レイヤー 3 VPN のトラブルシューティング
一般的なレイヤー 3 VPN の問題の診断
問題
説明
レイヤー 3 VPN 設定の問題をトラブルシューティングするには、VPN の一端(ローカル カスタマー エッジ [CE] ルーター)から開始し、VPN のもう一方の端(リモート CE ルーター)へのルートに従います。
ソリューション
次のトラブルシューティング手順は、一般的な問題の診断に役立ちます。
ローカル プロバイダ エッジ(PE)と CE ルーターの間にルーティング プロトコルを設定した場合、ピアリングと隣接関係が完全に動作している必要があります。これを行う場合は、必ずルーティング インスタンスの名前を指定します。たとえば、隣接関係OSPFするには、PE ルーターで
show ospf neighbor instance routing-instance-name
コマンドを入力します。ピアリングと隣接関係が完全に動作していない場合は、CEルーターのルーティング プロトコル設定を確認し、PEルーターに関連付けられたVPNルーティング インスタンスのルーティング プロトコル設定を確認します。
ローカル サーバーと PE CEが互いに ping を実行できるのを確認します。
ローカル ネットワーク ルーター CE PE ルーター上の VPN インターフェイスに ping を実行できるかを確認するには、次の形式で コマンドを使用して、PE ルーターの IP アドレスまたは名前を
ping
指定します。user@host> ping (ip-address | host-name)
ローカル PE ルーターが CE ルーターに ping を実行できるかを確認するには、次の形式でコマンドを使用し、CE ルーターの IP アドレスまたは名前、VPN に使用されるインターフェイスの名前、発信 Echo リクエスト パケットの送信元 IP アドレス(ローカル アドレス)を指定します
ping
。user@host> ping ip-address interface interface local echo-address
多くの場合、コマンドが成功する前に、ローカル インターフェイスCEとローカル PE ルーター間のピアリングまたは隣接関係を設定
ping
する必要があります。ラボ設定でリンクが動作しているのを確認するには、ステートメントを階層レベルから削除して設定を再コミットすることで、インターフェイスを VPN ルーティングおよび転送(VRF)から削除します。interface
[edit routing-instance routing-instance-name]
これにより、インターフェイスが VPN から削除されます。コマンドを ping 再び実行します。コマンドが正常に実行された場合、インターフェイスをVPNに戻し、ローカル インターフェイスとPEルーターでルーティング プロトコルの設定CEを確認します。ローカル PE ルーターで、ローカル PE ルーターからのルートが VRF CE ( routing-instance-name .inet.0 ) にあるか確認します。
user@host> show route table routing-instance-name.inet.0 <detail>
次の例は、これらのルーティング テーブルを示しています。ここでは、スイッチ ルーターのCE アドレスと、PE ルーターとルーター間のルーティング プロトコルCE
10.255.14.155/32
設定BGP。エントリーは、他にはない発表BGP思えます。10.255.14.155/32 (1 entry, 1 announced) *BGP Preference: 170/-101 Nexthop: 192.168.197.141 via fe-1/0/0.0, selected State: <Active Ext> Peer AS: 1 Age: 45:46 Task: BGP_1.192.168.197.141+179 Announcement bits (2): 0-BGP.0.0.0.0+179 1-KRT AS path: 1 I Localpref: 100 Router ID: 10.255.14.155
ローカル ネットワーク ルーターからのルートCE VRF ルーティング テーブル に存在しない場合は、CE ルーターが PE ルーターへのルートを宣伝しているのを確認します。デバイスと PE ルーターの間でCE使用する場合は、適切な静的ルートが設定されていることを確認します。
リモート PE ルーターで、ローカル プロトコル ルーターからのルートが bgp.l3vpn.0 スイッチにCEしていることを確認ルーティング テーブル。
user@host> show route table bgp.l3vpn.0 extensive 10.255.14.175:3:10.255.14.155/32 (1 entry, 0 announced) *BGP Preference: 170/-101 Route Distinguisher: 10.255.14.175:3 Source: 10.255.14.175 Nexthop: 192.168.192.1 via fe-1/1/2.0, selected label-switched-path vpn07-vpn05 Push 100004, Push 100005(top) State: <Active Int Ext> Local AS: 69 Peer AS: 69 Age: 15:27 Metric2: 338 Task: BGP_69.10.255.14.175+179 AS path: 1 I Communities: target:69:100 BGP next hop: 10.255.14.175 Localpref: 100 Router ID: 10.255.14.175 Secondary tables: VPN-A.inet.0
