レイヤー3VPNのトラブルシューティング
レイヤー 3 VPN の一般的な問題の診断
問題
形容
レイヤー 3 vpn 構成の問題をトラブルシューティングするには、VPN の一方の端 (ローカル カスタマー エッジ [CE] ルーター) から始めて、VPN のもう一方の端 (リモート CE ルーター) へのルートをたどります。
解決
次のトラブルシューティング手順は、一般的な問題の診断に役立ちます。
ローカル PE(プロバイダ エッジ)と CE ルーターの間にルーティング プロトコルを設定した場合は、ピアリングと隣接関係が完全に動作していることを確認してください。その際、必ずルーティング インスタンス名を指定してください。例えば、OSPF隣接関係を確認するには、PEルーターで
show ospf neighbor instance routing-instance-nameコマンドを入力します。ピアリングと隣接関係が完全に動作していない場合は、CEルーター上のルーティングプロトコル設定を確認し、PEルーター上の関連するVPNルーティング インスタンスのルーティングプロトコル設定を確認します。
ローカルの CE ルータと PE ルータが互いに ping できることを確認します。
ローカル CE ルーターがローカル PE ルーター上の VPN インターフェイスに ping できることを確認するには、次の形式の
pingコマンドを使用し、PE ルーターの IP アドレスまたは名前を指定します。user@host> ping (ip-address | host-name)
ローカル PE ルーターが CE ルーターに ping できることを確認するには、次の形式の
pingコマンドを使用し、CE ルーターの IP アドレスまたは名前、VPN に使用されるインターフェイスの名前、および発信エコー要求パケットの送信元 IP アドレス(ローカル アドレス)を指定します。user@host> ping ip-address interface interface local echo-address
多くの場合、
pingコマンドが成功する前に、ローカルCEとローカルPEルーター間のピアリングまたは隣接関係が立ち上がる必要があります。ラボ設定でリンクが動作していることを確認するには、[edit routing-instance routing-instance-name]階層レベルからinterfaceステートメントを削除し、設定を再コミットして、VPNルーティングおよび転送(VRF)からインターフェイスを削除します。これを行うと、VPN からインターフェイスが削除されます。その後、pingコマンドを再試行してください。コマンドが成功したら、インターフェイスをVPNに再設定し、ローカルCEおよびPEルーターのルーティングプロトコル設定を再度確認します。ローカル PE ルーターで、ローカル CE ルーターからのルートが VRF テーブル(routing-instance-name.inet.0)にあることを確認します。
user@host> show route table routing-instance-name.inet.0 <detail>
以下の例は、ルーティングテーブルのエントリーを示しています。ここでは、CEルーターのループバックアドレスは
10.255.14.155/32で、PEルーターとCEルーター間のルーティングプロトコルはBGPです。エントリは、通常のBGPアナウンスメントのように見えます。10.255.14.155/32 (1 entry, 1 announced) *BGP Preference: 170/-101 Nexthop: 192.168.197.141 via fe-1/0/0.0, selected State: <Active Ext> Peer AS: 1 Age: 45:46 Task: BGP_1.192.168.197.141+179 Announcement bits (2): 0-BGP.0.0.0.0+179 1-KRT AS path: 1 I Localpref: 100 Router ID: 10.255.14.155ローカル CE ルーターからのルートが VRF ルーティングテーブルに存在しない場合は、CE ルーターが PE ルーターにルートをアドバタイズしていることを確認します。CEルーターとPEルーター間でスタティックルーティングを使用する場合は、適切なスタティックルートが設定されていることを確認してください。
リモート PE ルーターでは、ローカル CE ルーターからのルートが bgp.l3vpn.0 ルーティングテーブルに存在することを確認します。
user@host> show route table bgp.l3vpn.0 extensive 10.255.14.175:3:10.255.14.155/32 (1 entry, 0 announced) *BGP Preference: 170/-101 Route Distinguisher: 10.255.14.175:3 Source: 10.255.14.175 Nexthop: 192.168.192.1 via fe-1/1/2.0, selected label-switched-path vpn07-vpn05 Push 100004, Push 100005(top) State: <Active Int Ext> Local AS: 69 Peer AS: 69 Age: 15:27 Metric2: 338 Task: BGP_69.10.255.14.175+179 AS path: 1 I Communities: target:69:100 BGP next hop: 10.255.14.175 Localpref: 100 Router ID: 10.255.14.175 Secondary tables: VPN-A.inet.0show route table bgp.l3vpn.0 extensiveコマンドの出力には、VPN に固有の以下の情報が含まれています。プレフィックス名(出力の1行目)では、ローカルCEルーターのルートプレフィックスにルート識別子が追加されます。ルート識別子はインターネット内で一意であるため、ルート識別子と IP プレフィックスを連結すると、一意の VPN-IP バージョン 4(IPv4)ルーティング エントリが提供されます。
Route Distinguisherフィールドには、VPN-IPv4アドレスとは別にルート識別子が表示されます。label-switched-pathフィールドには、VPNトラフィックの伝送に使用されるラベルスイッチパス(LSP)の名前が表示されます。Pushフィールドは、VPN-IPv4パケットで伝送されている両方のラベルを示しています。最初のラベルは内側ラベルで、PEルーターによって割り当てられたVPNラベルです。2 番目のラベルは、RSVP ラベルである外側ラベルです。Communitiesフィールドには、ターゲットコミュニティが一覧表示されます。Secondary tablesフィールドには、このルートがインストールされているこのルーター上の他のルーティングテーブルが表示されます。
ローカル CE ルーターからのルートがリモート PE ルーターの bgp.l3vpn.0 ルーティングテーブルに存在しない場合は、次のことを行います。
vrf-importステートメントで設定されたリモート PE ルーターの VRF インポート フィルターを確認します。(ローカル PE ルーターでは、vrf-exportステートメントで設定された VRF エクスポート フィルターを確認します)。PEルーター間に運用LSPまたはLDPパスがあることを確認します。これを行うには、IBGP ネクストホップ アドレスが inet.3 テーブルに存在することを確認します。
PE ルーター間の IBGP セッションが正しく確立され、設定されていることを確認します。
「非表示」ルートを確認します。これは通常、ルートに適切なラベルが付けられていないことを意味します。これを行うには、
show route table bgp.l3vpn.0 hiddenコマンドを使用します。内部ラベルが、ローカル PE ルーターによって割り当てられた内部 VPN ラベルと一致することを確認します。これを行うには、
show route table mplsコマンドを使用します。
以下の例は、リモート PE ルーターでのこのコマンドの出力を示しています。ここでは、内側のラベルが
100004されています。... Push 100004, Push 10005 (top)
