Fehlerbehebung bei Layer 3-VPNs
Diagnostizieren häufiger Layer-3-VPN-Probleme
Problem
Beschreibung
Um Probleme in der Layer 3-VPN-Konfiguration zu beheben, beginnen Sie an einem Ende des VPN (dem lokalen Kunden-Edge-Router und dem CE-Router) und folgen Sie den Routen zum anderen Ende des VPN (dem Remote-CE-Router).
Lösung
Die folgenden Schritte zur Fehlerbehebung sollen Ihnen bei der Diagnose häufiger Probleme helfen:
Wenn Sie ein Routingprotokoll zwischen dem lokalen Provider-Edge (PE) und CE-Routern konfiguriert haben, überprüfen Sie, ob das Peering und die Nachbarschaft vollständig funktionsfähig sind. Achten Sie dabei darauf, den Namen der Routinginstanz anzugeben. Um z. B. OSPF-Nachbarschaften zu überprüfen, geben Sie den
show ospf neighbor instance routing-instance-nameBefehl auf dem PE-Router ein.Wenn das Peering und die Nachbarschaft nicht vollständig funktionsfähig sind, überprüfen Sie die Routing-Protokollkonfiguration auf dem CE-Router und die Routing-Protokollkonfiguration für die zugeordnete VPN-Routing-Instanz auf dem PE-Router.
Vergewissern Sie sich, dass sich die lokalen CE- und PE-Router gegenseitig anpingen können.
Um zu überprüfen, ob der lokale CE-Router die VPN-Schnittstelle des lokalen PE-Routers pingen kann, verwenden Sie einen
pingBefehl im folgenden Format und geben Sie die IP-Adresse oder den Namen des PE-Routers an:user@host> ping (ip-address | host-name)
Um zu überprüfen, ob der lokale PE-Router den CE-Router pingen kann, verwenden Sie einen
pingBefehl im folgenden Format, und geben Sie die IP-Adresse oder den Namen des CE-Routers, den Namen der für das VPN verwendeten Schnittstelle und die Quell-IP-Adresse (die lokale Adresse) in ausgehenden Echoanforderungspaketen an:user@host> ping ip-address interface interface local echo-address
Oft muss das Peering oder die Nachbarschaft zwischen dem lokalen CE- und dem lokalen PE-Router hergestellt werden, bevor ein
pingBefehl erfolgreich ausgeführt wird. Um zu überprüfen, ob eine Verbindung in einer Laborumgebung funktionsfähig ist, entfernen Sie die Schnittstelle aus dem VPN Routing and Forwarding (VRF), indem Sie dieinterfaceAnweisung auf der[edit routing-instance routing-instance-name]Hierarchieebene löschen und die Konfiguration erneut bestätigen. Dadurch wird die Schnittstelle aus dem VPN entfernt. Versuchen Sie den ping Befehl dann erneut. Wenn der Befehl erfolgreich ist, konfigurieren Sie die Schnittstelle wieder in das VPN und überprüfen Sie erneut die Konfiguration des Routing-Protokolls auf den lokalen CE- und PE-Routern.Überprüfen Sie auf dem lokalen PE-Router, ob sich die Routen vom lokalen CE-Router in der VRF-Tabelle (routing-instance-name.inet.0) befinden:
user@host> show route table routing-instance-name.inet.0 <detail>
Das folgende Beispiel zeigt die Einträge in der Routing-Tabelle. Hier ist
10.255.14.155/32die Loopback-Adresse des CE-Routers und das Routing-Protokoll zwischen dem PE- und dem CE-Router BGP. Der Eintrag sieht aus wie eine gewöhnliche BGP-Ankündigung.10.255.14.155/32 (1 entry, 1 announced) *BGP Preference: 170/-101 Nexthop: 192.168.197.141 via fe-1/0/0.0, selected State: <Active Ext> Peer AS: 1 Age: 45:46 Task: BGP_1.192.168.197.141+179 Announcement bits (2): 0-BGP.0.0.0.0+179 1-KRT AS path: 1 I Localpref: 100 Router ID: 10.255.14.155Wenn die Routen vom lokalen CE-Router nicht in der VRF-Routing-Tabelle vorhanden sind, überprüfen Sie, ob der CE-Router Routen zum PE-Router ankündigt. Wenn statisches Routing zwischen dem CE- und dem PE-Router verwendet wird, stellen Sie sicher, dass die richtigen statischen Routen konfiguriert sind.
Überprüfen Sie auf einem Remote-PE-Router, ob die Routen vom lokalen CE-Router in der Routing-Tabelle bgp.l3vpn.0 vorhanden sind:
user@host> show route table bgp.l3vpn.0 extensive 10.255.14.175:3:10.255.14.155/32 (1 entry, 0 announced) *BGP Preference: 170/-101 Route Distinguisher: 10.255.14.175:3 Source: 10.255.14.175 Nexthop: 192.168.192.1 via fe-1/1/2.0, selected label-switched-path vpn07-vpn05 Push 100004, Push 100005(top) State: <Active Int Ext> Local AS: 69 Peer AS: 69 Age: 15:27 Metric2: 338 Task: BGP_69.10.255.14.175+179 AS path: 1 I Communities: target:69:100 BGP next hop: 10.255.14.175 Localpref: 100 Router ID: 10.255.14.175 Secondary tables: VPN-A.inet.0Die Ausgabe des
show route table bgp.l3vpn.0 extensiveBefehls enthält die folgenden VPN-spezifischen Informationen:Im Präfixnamen (der ersten Zeile der Ausgabe) wird der Routenunterscheidungsmerkmal zum Routenpräfix des lokalen CE-Routers hinzugefügt. Da die Routenunterscheidung innerhalb des Internets eindeutig ist, werden durch die Verkettung der Routenunterscheidung und des IP-Präfixes eindeutige IPv4-Routingeinträge (VPN-IP Version 4) bereitgestellt.
Das
Route DistinguisherFeld listet den Route Distinguisher getrennt von der VPN-IPv4-Adresse auf.Das
label-switched-pathFeld zeigt den Namen des Label-Switched-Pfads (LSP) an, der für die Übertragung des VPN-Datenverkehrs verwendet wird.Das
PushFeld zeigt an, dass beide Labels im VPN-IPv4-Paket enthalten sind. Die erste Bezeichnung ist die innere Bezeichnung, d. h. die VPN-Bezeichnung, die vom PE-Router zugewiesen wurde. Das zweite Label ist das äußere Label, bei dem es sich um ein RSVP-Label handelt.Das
CommunitiesFeld listet die Zielgemeinde auf.Das
Secondary tablesFeld listet andere Routing-Tabellen auf diesem Router auf, in dem diese Route installiert wurde.