コマンドの出力には
show route table bgp.l3vpn.0 extensive
、VPN に固有の次の情報が含まれます。プレフィックス名(出力の最初の行)では、ルート識別機能がローカル ルーターのルート プレフィックスにCEされます。ルート識別はインターネット内で固有のため、ルート識別と IP プレフィックスの連結によって、固有の VPN-IP バージョン 4(IPv4)ルーティング エントリーが提供されます。
フィールド
Route Distinguisher
には、VPN-IPv4アドレスとは別個にルートの識別をリストします。フィールド
label-switched-path
は、VPN トラフィックの送信に使用されるラベルスイッチ パス(LSP)の名前を示します。フィールド
Push
には、VPN-IPv4 パケットで転送されるラベルの両方が表示されます。最初のラベルは、PE ルーターによって割り当てられた VPN ラベルである内部ラベルです。2つ目のラベルは外部ラベルで、RSVPラベルです。フィールド
Communities
には、ターゲット コミュニティが一覧表示されます。フィールド
Secondary tables
には、このルートがインストールされているこのルーター上のその他のルーティング テーブルが一覧表示されます。
ローカル PE ルーターからのルートCE PE ルーター上の bgp.l3vpn.0 ルーティング テーブルに存在しない場合は、次の手順に従います。
ステートメントで設定されているリモート PE ルーターの VRF インポート フィルターを確認
vrf-import
します。(ローカル PE ルーターでは、 ステートメントで設定された VRF エクスポート フィルターを確認vrf-export
します)。PE ルーター間に動作している LSP または LDP パスが含か確認します。これを行うには、IBGP ネクスト ホップ アドレスが inet.3 テーブル内にあることを確認します。
PE ルーター間の IBGP セッションが確立され、適切に設定されていることを確認します。
「非表示」ルートをチェックします。これは通常、ルートに適切なラベルが付けされていないルートを意味します。これを行うには、 コマンドを使用
show route table bgp.l3vpn.0 hidden
します。内部ラベルが、ローカル PE ルーターによって割り当てられた内部 VPN ラベルと一致チェックします。これを行うには、 コマンドを使用
show route table mpls
します。
次の例は、リモート PE ルーター上のこのコマンドの出力を示しています。ここでは、内部ラベルは
100004
.... Push 100004, Push 10005 (top)
次の例は、ローカル PE ルーター上のこのコマンドの出力を示しています。これは、内部ラベルがリモート PE ルーターの内部ラベルと一致
100004
しています。... 100004 *[VPN/7] 06:56:25, metric 1 > to 192.168.197.141 via fe-1/0/0.0, Pop
リモート PE ルーターで、ローカル ネットワーク ルーターからのルートが VRF テーブル( routing-instance-name .inet.0 )に存在CEチェックします。
user@host> show route table routing-instance-name.inet.0 detail 10.255.14.155/32 (1 entry, 1 announced) *BGP Preference: 170/-101 Route Distinguisher: 10.255.14.175:3 Source: 10.255.14.175 Nexthop: 192.168.192.1 via fe-1/1/2.0, selected label-switched-path vpn07-vpn05 Push 100004, Push 100005(top) State: <Secondary Active Int Ext> Local AS: 69 Peer AS: 69 Age: 1:16:22 Metric2: 338 Task: BGP_69.10.255.14.175+179 Announcement bits (2): 1-KRT 2-VPN-A-RIP AS path: 1 I Communities: target:69:100 BGP next hop: 10.255.14.175 Localpref: 100 Router ID: 10.255.14.175 Primary Routing Table bgp.l3vpn.0
この場合ルーティング テーブル、ルート識別機能はプレフィックスの先頭に付加されません。の最後の行
Primary Routing Table
は、このルートの学習から得たテーブルを示します。この ルーティング テーブル にルートが存在しないのに、ローカル CE ルーター上の bgp.l3vpn.0 ルーティング テーブル に存在していた場合、ルートがリモート PE ルーターの VRF インポート ポリシーを通過していない可能性があります。
VPN-IPv4 ルートがポリシーと一致しない場合、ルートは bgp.l3vpn テーブルに表示されないので、VRF テーブルに存在
vrf-import
しない。この場合、PE ルーターで(共通のターゲットを使用して)別の VPN 上に別のステートメントを設定したと示され、ルートは bgp.l3vpn.0 テーブルに表示されますが、間違った VPN にインポートされます。vrf-import
