BGPMPLSVPN配置與故障排查.課件

1、BGP MPLS VPN配置與故障排查日期：杭州華三通信技術有限公司 版權所有，未經(jīng)授權不得使用與傳播第1頁，共37頁。理解了BGP MPLS VPN的基本原理以后，掌握BGP MPLS VPN技術的配置將是一件非常容易的事，BGP MPLS VPN技術的配置思路與其實現(xiàn)原理完全吻合，甚至其故障排查的思路也完全來源于其實現(xiàn)原理。引入第2頁，共37頁。課程目標學習完本課程，您應該能夠：了解BGP MPLS VPN主要配置掌握BGP MPLS VPN配置思路與步驟理解BGP MPLS VPN故障排查思路與步驟第3頁，共37頁。 BGP MPLS VPN配置思路 BGP MPLS VPN配置命令 B

2、GP MPLS VPN配置示例 BGP MPLS VPN故障排查目錄第4頁，共37頁。BGP MPLS VPN 配置思路BGP MPLS VPN的配置思路與對BGP MPLS VPN技術原理的理解一致，分為以下三個步驟： 配置公網(wǎng)隧道 配置本地VPN 配置MP-BGP第5頁，共37頁。 BGP MPLS VPN配置思路 BGP MPLS VPN配置命令 BGP MPLS VPN配置示例 BGP MPLS VPN故障排查目錄第6頁，共37頁。配置公網(wǎng)隧道配置本節(jié)點的LSR ID：系統(tǒng)模式下使能MPLS和MPLS LDP接口模式使能MPLS和MPLS LDPmpls lsr-id lsr-idmp

3、lsmpls ldpinterface interface-type interface-number mplsmpls ldp第7頁，共37頁。配置本地VPN創(chuàng)建VPN實例，進入VPN視圖：配置RD和RT配置接口與VPN實例綁定配置PE與CE之間的路由實例與VPN綁定，以OSPF為例：ip vpn-instance vpn-instance-nameroute-distinguisher route-distinguishervpn-target vpn-target& both | export-extcommunity | import-extcommunity interface in

4、terface-type interface-numberip binding vpn-instance vpn-instance-nameospf process-id | router-id router-id | vpn-instance vpn-instance-name 第8頁，共37頁。配置MP-BGP進入BGP-VPNv4子地址族視圖使能對等體交換BGP-VPNv4路由信息ipv4-family vpnv4peer group-name | ip-address enable第9頁，共37頁。BGP MPLS VPN配置思路BGP MPLS VPN配置命令BGP MPLS VPN

5、配置示例BGP MPLS VPN故障排查目錄第10頁，共37頁。網(wǎng)絡環(huán)境和需求VPN1CE3VPN1CE1公網(wǎng)PE2PVPN2VPN2CE2CE4Loopback0：1.1.1.3/32Loopback0：1.1.1.1/32100.0.0.1/30.2100.0.0.5/30.6192.168.1.1/30.2172.32.1.1/30192.168.2.1/30.2172.32.2.1/30.2用戶1：192.168.254.1/24E0/0E1/1E1/0E0/0PE1Loopback0：1.1.1.2/32組網(wǎng)需求：如上圖所示，公網(wǎng)上承載了兩個VPN用戶，VPN1和VPN2，VPN1內

6、部的用戶1和用戶3需要能夠互通，VPN2內部的用戶2和用戶4可以互通，但VPN1和VPN2的用戶之間不能互通，如用戶1不能和用戶2或者用戶4互通。用戶2：172.32.254.1/24用戶3：192.168.255.1/24用戶4：172.32.254.1/24AS 100E0/1.2E0/2E0/1E0/2第11頁，共37頁。配置公網(wǎng)隧道的步驟配置公網(wǎng)隧道分為兩步：配置公網(wǎng)IGP路由協(xié)議配置使能MPLS及MPLS LDP第12頁，共37頁。配置公網(wǎng)隧道步驟一配置公網(wǎng)IGP路由協(xié)議。PE1：router id 1.1.1.1 ospf 1 area 0.0.0.0 network 1.1.1.

7、1 0.0.0.0 network 100.0.0.1 0.0.0.3 P：router id 1.1.1.3 ospf 1 area 0.0.0.0 network 1.1.1.3 0.0.0.0 network 100.0.0.2 0.0.0.3 network 100.0.0.5 0.0.0.3 PE2：router id 1.1.1.2 ospf 1 area 0.0.0.0 network 1.1.1.2 0.0.0.0 network 100.0.0.6 0.0.0.3 目標：使所有PE和P設備可以互相學到32位loopback地址路由。IGP路由協(xié)議可以選擇OSPF、ISIS、甚