次の例は、ローカル PE ルーターでのこのコマンドの出力を示しており、
100004の内部ラベルがリモート PE ルーターの内部ラベルと一致することを示しています。... 100004 *[VPN/7] 06:56:25, metric 1 > to 192.168.197.141 via fe-1/0/0.0, Pop
リモート PE ルーターで、ローカル CE ルーターからのルートが VRF テーブル(routing-instance-name.inet.0)に存在することを確認します。
user@host> show route table routing-instance-name.inet.0 detail 10.255.14.155/32 (1 entry, 1 announced) *BGP Preference: 170/-101 Route Distinguisher: 10.255.14.175:3 Source: 10.255.14.175 Nexthop: 192.168.192.1 via fe-1/1/2.0, selected label-switched-path vpn07-vpn05 Push 100004, Push 100005(top) State: <Secondary Active Int Ext> Local AS: 69 Peer AS: 69 Age: 1:16:22 Metric2: 338 Task: BGP_69.10.255.14.175+179 Announcement bits (2): 1-KRT 2-VPN-A-RIP AS path: 1 I Communities: target:69:100 BGP next hop: 10.255.14.175 Localpref: 100 Router ID: 10.255.14.175 Primary Routing Table bgp.l3vpn.0このルーティングテーブルでは、ルート識別子はプレフィックスの前に付加されなくなります。最後の行
Primary Routing Tableには、このルートが学習されたテーブルがリストされています。ルートがこのルーティングテーブルには存在せず、ローカル CE ルーターの bgp.l3vpn.0 ルーティングテーブルには存在していた場合、ルートがリモート PE ルーターの VRF インポート ポリシーを通過していない可能性があります。
VPN-IPv4 ルートが
vrf-importポリシーと一致しない場合、そのルートは bgp.l3vpn テーブルにまったく表示されないため、VRF テーブルにも存在しません。これが発生した場合、PEルーターで、別のVPN(共通のターゲット)に別のvrf-importステートメントを設定し、ルートがbgp.l3vpn.0テーブルに表示されますが、間違ったVPNにインポートされたことを示している可能性があります。リモートCEルーターで、ローカルCEルーターからのルートがルーティングテーブル(inet.0)に存在することを確認します。
user@host> show route
ルートが存在しない場合は、リモート PE ルーターと CE ルーター間のルーティング プロトコル設定をチェックし、PE と CE ルーター間のピアと隣接関係(またはスタティック ルート)が正しいことを確認します。
ローカル CE ルーターから発信されたルートが正しいと判断した場合は、この手順を繰り返して、リモート CE ルーターから発信されたルートを確認します。
例:レイヤー 3 VPN のトラブルシューティング
この例では、 ping コマンドを使用してVPN トポロジ内のさまざまなルーターのアクセシビリティを確認する方法と、 traceroute コマンドを使用してパケットが VPN ルーター間を移動するパスを確認する方法を示しています。
- 必要条件
- 概要
- 別の CE ルーターから CE ルーターへの ping
- ローカル CE ルーターからリモート PE および CE ルーターへの ping
- マルチアクセス インターフェイスから CE ルーターへの Ping
- CE ルーターから直接接続された PE ルーターへの ping
- PE ルーターから直接接続された CE ルーターへの ping
- ローカル PE ルーターからリモート CE ルーターへの ping
- ギガビットイーサネットインターフェイスからの不整合なアドバタイズルートのトラブルシューティング
必要条件
この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。
-
M Seriesルーター
-
Junos OS リリース 10.0R1 以降
概要
位相幾何学
図 1 に示すトポロジーは、この例で使用されているネットワークを示しており、ping および traceroute コマンドを使用して、レイヤー 3 VPN に参加しているルーター間の接続をテストする方法を示しています。
別の CE ルーターから CE ルーターへの ping
プロシージャ
手順
以下では、ping および traceroute コマンドを使用してレイヤー 3 VPN トポロジーをトラブルシューティングする方法を説明します。 ping コマンドで、もう一方の CE ルーターのループバック アドレスを IP アドレスとして指定すると、一方の CE ルーターから他方の CE ルーターに ping を実行できます。この ping コマンドは、ループバックアドレスがCEルーターによって直接接続されたPEルーターに通知されている場合に成功します。これらの ping コマンドが成功したということは、ルーターCE1がルーターCE2以外のネットワークデバイスにpingを実行できることも意味し、その逆も同様です。 図 1 は、次の手順で参照されるトポロジーを示しています。
-
ルーターCE1(VPN4)からルーターCE2(VPN5)にPingを実行します。
user@vpn4> ping 10.255.10.5 local 10.255.10.4 count 3 PING 10.255.10.5 (10.255.10.5): 56 data bytes 64 bytes from 10.255.10.5: icmp_seq=0 ttl=253 time=1.086 ms 64 bytes from 10.255.10.5: icmp_seq=1 ttl=253 time=0.998 ms 64 bytes from 10.255.10.5: icmp_seq=2 ttl=253 time=1.140 ms --- 10.255.10.5 ping statistics --- 3 packets transmitted, 3 packets received, 0% packet loss round-trip min/avg/max/stddev = 0.998/1.075/1.140/0.059 ms
-
ルーターCE1のループバック・インターフェースからルーターCE2のループバック・インターフェースへのパスを決定するには、
tracerouteコマンドを使用します。user@vpn4> traceroute 10.255.10.5 source 10.255.10.4 traceroute to 10.255.10.5 (10.255.10.5) from 10.255.10.4, 30 hops max, 40 byte packets 1 vpn1-fe-110.isp-core.net (192.168.192.1) 0.680 ms 0.491 ms 0.456 ms 2 vpn2-t3-001.isp-core.net (192.168.192.110) 0.857 ms 0.766 ms 0.754 ms MPLS Label=100005 CoS=0 TTL=1 S=1 3 vpn5.isp-core.net (10.255.10.5) 0.825 ms 0.886 ms 0.732 ms -
tracerouteコマンドを使用してレイヤー 3 VPN が使用するパスを調べる場合、サービス プロバイダーのネットワーク内のプロバイダー(P)ルーターは表示されません。上記のように、ルーター VPN1 からルーター VPN2 へのジャンプはシングル ホップとして表示されます。図 1 に示す P ルーター(VPN3)は表示されません。 -
ルーターCE2(VPN5)からルーターCE1(VPN4)にPingを実行します。