リモート スイッチ ルーター CE、ローカル ネットワーク ルーターからのルートが inet.0(CE)に存在ルーティング テーブル確認します。
user@host> show route
ルートが存在しない場合は、リモート PE ルーターと CE ルーター間のルーティング プロトコル設定を確認し、PE ルーターと CE ルーター間のピアと隣接関係(または静的ルート)が正しいか確認します。
ローカル CE ルーターから発信されたルートが正しいと判断した場合は、この手順を繰り返して、リモート CE ルーターから発信されたルートを確認します。
例: レイヤー 3 VPN のトラブルシューティング
この例では、 コマンドを使用して VPN トポロジーにおける各種ルーターのアクセシビリティを確認する方法と、 コマンドを使用して VPN ルーター間を転送するパケットのパスをチェックする方法を示しています。 ping
traceroute
- 要件
- 概要
- 別のCEルーターからのリモート ルーター CE ping
- ローカル ルーターからリモート PE CE ルーターに ping を実行CEする
- マルチアクセス インターフェイスCEルーターへの ping
- リモート ルーターからの直接接続 PE ルーター CE ping
- PE ルーターからの直接接続CE ping
- ローカル PE ルーター CE リモート リモート サービス ルーターへの ping
- ギガビット イーサネット インターフェイスからの不整合なアドバタイズ されたルートのトラブルシューティング
要件
この例では、次のハードウェアとソフトウェアのコンポーネントを使用しています。
M Series ルーター
Junos OS リリース 10.0R1以降
概要
トポロジ
図 1 に示すトポロジーは、この例で使用するネットワークを示しています。ping および traceroute コマンドを使用して、レイヤー 3 VPN を構成するルーター間の接続をテストする方法を示します。
別のCEルーターからのリモート ルーター CE ping
手順
手順
以下では、ping とコマンドを使用してレイヤー 3 VPN トポロジーをトラブルシューティングする方法 traceroute
について説明します。もう一方のルーター CE ping するには、 コマンドでもうCEのループバック アドレスを IP アドレスとして指定 ping
します。このコマンドは、接続されたルーターから直接接続された PE ルーターにCE アドレスが ping
発表されている場合に成功します。これらのコマンドが成功するということは、ルーター CE1 がルーター CE2 以外のネットワーク デバイスに ping を実行できるということです。また、その逆 ping
も同様です。 図 1 は 、次の手順で参照されるトポロジを示しています。
ルーター CE1(VPN4)からの Ping ルーター CE2(VPN5):
user@vpn4> ping 10.255.10.5 local 10.255.10.4 count 3 PING 10.255.10.5 (10.255.10.5): 56 data bytes 64 bytes from 10.255.10.5: icmp_seq=0 ttl=253 time=1.086 ms 64 bytes from 10.255.10.5: icmp_seq=1 ttl=253 time=0.998 ms 64 bytes from 10.255.10.5: icmp_seq=2 ttl=253 time=1.140 ms --- 10.255.10.5 ping statistics --- 3 packets transmitted, 3 packets received, 0% packet loss round-trip min/avg/max/stddev = 0.998/1.075/1.140/0.059 ms
ルーター CE1 のループバック インターフェイスからルーター CE2 のループバック インターフェイスへのパスを確認するには、 コマンドを使用
traceroute
します。user@vpn4> traceroute 10.255.10.5 source 10.255.10.4 traceroute to 10.255.10.5 (10.255.10.5) from 10.255.10.4, 30 hops max, 40 byte packets 1 vpn1-fe-110.isp-core.net (192.168.192.1) 0.680 ms 0.491 ms 0.456 ms 2 vpn2-t3-001.isp-core.net (192.168.192.110) 0.857 ms 0.766 ms 0.754 ms MPLS Label=100005 CoS=0 TTL=1 S=1 3 vpn5.isp-core.net (10.255.10.5) 0.825 ms 0.886 ms 0.732 ms
コマンドを使用してレイヤー 3 VPN によって使用されているパスを調べる場合、サービス プロバイダのネットワーク内の
traceroute
プロバイダ(P)ルーターは表示されません。上記のように、ルーター VPN1 からルーター VPN2 へのジャンプは単一ホップとして表示されます。図 1 に示す P ルーター(VPN3)は表示されません。ルーター CE2(VPN5)からの Ping ルーター CE1(VPN4):