8、至靜態(tài)路由等等。以OSPF為例：PE1、P和PE2設備之間建立OSPF鄰居。 第13頁，共37頁。配置公網(wǎng)隧道步驟二配置使能MPLS及MPLS LDP。PE1：目標：所有PE和P設備之間建立LDPsession，建立起到達對端PE的LSP隧道需要在設備全局模式及公網(wǎng)接口上均使能MPLS及MPLS LDP系統(tǒng)模式： mpls lsr-id 1.1.1.1 mpls mpls ldp接口模式：interface Ethernet0/1 mpls mpls ldpP：系統(tǒng)模式： mpls lsr-id 1.1.1.3 mpls mpls ldp接口模式：interface Ethernet1/1 m

9、pls mpls ldpPE2：系統(tǒng)模式： mpls lsr-id 1.1.1.2 mpls mpls ldp接口模式：interface Ethernet0/0 mpls mpls ldp接口模式：interface Ethernet1/0 mpls mpls ldp第14頁，共37頁。配置本地VPN的步驟配置本地VPN分為三步：配置VPN，按照用戶互訪需求配置VPN的RD和RT配置私網(wǎng)接口與VPN的綁定配置PE和CE之間的路由協(xié)議第15頁，共37頁。配置本地VPN步驟一配置VPN，按照用戶互訪需求配置VPN的RD和RT此步配置需要仔細分析用戶互訪需求，設計各PE上每個VPN的RD和RT屬性

10、；根據(jù)本案例的組網(wǎng)需求設計做如下配置：PE1：ip vpn-instance vpn1 route-distinguisher 100:1 vpn-target 100:1 export-extcommunity vpn-target 100:1 import-extcommunity#ip vpn-instance vpn2 route-distinguisher 100:2 vpn-target 100:2 export-extcommunity vpn-target 100:2 import-extcommunityPE2：ip vpn-instance vpn1 route-disti

11、nguisher 100:1 vpn-target 100:1 export-extcommunity vpn-target 100:1 import-extcommunity#ip vpn-instance vpn2 route-distinguisher 100:2 vpn-target 100:2 export-extcommunity vpn-target 100:2 import-extcommunity第16頁，共37頁。配置本地VPN步驟二配置私網(wǎng)接口與VPN的綁定：將與對應用戶相連的接口與對應的VPN進行綁定；對端CE設備無需感知VPN的存在，僅需做普通的接口地址等配置。PE1

12、：interface Ethernet0/1 ip binding vpn-instance vpn1 ip address 192.168.1.1 255.255.255.252# interface Ethernet0/2 ip binding vpn-instance vpn2 ip address 172.32.1.1 255.255.255.252PE2：interface Ethernet0/1 ip binding vpn-instance vpn1 ip address 192.168.2.1 255.255.255.252# interface Ethernet0/2 ip

13、binding vpn-instance vpn2 ip address 172.32.2.1 255.255.255.252第17頁，共37頁。配置本地VPN步驟三配置PE和CE之間的路由協(xié)議目標：PE設備能學習到本端相連的用戶路由，如PE1學習到用戶1的路由，并能與用戶1互通；PE和相連的CE設備之間運行路由協(xié)議，其中PE設備上的路由協(xié)議需要與對應的VPN進行綁定，也就是運行路由協(xié)議多實例；路由協(xié)議可以選擇OSPF、ISIS、EBGP、RIP、靜態(tài)等；本例中以OSPF為例，且以PE1和CE1及CE2之間的配置為例：PE1：ospf 11 vpn-instance vpn1 area 0.0

14、.0.0 network 192.168.1.0 0.0.0.3#ospf 12 vpn-instance vpn2 area 0.0.0.0 network 172.32.1.0 0.0.0.3CE1：ospf 11 area 0.0.0.0 network 192.168.1.0 0.0.0.3 network 192.168.254.1 0.0.0.0CE2：ospf 12 area 0.0.0.0 network 172.32.1.0 0.0.0.3 network 172.32.254.1 0.0.0.0第18頁，共37頁。配置MP-BGP的步驟配置MP-BGP分為三步：配置PE之間

15、普通BGP鄰居配置PE之間MP-BGP鄰居配置本地VPN路由與MP-BGP之間的路由引入引出第19頁，共37頁。配置MP-BGP步驟一配置PE之間普通BGP鄰居目標：PE之間建立起普通的BGP鄰居關系；注意配置BGP建立鄰居的地址為PE的loopback地址，此舉的目的在于發(fā)布的私網(wǎng)路由的下一跳是PE的loopback地址;bgp 100 peer 1.1.1.2 as-number 100 peer 1.1.1.2 connect-interface LoopBack0PE1：bgp 100 peer 1.1.1.1 as-number 100 peer 1.1.1.1 connect-in

