbone"-Label.

Sie können den Befehl traceroute VRF [vrf-name] A.B.C.B zum Überprüfen von Transportetiketten verwenden.

Hinweis: Dieser Befehl funktioniert nur mit einem MPLS-kompatiblen Traceroute, wenn die Backbone-Router so konfiguriert sind, dass sie Informationen zur IP-Zeit bis zum Live-Zugriff (TTL) weitergeben und generieren. Weitere Informationen finden Sie in der Dokumentation des Befehls mpls ip propagate-ttl.

Pesaro# traceroute vrf Customer_B 200.0.4.1

Type escape sequence to abort.
Tracing the route to 200.0.4.1

  1 10.1.1.21 [MPLS: Labels 25/28 Exp 0] 464 msec 280 msec 308 msec
  2 10.1.1.5 [MPLS: Labels 22/28 Exp 0] 236 msec 572 msec 228 msec
  3 200.0.4.1 108 msec *  100 msec

Das Fehlen von 10.1.1.14 in dieser Traceroute ist aufgrund der MPLS/VPN-Architektur normal.

Sie können den Befehl show ip bgp vpnv4 all tags verwenden, um eine präzisere Ausgabe zu erhalten, z. B. die Label-Tabelle für eine bestimmte VRF-Instanz:

Pescara# show ip bgp vpnv4 all tags
   Network          Next Hop      In tag/Out tag
Route Distinguisher: 100:101 (Customer_A)
   200.0.6.0        10.10.10.6      notag/28
   200.0.4.0        0.0.0.0         16/aggregate(Customer_A)
   200.1.6.0        10.10.10.6      notag/29
Route Distinguisher: 100:102 (Customer_B)
   200.0.6.0        10.10.10.6      notag/30
   200.0.4.0        0.0.0.0         28/aggregate(Customer_B)

Sie können auch den traditionellen Befehl show ip cef verwenden:

Pescara# show ip cef vrf Customer_B detail 
IP CEF with switching (Table Version 10), flags=0x0
  8 routes, 0 reresolve, 0 unresolved (0 old, 0 new)
  46 leaves, 51 nodes, 54640 bytes, 361 inserts, 315 invalidations
  0 load sharing elements, 0 bytes, 0 references
  universal per-destination load sharing algorithm, id F968AD29
  5 CEF resets, 38 revisions of existing leaves
  refcounts:  1400 leaf, 1392 node

Adjacency Table has 2 adjacencies
0.0.0.0/32, version 0, receive
200.0.6.0/24, version 9, cached adjacency to Serial0/1.1
0 packets, 0 bytes
  tag information set
    local tag: VPN-route-head
    fast tag rewrite with Se0/1.1, point2point, tags imposed: {20 30}
  via 10.10.10.6, 0 dependencies, recursive
    next hop 10.1.1.13, Serial0/1.1 via 10.10.10.6/32
    valid cached adjacency
    tag rewrite with Se0/1.1, point2point, tags imposed: {20 30}
200.0.4.0/24, version 6, attached, connected
0 packets, 0 bytes
  tag information set
    local tag: 28
  via Loopback102, 0 dependencies
    valid discard adjacency
    tag rewrite with , , tags imposed: {}
200.0.4.0/32, version 4, receive
200.0.4.1/32, version 3, receive
200.0.4.255/32, version 5, receive
224.0.0.0/24, version 2, receive
255.255.255.255/32, version 1, receive

Mit diesem Befehl können Sie Folgendes überprüfen:

• dass Etiketten effektiv verwendet werden.

• Für VPN-Ziele wird ein Stack von (mindestens) zwei Labels verwendet.

Test

Sie können den Befehl ping verwenden, um zu überprüfen, ob die VRF-Instanz funktioniert. Wenn Sie sich jedoch auf einem PE-Router befinden, müssen Sie den spezifischen VRF-Namen angeben.

Pescara# ping vrf Customer_A 200.0.6.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 200.0.6.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 176/264/576 ms

Zugehörige Informationen

• MPLS-Support-Seite
• Support-Seite für IP-Routing
• Technischer Support - Cisco Systems