user@vpn5> ping 10.255.10.4 local 10.255.10.5 count 3 PING 10.255.10.4 (10.255.10.4): 56 data bytes 64 bytes from 10.255.10.4: icmp_seq=0 ttl=253 time=1.042 ms 64 bytes from 10.255.10.4: icmp_seq=1 ttl=253 time=0.998 ms 64 bytes from 10.255.10.4: icmp_seq=2 ttl=253 time=0.954 ms --- 10.255.10.4 ping statistics --- 3 packets transmitted, 3 packets received, 0% packet loss round-trip min/avg/max/stddev = 0.954/0.998/1.042/0.036 ms
ルーター CE2 からルーター CE1 へのパスを確認するには、 コマンドを使用
traceroute
します。user@vpn5> traceroute 10.255.10.4 source 10.255.10.5 traceroute to 10.255.10.4 (10.255.10.4) from 10.255.10.5, 30 hops max, 40 byte packets 1 vpn-08-t3-003.isp-core.net (192.168.193.2) 0.686 ms 0.519 ms 0.548 ms 2 vpn1-so-100.isp-core.net (192.168.192.100) 0.918 ms 0.869 ms 0.859 ms MPLS Label=100021 CoS=0 TTL=1 S=1 3 vpn4.isp-core.net (10.255.10.4) 0.878 ms 0.760 ms 0.739 ms
ローカル ルーターからリモート PE CE ルーターに ping を実行CEする
手順
手順
ローカル CE ルーターから、リモート PE およびポイントポイント インターフェイスの CE ルーター上で VPN インターフェイスに ping を実行できます。 図 1 は 、次の例で参照されるトポロジを示しています。
ルーター CE1 からルーター CE2 に ping を送信します。
user@vpn4> ping 192.168.193.5 local 10.255.10.4 count 3 PING 192.168.193.5 (192.168.193.5): 56 data bytes 64 bytes from 192.168.193.5: icmp_seq=0 ttl=253 time=1.040 ms 64 bytes from 192.168.193.5: icmp_seq=1 ttl=253 time=0.891 ms 64 bytes from 192.168.193.5: icmp_seq=2 ttl=253 time=0.944 ms --- 192.168.193.5 ping statistics --- 3 packets transmitted, 3 packets received, 0% packet loss round-trip min/avg/max/stddev = 0.891/0.958/1.040/0.062 ms
ルーター CE1 のループバック インターフェイスからルーター CE2 の直接接続されたインターフェイスへのパスを確認するには、次のコマンドを使用
traceroute
します。user@vpn4> traceroute 192.168.193.5 source 10.255.10.4 traceroute to 192.168.193.5 (192.168.193.5) from 10.255.10.4, 30 hops max, 40 byte packets 1 vpn1-fe-110.isp-core.net (192.168.192.1) 0.669 ms 0.508 ms 0.457 ms 2 vpn2-t3-001.isp-core.net (192.168.192.110) 0.851 ms 0.769 ms 0.750 ms MPLS Label=100000 CoS=0 TTL=1 S=1 3 vpn5-t3-003.isp-core.net (192.168.193.5) 0.829 ms 0.838 ms 0.731 ms
ルーター CE1(VPN4)からルーター PE2(VPN2)に ping を実行します。この場合、ルーター CE1 から発信されたパケットは、ルーター PE2 がインターネット制御メッセージ プロトコル(ICMP)要求に応答する前に、ルーター PE2 に、次にルーター CE2 に戻り、ルーター PE2 に戻ります。これを検証するには、 コマンドを使用
traceroute
します。user@vpn4> ping 192.168.193.2 local 10.255.10.4 count 3 PING 192.168.193.2 (192.168.193.2): 56 data bytes 64 bytes from 192.168.193.2: icmp_seq=0 ttl=254 time=1.080 ms 64 bytes from 192.168.193.2: icmp_seq=1 ttl=254 time=0.967 ms 64 bytes from 192.168.193.2: icmp_seq=2 ttl=254 time=0.983 ms --- 192.168.193.2 ping statistics --- 3 packets transmitted, 3 packets received, 0% packet loss round-trip min/avg/max/stddev = 0.967/1.010/1.080/0.050 ms