user@vpn5> ping 10.255.10.4 local 10.255.10.5 count 3 PING 10.255.10.4 (10.255.10.4): 56 data bytes 64 bytes from 10.255.10.4: icmp_seq=0 ttl=253 time=1.042 ms 64 bytes from 10.255.10.4: icmp_seq=1 ttl=253 time=0.998 ms 64 bytes from 10.255.10.4: icmp_seq=2 ttl=253 time=0.954 ms --- 10.255.10.4 ping statistics --- 3 packets transmitted, 3 packets received, 0% packet loss round-trip min/avg/max/stddev = 0.954/0.998/1.042/0.036 ms
-
ルーターCE2からルーターCE1へのパスを決定するには、
tracerouteコマンドを使用します。user@vpn5> traceroute 10.255.10.4 source 10.255.10.5 traceroute to 10.255.10.4 (10.255.10.4) from 10.255.10.5, 30 hops max, 40 byte packets 1 vpn-08-t3-003.isp-core.net (192.168.193.2) 0.686 ms 0.519 ms 0.548 ms 2 vpn1-so-100.isp-core.net (192.168.192.100) 0.918 ms 0.869 ms 0.859 ms MPLS Label=100021 CoS=0 TTL=1 S=1 3 vpn4.isp-core.net (10.255.10.4) 0.878 ms 0.760 ms 0.739 ms
ローカル CE ルーターからリモート PE および CE ルーターへの ping
プロシージャ
手順
ローカル CE ルーターから、ポイントツーポイント インターフェイスであるリモート PE および CE ルーター上の VPN インターフェイスに ping を実行できます。 図 1 は、以下の例で参照されるトポロジーを示しています。
-
ルーターCE1からルーターCE2にpingを実行します。
user@vpn4> ping 192.168.193.5 local 10.255.10.4 count 3 PING 192.168.193.5 (192.168.193.5): 56 data bytes 64 bytes from 192.168.193.5: icmp_seq=0 ttl=253 time=1.040 ms 64 bytes from 192.168.193.5: icmp_seq=1 ttl=253 time=0.891 ms 64 bytes from 192.168.193.5: icmp_seq=2 ttl=253 time=0.944 ms --- 192.168.193.5 ping statistics --- 3 packets transmitted, 3 packets received, 0% packet loss round-trip min/avg/max/stddev = 0.891/0.958/1.040/0.062 ms
-
ルーターCE1のループバック・インターフェースからルーターCE2の直接接続されたインターフェースへのパスを決定するには、
tracerouteコマンドを使用します。user@vpn4> traceroute 192.168.193.5 source 10.255.10.4 traceroute to 192.168.193.5 (192.168.193.5) from 10.255.10.4, 30 hops max, 40 byte packets 1 vpn1-fe-110.isp-core.net (192.168.192.1) 0.669 ms 0.508 ms 0.457 ms 2 vpn2-t3-001.isp-core.net (192.168.192.110) 0.851 ms 0.769 ms 0.750 ms MPLS Label=100000 CoS=0 TTL=1 S=1 3 vpn5-t3-003.isp-core.net (192.168.193.5) 0.829 ms 0.838 ms 0.731 ms -
ルーターCE1(VPN4)からルーターPE2(VPN2)にpingを実行します。この場合、ルーターCE1から発信されたパケットは、ルーターPE2、ルーターCE2、そしてルーターPE2がインターネット制御メッセージプロトコル(ICMP)要求に応答する前にルーターPE2に戻ります。これを確認するには、
tracerouteコマンドを使用します。user@vpn4> ping 192.168.193.2 local 10.255.10.4 count 3 PING 192.168.193.2 (192.168.193.2): 56 data bytes 64 bytes from 192.168.193.2: icmp_seq=0 ttl=254 time=1.080 ms 64 bytes from 192.168.193.2: icmp_seq=1 ttl=254 time=0.967 ms 64 bytes from 192.168.193.2: icmp_seq=2 ttl=254 time=0.983 ms --- 192.168.193.2 ping statistics --- 3 packets transmitted, 3 packets received, 0% packet loss round-trip min/avg/max/stddev = 0.967/1.010/1.080/0.050 ms
-
ルーターCE1からルーターPE2へのパスを決定するには、
tracerouteコマンドを使用します。user@vpn4> traceroute 192.168.193.2 source 10.255.10.4 traceroute to 192.168.193.2 (192.168.193.2) from 10.255.10.4, 30 hops max, 40 byte packets 1 vpn1-fe-110.isp-core.net (192.168.192.1) 0.690 ms 0.490 ms 0.458 ms 2 vpn2-t3-003.isp-core.net (192.168.193.2) 0.846 ms 0.768 ms 0.749 ms MPLS Label=100000 CoS=0 TTL=1 S=1 3 vpn5-t3-003.isp-core.net (192.168.193.5) 0.643 ms 0.703 ms 0.600 ms 4 vpn-08-t3-003.isp-core.net (192.168.193.2) 0.810 ms 0.739 ms 0.729 ms
マルチアクセス インターフェイスから CE ルーターへの Ping
プロシージャ
手順
VPNインターフェイスがマルチアクセス インターフェイス(ルーターCE1のfe-1/1/2.0インターフェイスなど)の場合、一方のCEルーターから他方のCEルーターにpingを実行することはできません。ルーターCE2からルーターCE1にpingを実行するには、ルーターPE1の[edit routing-instances routing-instance-name]階層レベルにvrf-table-labelステートメントを含めるか、ルーターPE1のルーターCE1のVPNインターフェイスへの静的ルートを設定する必要があります。ルーターにpingを実行するvrf-table-labelステートメントを含める場合、静的ルートを設定することはできません。
-
ルーターPE1の静的ルートをルーターCE1のVPNインターフェイスに設定する場合、そのネクストホップは(