Wenn in der Routing-Tabelle bgp.l3vpn.0 auf dem Remote-PE-Router keine Routen vom lokalen CE-Router vorhanden sind, gehen Sie wie folgt vor:
Überprüfen Sie den VRF-Importfilter auf dem Remote-PE-Router, der in der
vrf-importAnweisung konfiguriert ist. (Auf dem lokalen PE-Router überprüfen Sie den VRF-Exportfilter, der mit dervrf-exportAnweisung konfiguriert ist.)Vergewissern Sie sich, dass zwischen den PE-Routern ein Betriebs-LSP oder ein LDP-Pfad vorhanden ist. Überprüfen Sie dazu, ob die IBGP-Next-Hop-Adressen in der Tabelle inet.3 enthalten sind.
Überprüfen Sie, ob die IBGP-Sitzung zwischen den PE-Routern ordnungsgemäß eingerichtet und konfiguriert ist.
Suchen Sie nach "versteckten" Routen, was in der Regel bedeutet, dass die Routen nicht richtig beschriftet wurden. Verwenden Sie dazu den
show route table bgp.l3vpn.0 hiddenBefehl.Überprüfen Sie, ob die innere Bezeichnung mit der inneren VPN-Bezeichnung übereinstimmt, die vom lokalen PE-Router zugewiesen wird. Verwenden Sie dazu den
show route table mplsBefehl.
Das folgende Beispiel zeigt die Ausgabe dieses Befehls auf dem Remote-PE-Router. Hier lautet
100004die innere Beschriftung .... Push 100004, Push 10005 (top)
Das folgende Beispiel zeigt die Ausgabe dieses Befehls auf dem lokalen PE-Router, die zeigt, dass die innere Bezeichnung von
100004mit der inneren Bezeichnung auf dem Remote-PE-Router übereinstimmt:... 100004 *[VPN/7] 06:56:25, metric 1 > to 192.168.197.141 via fe-1/0/0.0, Pop
Überprüfen Sie auf dem Remote-PE-Router, ob die Routen vom lokalen CE-Router in der VRF-Tabelle (routing-instance-name.inet.0) vorhanden sind:
user@host> show route table routing-instance-name.inet.0 detail 10.255.14.155/32 (1 entry, 1 announced) *BGP Preference: 170/-101 Route Distinguisher: 10.255.14.175:3 Source: 10.255.14.175 Nexthop: 192.168.192.1 via fe-1/1/2.0, selected label-switched-path vpn07-vpn05 Push 100004, Push 100005(top) State: <Secondary Active Int Ext> Local AS: 69 Peer AS: 69 Age: 1:16:22 Metric2: 338 Task: BGP_69.10.255.14.175+179 Announcement bits (2): 1-KRT 2-VPN-A-RIP AS path: 1 I Communities: target:69:100 BGP next hop: 10.255.14.175 Localpref: 100 Router ID: 10.255.14.175 Primary Routing Table bgp.l3vpn.0In dieser Routing-Tabelle wird dem Präfix die Routenunterscheidung nicht mehr vorangestellt. In der letzten Zeile wird die Tabelle aufgeführt,
Primary Routing Tableaus der diese Route gelernt wurde.Wenn die Routen nicht in dieser Routing-Tabelle vorhanden sind, aber in der Routing-Tabelle bgp.l3vpn.0 auf dem lokalen CE-Router vorhanden waren, haben die Routen möglicherweise die VRF-Importrichtlinie auf dem Remote-PE-Router nicht bestanden.
Wenn eine VPN-IPv4-Route mit keiner
vrf-importRichtlinie übereinstimmt, wird die Route überhaupt nicht in der Tabelle bgp.l3vpn angezeigt und ist daher nicht in der VRF-Tabelle vorhanden. In diesem Fall kann dies darauf hindeuten, dass Sie auf dem PE-Router eine anderevrf-importAnweisung für ein anderes VPN (mit einem gemeinsamen Ziel) konfiguriert haben und die Routen in der Tabelle bgp.l3vpn.0 angezeigt, aber in das falsche VPN importiert wurden.Überprüfen Sie auf dem Remote-CE-Router, ob die Routen vom lokalen CE-Router in der Routing-Tabelle (inet.0) vorhanden sind:
user@host> show route
Wenn die Routen nicht vorhanden sind, überprüfen Sie die Konfiguration des Routing-Protokolls zwischen den Remote-PE- und CE-Routern, und stellen Sie sicher, dass Peers und Nachbarschaften (oder statische Routen) zwischen den PE- und CE-Routern korrekt sind.
Wenn Sie feststellen, dass die vom lokalen CE-Router stammenden Routen korrekt sind, überprüfen Sie die vom Remote-CE-Router stammenden Routen, indem Sie diesen Vorgang wiederholen.
Beispiel: Fehlerbehebung bei Layer 3-VPNs
In diesem Beispiel wird gezeigt, wie der ping Befehl verwendet wird, um die Zugänglichkeit verschiedener Router in einer VPN-Topologie zu überprüfen, und wie der traceroute Befehl verwendet wird, um den Pfad zu überprüfen, den Pakete zwischen den VPN-Routern zurücklegen.
- Anforderungen
- Überblick
- Pingen des CE-Routers von einem anderen CE-Router
- Pingen der Remote-PE- und CE-Router vom lokalen CE-Router aus
- Pingen eines CE-Routers über eine Multiaccess-Schnittstelle
- Pingen der direkt verbundenen PE-Router von den CE-Routern
- Pingen der direkt verbundenen CE-Router von den PE-Routern
- Pingen des Remote-CE-Routers über den lokalen PE-Router
- Fehlerbehebung bei inkonsistent angekündigten Routen von Gigabit-Ethernet-Schnittstellen
Anforderungen
In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten verwendet:
-
Router der M Series
-
Junos OS Version 10.0R1 und höher
Überblick
Topologie
Die in Abbildung 1 dargestellte Topologie veranschaulicht das in diesem Beispiel verwendete Netzwerk, um zu veranschaulichen, wie die Befehle ping und traceroute verwendet werden, um die Konnektivität zwischen den Routern zu testen, die an einem Layer 3-VPN teilnehmen.