ルーター CE1 からルーター PE2 へのパスを確認するには、 コマンドを使用
traceroute
します。user@vpn4> traceroute 192.168.193.2 source 10.255.10.4 traceroute to 192.168.193.2 (192.168.193.2) from 10.255.10.4, 30 hops max, 40 byte packets 1 vpn1-fe-110.isp-core.net (192.168.192.1) 0.690 ms 0.490 ms 0.458 ms 2 vpn2-t3-003.isp-core.net (192.168.193.2) 0.846 ms 0.768 ms 0.749 ms MPLS Label=100000 CoS=0 TTL=1 S=1 3 vpn5-t3-003.isp-core.net (192.168.193.5) 0.643 ms 0.703 ms 0.600 ms 4 vpn-08-t3-003.isp-core.net (192.168.193.2) 0.810 ms 0.739 ms 0.729 ms
マルチアクセス インターフェイスCEルーターへの ping
手順
手順
VPNインターフェイスがマルチアクセス インターフェイスCE、ルーターCE1上のインターフェイスなど、もう一方のルーターに対してping fe-1/1/2.0
を実行することはできません。ルーター CE2 からルーター CE1 に ping を実行するには、ルーター PE1 の階層レベルにステートメントを含めるか、ルーター CE1 の VPN インターフェイスにルーター vrf-table-label
PE1 上の静的ルートを設定する必要があります。 [edit routing-instances routing-instance-name]
ルーターに ping vrf-table-label
する ステートメントを含める場合、静的ルートを設定することはできません。
ルーター PE1 上でルーター CE1 の VPN インターフェイスに静的ルートを設定する場合、次の設定に示すように、ネクスト ホップはルーター CE1(階層レベルで)を指す必要があります。このルートは、ルーター PE1 からルーター PE2 に発表する必要があります
[edit routing-instance routing-instance-name]
。[edit] routing-instances { direct-multipoint { instance-type vrf; interface fe-1/1/0.0; route-distinguisher 69:1; vrf-import direct-import; vrf-export direct-export; routing-options { static { route 192.168.192.4/32 next-hop 192.168.192.4; } } protocols { bgp { group to-vpn4 { peer-as 1; neighbor 192.168.192.4; } } } } policy-options { policy-statement direct-export { term a { from protocol bgp; then { community add direct-comm; accept; } } term b { from { protocol static; route-filter 192.168.192.4/32 exact; } then { community add direct-comm; accept; } } term d { then reject; } } } }
これで、ルーター CE2 からルーター CE1 に ping を実行できます。
user@vpn5> ping 192.168.192.4 local 10.255.10.5 count 3 PING 192.168.192.4 (192.168.192.4): 56 data bytes 64 bytes from 192.168.192.4: icmp_seq=0 ttl=253 time=1.092 ms 64 bytes from 192.168.192.4: icmp_seq=1 ttl=253 time=1.019 ms 64 bytes from 192.168.192.4: icmp_seq=2 ttl=253 time=1.031 ms --- 192.168.192.4 ping statistics --- 3 packets transmitted, 3 packets received, 0% packet loss round-trip min/avg/max/stddev = 1.019/1.047/1.092/0.032 ms
これら 2 つのインターフェイス間のパスを確認するには、 コマンドを使用
traceroute
します。user@vpn5> traceroute 192.168.192.4 source 10.255.10.5 traceroute to 192.168.192.4 (192.168.192.4) from 10.255.10.5, 30 hops max, 40 byte packets 1 vpn-08-t3003.isp-core.net (192.168.193.2) 0.678 ms 0.549 ms 0.494 ms 2 vpn1-so-100.isp-core.net (192.168.192.100) 0.873 ms 0.847 ms 0.844 ms MPLS Label=100021 CoS=0 TTL=1 S=1 3 vpn4-fe-112.isp-core.net (192.168.192.4) 0.825 ms 0.743 ms 0.764 ms
