Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

レイヤー 3 VPN のトラブルシューティング

一般的なレイヤー 3 VPN の問題の診断

問題

説明

レイヤー 3 VPN 設定の問題をトラブルシューティングするには、VPN の一端(ローカル カスタマー エッジ [CE] ルーター)から開始し、VPN のもう一方の端(リモート CE ルーター)へのルートに従います。

ソリューション

次のトラブルシューティング手順は、一般的な問題の診断に役立ちます。

  1. ローカル プロバイダ エッジ(PE)と CE ルーターの間にルーティング プロトコルを設定した場合、ピアリングと隣接関係が完全に動作している必要があります。これを行う場合は、必ずルーティング インスタンスの名前を指定します。たとえば、隣接関係OSPFするには、PE ルーターで show ospf neighbor instance routing-instance-name コマンドを入力します。

    ピアリングと隣接関係が完全に動作していない場合は、CEルーターのルーティング プロトコル設定を確認し、PEルーターに関連付けられたVPNルーティング インスタンスのルーティング プロトコル設定を確認します。

  2. ローカル サーバーと PE CEが互いに ping を実行できるのを確認します。

    ローカル ネットワーク ルーター CE PE ルーター上の VPN インターフェイスに ping を実行できるかを確認するには、次の形式で コマンドを使用して、PE ルーターの IP アドレスまたは名前を ping 指定します。

    ローカル PE ルーターが CE ルーターに ping を実行できるかを確認するには、次の形式でコマンドを使用し、CE ルーターの IP アドレスまたは名前、VPN に使用されるインターフェイスの名前、発信 Echo リクエスト パケットの送信元 IP アドレス(ローカル アドレス)を指定します ping

    多くの場合、コマンドが成功する前に、ローカル インターフェイスCEとローカル PE ルーター間のピアリングまたは隣接関係を設定 ping する必要があります。ラボ設定でリンクが動作しているのを確認するには、ステートメントを階層レベルから削除して設定を再コミットすることで、インターフェイスを VPN ルーティングおよび転送(VRF)から削除します。 interface [edit routing-instance routing-instance-name] これにより、インターフェイスが VPN から削除されます。コマンドを ping 再び実行します。コマンドが正常に実行された場合、インターフェイスをVPNに戻し、ローカル インターフェイスとPEルーターでルーティング プロトコルの設定CEを確認します。

  3. ローカル PE ルーターで、ローカル PE ルーターからのルートが VRF CE ( routing-instance-name .inet.0 ) にあるか確認します。

    次の例は、これらのルーティング テーブルを示しています。ここでは、スイッチ ルーターのCE アドレスと、PE ルーターとルーター間のルーティング プロトコルCE 10.255.14.155/32 設定BGP。エントリーは、他にはない発表BGP思えます。

    ローカル ネットワーク ルーターからのルートCE VRF ルーティング テーブル に存在しない場合は、CE ルーターが PE ルーターへのルートを宣伝しているのを確認します。デバイスと PE ルーターの間でCE使用する場合は、適切な静的ルートが設定されていることを確認します。

  4. リモート PE ルーターで、ローカル プロトコル ルーターからのルートが bgp.l3vpn.0 スイッチにCEしていることを確認ルーティング テーブル。

    コマンドの出力には show route table bgp.l3vpn.0 extensive 、VPN に固有の次の情報が含まれます。

    • プレフィックス名(出力の最初の行)では、ルート識別機能がローカル ルーターのルート プレフィックスにCEされます。ルート識別はインターネット内で固有のため、ルート識別と IP プレフィックスの連結によって、固有の VPN-IP バージョン 4(IPv4)ルーティング エントリーが提供されます。

    • フィールド Route Distinguisher には、VPN-IPv4アドレスとは別個にルートの識別をリストします。

    • フィールド label-switched-path は、VPN トラフィックの送信に使用されるラベルスイッチ パス(LSP)の名前を示します。

    • フィールド Push には、VPN-IPv4 パケットで転送されるラベルの両方が表示されます。最初のラベルは、PE ルーターによって割り当てられた VPN ラベルである内部ラベルです。2つ目のラベルは外部ラベルで、RSVPラベルです。

