Como solucionar problemas de MPLS VPN
Contents
Introduction
Este documento mostra como solucionar problemas do documento Configurando uma VPN MPLS básica. Recomendamos que você leia este exemplo de configuração e veja o diagrama de rede antes de usar este documento.
A configuração de uma VPN MPLS básica mostra uma rede de backbone MPLS totalmente funcional, o que significa que os roteadores de borda do provedor (PE) podem se alcançar através do backbone. Consulte a página de suporte de verificação e solução de problemas de MPLS para obter informações sobre como solucionar problemas de uma rede MPLS.
Antes de estabelecer uma VPN de MPLS, é preciso fazer ping do roteador A (10.10.10.4) de PE no roteador B (10.10.10.6) de PE e vice-versa.
Lembre-se de que os nomes da instância de roteamento/encaminhamento de VPN (VRF) diferenciam maiúsculas de minúsculas, por exemplo, Customer_A não é o mesmo que customer_a.
Prerequisites
Requirements
Os leitores deste documento devem estar familiarizados com:
Componentes Utilizados
Este documento não se restringe a versões de software e hardware específicas.
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.
Conventions
For more information on document conventions, refer to the Cisco Technical Tips Conventions.
Troubleshooting de Configurações VRF
show ip vrf [vrf-name]
O comando show ip vrf [vrf-name] mostra um resumo de todos os VRFs presentes no roteador atual e seus respectivos identificadores de rota e interface(s) associados.
Pesaro# show ip vrf
Name Default RD Interfaces
Customer_A 100:101 Loopback101
Loopback111
Customer_B 100:102 Loopback102
Esse comando permite verificar:
-
A configuração dos VRFs (e seus nomes).
-
Que cada RD (distinguidor de rota) é igual em cada PE envolvido.
show ip vrf [{detail | interfaces}] vrf-name
O comando show ip vrf [{detail | interfaces}] vrf-name mostra configurações detalhadas sobre o VRF.
Pesaro# show ip vrf detail Customer_A
VRF Customer_A; default RD 100:101
Interfaces:
Loopback101 Loopback111
Connected addresses are not in global routing table
Export VPN route-target communities
RT:100:1001
Import VPN route-target communities
RT:100:1001
No import route-map
No export route-map
Pesaro# show ip vrf interfaces
Interface IP-Address VRF Protocol
Loopback101 200.0.6.1 Customer_A up
Loopback111 200.1.6.1 Customer_A up
Loopback102 200.0.6.1 Customer_B up
Esses comandos permitem verificar:
-
Que os endereços conectados não estão na tabela de roteamento global.
-
Os atributos de roteamento de cada VRF. O que é exportado em um lado deve ser importado em outro lugar.
-
O status de interface (e endereços IP) das interfaces.
Informações de Roteamento
Use os mesmos comandos usados para verificar a tabela de roteamento global com as extensões mostradas nesta seção para verificar tabelas de roteamento ou bancos de dados de protocolo de roteamento.
Routing Table
Para verificar a tabela de roteamento, adicione a extensão vrf [vrf-name] ao comando show ip route para verificar a tabela de roteamento, como mostrado aqui:
Pescara# show ip route vrf Customer_A
Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
i - IS-IS, L1 - ISIS level-1, L2 - ISIS level-2, ia - ISIS inter area
* - candidate default, U - per-user static route, o - ODR
P - periodic downloaded static route
Gateway of last resort is not set
B 200.0.6.0/24 [200/0] via 10.10.10.6, 00:42:14
B 200.1.6.0/24 [200/0] via 10.10.10.6, 00:42:14
C 200.0.4.0/24 is directly connected, Loopback101
Você também pode usar o comando show ip route vrf Customer_A 1.2.3.4 para verificar o destino de um endereço específico.
BGP
O Border Gateway Protocol (BGP) é usado entre os roteadores PE e é necessário para conectividade entre locais. Neste exemplo, usamos o BGP interno (iBGP). Você também pode usar o BGP externo (eBGP) como um protocolo de roteamento externo para propagação de rota PE-CE.
Você pode usar estes comandos para solucionar problemas do BGP:
-
show ip bgp neighbors
-
show ip bgp vpnv4 all (ou show ip bgp vpnv4 vrf [VRF name])
-
show ip bgp vpnv4 vrf VRF name tags (este comando é específico para VPN/MPLS)
-
show ip bgp vpnv4 vrf VRF name A.B.C.D
Por exemplo:
Pescara# show ip bgp vpnv4 vrf Customer_A BGP table version is 40, local router ID is 10.10.10.4 Status codes: s suppressed, d damped, h history, * valid, > best, i - internal Origin codes: i - IGP, e - EGP, ? - incomplete Network Next Hop Metric LocPrf Weight Path Route Distinguisher: 100:101 (default for vrf Customer_A) *>i200.0.6.0 10.10.10.6 0 100 0 ? *> 200.0.4.0 0.0.0.0 0 32768 ? *>i200.1.6.0 10.10.10.6 0 100 0 ?
Consulte as Páginas de Suporte do BGP para obter mais informações sobre Troubleshooting de BGP.
PE-CE Routing Protocol
Se o protocolo de roteamento usado no lado do cliente não for o BGP, você poderá usar os comandos show tradicionais e aplicá-los ao VRF correto.