リモート ルーターからの直接接続 PE ルーター CE ping
手順
手順
スイッチ ルーターのループバック インターフェイスCE、直接接続した PE ルーター上で VPN インターフェイスに ping を実行できます。 図 1 は 、このプロシージャで参照されるトポロジを示しています。
ルーター CE1(VPN4)のループバック インターフェイスから、ルーター PE1 で VPN インターフェイスに ping
fe-1/1/0.0
を実行します。user@vpn4> ping 192.168.192.1 local 10.255.10.4 count 3 PING 192.168.192.1 (192.168.192.1): 56 data bytes 64 bytes from 192.168.192.1: icmp_seq=0 ttl=255 time=0.885 ms 64 bytes from 192.168.192.1: icmp_seq=1 ttl=255 time=0.757 ms 64 bytes from 192.168.192.1: icmp_seq=2 ttl=255 time=0.734 ms --- 192.168.192.1 ping statistics --- 3 packets transmitted, 3 packets received, 0% packet loss round-trip min/avg/max/stddev = 0.734/0.792/0.885/0.066 ms
ルーター CE2(VPN5)のループバック インターフェイスから、ルーター PE2 で VPN インターフェイスに ping
t3-0/0/3.0
します。user@vpn5> ping 192.168.193.2 local 10.255.10.5 count 3 PING 192.168.193.2 (192.168.193.2): 56 data bytes 64 bytes from 192.168.193.2: icmp_seq=0 ttl=255 time=0.998 ms 64 bytes from 192.168.193.2: icmp_seq=1 ttl=255 time=0.834 ms 64 bytes from 192.168.193.2: icmp_seq=2 ttl=255 time=0.819 ms --- 192.168.193.2 ping statistics --- 3 packets transmitted, 3 packets received, 0% packet loss round-trip min/avg/max/stddev = 0.819/0.884/0.998/0.081 ms
ルーター CE2(VPN5)のループバック インターフェイスから、ルーター PE2 で VPN インターフェイスに ping
t3-0/0/3.0
します。user@vpn5> ping 192.168.193.2 local 10.255.10.5 count 3 PING 192.168.193.2 (192.168.193.2): 56 data bytes 64 bytes from 192.168.193.2: icmp_seq=0 ttl=255 time=0.998 ms 64 bytes from 192.168.193.2: icmp_seq=1 ttl=255 time=0.834 ms 64 bytes from 192.168.193.2: icmp_seq=2 ttl=255 time=0.819 ms --- 192.168.193.2 ping statistics --- 3 packets transmitted, 3 packets received, 0% packet loss round-trip min/avg/max/stddev = 0.819/0.884/0.998/0.081 ms
ルーター CE2 のループバック インターフェイスからルーター PE2 上の VPN インターフェイスへのパスを確認するには、 コマンドを使用
traceroute
します。user@vpn5> traceroute 192.168.193.2 source 10.255.10.5 traceroute to 192.168.193.2 (192.168.193.2) from 10.255.10.5, 30 hops max, 40 byte packets 1 vpn-08-t3003.isp-core.net (192.168.193.2) 0.852 ms 0.670 ms 0.656 ms
PE ルーターからの直接接続CE ping
手順
手順
PE ルーターの VPN およびループバック インターフェイスから、直接接続されたルーター上の VPN インターフェイスに ping をCEできます。 図 1 は 、このプロシージャで参照されるトポロジを示しています。
PE ルーター(ルーター PE1)の VPN インターフェイスから、直接接続されたルーター(ルーター CE1)上で VPN またはループバック インターフェイスに ping CEできます。
ルーター PE1(VPN1)上の VPN インターフェイスから、ルーター CE1 で VPN インターフェイスに ping
fe-1/1/0.0