    • フィールド Communities には、ターゲット コミュニティが一覧表示されます。

    • フィールド Secondary tables には、このルートがインストールされているこのルーター上のその他のルーティング テーブルが一覧表示されます。

    ローカル PE ルーターからのルートCE PE ルーター上の bgp.l3vpn.0 ルーティング テーブルに存在しない場合は、次の手順に従います。

    • ステートメントで設定されているリモート PE ルーターの VRF インポート フィルターを確認 vrf-import します。(ローカル PE ルーターでは、 ステートメントで設定された VRF エクスポート フィルターを確認 vrf-export します)。

    • PE ルーター間に動作している LSP または LDP パスが含か確認します。これを行うには、IBGP ネクスト ホップ アドレスが inet.3 テーブル内にあることを確認します。

    • PE ルーター間の IBGP セッションが確立され、適切に設定されていることを確認します。

    • 「非表示」ルートをチェックします。これは通常、ルートに適切なラベルが付けされていないルートを意味します。これを行うには、 コマンドを使用 show route table bgp.l3vpn.0 hidden します。

    • 内部ラベルが、ローカル PE ルーターによって割り当てられた内部 VPN ラベルと一致チェックします。これを行うには、 コマンドを使用 show route table mpls します。

    次の例は、リモート PE ルーター上のこのコマンドの出力を示しています。ここでは、内部ラベルは 100004 .

    次の例は、ローカル PE ルーター上のこのコマンドの出力を示しています。これは、内部ラベルがリモート PE ルーターの内部ラベルと一致 100004 しています。

  5. リモート PE ルーターで、ローカル ネットワーク ルーターからのルートが VRF テーブル( routing-instance-name .inet.0 )に存在CEチェックします。

    この場合ルーティング テーブル、ルート識別機能はプレフィックスの先頭に付加されません。の最後の行 Primary Routing Table は、このルートの学習から得たテーブルを示します。

    この ルーティング テーブル にルートが存在しないのに、ローカル CE ルーター上の bgp.l3vpn.0 ルーティング テーブル に存在していた場合、ルートがリモート PE ルーターの VRF インポート ポリシーを通過していない可能性があります。

    VPN-IPv4 ルートがポリシーと一致しない場合、ルートは bgp.l3vpn テーブルに表示されないので、VRF テーブルに存在 vrf-import しない。この場合、PE ルーターで(共通のターゲットを使用して)別の VPN 上に別のステートメントを設定したと示され、ルートは bgp.l3vpn.0 テーブルに表示されますが、間違った VPN にインポートされます。 vrf-import

  6. リモート スイッチ ルーター CE、ローカル ネットワーク ルーターからのルートが inet.0(CE)に存在ルーティング テーブル確認します。

    ルートが存在しない場合は、リモート PE ルーターと CE ルーター間のルーティング プロトコル設定を確認し、PE ルーターと CE ルーター間のピアと隣接関係(または静的ルート)が正しいか確認します。

  7. ローカル CE ルーターから発信されたルートが正しいと判断した場合は、この手順を繰り返して、リモート CE ルーターから発信されたルートを確認します。

例: レイヤー 3 VPN のトラブルシューティング

この例では、 コマンドを使用して VPN トポロジーにおける各種ルーターのアクセシビリティを確認する方法と、 コマンドを使用して VPN ルーター間を転送するパケットのパスをチェックする方法を示しています。 ping traceroute

要件

この例では、次のハードウェアとソフトウェアのコンポーネントを使用しています。

  • M Series ルーター

  • Junos OS リリース 10.0R1以降

概要

トポロジ

1 に示すトポロジーは、この例で使用するネットワークを示しています。ping および traceroute コマンドを使用して、レイヤー 3 VPN を構成するルーター間の接続をテストする方法を示します。

図 1:pingおよび traceroute のレイヤー 3 VPN トポロジーの例 Layer 3 VPN Topology for ping and traceroute Examples

別のCEルーターからのリモート ルーター CE ping

手順

手順

以下では、ping とコマンドを使用してレイヤー 3 VPN トポロジーをトラブルシューティングする方法 traceroute について説明します。もう一方のルーター CE ping するには、 コマンドでもうCEのループバック アドレスを IP アドレスとして指定 ping します。このコマンドは、接続されたルーターから直接接続された PE ルーターにCE アドレスが ping 発表されている場合に成功します。これらのコマンドが成功するということは、ルーター CE1 がルーター CE2 以外のネットワーク デバイスに ping を実行できるということです。また、その逆 ping も同様です。 図 1 は 、次の手順で参照されるトポロジを示しています。