Pingen des CE-Routers von einem anderen CE-Router
Verfahren
Schritt-für-Schritt-Anleitung
Im Folgenden wird beschrieben, wie Sie den Ping und traceroute die Befehle verwenden, um Fehler in Layer 3-VPN-Topologien zu beheben. Sie können einen CE-Router vom anderen aus anpingen, indem Sie die ping Loopback-Adresse des anderen CE-Routers als IP-Adresse im Befehl angeben. Dieser ping Befehl ist erfolgreich, wenn die Loopback-Adressen von den CE-Routern an ihre direkt verbundenen PE-Router gemeldet wurden. Der Erfolg dieser ping Befehle bedeutet auch, dass Router CE1 alle Netzwerkgeräte jenseits von Router CE2 anpingen kann und umgekehrt. Abbildung 1 zeigt die Topologie, auf die in den folgenden Schritten verwiesen wird:
-
Ping-Router CE2 (VPN5) von Router CE1 (VPN4):
user@vpn4> ping 10.255.10.5 local 10.255.10.4 count 3 PING 10.255.10.5 (10.255.10.5): 56 data bytes 64 bytes from 10.255.10.5: icmp_seq=0 ttl=253 time=1.086 ms 64 bytes from 10.255.10.5: icmp_seq=1 ttl=253 time=0.998 ms 64 bytes from 10.255.10.5: icmp_seq=2 ttl=253 time=1.140 ms --- 10.255.10.5 ping statistics --- 3 packets transmitted, 3 packets received, 0% packet loss round-trip min/avg/max/stddev = 0.998/1.075/1.140/0.059 ms
-
Verwenden Sie den
traceroutefolgenden Befehl, um den Pfad von der Loopback-Schnittstelle von Router CE1 zur Loopback-Schnittstelle von Router CE2 zu bestimmen:user@vpn4> traceroute 10.255.10.5 source 10.255.10.4 traceroute to 10.255.10.5 (10.255.10.5) from 10.255.10.4, 30 hops max, 40 byte packets 1 vpn1-fe-110.isp-core.net (192.168.192.1) 0.680 ms 0.491 ms 0.456 ms 2 vpn2-t3-001.isp-core.net (192.168.192.110) 0.857 ms 0.766 ms 0.754 ms MPLS Label=100005 CoS=0 TTL=1 S=1 3 vpn5.isp-core.net (10.255.10.5) 0.825 ms 0.886 ms 0.732 ms -
Wenn Sie den
tracerouteBefehl verwenden, um den von einem Layer 3-VPN verwendeten Pfad zu untersuchen, werden die Router des Anbieters (P) im Netzwerk des Dienstanbieters nicht angezeigt. Wie oben gezeigt, wird der Sprung von Router VPN1 zu Router VPN2 als einzelner Hop angezeigt. Der in Abbildung 1 dargestellte P-Router (VPN3) wird nicht angezeigt. -
Ping-Router CE1 (VPN4) von Router CE2 (VPN5):
user@vpn5> ping 10.255.10.4 local 10.255.10.5 count 3 PING 10.255.10.4 (10.255.10.4): 56 data bytes 64 bytes from 10.255.10.4: icmp_seq=0 ttl=253 time=1.042 ms 64 bytes from 10.255.10.4: icmp_seq=1 ttl=253 time=0.998 ms 64 bytes from 10.255.10.4: icmp_seq=2 ttl=253 time=0.954 ms --- 10.255.10.4 ping statistics --- 3 packets transmitted, 3 packets received, 0% packet loss round-trip min/avg/max/stddev = 0.954/0.998/1.042/0.036 ms
-
Um den Pfad von Router CE2 zu Router CE1 zu bestimmen, verwenden Sie den folgenden
tracerouteBefehl:user@vpn5> traceroute 10.255.10.4 source 10.255.10.5 traceroute to 10.255.10.4 (10.255.10.4) from 10.255.10.5, 30 hops max, 40 byte packets 1 vpn-08-t3-003.isp-core.net (192.168.193.2) 0.686 ms 0.519 ms 0.548 ms 2 vpn1-so-100.isp-core.net (192.168.192.100) 0.918 ms 0.869 ms 0.859 ms MPLS Label=100021 CoS=0 TTL=1 S=1 3 vpn4.isp-core.net (10.255.10.4) 0.878 ms 0.760 ms 0.739 ms
Pingen der Remote-PE- und CE-Router vom lokalen CE-Router aus
Verfahren
Schritt-für-Schritt-Anleitung
Vom lokalen CE-Router aus können Sie die VPN-Schnittstellen der Remote-PE- und CE-Router pingen, bei denen es sich um Punkt-zu-Punkt-Schnittstellen handelt. Abbildung 1 zeigt die Topologie, auf die in den folgenden Beispielen verwiesen wird:
-
Pingen Sie den Router CE2 vom Router CE1 an.
user@vpn4> ping 192.168.193.5 local 10.255.10.4 count 3 PING 192.168.193.5 (192.168.193.5): 56 data bytes 64 bytes from 192.168.193.5: icmp_seq=0 ttl=253 time=1.040 ms 64 bytes from 192.168.193.5: icmp_seq=1 ttl=253 time=0.891 ms 64 bytes from 192.168.193.5: icmp_seq=2 ttl=253 time=0.944 ms --- 192.168.193.5 ping statistics --- 3 packets transmitted, 3 packets received, 0% packet loss round-trip min/avg/max/stddev = 0.891/0.958/1.040/0.062 ms
-
Um den Pfad von der Loopback-Schnittstelle von Router CE1 zur direkt verbundenen Schnittstelle von Router CE2 zu bestimmen, verwenden Sie den
traceroutefolgenden Befehl:user@vpn4> traceroute 192.168.193.5 source 10.255.10.4 traceroute to 192.168.193.5 (192.168.193.5) from 10.255.10.4, 30 hops max, 40 byte packets 1 vpn1-fe-110.isp-core.net (192.168.192.1) 0.669 ms 0.508 ms 0.457 ms 2 vpn2-t3-001.isp-core.net (192.168.192.110) 0.851 ms 0.769 ms 0.750 ms MPLS Label=100000 CoS=0 TTL=1 S=1 3 vpn5-t3-003.isp-core.net (192.168.193.5) 0.829 ms 0.838 ms 0.731 ms -
Pingen Sie Router PE2 (VPN2) von Router CE1 (VPN4) an. In diesem Fall werden Pakete, die von Router CE1 stammen, an Router PE2, dann an Router CE2 und zurück an Router PE2 gesendet, bevor Router PE2 auf ICMP-Anforderungen (Internet Control Message Protocol) antworten kann. Sie können dies überprüfen, indem Sie den
tracerouteBefehl verwenden.user@vpn4> ping 192.168.193.2 local 10.255.10.4 count 3 PING 192.168.193.2 (192.168.193.2): 56 data bytes 64 bytes from 192.168.193.2: icmp_seq=0 ttl=254 time=1.080 ms 64 bytes from 192.168.193.2: icmp_seq=1 ttl=254 time=0.967 ms 64 bytes from 192.168.193.2: icmp_seq=2 ttl=254 time=0.983 ms --- 192.168.193.2 ping statistics --- 3 packets transmitted, 3 packets received, 0% packet loss round-trip min/avg/max/stddev = 0.967/1.010/1.080/0.050 ms