を実行します。user@vpn1> ping 192.168.192.4 interface fe-1/1/0.0 local 192.168.192.1 count 3 PING 192.168.192.4 (192.168.192.4): 56 data bytes 64 bytes from 192.168.192.4: icmp_seq=0 ttl=255 time=0.866 ms 64 bytes from 192.168.192.4: icmp_seq=1 ttl=255 time=0.728 ms 64 bytes from 192.168.192.4: icmp_seq=2 ttl=255 time=0.753 ms --- 192.168.192.4 ping statistics --- 3 packets transmitted, 3 packets received, 0% packet loss round-trip min/avg/max/stddev = 0.728/0.782/0.866/0.060 ms
ルーター PE1(VPN1)の VPN インターフェイスから、ルーター CE1 でループバック インターフェイスに ping
10.255.10.4
します。user@vpn1> ping 10.255.10.4 interface fe-1/1/0.0 local 192.168.192.1 count 3 PING 10.255.10.4 (10.255.10.4): 56 data bytes 64 bytes from 10.255.10.4: icmp_seq=0 ttl=255 time=0.838 ms 64 bytes from 10.255.10.4: icmp_seq=1 ttl=255 time=0.760 ms 64 bytes from 10.255.10.4: icmp_seq=2 ttl=255 time=0.771 ms --- 10.255.10.4 ping statistics --- 3 packets transmitted, 3 packets received, 0% packet loss round-trip min/avg/max/stddev = 0.760/0.790/0.838/0.034 ms
ルーター PE1 上の VPN インターフェイスから、それぞれルーター CE1 の VPN インターフェイスとループバック インターフェイスへのパスを確認するには、以下のコマンドを使用
traceroute
します。user@vpn1> traceroute 10.255.10.4 interface fe-1/1/0.0 source 192.168.192.1 traceroute to 10.255.10.4 (10.255.10.4) from 192.168.192.1, 30 hops max, 40 byte packets 1 vpn4.isp-core.net (10.255.10.4) 0.842 ms 0.659 ms 0.621 ms user@vpn1> traceroute 192.168.192.4 interface fe-1/1/0.0 source 192.168.192.1 traceroute to 192.168.192.4 (192.168.192.4) from 192.168.192.1, 30 hops max, 40 byte packets 1 vpn4-fe-112.isp-core.net (192.168.192.4) 0.810 ms 0.662 ms 0.640 ms
ルーター PE2(VPN2)上の VPN インターフェイスから、ルーター CE2 で VPN インターフェイスに ping
t3-0/0/3.0
を実行します。user@vpn2> ping 192.168.193.5 interface t3-0/0/3.0 local 192.168.193.2 count 3 PING 192.168.193.5 (192.168.193.5): 56 data bytes 64 bytes from 192.168.193.5: icmp_seq=0 ttl=255 time=0.852 ms 64 bytes from 192.168.193.5: icmp_seq=1 ttl=255 time=0.909 ms 64 bytes from 192.168.193.5: icmp_seq=2 ttl=255 time=0.793 ms --- 192.168.193.5 ping statistics --- 3 packets transmitted, 3 packets received, 0% packet loss round-trip min/avg/max/stddev = 0.793/0.851/0.909/0.047 ms
ルーター PE2(VPN2)の VPN インターフェイスから、ルーター CE2 でループバック インターフェイスに ping
10.255.10.5
します。user@vpn2> ping 10.255.10.5 interface t3-0/0/3.0 local 192.168.193.2 count 3 PING 10.255.10.5 (10.255.10.5): 56 data bytes 64 bytes from 10.255.10.5: icmp_seq=0 ttl=255 time=0.914 ms 64 bytes from 10.255.10.5: icmp_seq=1 ttl=255 time=0.888 ms 64 bytes from 10.255.10.5: icmp_seq=2 ttl=255 time=1.066 ms --- 10.255.10.5 ping statistics --- 3 packets transmitted, 3 packets received, 0% packet loss round-trip min/avg/max/stddev = 0.888/0.956/1.066/0.079 ms