16、terface LoopBack0PE2：第20頁，共37頁。配置MP-BGP步驟二配置PE之間MP-BGP鄰居BGP鄰居只能傳遞普通的IPv4路由，建立起MP-BGP才能傳遞BGP MPLS VPN的私網(wǎng)路由，也就是VPNv4路由但建立MP-BGP鄰居的前提是PE之間已經(jīng)建立普通的BGP鄰居建立MP-BGP鄰居的方法是，進入BGP VPNv4 族，使能對應的BGP鄰居bgp 100 ipv4-family vpnv4 peer 1.1.1.2 enablePE1：bgp 100 ipv4-family vpnv4 peer 1.1.1.1 enablePE2：第21頁，共37頁。配置MP-B

17、GP步驟三配置本地VPN路由與MP-BGP之間的路由相互引入本地的私網(wǎng)路由需要引入BGP，才能通過BGP傳給遠端CE；通過BGP學習到的遠端私網(wǎng)路由需要引入本地PE與CE之間的路由協(xié)議，才能傳遞給本地的CE。以PE1為例，PE2與之對稱不做重復：bgp 100 ipv4-family vpn-instance vpn1 import-route direct import-route ospf 11 # ipv4-family vpn-instance vpn2 import-route direct import-route ospf 12ospf 11 vpn-instance vpn1

18、import-route bgp#ospf 12 vpn-instance vpn2 import-route bgpPE1：第22頁，共37頁。 BGP MPLS VPN配置思路 BGP MPLS VPN配置命令 BGP MPLS VPN配置示例 BGP MPLS VPN故障排查目錄第23頁，共37頁。BGP MPLS VPN故障排查思路BGP MPLS VPN的故障排查的思路與BGP MPLS VPN的原理也是統(tǒng)一的，當BGP MPLS VPN的網(wǎng)絡出現(xiàn)兩個私網(wǎng)用戶之間無法互通，可以按照下面的思路進行排查： 排查公網(wǎng)隧道是否存在 排查本地VPN建立是否符合要求 排查MP-BGP私網(wǎng)路由傳遞

19、是否正確第24頁，共37頁。公網(wǎng)隧道故障排查步驟排查公網(wǎng)隧道故障分為以下三步檢查公網(wǎng)路由學習是否正確檢查公網(wǎng)設備之間的MPLS LDP鄰居關系是否正常檢查到達對端PE的loopback地址的公網(wǎng)隧道是否存在第25頁，共37頁。公網(wǎng)隧道故障排查步驟一檢查公網(wǎng)路由學習是否正確根據(jù)所選擇的公網(wǎng)IGP路由協(xié)議，檢查公網(wǎng)設備之間的IGP路由鄰居關系是否正確；在PE上檢查是否存在到達對端PE的loopback地址的32位掩碼的明細路由，以PE1為例：bgp 100dis ip routing-table Routing Tables: Public Destinations : 11 Routes : 1

20、1Destination/Mask Proto Pre Cost NextHop Interface 1.1.1.1/32 Direct 0 0 127.0.0.1 InLoopBack0 1.1.1.2/32 OSPF 10 3 100.0.0.2 Ethernet0/0 1.1.1.3/32 OSPF 10 2 100.0.0.2 Ethernet0/0 100.0.0.0/30 Direct 0 0 100.0.0.1 Ethernet0/0 100.0.0.1/32 Direct 0 0 127.0.0.1 InLoopBack0 100.0.0.4/30 OSPF 10 2 100.

21、0.0.2 Ethernet0/0 127.0.0.0/8 Direct 0 0 127.0.0.1 InLoopBack0 127.0.0.1/32 Direct 0 0 127.0.0.1 InLoopBack0PE1：第26頁，共37頁。公網(wǎng)隧道故障排查步驟二檢查公網(wǎng)設備之間的MPLS LDP鄰居關系是否正常LDP鄰居建立完成后，正確的狀態(tài)應該處于Operational；如果不能到達Operational狀態(tài)，則應進一步確認LDP配置，或深入排查LDP鄰居建立過程的故障所在。R8(PE1)dis mpls ldp session LDP Session(s) in Public Netw

22、ork - Peer-ID Status LAM SsnRole SsnAge KA-Sent/Rcv - 59.0.0.3:0 Operational DU Passive 000:00:00 2/2 - LAM : Label Advertisement Mode SsnAge Unit : DDD:HH:MMPE1：第27頁，共37頁。公網(wǎng)隧道故障排查步驟三檢查公網(wǎng)隧道是否存在如果公網(wǎng)IGP和LDP均正常，PE之間的應建立起到達對方loopback地址的MPLS隧道；隧道是單向的，需要在每臺PE上分別查詢：PE1dis mpls ldp lsp LDP LSP Information -

23、 SN DestAddress/Mask In/OutLabel Next-Hop In/Out-Interface - 1 1.1.1.1/32 3/NULL 127.0.0.1 Eth0/0/InLoop0 2 1.1.1.2/32 NULL/1024 100.0.0.2 -/Eth0/0 3 1.1.1.3/32 NULL/3 100.0.0.2 -/Eth0/0PE1：PE2dis mpls ldp lsp LDP LSP Information - SN DestAddress/Mask In/OutLabel Next-Hop In/Out-Interface - 1 1.1.1.