-
Um den Pfad von Router CE1 zu Router PE2 zu ermitteln, verwenden Sie den
traceroutefolgenden Befehl:user@vpn4> traceroute 192.168.193.2 source 10.255.10.4 traceroute to 192.168.193.2 (192.168.193.2) from 10.255.10.4, 30 hops max, 40 byte packets 1 vpn1-fe-110.isp-core.net (192.168.192.1) 0.690 ms 0.490 ms 0.458 ms 2 vpn2-t3-003.isp-core.net (192.168.193.2) 0.846 ms 0.768 ms 0.749 ms MPLS Label=100000 CoS=0 TTL=1 S=1 3 vpn5-t3-003.isp-core.net (192.168.193.5) 0.643 ms 0.703 ms 0.600 ms 4 vpn-08-t3-003.isp-core.net (192.168.193.2) 0.810 ms 0.739 ms 0.729 ms
Pingen eines CE-Routers über eine Multiaccess-Schnittstelle
Verfahren
Schritt-für-Schritt-Anleitung
Sie können nicht einen CE-Router vom anderen aus anpingen, wenn es sich bei der VPN-Schnittstelle um eine Multiaccess-Schnittstelle handelt, wie z. B. die fe-1/1/2.0 Schnittstelle von Router CE1. Um Router CE1 von Router CE2 aus anzupingen, müssen Sie entweder die vrf-table-label Anweisung auf Hierarchieebene [edit routing-instances routing-instance-name] auf Router PE1 einfügen oder eine statische Route auf Router PE1 zur VPN-Schnittstelle von Router CE1 konfigurieren. Wenn Sie die vrf-table-label Anweisung zum Pingen eines Routers einschließen, können Sie keine statische Route konfigurieren.
-
Wenn Sie auf Router PE1 eine statische Route zur VPN-Schnittstelle von Router CE1 konfigurieren, muss der nächste Hop auf Router CE1 (auf Hierarchieebene
[edit routing-instance routing-instance-name]) verweisen, und diese Route muss von Router PE1 zu Router PE2 angekündigt werden, wie in der folgenden Konfiguration gezeigt:[edit] routing-instances { direct-multipoint { instance-type vrf; interface fe-1/1/0.0; route-distinguisher 69:1; vrf-import direct-import; vrf-export direct-export; routing-options { static { route 192.168.192.4/32 next-hop 192.168.192.4; } } protocols { bgp { group to-vpn4 { peer-as 1; neighbor 192.168.192.4; } } } } policy-options { policy-statement direct-export { term a { from protocol bgp; then { community add direct-comm; accept; } } term b { from { protocol static; route-filter 192.168.192.4/32 exact; } then { community add direct-comm; accept; } } term d { then reject; } } } } -
Jetzt können Sie Router CE1 von Router CE2 aus pingen:
user@vpn5> ping 192.168.192.4 local 10.255.10.5 count 3 PING 192.168.192.4 (192.168.192.4): 56 data bytes 64 bytes from 192.168.192.4: icmp_seq=0 ttl=253 time=1.092 ms 64 bytes from 192.168.192.4: icmp_seq=1 ttl=253 time=1.019 ms 64 bytes from 192.168.192.4: icmp_seq=2 ttl=253 time=1.031 ms --- 192.168.192.4 ping statistics --- 3 packets transmitted, 3 packets received, 0% packet loss round-trip min/avg/max/stddev = 1.019/1.047/1.092/0.032 ms
-
Um den Pfad zwischen diesen beiden Schnittstellen zu bestimmen, verwenden Sie den
traceroutefolgenden Befehl:user@vpn5> traceroute 192.168.192.4 source 10.255.10.5 traceroute to 192.168.192.4 (192.168.192.4) from 10.255.10.5, 30 hops max, 40 byte packets 1 vpn-08-t3003.isp-core.net (192.168.193.2) 0.678 ms 0.549 ms 0.494 ms 2 vpn1-so-100.isp-core.net (192.168.192.100) 0.873 ms 0.847 ms 0.844 ms MPLS Label=100021 CoS=0 TTL=1 S=1 3 vpn4-fe-112.isp-core.net (192.168.192.4) 0.825 ms 0.743 ms 0.764 ms
Pingen der direkt verbundenen PE-Router von den CE-Routern
Verfahren
Schritt-für-Schritt-Anleitung
Von den Loopback-Schnittstellen der CE-Router aus können Sie die VPN-Schnittstelle des direkt verbundenen PE-Routers anpingen. Abbildung 1 zeigt die Topologie, auf die in diesem Verfahren verwiesen wird:
-
Pingen Sie über die Loopback-Schnittstelle auf Router CE1 (VPN4) die VPN-Schnittstelle an,
fe-1/1/0.0auf Router PE1:user@vpn4> ping 192.168.192.1 local 10.255.10.4 count 3 PING 192.168.192.1 (192.168.192.1): 56 data bytes 64 bytes from 192.168.192.1: icmp_seq=0 ttl=255 time=0.885 ms 64 bytes from 192.168.192.1: icmp_seq=1 ttl=255 time=0.757 ms 64 bytes from 192.168.192.1: icmp_seq=2 ttl=255 time=0.734 ms --- 192.168.192.1 ping statistics --- 3 packets transmitted, 3 packets received, 0% packet loss round-trip min/avg/max/stddev = 0.734/0.792/0.885/0.066 ms
-
Pingen Sie über die Loopback-Schnittstelle auf Router CE2 (VPN5) die VPN-Schnittstelle an,
t3-0/0/3.0auf Router PE2:user@vpn5> ping 192.168.193.2 local 10.255.10.5 count 3 PING 192.168.193.2 (192.168.193.2): 56 data bytes 64 bytes from 192.168.193.2: icmp_seq=0 ttl=255 time=0.998 ms 64 bytes from 192.168.193.2: icmp_seq=1 ttl=255 time=0.834 ms 64 bytes from 192.168.193.2: icmp_seq=2 ttl=255 time=0.819 ms --- 192.168.193.2 ping statistics --- 3 packets transmitted, 3 packets received, 0% packet loss round-trip min/avg/max/stddev = 0.819/0.884/0.998/0.081 ms
-
Pingen Sie über die Loopback-Schnittstelle auf Router CE2 (VPN5) die VPN-Schnittstelle an,