ルーター PE2 上の VPN インターフェイスから、それぞれルーター CE2 上の VPN インターフェイスとループバック インターフェイスへのパスを確認するには、以下のコマンドを使用
traceroute
します。user@vpn2> traceroute 10.255.10.5 interface t3-0/0/3.0 source 192.168.193.2 traceroute to 10.255.10.5 (10.255.10.5) from 192.168.193.2, 30 hops max, 40 byte packets 1 vpn5.isp-core.net (10.255.10.5) 1.009 ms 0.677 ms 0.633 ms user@vpn2> traceroute 192.168.193.5 interface t3-0/0/3.0 source 192.168.193.2 traceroute to 192.168.193.5 (192.168.193.5) from 192.168.193.2, 30 hops max, 40 byte packets 1 vpn5-t3-003.isp-core.net (192.168.193.5) 0.974 ms 0.665 ms 0.619 ms
ローカル PE ルーター CE リモート リモート サービス ルーターへの ping
手順
手順
以下の手順は、レイヤー 3 VPN でのみ有効です。レイヤー 3 VPN CE PE ルーターからリモート インターフェイスに ping を実行するには、以下のインターフェイスを設定する必要があります。
ループバック インターフェイスの論理ユニットを設定します。
PE ルーターのループバック インターフェイスで追加の論理ユニットを設定するには、階層レベル
unit
で ステートメント[edit interfaces lo0]
を設定します。[edit interfaces] lo0 { unit number { family inet { address address; } } }
ローカル PE ルーター上のレイヤー 3 VPN ルーティング インスタンスのループバック インターフェイスを設定します。1 つの論理ループバック インターフェイスを各レイヤー 3 VPN ルーティング インスタンスに関連付け、ルーター上の特定のルーティング インスタンスに ping を実行できます。
階層レベルで ステートメントを使用して、ステップ 1 で設定した
interface
ループバック インターフェイス[edit routing-instances routing-instance-name]
を指定します。[edit routing-instances routing-instance-name] interface interface-name;
は
interface-name
、ループバック インターフェイス上の論理ユニットです( などlo0.1
)。PE ルーターの VPN インターフェイスから、リモート ルーターのループバック インターフェイス上の論理ユニットに ping を実行CEできます。
user@host> ping interface interface host
ループバック
interface
インターフェイスで新しい論理ユニットを指定する場合に使用しますlo0.1
( など)。コマンドの使用方法の詳細については、「 インターフェイス コマンド リファレンス 」をping interface
Junos参照してください。
ギガビット イーサネット インターフェイスからの不整合なアドバタイズ されたルートのトラブルシューティング
手順
手順
レイヤー 3 VPN 内の LAN 上の直接ルートの場合、Junos OS は、ネクスト ホップとして指定できる CE ルーターの位置を確認します。これを実行できない場合、ギガビット イーサネット インターフェイスからのアドバタイズされたルートがドロップされます。
この場合、次のような状況になります。
LAN サブネット上の CE ルーターに対して、VRF ルーティング インスタンス内の または階層レベルで ステートメントを使用して、CE ルーターをネクスト ホップとして
static
[edit routing-options]
[edit logical-systems logical-system-name routing-options]
設定します。このLAN上の直接の宛先に移動すると、すべてのトラフィックがCEされます。冗長化のために、LAN 上の 2 台のルーターに 2 CEスタティック ルートを追加できます。階層レベル
vrf-table-label
でステートメントを設定し、パケットの内部ラベルを特定の[edit routing-instances routing-instance-name]
VRF ポリシーにルーティング テーブル。これにより、カプセル化された IP ヘッダーを検査して、すべてのトラフィックの VRF ルーティング インスタンスで IP ルックアップを強制できます。メモ:ステートメントは、すべてのコア側インターフェイスで使用できるではありません。たとえば、チャンネル化インターフェイス
vrf-table-label
はサポートされていません。イーサネット および SONET/SDH インターフェイス上のステートメントのサポートについて詳しくは、 IPヘッダーに基づくレイヤー3 VPNでのパケットvrf-table-label
のフィルタリング を参照してください。