MPLS VPN分為二層MPLS VPN和三層MPLS VPN兩種。二層MPLS VPN適合于能自行組建三層網絡的大型企業;三層MPLS VPN適合于維護路由等復雜工作交由運營商負責的中小企業。本文簡單介紹三層MPLS VPN的組網及其故障處理。
1 三層MPLS VPN簡介
三層MPLS VPN又稱BGP MPLS VPN,是一種基于路由方式的MPLS VPN解決方案。IETF RFC 2547中對該技術做了規定。
三層MPLS VPN的網絡結構,主要由PE(Provider Edge Device,運營商邊緣設備)、P(Provide Device,運營商設備)和CE(Customer Edge Device,用戶邊緣設備)3種設備組成。
下面簡要介紹上述設備所實現的功能。
CE:通過連接到PE的數據鏈路為用戶提供網絡服務,CE與PE建立鄰接關系,將本地的VPN路由廣播給PE,并從PE學習遠端VPN路由。
PE:維護與之相連站點的VPN路由,為每個VPN建立一個VRF(Virtual Route Forwarding Table,虛擬路由轉發表)。在從CE那里學習到本地路由信息后,PE使用IBGP與其它PE路由器交換VPN路由信息。同時,在VPN業務穿越骨干網時,入口/出口PE分別相當于入口/出口LSR(Lable Switch Router,標簽交換路由器),需要為IP包進行封裝/解封裝。
P:運營商網絡中不直接連接CE的路由器,僅負責MPLS標簽的交換,不需要維護VPN路由信息。
三層MPLS VPN通過多協議擴展BGP(MP-iBGP)承載攜帶標簽的VPN IPv4路由信息。每個VRF通過配置響應策略來規定各VPN可以接收和向外發布站點的路由信息。每個PE根據BGP擴展發布的信息進行路由計算,生成并維護VPN路由表。
2 三層MPLS VPN故障的排除
三層MPLS VPN的故障主要可歸納為路由信息方面的故障和MPLS數據流方面的故障兩種。下面以Cisco路由器為例,簡單介紹如何排除三層MPLS VPN故障。 2.1 路由信息方面故障的處理
我們可以采用逐步排除法來解決路由信息方面的故障,,即根據三層MPLS VPN路由的交換過程逐步排查,最后確定故障所在位置。我們把這種故障處理的流程大致分成7步。
以下是各個步驟具體所要執行的操作。
(1) 在PE-1上使用命令“show ip route vrf name”驗證PE-1是否收到CE-1的路由信息。若收到了來自CE-1的路由信息,則轉到步驟(2);否則,采用傳統的路由排障方法查找PE與CE之間的物理層或路由協議(PE與CE之間可運行各種路由協議,如RIP、OSPF、eBGP或靜態路由協議)是否有問題。
(2) 在PE-1上使用命令“show ip bgp vpnv4 vrf name”驗證該路由是否正確地發布到MP-BGP中并帶有正確的擴展屬性。若正確,則轉到步驟(3);否則,可確定路由的重發布等方面存在問題(可使用“debug ip bgp”等命令排障)。
(3) 在PE-2上使用命令“show ip bgp vpnv4 all”驗證其它VPNv4路由是否已通過MP-iBGP傳送過來。若已經收到了其它VPNv4的路由信息,則轉到步驟
(4);否則,應采用傳統的BGP路由排障方法查找PE-2與其它PE之間的連接是否有問題(可使用“show ip bgp neighbor”等命令)。
(4) 在PE-2上使用命令“show ip bgp vpnv4 vrf name”驗證BGP的路由選擇是否正確,即屬于該VPN的路由信息是否都被正確地接收了,而不屬于該VPN的路由信息是否被阻止了。若正確,則轉到步驟(5);否則,應采用傳統的BGP路由排障方法來解決,必要時,可更改“local preference”和“weight”等BGP參數。
(5) 在PE-2上使用命令“show ip route vrf name”驗證PE-2路由表中是否已存在正確的VPNv4路由信息。若正確,則轉到步驟(6);否則,說明PE-2上存在問題(可使用“show ip vrf detail”和傳統的路由排障方法來解決)。
(6) 在CE-2上使用“show ip route,ping”等命令驗證CE-2是否已接收到其它CE的路由信息。若正確,則轉到步驟(7);否則,應查看PE-2上的路由重發布是否設置正確、PE-2與CE-2之間的物理層或路由協議是否有問題。
(7) 從CE-2到CE-1,可采用相同的方法來排除路由交換方面的故障。
3.MPLS數據流方面故障的處理
對于MPLS數據流方面的故障,可從以下4個方面來定位:
(1) 入口PE路由器上CEF(Cisco Express For-warding,思科快速轉發)端口是否打開;
(2) 入口PE路由器上的CEF條目是否正確;
(3) PE路由器之間是否有端到端的LSP(La-bel Switch Path,標簽交換路徑),這包括檢查中間的P路由器;
(4) 出口PE路由器上的標簽轉發表的條目是否正確。