t3-0/0/3.0auf Router PE2:user@vpn5> ping 192.168.193.2 local 10.255.10.5 count 3 PING 192.168.193.2 (192.168.193.2): 56 data bytes 64 bytes from 192.168.193.2: icmp_seq=0 ttl=255 time=0.998 ms 64 bytes from 192.168.193.2: icmp_seq=1 ttl=255 time=0.834 ms 64 bytes from 192.168.193.2: icmp_seq=2 ttl=255 time=0.819 ms --- 192.168.193.2 ping statistics --- 3 packets transmitted, 3 packets received, 0% packet loss round-trip min/avg/max/stddev = 0.819/0.884/0.998/0.081 ms
-
Um den Pfad von der Loopback-Schnittstelle auf Router CE2 zu den VPN-Schnittstellen auf Router PE2 zu bestimmen, verwenden Sie den folgenden
tracerouteBefehl:user@vpn5> traceroute 192.168.193.2 source 10.255.10.5 traceroute to 192.168.193.2 (192.168.193.2) from 10.255.10.5, 30 hops max, 40 byte packets 1 vpn-08-t3003.isp-core.net (192.168.193.2) 0.852 ms 0.670 ms 0.656 ms
Pingen der direkt verbundenen CE-Router von den PE-Routern
Verfahren
Schritt-für-Schritt-Anleitung
Von den VPN- und Loopback-Schnittstellen der PE-Router aus können Sie die VPN-Schnittstelle des direkt verbundenen CE-Routers anpingen. Abbildung 1 zeigt die Topologie, auf die in diesem Verfahren verwiesen wird:
-
Von der VPN-Schnittstelle des PE-Routers (Router PE1) aus können Sie die VPN- oder Loopback-Schnittstelle des direkt verbundenen CE-Routers (Router CE1) anpingen.
Pingen Sie über die VPN-Schnittstelle auf Router PE1 (VPN1) die VPN-Schnittstelle,
fe-1/1/0.0, auf Router CE1:user@vpn1> ping 192.168.192.4 interface fe-1/1/0.0 local 192.168.192.1 count 3 PING 192.168.192.4 (192.168.192.4): 56 data bytes 64 bytes from 192.168.192.4: icmp_seq=0 ttl=255 time=0.866 ms 64 bytes from 192.168.192.4: icmp_seq=1 ttl=255 time=0.728 ms 64 bytes from 192.168.192.4: icmp_seq=2 ttl=255 time=0.753 ms --- 192.168.192.4 ping statistics --- 3 packets transmitted, 3 packets received, 0% packet loss round-trip min/avg/max/stddev = 0.728/0.782/0.866/0.060 ms
-
Pingen Sie über die VPN-Schnittstelle auf Router PE1 (VPN1) die Loopback-Schnittstelle
10.255.10.4, auf Router CE1:user@vpn1> ping 10.255.10.4 interface fe-1/1/0.0 local 192.168.192.1 count 3 PING 10.255.10.4 (10.255.10.4): 56 data bytes 64 bytes from 10.255.10.4: icmp_seq=0 ttl=255 time=0.838 ms 64 bytes from 10.255.10.4: icmp_seq=1 ttl=255 time=0.760 ms 64 bytes from 10.255.10.4: icmp_seq=2 ttl=255 time=0.771 ms --- 10.255.10.4 ping statistics --- 3 packets transmitted, 3 packets received, 0% packet loss round-trip min/avg/max/stddev = 0.760/0.790/0.838/0.034 ms
-
Verwenden Sie die folgenden
tracerouteBefehle, um den Pfad von der VPN-Schnittstelle auf Router PE1 zu den VPN- bzw. Loopback-Schnittstellen auf Router CE1 zu bestimmen:user@vpn1> traceroute 10.255.10.4 interface fe-1/1/0.0 source 192.168.192.1 traceroute to 10.255.10.4 (10.255.10.4) from 192.168.192.1, 30 hops max, 40 byte packets 1 vpn4.isp-core.net (10.255.10.4) 0.842 ms 0.659 ms 0.621 ms user@vpn1> traceroute 192.168.192.4 interface fe-1/1/0.0 source 192.168.192.1 traceroute to 192.168.192.4 (192.168.192.4) from 192.168.192.1, 30 hops max, 40 byte packets 1 vpn4-fe-112.isp-core.net (192.168.192.4) 0.810 ms 0.662 ms 0.640 ms
-
Pingen Sie über die VPN-Schnittstelle auf Router PE2 (VPN2) die VPN-Schnittstelle
t3-0/0/3.0, auf Router CE2:user@vpn2> ping 192.168.193.5 interface t3-0/0/3.0 local 192.168.193.2 count 3 PING 192.168.193.5 (192.168.193.5): 56 data bytes 64 bytes from 192.168.193.5: icmp_seq=0 ttl=255 time=0.852 ms 64 bytes from 192.168.193.5: icmp_seq=1 ttl=255 time=0.909 ms 64 bytes from 192.168.193.5: icmp_seq=2 ttl=255 time=0.793 ms --- 192.168.193.5 ping statistics --- 3 packets transmitted, 3 packets received, 0% packet loss round-trip min/avg/max/stddev = 0.793/0.851/0.909/0.047 ms
-
Pingen Sie über die VPN-Schnittstelle auf Router PE2 (VPN2) die Loopback-Schnittstelle an,
10.255.10.5auf Router CE2:user@vpn2> ping 10.255.10.5 interface t3-0/0/3.0 local 192.168.193.2 count 3 PING 10.255.10.5 (10.255.10.5): 56 data bytes 64 bytes from 10.255.10.5: icmp_seq=0 ttl=255 time=0.914 ms 64 bytes from 10.255.10.5: icmp_seq=1 ttl=255 time=0.888 ms 64 bytes from 10.255.10.5: icmp_seq=2 ttl=255 time=1.066 ms --- 10.255.10.5 ping statistics --- 3 packets transmitted, 3 packets received, 0% packet loss round-trip min/avg/max/stddev = 0.888/0.956/1.066/0.079 ms
-
Verwenden Sie die folgenden
tracerouteBefehle, um den Pfad von der VPN-Schnittstelle auf Router PE2 zu den VPN- bzw. Loopback-Schnittstellen auf Router CE2 zu bestimmen:user@vpn2> traceroute 10.255.10.5 interface t3-0/0/3.0 source 192.168.193.2 traceroute to 10.255.10.5 (10.255.10.5) from 192.168.193.2, 30 hops max, 40 byte packets 1 vpn5.isp-core.net (10.255.10.5) 1.009 ms 0.677 ms 0.633 ms user@vpn2> traceroute 192.168.193.5 interface t3-0/0/3.0 source 192.168.193.2 traceroute to 192.168.193.5 (192.168.193.5) from 192.168.193.2, 30 hops max, 40 byte packets 1 vpn5-t3-003.isp-core.net (192.168.193.5) 0.974 ms 0.665 ms 0.619 ms
Pingen des Remote-CE-Routers über den lokalen PE-Router
Verfahren
Schritt-für-Schritt-Anleitung
Das folgende Verfahren gilt nur für Layer 3-VPNs. Um einen Remote-CE-Router von einem lokalen PE-Router in einem Layer-3-VPN anzupingen, müssen Sie die folgenden Schnittstellen konfigurieren:
-
Konfigurieren Sie eine logische Einheit für die Loopback-Schnittstelle.