[edit routing-instance routing-instance-name]階層レベルで)ルーターCE1を指している必要があり、このルートは以下の設定に示すように、ルーターPE1からルーターPE2に通知される必要があります。[edit] routing-instances { direct-multipoint { instance-type vrf; interface fe-1/1/0.0; route-distinguisher 69:1; vrf-import direct-import; vrf-export direct-export; routing-options { static { route 192.168.192.4/32 next-hop 192.168.192.4; } } protocols { bgp { group to-vpn4 { peer-as 1; neighbor 192.168.192.4; } } } } policy-options { policy-statement direct-export { term a { from protocol bgp; then { community add direct-comm; accept; } } term b { from { protocol static; route-filter 192.168.192.4/32 exact; } then { community add direct-comm; accept; } } term d { then reject; } } } } -
これで、ルーターCE2からルーターCE1にpingを実行できます。
user@vpn5> ping 192.168.192.4 local 10.255.10.5 count 3 PING 192.168.192.4 (192.168.192.4): 56 data bytes 64 bytes from 192.168.192.4: icmp_seq=0 ttl=253 time=1.092 ms 64 bytes from 192.168.192.4: icmp_seq=1 ttl=253 time=1.019 ms 64 bytes from 192.168.192.4: icmp_seq=2 ttl=253 time=1.031 ms --- 192.168.192.4 ping statistics --- 3 packets transmitted, 3 packets received, 0% packet loss round-trip min/avg/max/stddev = 1.019/1.047/1.092/0.032 ms
-
これら 2 つのインターフェイス間のパスを確認するには、
tracerouteコマンドを使用します。user@vpn5> traceroute 192.168.192.4 source 10.255.10.5 traceroute to 192.168.192.4 (192.168.192.4) from 10.255.10.5, 30 hops max, 40 byte packets 1 vpn-08-t3003.isp-core.net (192.168.193.2) 0.678 ms 0.549 ms 0.494 ms 2 vpn1-so-100.isp-core.net (192.168.192.100) 0.873 ms 0.847 ms 0.844 ms MPLS Label=100021 CoS=0 TTL=1 S=1 3 vpn4-fe-112.isp-core.net (192.168.192.4) 0.825 ms 0.743 ms 0.764 ms
CE ルーターから直接接続された PE ルーターへの ping
プロシージャ
手順
CE ルーターのループバック インターフェイスから、直接接続された PE ルーターの VPN インターフェイスに ping を実行できます。 図 1 に、この手順で参照されるトポロジーを示します。
-
ルーターCE1(VPN4)のループバックインターフェイスから、ルーターPE1のVPNインターフェイス
fe-1/1/0.0にpingを実行します。user@vpn4> ping 192.168.192.1 local 10.255.10.4 count 3 PING 192.168.192.1 (192.168.192.1): 56 data bytes 64 bytes from 192.168.192.1: icmp_seq=0 ttl=255 time=0.885 ms 64 bytes from 192.168.192.1: icmp_seq=1 ttl=255 time=0.757 ms 64 bytes from 192.168.192.1: icmp_seq=2 ttl=255 time=0.734 ms --- 192.168.192.1 ping statistics --- 3 packets transmitted, 3 packets received, 0% packet loss round-trip min/avg/max/stddev = 0.734/0.792/0.885/0.066 ms
-
ルーターCE2(VPN5)のループバックインターフェイスから、ルーターPE2のVPNインターフェイス
t3-0/0/3.0にpingを実行します。user@vpn5> ping 192.168.193.2 local 10.255.10.5 count 3 PING 192.168.193.2 (192.168.193.2): 56 data bytes 64 bytes from 192.168.193.2: icmp_seq=0 ttl=255 time=0.998 ms 64 bytes from 192.168.193.2: icmp_seq=1 ttl=255 time=0.834 ms 64 bytes from 192.168.193.2: icmp_seq=2 ttl=255 time=0.819 ms --- 192.168.193.2 ping statistics --- 3 packets transmitted, 3 packets received, 0% packet loss round-trip min/avg/max/stddev = 0.819/0.884/0.998/0.081 ms
-
ルーターCE2(VPN5)のループバックインターフェイスから、ルーターPE2のVPNインターフェイス
t3-0/0/3.0にpingを実行します。user@vpn5> ping 192.168.193.2 local 10.255.10.5 count 3 PING 192.168.193.2 (192.168.193.2): 56 data bytes 64 bytes from 192.168.193.2: icmp_seq=0 ttl=255 time=0.998 ms 64 bytes from 192.168.193.2: icmp_seq=1 ttl=255 time=0.834 ms 64 bytes from 192.168.193.2: icmp_seq=2 ttl=255 time=0.819 ms --- 192.168.193.2 ping statistics --- 3 packets transmitted, 3 packets received, 0% packet loss round-trip min/avg/max/stddev = 0.819/0.884/0.998/0.081 ms
-
ルーターCE2のループバックインターフェイスからルーターPE2のVPNインターフェイスへのパスを決定するには、
tracerouteコマンドを使用します。user@vpn5> traceroute 192.168.193.2 source 10.255.10.5 traceroute to 192.168.193.2 (192.168.193.2) from 10.255.10.5, 30 hops max, 40 byte packets 1 vpn-08-t3003.isp-core.net (192.168.193.2) 0.852 ms 0.670 ms 0.656 ms
PE ルーターから直接接続された CE ルーターへの ping
プロシージャ
手順
PE ルーター上の VPN およびループバック インターフェイスから、直接接続された CE ルーター上の VPN インターフェイスに ping を実行できます。 図 1 に、この手順で参照されるトポロジーを示します。
-
PEルーター(ルーターPE1)上のVPNインターフェイスから、直接接続されたCEルーター(ルーターCE1)上のVPNまたはループバックインターフェイスにpingを実行できます。
ルーターPE1(VPN1)のVPNインターフェイスから、ルーターCE1のVPNインターフェイス