24、1/32 NULL/1025 100.0.0.5 -/Eth0/0 2 1.1.1.2/32 3/NULL 127.0.0.1 Eth0/0/InLoop0 3 1.1.1.3/32 NULL/3 100.0.0.5 -/Eth0/0PE2：第28頁，共37頁。 排查本地VPN故障排查本地VPN故障分為兩步檢查確認對應VPN的私網(wǎng)路由鄰居建立是否正常；檢查PE與本地CE之間的路由學習是否正確；第29頁，共37頁。 排查本地VPN故障（續(xù)）檢查確認對應VPN的私網(wǎng)路由鄰居建立是否正常；首先在PE上查看與對應用戶相連的接口狀態(tài)應該處于UP并與對應的VPN實例綁定；按照本例如果PE與CE之間采用OS

25、PF路由協(xié)議，可查看對應的OSPF實例路由鄰居是否建立成功：dis ospf 11 peerOSPF Process 11 with Router ID 192.168.1.1 Neighbors Area 0.0.0.0 interface 192.168.1.1(Ethernet1/0/0)s neighbors Router ID: 192.168.254.1 Address: 192.168.1.2 GR State: Normal State: Full Mode:Nbr is Master Priority: 1 DR: 192.168.1.1 BDR: 192.168.1.2 M

26、TU: 0 Dead timer due in 28 sec Neighbor is up for 00:04:49 Authentication Sequence: 0 PE1：第30頁，共37頁。 排查本地VPN故障（續(xù)）檢查PE與本地CE之間的路由學習是否正確；在PE上檢查是否學習到本地CE及用戶的路由信息；無論PE與CE之間采用何種路由協(xié)議，重點在于PE能學習到本地用戶的路由信息，以PE1的VPN1為例，PE1可以學習到用戶1的路由，如下：dis ip routing-table vpn-instance vpn1Routing Tables: vpn1 Destinations :

27、5 Routes : 5Destination/Mask Proto Pre Cost NextHop Interface 192.168.1.0/30 Direct 0 0 192.168.1.1 Ethernet1/0/0 192.168.1.1/32 Direct 0 0 127.0.0.1 InLoopBack0 192.168.1.3/32 Direct 0 0 127.0.0.1 InLoopBack0 192.168.254.1/32 OSPF 10 2 192.168.1.2 Ethernet1/0/0255.255.255.255/32 Direct 0 0 127.0.0.

28、1 InLoopBack0PE1：第31頁，共37頁。排查MP-BGP私網(wǎng)路由傳遞故障排查MP-BGP私網(wǎng)路由傳遞故障分為以下三步：檢查PE之間MP-BGP鄰居是否建立成功；檢查PE是否學習到遠端用戶的私網(wǎng)路由；檢查CE是否學習到遠端用戶的私網(wǎng)路由；第32頁，共37頁。排查MP-BGP私網(wǎng)路由傳遞故障（續(xù)）檢查PE之間MP-BGP鄰居是否建立成功；建立MP-BGP鄰居的前提是PE之間首先建立普通的BGP鄰居；如果MP-BGP鄰居未能正常建立，檢查對應的MP-BGP配置是否正確。dis bgp peer BGP local router ID : 1.1.1.1 Local AS number

29、: 100 Total number of peers : 1 Peers in established state : 1 Peer V AS MsgRcvd MsgSent OutQ Up/Down State PrefRcv 1.1.1.2 4 100 3 2 0 00:00:10 Established 0dis bgp vpnv4 all peer BGP local router ID : 1.1.1.1 Local AS number : 37937 Total number of peers : 1 Peers in established state : 1 Peer V A

30、S MsgRcvd MsgSent OutQ Up/Down State PrefRcv 1.1.1.2 4 100 3 2 0 00:00:18 Established 0PE1：第33頁，共37頁。排查MP-BGP私網(wǎng)路由傳遞故障（續(xù)）檢查PE是否學習到遠端用戶的私網(wǎng)路由；在PE上檢查是否學習到本地CE及用戶的路由信息；PE之間建立起MP-BGP鄰居后具備了互相傳遞私網(wǎng)路由的能力；但此時需要將本地的私網(wǎng)路由引入BGP，BGP才能將這些引入的路由傳遞給對端，結果可以在PE上檢查到對端用戶的私網(wǎng)路由。dis ip routing-table vpn-instance vpn1Routing Tables: vpn1 Destinations : 7 Routes : 7Destination/Mask Proto Pre Cost NextHop Interface 192.168.1