Um eine zusätzliche logische Einheit auf der Loopback-Schnittstelle des PE-Routers zu konfigurieren, konfigurieren Sie die
unitAnweisung auf Hierarchieebene[edit interfaces lo0]:[edit interfaces] lo0 { unit number { family inet { address address; } } } -
Konfigurieren Sie die Loopback-Schnittstelle für die Layer 3-VPN-Routing-Instanz auf dem lokalen PE-Router. Sie können jeder Layer 3-VPN-Routing-Instanz eine logische Loopback-Schnittstelle zuordnen, mit der Sie eine bestimmte Routing-Instanz auf einem Router pingen können.
Geben Sie die Loopbackschnittstelle an, die Sie in Schritt 1 konfiguriert haben, indem Sie die
interfaceAnweisung auf der[edit routing-instances routing-instance-name]Hierarchieebene verwenden:[edit routing-instances routing-instance-name] interface interface-name;
Das
interface-nameist die logische Einheit auf der Loopbackschnittstelle (z. Blo0.1. ). -
Von der VPN-Schnittstelle des PE-Routers aus können Sie jetzt die logische Einheit auf der Loopback-Schnittstelle des Remote-CE-Routers pingen:
user@host> ping interface interface hostVerwenden Sie diese Option
interface, um die neue logische Einheit auf der Loopbackschnittstelle anzugeben (z. Blo0.1. ). Weitere Hinweise zur Verwendung desping interfaceBefehls finden Sie in der Junos Interfaces Command Reference.
Fehlerbehebung bei inkonsistent angekündigten Routen von Gigabit-Ethernet-Schnittstellen
Verfahren
Schritt-für-Schritt-Anleitung
Bei direkten Routen über ein LAN in einem Layer-3-VPN versucht das Junos OS, einen CE-Router zu finden, der als nächster Hop festgelegt werden kann. Ist dies nicht möglich, werden angekündigte Routen von Gigabit-Ethernet-Schnittstellen verworfen.
In solchen Fällen:
-
Verwenden Sie die
staticAnweisung auf der[edit routing-options]Hierarchieebene oder[edit logical-systems logical-system-name routing-options]in der VRF-Routinginstanz für einen CE-Router im LAN-Subnetz, und konfigurieren Sie den CE-Router als nächsten Hop. Der gesamte Datenverkehr zu direkten Zielen in diesem LAN wird an den CE-Router geleitet. Sie können zwei statische Routen zu zwei CE-Routern im LAN hinzufügen, um Redundanz zu gewährleisten. -
Konfigurieren Sie die
vrf-table-labelAnweisung auf den[edit routing-instances routing-instance-name]Hierarchieebenen so, dass die innere Bezeichnung eines Pakets einer bestimmten VRF-Routing-Tabelle zugeordnet wird. Auf diese Weise kann der gekapselte IP-Header untersucht werden, um IP-Lookups in der VRF-Routinginstanz für den gesamten Datenverkehr zu erzwingen.Anmerkung:Die
vrf-table-labelAnweisung ist nicht für jede Core-Schnittstelle verfügbar, z. B. werden kanalisierte Schnittstellen nicht unterstützt. Weitere Informationen zur Unterstützung für die Anweisung über Ethernetvrf-table-label- und SONET/SDH-Schnittstellen finden Sie unter Filtern von Paketen in Layer 3-VPNs auf der Grundlage von IP-Headern.
Beispiel: Diagnostizieren von Netzwerkproblemen im Zusammenhang mit Layer 3-VPNs durch Deaktivieren der TTL-Dekrementierung
In diesem Beispiel wird gezeigt, wie die TTL-Dekrementierung in einer einzelnen VRF-Routinginstanz in einem Layer 3-VPN-Szenario deaktiviert wird.
Anforderungen
Bevor Sie beginnen:
-
Konfigurieren Sie die Routerschnittstellen. Weitere Informationen finden Sie im Konfigurationshandbuch für Netzwerkschnittstellen.
Überblick
Um Netzwerkprobleme im Zusammenhang mit VPNs zu diagnostizieren, kann es nützlich sein, die normale TTL-Verkürzung (Time-to-Live) zu deaktivieren. Der IP-Header enthält ein TTL-Feld, das als Hop-Zähler dient. Bei jedem gerouteten Hop wird die TTL um eins verringert. Wenn die TTL Null erreicht, bevor das Paket sein Ziel erreicht, wird das Paket verworfen und (optional) eine ICMP-TTL-Überschreitungsmeldung an die Quelle gesendet. MPLS-Labels verfügen auch über ein TTL-Feld. MPLS-Router kopieren die TTL eines IP-Pakets, wenn es in einen Label-Switched-Pfad (LSP) eintritt. Ein IP-Paket mit einer TTL von 27 erhält ein MPLS-Label mit einer TTL von 27. Junos OS dekrementiert die MPLS-TTL eines MPLS-gekapselten Pakets anstelle der IP-TTL bei jedem Label-Switched-Hop. Da die MPLS-TTL von der IP-TTL kopiert (oder weitergegeben) wird, listet eine Traceroute jeden Hop im Pfad auf, unabhängig davon, ob er geroutet oder mit Label Switching versehen ist. Wenn das Paket den LSP verlässt, wird die dekrementierte MPLS-TTL zurück in das IP-TTL-Feld weitergegeben.