fe-1/1/0.0にpingを実行します。user@vpn1> ping 192.168.192.4 interface fe-1/1/0.0 local 192.168.192.1 count 3 PING 192.168.192.4 (192.168.192.4): 56 data bytes 64 bytes from 192.168.192.4: icmp_seq=0 ttl=255 time=0.866 ms 64 bytes from 192.168.192.4: icmp_seq=1 ttl=255 time=0.728 ms 64 bytes from 192.168.192.4: icmp_seq=2 ttl=255 time=0.753 ms --- 192.168.192.4 ping statistics --- 3 packets transmitted, 3 packets received, 0% packet loss round-trip min/avg/max/stddev = 0.728/0.782/0.866/0.060 ms
-
ルーターPE1(VPN1)のVPNインターフェイスから、ルーターCE1のループバックインターフェイス
10.255.10.4にpingを実行します。user@vpn1> ping 10.255.10.4 interface fe-1/1/0.0 local 192.168.192.1 count 3 PING 10.255.10.4 (10.255.10.4): 56 data bytes 64 bytes from 10.255.10.4: icmp_seq=0 ttl=255 time=0.838 ms 64 bytes from 10.255.10.4: icmp_seq=1 ttl=255 time=0.760 ms 64 bytes from 10.255.10.4: icmp_seq=2 ttl=255 time=0.771 ms --- 10.255.10.4 ping statistics --- 3 packets transmitted, 3 packets received, 0% packet loss round-trip min/avg/max/stddev = 0.760/0.790/0.838/0.034 ms
-
ルーターPE1のVPNインターフェイスからルーターCE1のVPNおよびループバックインターフェイスへのパスをそれぞれ決定するには、以下の
tracerouteコマンドを使用します。user@vpn1> traceroute 10.255.10.4 interface fe-1/1/0.0 source 192.168.192.1 traceroute to 10.255.10.4 (10.255.10.4) from 192.168.192.1, 30 hops max, 40 byte packets 1 vpn4.isp-core.net (10.255.10.4) 0.842 ms 0.659 ms 0.621 ms user@vpn1> traceroute 192.168.192.4 interface fe-1/1/0.0 source 192.168.192.1 traceroute to 192.168.192.4 (192.168.192.4) from 192.168.192.1, 30 hops max, 40 byte packets 1 vpn4-fe-112.isp-core.net (192.168.192.4) 0.810 ms 0.662 ms 0.640 ms
-
ルーターPE2(VPN2)のVPNインターフェイスから、ルーターCE2のVPNインターフェイス
t3-0/0/3.0にpingを実行します。user@vpn2> ping 192.168.193.5 interface t3-0/0/3.0 local 192.168.193.2 count 3 PING 192.168.193.5 (192.168.193.5): 56 data bytes 64 bytes from 192.168.193.5: icmp_seq=0 ttl=255 time=0.852 ms 64 bytes from 192.168.193.5: icmp_seq=1 ttl=255 time=0.909 ms 64 bytes from 192.168.193.5: icmp_seq=2 ttl=255 time=0.793 ms --- 192.168.193.5 ping statistics --- 3 packets transmitted, 3 packets received, 0% packet loss round-trip min/avg/max/stddev = 0.793/0.851/0.909/0.047 ms
-
ルーターPE2(VPN2)上のVPNインターフェイスから、ルーターCE2上のループバックインターフェイス
10.255.10.5にpingを実行します。user@vpn2> ping 10.255.10.5 interface t3-0/0/3.0 local 192.168.193.2 count 3 PING 10.255.10.5 (10.255.10.5): 56 data bytes 64 bytes from 10.255.10.5: icmp_seq=0 ttl=255 time=0.914 ms 64 bytes from 10.255.10.5: icmp_seq=1 ttl=255 time=0.888 ms 64 bytes from 10.255.10.5: icmp_seq=2 ttl=255 time=1.066 ms --- 10.255.10.5 ping statistics --- 3 packets transmitted, 3 packets received, 0% packet loss round-trip min/avg/max/stddev = 0.888/0.956/1.066/0.079 ms
-
ルーターPE2上のVPNインターフェイスからルーターCE2上のVPNおよびループバックインターフェイスへのパスをそれぞれ決定するには、以下の
tracerouteコマンドを使用します。user@vpn2> traceroute 10.255.10.5 interface t3-0/0/3.0 source 192.168.193.2 traceroute to 10.255.10.5 (10.255.10.5) from 192.168.193.2, 30 hops max, 40 byte packets 1 vpn5.isp-core.net (10.255.10.5) 1.009 ms 0.677 ms 0.633 ms user@vpn2> traceroute 192.168.193.5 interface t3-0/0/3.0 source 192.168.193.2 traceroute to 192.168.193.5 (192.168.193.5) from 192.168.193.2, 30 hops max, 40 byte packets 1 vpn5-t3-003.isp-core.net (192.168.193.5) 0.974 ms 0.665 ms 0.619 ms
ローカル PE ルーターからリモート CE ルーターへの ping
プロシージャ
手順
次の手順は、レイヤー 3 VPN にのみ有効です。レイヤー 3 VPN でローカル PE ルーターからリモート CE ルーターに ping を実行するには、以下のインターフェイスを設定する必要があります。
-
ループバックインターフェイスの論理ユニットを設定します。
PEルーターのループバックインターフェイスに追加の論理ユニットを設定するには、
[edit interfaces lo0]階層レベルでunitステートメントを設定します。[edit interfaces] lo0 { unit number { family inet { address address; } } } -
ローカル PE ルーターでレイヤー 3 VPN ルーティング インスタンスのループバック インターフェイスを設定します。各レイヤー3 VPNルーティング インスタンスに1つの論理ループバックインターフェイスを関連付けることで、ルーター上の特定のルーティング インスタンスにpingを実行できます。
[edit routing-instances routing-instance-name]階層レベルでinterfaceステートメントを使用して、ステップ1で設定したループバックインターフェイスを指定します。[edit routing-instances routing-instance-name] interface interface-name;
interface-nameは、ループバックインターフェイス上の論理ユニットです(例:lo0.1)。 -
PE ルーターの VPN インターフェイスから、リモート CE ルーターのループバック インターフェイス上の論理ユニットに ping を実行できるようになりました。