  1. ルーター CE1(VPN4)からの Ping ルーター CE2(VPN5):

  2. ルーター CE1 のループバック インターフェイスからルーター CE2 のループバック インターフェイスへのパスを確認するには、 コマンドを使用 traceroute します。

  3. コマンドを使用してレイヤー 3 VPN によって使用されているパスを調べる場合、サービス プロバイダのネットワーク内の traceroute プロバイダ(P)ルーターは表示されません。上記のように、ルーター VPN1 からルーター VPN2 へのジャンプは単一ホップとして表示されます。図 1 に示す P ルーター(VPN3)は表示されません。

  4. ルーター CE2(VPN5)からの Ping ルーター CE1(VPN4):

  5. ルーター CE2 からルーター CE1 へのパスを確認するには、 コマンドを使用 traceroute します。

ローカル ルーターからリモート PE CE ルーターに ping を実行CEする

手順

手順

ローカル CE ルーターから、リモート PE およびポイントポイント インターフェイスの CE ルーター上で VPN インターフェイスに ping を実行できます。 図 1 は 、次の例で参照されるトポロジを示しています。

  1. ルーター CE1 からルーター CE2 に ping を送信します。

  2. ルーター CE1 のループバック インターフェイスからルーター CE2 の直接接続されたインターフェイスへのパスを確認するには、次のコマンドを使用 traceroute します。

  3. ルーター CE1(VPN4)からルーター PE2(VPN2)に ping を実行します。この場合、ルーター CE1 から発信されたパケットは、ルーター PE2 がインターネット制御メッセージ プロトコル(ICMP)要求に応答する前に、ルーター PE2 に、次にルーター CE2 に戻り、ルーター PE2 に戻ります。これを検証するには、 コマンドを使用 traceroute します。

  4. ルーター CE1 からルーター PE2 へのパスを確認するには、 コマンドを使用 traceroute します。

マルチアクセス インターフェイスCEルーターへの ping

手順

手順

VPNインターフェイスがマルチアクセス インターフェイスCE、ルーターCE1上のインターフェイスなど、もう一方のルーターに対してping fe-1/1/2.0 を実行することはできません。ルーター CE2 からルーター CE1 に ping を実行するには、ルーター PE1 の階層レベルにステートメントを含めるか、ルーター CE1 の VPN インターフェイスにルーター vrf-table-label PE1 上の静的ルートを設定する必要があります。 [edit routing-instances routing-instance-name] ルーターに ping vrf-table-label する ステートメントを含める場合、静的ルートを設定することはできません。

  1. ルーター PE1 上でルーター CE1 の VPN インターフェイスに静的ルートを設定する場合、次の設定に示すように、ネクスト ホップはルーター CE1(階層レベルで)を指す必要があります。このルートは、ルーター PE1 からルーター PE2 に発表する必要があります [edit routing-instance routing-instance-name]

  2. これで、ルーター CE2 からルーター CE1 に ping を実行できます。

  3. これら 2 つのインターフェイス間のパスを確認するには、 コマンドを使用 traceroute します。

リモート ルーターからの直接接続 PE ルーター CE ping

手順

手順

スイッチ ルーターのループバック インターフェイスCE、直接接続した PE ルーター上で VPN インターフェイスに ping を実行できます。 図 1 は 、このプロシージャで参照されるトポロジを示しています。

  1. ルーター CE1(VPN4)のループバック インターフェイスから、ルーター PE1 で VPN インターフェイスに ping fe-1/1/0.0 を実行します。

  2. ルーター CE2(VPN5)のループバック インターフェイスから、ルーター PE2 で VPN インターフェイスに ping t3-0/0/3.0 します。

  3. ルーター CE2(VPN5)のループバック インターフェイスから、ルーター PE2 で VPN インターフェイスに ping t3-0/0/3.0 します。

  4. ルーター CE2 のループバック インターフェイスからルーター PE2 上の VPN インターフェイスへのパスを確認するには、 コマンドを使用 traceroute します。

PE ルーターからの直接接続CE ping

手順

手順

PE ルーターの VPN およびループバック インターフェイスから、直接接続されたルーター上の VPN インターフェイスに ping をCEできます。 図 1 は 、このプロシージャで参照されるトポロジを示しています。