Standardmäßig ist die TTL-Weitergabe aktiviert. Die globale no-propagate-ttl Anweisung deaktiviert die TTL-Weitergabe auf Routerebene und wirkt sich auf alle RSVP- oder LDP-signalisierten LSPs aus. Wenn ein Router als Eingangs-Router für einen LSP fungiert und die Routerkonfiguration diese Anweisung enthält, sendet der Router unabhängig von der no-propagate-ttl IP-Paket-TTL einen MPLS-Header mit einem TTL-Wert von 255. Wenn ein Router als vorletzter Router fungiert, gibt er den MPLS-Header aus, ohne die MPLS-TTL an das IP-Paket weiterzugeben. Somit bleibt der IP-Paket-TTL-Wert erhalten, unabhängig von der Hop-Anzahl des LSP.
Anstatt das TTL-Weitergabeverhalten auf Routerebene zu konfigurieren, können Sie das Verhalten für die Routen in einer VRF-Routing-Instanz konfigurieren. In diesem Beispiel wird gezeigt, wie die TTL-Weitergabe für die Routen in einer einzelnen VRF-Routinginstanz statt auf globaler Routerebene deaktiviert wird.
Die VRF-Konfiguration hat Vorrang vor der globalen Routerkonfiguration. Wenn Sie die TTL-Weitergabe auf dem Router deaktivieren und die TTL-Weitergabe explizit für eine einzelne VRF-Routing-Instanz aktivieren, ist die TTL-Weitergabe für diese Routing-Instanz wirksam. Um die TTL-Weitergabe für eine VRF-Routing-Instanz explizit zu aktivieren, schließen Sie die vrf-propagate-ttl Anweisung in die Routing-Instanz ein.
Wenn Sie das TTL-Weitergabeverhalten ändern, werden alte Next Hops für VRF-Routen aus der Routing-Tabelle inet.3 gelöscht, und neue Next Hops werden hinzugefügt.
Sie müssen nur die vrf-propagate-ttl oder-Anweisung no-vrf-propagate-ttl auf den Eingangsroutern konfigurieren.
Topologiediagramm
Abbildung 2 zeigt die in diesem Beispiel verwendete Topologie. Router PE1 und Router PE2 verfügen über zwei VPNs---VPN-A und VPN-B. Die Geräte CE1 und CE4 gehören zu VPN-A. Die Geräte CE2 und CE5 gehören zu VPN-B. In diesem Beispiel hat Router PE1 die TTL-Weitergabe auf VPN-A, aber nicht auf VPN-B deaktiviert. Bei Paketen, die von PE1 auf der mit CE1 verbundenen Schnittstelle empfangen werden, ist die TTL-Weitergabe deaktiviert. Dieses Beispiel zeigt die Konfiguration auf Router PE1. Sie müssen die no-vrf-propagate-ttl Anweisung nicht in den Egress Router (PE2) aufnehmen.
Konfiguration
Verfahren
CLI Schnellkonfiguration
Um die TTL-Weitergabe in einer VRF-Routing-Instanz schnell zu deaktivieren, kopieren Sie die folgenden Befehle, und fügen Sie sie in die CLI ein.
[edit]
set interfaces lo0 unit 0 family inet address 10.255.179.45/32 primary
set protocols mpls interface all
set protocols bgp group ibgp type internal
set protocols bgp group ibgp local-address 10.255.179.45
set protocols bgp group ibgp family inet-vpn unicast
set protocols bgp group ibgp neighbor 10.255.179.71
set protocols ospf area 0.0.0.0 interface fe-1/1/2.0
set protocols ospf area 0.0.0.0 interface fxp0.0 disable
set protocols ospf area 0.0.0.0 interface lo0.0
set protocols ldp interface all
set policy-options policy-statement VPN-A-export term a from protocol ospf
set policy-options policy-statement VPN-A-export term a from interface ge-1/2/0.0
set policy-options policy-statement VPN-A-export term a then community add VPN-A
set policy-options policy-statement VPN-A-export term a then accept
set policy-options policy-statement VPN-A-export term b then reject
set policy-options policy-statement VPN-A-import term a from protocol bgp
set policy-options policy-statement VPN-A-import term a from community VPN-A
set policy-options policy-statement VPN-A-import term a then accept
set policy-options policy-statement VPN-A-import term b then reject
set policy-options policy-statement VPN-B-export term a from protocol static
set policy-options policy-statement VPN-B-export term a then community add VPN-B
set policy-options policy-statement VPN-B-export term a then accept
set policy-options policy-statement VPN-B-export term b then reject
set policy-options policy-statement VPN-B-import term a from protocol bgp
set policy-options policy-statement VPN-B-import term a from community VPN-B
set policy-options policy-statement VPN-B-import term a then accept
set policy-options policy-statement VPN-B-import term b then reject
set policy-options policy-statement bgp-to-ospf from protocol bgp
set policy-options policy-statement bgp-to-ospf then accept
set policy-options community VPN-A members target:1:100
set policy-options community VPN-B members target:1:200
set routing-instances VPN-A instance-type vrf
set routing-instances VPN-A interface ge-1/2/0.0
set routing-instances VPN-A route-distinguisher 10.255.179.45:100
set routing-instances VPN-A interface ge-1/2/0.0
set routing-instances VPN-A no-vrf-propagate-ttl
set routing-instances VPN-A vrf-import VPN-A-import
set routing-instances VPN-A vrf-export VPN-A-export
set routing-instances VPN-A protocols ospf export bgp-to-ospf
set routing-instances VPN-A protocols ospf area 0.0.0.0 interface ge-1/2/0.0
set routing-instances VPN-B instance-type vrf
set routing-instances VPN-B interface so-0/1/0.0
set routing-instances VPN-B route-distinguisher 10.255.179.45:300
set routing-instances VPN-B vrf-import VPN-B-import
set routing-instances VPN-B vrf-export VPN-B-export
set routing-instances VPN-B routing-options static route 10.255.179.15/32 next-hop so-0/1/0.0
set routing-options autonomous-system 1
Schritt-für-Schritt-Anleitung
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Weitere Informationen zum Navigieren in der CLI finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus.
So konfigurieren Sie eine Flowmap:
-
Konfigurieren Sie die Loopback-Schnittstelle.
[edit] user@PE1# edit interfaces [edit interfaces] user@PE1# set lo0 unit 0 family inet address 10.255.179.45/32 primary user@PE1# exit -
Konfigurieren Sie die Routing-Protokolle.
Die interne BGP-Nachbaradresse ist die Loopback-Schnittstellenadresse von Router PE2 in Abbildung 2.