user@host> ping interface interface hostループバックインターフェイスで新しい論理ユニットを指定するには、
interfaceを使用します(例:lo0.1)。ping interfaceコマンドの使用方法の詳細については、 Junos インターフェイス コマンド リファレンスを参照してください。
ギガビットイーサネットインターフェイスからの不整合なアドバタイズルートのトラブルシューティング
プロシージャ
手順
レイヤー3 VPN内のLAN上の直接ルートの場合、Junos OSはネクストホップとして指定できるCEルーターを見つけようとします。これができない場合、ギガビットイーサネットインターフェイスからのアドバタイズされたルートは破棄されます。
そのような場合:
-
LANサブネット上のCEルーターへのVRFルーティング インスタンスの
[edit routing-options]または[edit logical-systems logical-system-name routing-options]階層レベルでstaticステートメントを使用し、CEルーターをネクストホップとして設定します。このLAN上の直接の宛先へのすべてのトラフィックは、CEルーターに送られます。冗長性のため、LAN 上の 2 台の CE ルーターに 2 つのスタティック ルートを追加できます。 -
[edit routing-instances routing-instance-name]階層レベルでvrf-table-labelステートメントを設定して、パケットの内部ラベルを特定の VRF ルーティングテーブルにマッピングします。これにより、カプセル化された IP ヘッダーを検査して、すべてのトラフィックの VRF ルーティング インスタンスで IP ルックアップを強制できます。手記:vrf-table-labelステートメントは、すべてのコアに面したインターフェイスで使用できるわけではありません。例えば、チャネライズド インターフェイスはサポートされていません。イーサネットおよびSONET/SDHインターフェイス上でのvrf-table-labelステートメントのサポートについては、IPヘッダーに基づくレイヤー3 VPNでのパケットのフィルタリングを参照してください。
例:TTL デクリメントを無効にすることによるレイヤー 3 VPN に関連するネットワーキングの問題の診断
この例では、レイヤー 3 VPN シナリオで、単一の VRF ルーティング インスタンスで TTL デクリメントを無効にする方法を示します。
必要条件
開始する前に、以下を実行します。
-
ルーター インターフェイスを設定します。『 Network Interfaces Configuration Guide』を参照してください。
概要
VPN に関連するネットワークの問題を診断するには、通常の TTL(Time-to-live)のデクリメントを無効にすると便利な場合があります。IP ヘッダーには、ホップ カウンターとして機能する TTL フィールドが含まれています。ルーティングされたホップごとに、TTL は 1 ずつデクリメントされます。パケットが宛先に到達する前に TTL が 0 に達した場合、パケットは破棄され、(オプションで)ICMP TTL exceeded メッセージが送信元に送信されます。MPLSラベルにはTTLフィールドもあります。MPLSルーターは、IPパケットがラベルスイッチパス(LSP)に入ると、そのTTLをコピーします。TTL が 27 の IP パケットは、TTL が 27 の MPLS ラベルを受信します。Junos OSは、ラベルスイッチホップごとに、IP TTLの代わりに、MPLSカプセル化パケットのMPLS TTLをデクリメントします。MPLS TTL は IP TTL からコピー(または伝播)されるため、traceroute は、ルーテッドかラベルスイッチかにかかわらず、パス内のすべてのホップをリストします。パケットが LSP を出ると、デクリメントされた MPLS TTL が IP TTL フィールドに再び伝搬されます。
デフォルトでは、TTL伝播は有効になっています。グローバル no-propagate-ttl ステートメントは、ルーターレベルでの TTL 伝播を無効にし、すべての RSVP シグナル化または LDP シグナル化 LSP に影響を与えます。ルーターがLSPのingressルーターとして機能し、ルーター設定に no-propagate-ttl ステートメントが含まれている場合、ルーターはIPパケットTTLに関係なく、TTL値255のMPLSヘッダーをプッシュします。ルーターが最後から 2 番目のルーターとして機能する場合、MPLS TTL を IP パケットに伝搬せずに MPLS ヘッダーをポップします。したがって、LSP のホップ数に関係なく、IP パケットの TTL 値が保持されます。
ルーターレベルで TTL 伝搬動作を設定する代わりに、VRF ルーティング インスタンス内のルートの動作を設定できます。この例では、グローバル ルーター レベルではなく、単一の VRF ルーティング インスタンス内のルートの TTL 伝播を無効にする方法を示します。
VRF 単位の設定は、グローバル ルーターの設定よりも優先されます。ルーターで TTL 伝播を無効にし、単一の VRF ルーティング インスタンスの TTL 伝播を明示的に有効にすると、そのルーティング インスタンスに対して TTL 伝播が有効になります。VRF ルーティング インスタンスで TTL 伝送を明示的に有効にするには、ルーティング インスタンスに vrf-propagate-ttl ステートメントを含めます。
TTL 伝播動作を変更すると、VRF ルートの古いネクストホップが inet.3 ルーティングテーブルから削除され、新しいネクストホップが追加されます。
イングレスルーターで vrf-propagate-ttl または no-vrf-propagate-ttl ステートメントを設定するだけで済みます。
トポロジー図
図 2 は、この例で使用されるトポロジーを示しています。ルーターPE1とルーターPE2には、VPN-AとVPN-B---2つのVPNがあります。デバイスCE1およびCE4はVPN-Aに属しています。デバイスCE2およびCE5はVPN-Bに属しています。この例では、ルーターPE1は、VPN-AではTTL伝播を無効にしていますが、VPN-Bでは無効にしていません。CE1に接続されたインターフェイス上のPE1によって受信されたパケットでは、TTL伝播が無効になっています。この例では、ルーターPE1の設定を示しています。egressルーター(PE2)にno-vrf-propagate-ttlステートメントを含める必要はありません。
の TTL 伝播の無効化
構成
プロシージャ
CLIクイック構成
VRF ルーティング インスタンスで TTL 伝播を迅速に無効にするには、以下のコマンドをコピーして CLI に貼り付けます。
[edit]
set interfaces lo0 unit 0 family inet address 10.255.179.45/32 primary
set protocols mpls interface all
set protocols bgp group ibgp type internal
set protocols bgp group ibgp local-address 10.255.179.45
set protocols bgp group ibgp family inet-vpn unicast
set protocols bgp group ibgp neighbor 10.255.179.71
set protocols ospf area 0.0.0.0 interface fe-1/1/2.0
set protocols ospf area 0.0.0.0 interface fxp0.0 disable
set protocols ospf area 0.0.0.0 interface lo0.0
set protocols ldp interface all
set policy-options policy-statement VPN-A-export term a from protocol ospf
set policy-options policy-statement VPN-A-export term a from interface ge-1/2/0.0
set policy-options policy-statement VPN-A-export term a then community add VPN-A