  1. PE ルーター(ルーター PE1)の VPN インターフェイスから、直接接続されたルーター(ルーター CE1)上で VPN またはループバック インターフェイスに ping CEできます。

    ルーター PE1(VPN1)上の VPN インターフェイスから、ルーター CE1 で VPN インターフェイスに ping fe-1/1/0.0 を実行します。

  2. ルーター PE1(VPN1)の VPN インターフェイスから、ルーター CE1 でループバック インターフェイスに ping 10.255.10.4 します。

  3. ルーター PE1 上の VPN インターフェイスから、それぞれルーター CE1 の VPN インターフェイスとループバック インターフェイスへのパスを確認するには、以下のコマンドを使用 traceroute します。

  4. ルーター PE2(VPN2)上の VPN インターフェイスから、ルーター CE2 で VPN インターフェイスに ping t3-0/0/3.0 を実行します。

  5. ルーター PE2(VPN2)の VPN インターフェイスから、ルーター CE2 でループバック インターフェイスに ping 10.255.10.5 します。

  6. ルーター PE2 上の VPN インターフェイスから、それぞれルーター CE2 上の VPN インターフェイスとループバック インターフェイスへのパスを確認するには、以下のコマンドを使用 traceroute します。

ローカル PE ルーター CE リモート リモート サービス ルーターへの ping

手順

手順

以下の手順は、レイヤー 3 VPN でのみ有効です。レイヤー 3 VPN CE PE ルーターからリモート インターフェイスに ping を実行するには、以下のインターフェイスを設定する必要があります。

  1. ループバック インターフェイスの論理ユニットを設定します。

    PE ルーターのループバック インターフェイスで追加の論理ユニットを設定するには、階層レベル unit で ステートメント [edit interfaces lo0] を設定します。

  2. ローカル PE ルーター上のレイヤー 3 VPN ルーティング インスタンスのループバック インターフェイスを設定します。1 つの論理ループバック インターフェイスを各レイヤー 3 VPN ルーティング インスタンスに関連付け、ルーター上の特定のルーティング インスタンスに ping を実行できます。

    階層レベルで ステートメントを使用して、ステップ 1 で設定した interface ループバック インターフェイス [edit routing-instances routing-instance-name] を指定します。

    interface-name 、ループバック インターフェイス上の論理ユニットです( など lo0.1 )。

  3. PE ルーターの VPN インターフェイスから、リモート ルーターのループバック インターフェイス上の論理ユニットに ping を実行CEできます。

    ループバック interface インターフェイスで新しい論理ユニットを指定する場合に使用します lo0.1 ( など)。コマンドの使用方法の詳細については、「 インターフェイス コマンド リファレンス 」を ping interface Junos参照してください

ギガビット イーサネット インターフェイスからの不整合なアドバタイズ されたルートのトラブルシューティング

手順

手順

レイヤー 3 VPN 内の LAN 上の直接ルートの場合、Junos OS は、ネクスト ホップとして指定できる CE ルーターの位置を確認します。これを実行できない場合、ギガビット イーサネット インターフェイスからのアドバタイズされたルートがドロップされます。

この場合、次のような状況になります。

  1. LAN サブネット上の CE ルーターに対して、VRF ルーティング インスタンス内の または階層レベルで ステートメントを使用して、CE ルーターをネクスト ホップとして static [edit routing-options] [edit logical-systems logical-system-name routing-options] 設定します。このLAN上の直接の宛先に移動すると、すべてのトラフィックがCEされます。冗長化のために、LAN 上の 2 台のルーターに 2 CEスタティック ルートを追加できます。

  2. 階層レベル vrf-table-label でステートメントを設定し、パケットの内部ラベルを特定の [edit routing-instances routing-instance-name] VRF ポリシーにルーティング テーブル。これにより、カプセル化された IP ヘッダーを検査して、すべてのトラフィックの VRF ルーティング インスタンスで IP ルックアップを強制できます。

    メモ:

    ステートメントは、すべてのコア側インターフェイスで使用できるではありません。たとえば、チャンネル化インターフェイス vrf-table-label はサポートされていません。イーサネット および SONET/SDH インターフェイス上のステートメントのサポートについて詳しくは、 IPヘッダーに基づくレイヤー3 VPNでのパケット vrf-table-label のフィルタリング を参照してください。