[edit] user@PE1# edit protocols [edit protocols] user@PE1# set mpls interface all user@PE1# set bgp group ibgp type internal user@PE1# set bgp group ibgp local-address 10.255.179.45 user@PE1# set bgp group ibgp family inet-vpn unicast user@PE1# set bgp group ibgp neighbor 10.255.179.71 user@PE1# set ospf area 0.0.0.0 interface fe-1/1/2.0 user@PE1# set ospf area 0.0.0.0 interface fxp0.0 disable user@PE1# set ospf area 0.0.0.0 interface lo0.0 user@PE1# set ldp interface all user@PE1# exit -
Konfigurieren Sie Routing-Richtlinien für VPN-A und VPN-B.
[edit] user@PE1# edit policy-options [edit policy-options] user@PE1# set policy-statement VPN-A-export term a from protocol ospf user@PE1# set policy-statement VPN-A-export term a from interface ge-1/2/0.0 user@PE1# set policy-statement VPN-A-export term a then community add VPN-A user@PE1# set policy-statement VPN-A-export term a then accept user@PE1# set policy-statement VPN-A-export term b then reject user@PE1# set policy-statement VPN-A-import term a from protocol bgp user@PE1# set policy-statement VPN-A-import term a from community VPN-A user@PE1# set policy-statement VPN-A-import term a then accept user@PE1# set policy-statement VPN-A-import term b then reject user@PE1# set policy-statement VPN-B-export term a from protocol static user@PE1# set policy-statement VPN-B-export term a then community add VPN-B user@PE1# set policy-statement VPN-B-export term a then accept user@PE1# set policy-statement VPN-B-export term b then reject user@PE1# set policy-statement VPN-B-import term a from protocol bgp user@PE1# set policy-statement VPN-B-import term a from community VPN-B user@PE1# set policy-statement VPN-B-import term a then accept user@PE1# set policy-statement VPN-B-import term b then reject user@PE1# set policy-statement bgp-to-ospf from protocol bgp user@PE1# set policy-statement bgp-to-ospf then accept user@PE1# set community VPN-A members target:1:100 user@PE1# set community VPN-B members target:1:200 user@PE1# exit -
Konfigurieren Sie die VPN-A- und VPN-B-Routinginstanzen, einschließlich der
no-vrf-propagate-ttlAnweisung in VPN-A.[edit] user@PE1# edit routing-instances [edit routing-instances] user@PE1# set VPN-A instance-type vrf user@PE1# set VPN-A interface ge-1/2/0.0 user@PE1# set VPN-A route-distinguisher 10.255.179.45:100 user@PE1# set VPN-A interface ge-1/2/0.0 user@PE1# set VPN-A no-vrf-propagate-ttl user@PE1# set VPN-A vrf-import VPN-A-import user@PE1# set VPN-A vrf-export VPN-A-export user@PE1# set VPN-A protocols ospf export bgp-to-ospf user@PE1# set VPN-A protocols ospf area 0.0.0.0 interface ge-1/2/0.0 user@PE1# set VPN-B instance-type vrf user@PE1# set VPN-B interface so-0/1/0.0 user@PE1# set VPN-B route-distinguisher 10.255.179.45:300 user@PE1# set VPN-B vrf-import VPN-B-import user@PE1# set VPN-B vrf-export VPN-B-export user@PE1# set VPN-B routing-options static route 10.255.179.15/32 next-hop so-0/1/0.0 user@PE1# exit -
Definieren Sie das lokale autonome System.
[edit] user@PE1# edit routing-options [edit routing-options] user@PE1# set autonomous-system 1 user@PE1# exit -
Wenn Sie mit der Konfiguration des Geräts fertig sind, bestätigen Sie die Konfiguration.
[edit] user@PE1# commit
Befund
Bestätigen Sie Ihre Konfiguration, indem Sie die show interfacesBefehle , show policy-options, show protocolsshow routing-instances, und show routing-options eingeben.
user@PE1# show interfaces
lo0 {
unit 0 {
family inet {
address 10.255.179.45/32 {
primary;
}
}
}
}
user@PE1# show policy-options
policy-statement VPN-A-export {
term a {
from {
protocol ospf;
interface ge-1/2/0.0;
}
then {
community add VPN-A;
accept;
}
}
term b {
then reject;
}
}
policy-statement VPN-A-import {
term a {
from {
protocol bgp;
community VPN-A;
}
then accept;
}
term b {
then reject;
}
}
policy-statement VPN-B-export {
term a {
from protocol static;
then {
community add VPN-B;
accept;
}
}
term b {
then reject;
}
}
policy-statement VPN-B-import {
term a {
from {
protocol bgp;
community VPN-B;
}
then accept;
}
term b {
then reject;
}
}
policy-statement bgp-to-ospf {
from protocol bgp;
then accept;
}
community VPN-A members target:1:100;
community VPN-B members target:1:200;
user@PE1# show protocols
mpls {
interface all;
}
bgp {
group ibgp {
type internal;
local-address 10.255.179.45;
family inet-vpn {
unicast;
}
neighbor 10.255.179.71;
}
}
ospf {
area 0.0.0.0 {
interface fe-1/1/2.0;
interface fxp0.0 {
disable;
}
interface lo0.0;
}
}
ldp {
interface all;
}
user@PE1# show routing-instances
VPN-A {
instance-type vrf;
interface ge-1/2/0.0;
no-vrf-propagate-ttl;
route-distinguisher 10.255.179.45:100;
vrf-import VPN-A-import;
vrf-export VPN-A-export;
protocols {
ospf {
export bgp-to-ospf;
area 0.0.0.0 {
interface ge-1/2/0.0;
}
}
}
}
VPN-B {
instance-type vrf;
interface so-0/1/0.0;
route-distinguisher 10.255.179.45:300;
vrf-import VPN-B-import;
vrf-export VPN-B-export;
routing-options {
static {
route 10.255.179.15/32 next-hop so-0/1/0.0;
}
}
}
user@PE1# show routing-options autonomous-system 1;
Verifizierung
Führen Sie die folgenden Befehle aus, um den Vorgang zu überprüfen:
-
Weitere Informationen finden Sie in dem
TTL ActionFeld in dershow route extensive table VPN-AAusgabe des Befehls. -
Weitere Informationen finden Sie in dem
TTL ActionFeld in dershow route extensive table VPN-BAusgabe des Befehls. -
Führen Sie auf Gerät CE1 den Befehl für die
tracerouteLoopback-Adresse von Gerät CE4 aus. -
Führen Sie auf Gerät CE4 den Befehl für die
tracerouteLoopback-Adresse von Gerät CE1 aus.