set policy-options policy-statement VPN-A-export term a then accept
set policy-options policy-statement VPN-A-export term b then reject
set policy-options policy-statement VPN-A-import term a from protocol bgp
set policy-options policy-statement VPN-A-import term a from community VPN-A
set policy-options policy-statement VPN-A-import term a then accept
set policy-options policy-statement VPN-A-import term b then reject
set policy-options policy-statement VPN-B-export term a from protocol static
set policy-options policy-statement VPN-B-export term a then community add VPN-B
set policy-options policy-statement VPN-B-export term a then accept
set policy-options policy-statement VPN-B-export term b then reject
set policy-options policy-statement VPN-B-import term a from protocol bgp
set policy-options policy-statement VPN-B-import term a from community VPN-B
set policy-options policy-statement VPN-B-import term a then accept
set policy-options policy-statement VPN-B-import term b then reject
set policy-options policy-statement bgp-to-ospf from protocol bgp
set policy-options policy-statement bgp-to-ospf then accept
set policy-options community VPN-A members target:1:100
set policy-options community VPN-B members target:1:200
set routing-instances VPN-A instance-type vrf
set routing-instances VPN-A interface ge-1/2/0.0
set routing-instances VPN-A route-distinguisher 10.255.179.45:100
set routing-instances VPN-A interface ge-1/2/0.0
set routing-instances VPN-A no-vrf-propagate-ttl
set routing-instances VPN-A vrf-import VPN-A-import
set routing-instances VPN-A vrf-export VPN-A-export
set routing-instances VPN-A protocols ospf export bgp-to-ospf
set routing-instances VPN-A protocols ospf area 0.0.0.0 interface ge-1/2/0.0
set routing-instances VPN-B instance-type vrf
set routing-instances VPN-B interface so-0/1/0.0
set routing-instances VPN-B route-distinguisher 10.255.179.45:300
set routing-instances VPN-B vrf-import VPN-B-import
set routing-instances VPN-B vrf-export VPN-B-export
set routing-instances VPN-B routing-options static route 10.255.179.15/32 next-hop so-0/1/0.0
set routing-options autonomous-system 1
手順
次の例では、設定階層のいくつかのレベルに移動する必要があります。CLIのナビゲーションについては、「 1 コンフィグレーション・モードでのCLIエディタの使用」を参照してください。
フローマップを設定するには:
-
ループバックインターフェイスを設定します。
[edit] user@PE1# edit interfaces [edit interfaces] user@PE1# set lo0 unit 0 family inet address 10.255.179.45/32 primary user@PE1# exit -
ルーティングプロトコルを設定します。
内部BGPネイバーアドレスは、 図2のルーターPE2のループバックインターフェイスアドレスです。
[edit] user@PE1# edit protocols [edit protocols] user@PE1# set mpls interface all user@PE1# set bgp group ibgp type internal user@PE1# set bgp group ibgp local-address 10.255.179.45 user@PE1# set bgp group ibgp family inet-vpn unicast user@PE1# set bgp group ibgp neighbor 10.255.179.71 user@PE1# set ospf area 0.0.0.0 interface fe-1/1/2.0 user@PE1# set ospf area 0.0.0.0 interface fxp0.0 disable user@PE1# set ospf area 0.0.0.0 interface lo0.0 user@PE1# set ldp interface all user@PE1# exit -
VPN-AとVPN-Bのルーティングポリシーを設定します。
[edit] user@PE1# edit policy-options [edit policy-options] user@PE1# set policy-statement VPN-A-export term a from protocol ospf user@PE1# set policy-statement VPN-A-export term a from interface ge-1/2/0.0 user@PE1# set policy-statement VPN-A-export term a then community add VPN-A user@PE1# set policy-statement VPN-A-export term a then accept user@PE1# set policy-statement VPN-A-export term b then reject user@PE1# set policy-statement VPN-A-import term a from protocol bgp user@PE1# set policy-statement VPN-A-import term a from community VPN-A user@PE1# set policy-statement VPN-A-import term a then accept user@PE1# set policy-statement VPN-A-import term b then reject user@PE1# set policy-statement VPN-B-export term a from protocol static