Use o comando show ip rip database vrf [VRF name] se você usa o Routing Information Protocol (RIP). Por exemplo:
Alcazaba# show ip rip database vrf vrf101
0.0.0.0/0 auto-summary
0.0.0.0/0
[2] via 150.150.0.2, 00:00:12, Ethernet1/1
6.0.0.0/8 auto-summary
6.6.6.6/32 redistributed
[1] via 223.0.0.21,
7.0.0.0/8 auto-summary
7.7.7.0/24
[1] via 150.150.0.2, 00:00:12, Ethernet1/1
10.0.0.0/8 auto-summary
10.0.0.0/8 redistributed
[1] via 125.2.2.2,
10.0.0.0/16
[1] via 150.150.0.2, 00:00:12, Ethernet1/1
10.200.8.0/22
Use o comando show ip ospf [process-id area-id] database e especifique o número correto do processo se você usar o OSPF. Por exemplo:
Alcazaba# show ip ospf 2 database
OSPF Router with ID (222.0.0.10) (Process ID 2)
Router Link States (Area 1)
Link ID ADV Router Age Seq# Checksum Link count
222.0.0.1 222.0.0.1 1364 0x80000013 0x7369 3
222.0.0.10 222.0.0.10 1363 0x80000002 0xFEFE 2
Net Link States (Area 1)
Link ID ADV Router Age Seq# Checksum
150.150.0.1 222.0.0.10 1363 0x80000001 0xEC6D
Summary Net Link States (Area 1)
Link ID ADV Router Age Seq# Checksum
6.6.6.6 222.0.0.10 1328 0x80000001 0x4967
69.69.0.0 222.0.0.10 1268 0x80000001 0x2427
222.0.0.3 222.0.0.10 1328 0x80000001 0xEEF7
222.0.0.30 222.0.0.10 1268 0x80000001 0x7B5A
Esse comando permite verificar:
-
Se a tabela de roteamento estiver correta (do ponto de vista do cliente) ou o que está faltando na tabela de roteamento.
-
Que o BGP está ativo e funcionando (ou você pode ver qual vizinho está ausente).
Rótulos
A VPN MPLS usa uma pilha de rótulos de dois níveis. Um dos rótulos é usado para identificar o VRF e é configurado entre os dois PEs. O outro rótulo (no topo da pilha) é o rótulo de backbone, definido pela rede MPLS padrão.
Você pode usar o comando traceroute VRF [vrf-name] A.B.C.B para verificar rótulos de transporte.
Observação: esse comando só funciona com um traceroute compatível com MPLS, se os roteadores de backbone estiverem configurados para propagar e gerar informações de Tempo de Vida (TTL - IP Time to Live). Consulte a documentação no comando mpls ip propagate-ttl para obter mais informações.
Pesaro# traceroute vrf Customer_B 200.0.4.1 Type escape sequence to abort. Tracing the route to 200.0.4.1 1 10.1.1.21 [MPLS: Labels 25/28 Exp 0] 464 msec 280 msec 308 msec 2 10.1.1.5 [MPLS: Labels 22/28 Exp 0] 236 msec 572 msec 228 msec 3 200.0.4.1 108 msec * 100 msec
A ausência do 10.1.1.14 neste traceroute é normal devido à arquitetura de MPLS/VPN.
Você pode usar o comando show ip bgp vpnv4 all tags para obter uma saída mais precisa, como a tabela de rótulos de um VRF específico, por exemplo:
Pescara# show ip bgp vpnv4 all tags Network Next Hop In tag/Out tag Route Distinguisher: 100:101 (Customer_A) 200.0.6.0 10.10.10.6 notag/28 200.0.4.0 0.0.0.0 16/aggregate(Customer_A) 200.1.6.0 10.10.10.6 notag/29 Route Distinguisher: 100:102 (Customer_B) 200.0.6.0 10.10.10.6 notag/30 200.0.4.0 0.0.0.0 28/aggregate(Customer_B)
Você também pode usar o tradicional comando show ip cef:
Pescara# show ip cef vrf Customer_B detail
IP CEF with switching (Table Version 10), flags=0x0
8 routes, 0 reresolve, 0 unresolved (0 old, 0 new)
46 leaves, 51 nodes, 54640 bytes, 361 inserts, 315 invalidations
0 load sharing elements, 0 bytes, 0 references
universal per-destination load sharing algorithm, id F968AD29
5 CEF resets, 38 revisions of existing leaves
refcounts: 1400 leaf, 1392 node
Adjacency Table has 2 adjacencies
0.0.0.0/32, version 0, receive
200.0.6.0/24, version 9, cached adjacency to Serial0/1.1
0 packets, 0 bytes
tag information set
local tag: VPN-route-head
fast tag rewrite with Se0/1.1, point2point, tags imposed: {20 30}
via 10.10.10.6, 0 dependencies, recursive
next hop 10.1.1.13, Serial0/1.1 via 10.10.10.6/32
valid cached adjacency
tag rewrite with Se0/1.1, point2point, tags imposed: {20 30}
200.0.4.0/24, version 6, attached, connected
0 packets, 0 bytes
tag information set
local tag: 28
via Loopback102, 0 dependencies
valid discard adjacency
tag rewrite with , , tags imposed: {}
200.0.4.0/32, version 4, receive
200.0.4.1/32, version 3, receive
200.0.4.255/32, version 5, receive
224.0.0.0/24, version 2, receive
255.255.255.255/32, version 1, receive
Esse comando permite verificar:
-
Essas etiquetas são efetivamente usadas.
-
Que uma pilha de (pelo menos) dois rótulos é usada para destinos VPN.
Teste
Você pode usar o comando ping para verificar se o VRF funciona, mas se estiver em um roteador PE, você deve indicar o nome específico do VRF.
Pescara# ping vrf Customer_A 200.0.6.1 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 200.0.6.1, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 176/264/576 ms
Informações Relacionadas
Histórico de revisões
| Revisão | Data de publicação | Comentários |
|---|---|---|
1.0 |
16-Nov-2007 |
Versão inicial |
Feedback