user@PE1# set policy-statement VPN-B-export term a then community add VPN-B user@PE1# set policy-statement VPN-B-export term a then accept user@PE1# set policy-statement VPN-B-export term b then reject user@PE1# set policy-statement VPN-B-import term a from protocol bgp user@PE1# set policy-statement VPN-B-import term a from community VPN-B user@PE1# set policy-statement VPN-B-import term a then accept user@PE1# set policy-statement VPN-B-import term b then reject user@PE1# set policy-statement bgp-to-ospf from protocol bgp user@PE1# set policy-statement bgp-to-ospf then accept user@PE1# set community VPN-A members target:1:100 user@PE1# set community VPN-B members target:1:200 user@PE1# exit -
VPN-A の
no-vrf-propagate-ttlステートメントを含め、VPN-A と VPN-B のルーティング インスタンスを設定します。[edit] user@PE1# edit routing-instances [edit routing-instances] user@PE1# set VPN-A instance-type vrf user@PE1# set VPN-A interface ge-1/2/0.0 user@PE1# set VPN-A route-distinguisher 10.255.179.45:100 user@PE1# set VPN-A interface ge-1/2/0.0 user@PE1# set VPN-A no-vrf-propagate-ttl user@PE1# set VPN-A vrf-import VPN-A-import user@PE1# set VPN-A vrf-export VPN-A-export user@PE1# set VPN-A protocols ospf export bgp-to-ospf user@PE1# set VPN-A protocols ospf area 0.0.0.0 interface ge-1/2/0.0 user@PE1# set VPN-B instance-type vrf user@PE1# set VPN-B interface so-0/1/0.0 user@PE1# set VPN-B route-distinguisher 10.255.179.45:300 user@PE1# set VPN-B vrf-import VPN-B-import user@PE1# set VPN-B vrf-export VPN-B-export user@PE1# set VPN-B routing-options static route 10.255.179.15/32 next-hop so-0/1/0.0 user@PE1# exit -
ローカルの自律システムを定義します。
[edit] user@PE1# edit routing-options [edit routing-options] user@PE1# set autonomous-system 1 user@PE1# exit -
デバイスの設定が完了したら、設定をコミットします。
[edit] user@PE1# commit
業績
show interfaces、show policy-options、show protocols、show routing-instances、show routing-optionsの各コマンドを入力して、設定を確認します。
user@PE1# show interfaces
lo0 {
unit 0 {
family inet {
address 10.255.179.45/32 {
primary;
}
}
}
}
user@PE1# show policy-options
policy-statement VPN-A-export {
term a {
from {
protocol ospf;
interface ge-1/2/0.0;
}
then {
community add VPN-A;
accept;
}
}
term b {
then reject;
}
}
policy-statement VPN-A-import {
term a {
from {
protocol bgp;
community VPN-A;
}
then accept;
}
term b {
then reject;
}
}
policy-statement VPN-B-export {
term a {
from protocol static;
then {
community add VPN-B;
accept;
}
}
term b {
then reject;
}
}
policy-statement VPN-B-import {
term a {
from {
protocol bgp;
community VPN-B;
}
then accept;
}
term b {
then reject;
}
}
policy-statement bgp-to-ospf {
from protocol bgp;
then accept;
}
community VPN-A members target:1:100;
community VPN-B members target:1:200;
user@PE1# show protocols
mpls {
interface all;
}
bgp {
group ibgp {
type internal;
local-address 10.255.179.45;
family inet-vpn {
unicast;
}
neighbor 10.255.179.71;
}
}
ospf {
area 0.0.0.0 {
interface fe-1/1/2.0;
interface fxp0.0 {
disable;
}
interface lo0.0;
}
}
ldp {
interface all;
}
user@PE1# show routing-instances
VPN-A {
instance-type vrf;
interface ge-1/2/0.0;
no-vrf-propagate-ttl;
route-distinguisher 10.255.179.45:100;
vrf-import VPN-A-import;
vrf-export VPN-A-export;
protocols {
ospf {
export bgp-to-ospf;
area 0.0.0.0 {
interface ge-1/2/0.0;
}
}
}
}
VPN-B {
instance-type vrf;
interface so-0/1/0.0;
route-distinguisher 10.255.179.45:300;
vrf-import VPN-B-import;
vrf-export VPN-B-export;
routing-options {
static {
route 10.255.179.15/32 next-hop so-0/1/0.0;
}
}
}
user@PE1# show routing-options autonomous-system 1;
検証
動作を確認するには、次のコマンドを実行します。
-
show route extensive table VPN-Aコマンドの出力のTTL Actionフィールドを参照してください。 -
show route extensive table VPN-Bコマンドの出力のTTL Actionフィールドを参照してください。 -
デバイスCE1で、デバイスCE4のループバックアドレスに対して
tracerouteコマンドを実行します。 -
デバイスCE4で、デバイスCE1のループバックアドレスに対して
tracerouteコマンドを実行します。