레이어 3 VPN 문제 해결
일반적인 레이어 3 VPN 문제 진단
문제
묘사
레이어 3 VPN 구성의 문제를 해결하려면 VPN의 한쪽 끝(로컬 고객 에지[CE] 라우터)에서 시작하여 VPN의 다른 끝(원격 CE 라우터)으로 가는 경로를 따릅니다.
용액
다음 문제 해결 단계는 일반적인 문제를 진단하는 데 도움이 됩니다.
로컬 프로바이더 에지(PE)와 CE 라우터 간에 라우팅 프로토콜을 구성한 경우 피어링 및 인접성이 완전히 작동하는지 확인합니다. 이 작업을 수행할 때 라우팅 인스턴스의 이름을 지정해야 합니다. 예를 들어 OSPF 인접성을 확인하려면 PE 라우터에 명령을 입력합니다
show ospf neighbor instance routing-instance-name.피어링과 인접성이 완전히 작동하지 않는 경우, CE 라우터에서 라우팅 프로토콜 구성을 확인하고 PE 라우터에서 연결된 VPN 라우팅 인스턴스에 대한 라우팅 프로토콜 구성을 확인합니다.
로컬 CE 및 PE 라우터가 서로 ping할 수 있는지 확인합니다.
로컬 CE 라우터가 로컬 PE 라우터의 VPN 인터페이스를 ping할 수 있는지 확인하려면 PE 라우터의 IP 주소 또는 이름을 지정하는 다음 형식의 명령을 사용합니다
ping.user@host> ping (ip-address | host-name)
로컬 PE 라우터가 CE 라우터를 핑할 수 있는지 확인하려면 다음 형식의 명령을 사용하여
pingCE 라우터의 IP 주소 또는 이름, VPN에 사용되는 인터페이스의 이름, 발신 에코 요청 패킷의 소스 IP 주소(로컬 주소)를 지정합니다.user@host> ping ip-address interface interface local echo-address
명령이 성공하기 전에
ping로컬 CE와 로컬 PE 라우터 간의 피어링 또는 인접성이 나타나야 하는 경우가 많습니다. 랩 설정에서 링크가 작동하는지 확인하려면 계층 수준에서 문을[edit routing-instance routing-instance-name]삭제interface하고 구성을 다시 커밋하여 VPN 라우팅 및 포워딩(VRF)에서 인터페이스를 제거합니다. 이렇게 하면 VPN에서 인터페이스가 제거됩니다. 그런 다음 명령을 다시 시도하십시오ping. 명령이 성공하면 VPN에 인터페이스를 다시 구성하고 로컬 CE 및 PE 라우터에서 라우팅 프로토콜 구성을 다시 확인합니다.로컬 PE 라우터에서 로컬 CE 라우터의 경로가 VRF 테이블(routing-instance-name.inet.0)에 있는지 확인합니다.
user@host> show route table routing-instance-name.inet.0 <detail>
다음 예제에서는 라우팅 테이블 항목을 보여 줍니다. 여기서 CE 라우터의 루프백 주소는 이고
10.255.14.155/32PE 및 CE 라우터 간의 라우팅 프로토콜은 BGP입니다. 항목은 일반적인 BGP 발표와 같습니다.10.255.14.155/32 (1 entry, 1 announced) *BGP Preference: 170/-101 Nexthop: 192.168.197.141 via fe-1/0/0.0, selected State: <Active Ext> Peer AS: 1 Age: 45:46 Task: BGP_1.192.168.197.141+179 Announcement bits (2): 0-BGP.0.0.0.0+179 1-KRT AS path: 1 I Localpref: 100 Router ID: 10.255.14.155로컬 CE 라우터의 경로가 VRF 라우팅 테이블에 없는 경우, CE 라우터가 PE 라우터로 경로를 보급하고 있는지 확인합니다. CE와 PE 라우터 간에 정적 라우팅을 사용하는 경우 적절한 정적 경로가 구성되었는지 확인합니다.
원격 PE 라우터에서 로컬 CE 라우터의 경로가 bgp.l3vpn.0 라우팅 테이블에 있는지 확인합니다.
user@host> show route table bgp.l3vpn.0 extensive 10.255.14.175:3:10.255.14.155/32 (1 entry, 0 announced) *BGP Preference: 170/-101 Route Distinguisher: 10.255.14.175:3 Source: 10.255.14.175 Nexthop: 192.168.192.1 via fe-1/1/2.0, selected label-switched-path vpn07-vpn05 Push 100004, Push 100005(top) State: <Active Int Ext> Local AS: 69 Peer AS: 69 Age: 15:27 Metric2: 338 Task: BGP_69.10.255.14.175+179 AS path: 1 I Communities: target:69:100 BGP next hop: 10.255.14.175 Localpref: 100 Router ID: 10.255.14.175 Secondary tables: VPN-A.inet.0명령의
show route table bgp.l3vpn.0 extensive출력에는 VPN과 관련된 다음 정보가 포함됩니다.접두사 이름(출력의 첫 번째 줄)에서 경로 식별자가 로컬 CE 라우터의 경로 접두사에 추가됩니다. 경로 식별자는 인터넷 내에서 고유하기 때문에 경로 식별자와 IP 접두사를 연결하면 고유한 VPN-IP 버전 4(IPv4) 라우팅 항목이 제공됩니다.
필드는
Route DistinguisherVPN-IPv4 주소와 별도로 경로 식별자를 나열합니다.필드에는
label-switched-pathVPN 트래픽을 수행하는 데 사용되는 LSP(Label-Switched Path)의 이름이 표시됩니다.필드는
PushVPN-IPv4 패킷에 전달되는 두 레이블을 모두 보여줍니다. 첫 번째 레이블은 내부 레이블이며, 이것은 PE 라우터에 의해 할당된 VPN 레이블입니다. 두 번째 레이블은 RSVP 레이블인 외부 레이블입니다.필드에는
Communities대상 커뮤니티가 나열됩니다.필드에는 이 경로가
Secondary tables설치된 이 라우터의 다른 라우팅 테이블이 나열됩니다.
로컬 CE 라우터의 경로가 원격 PE 라우터의 bgp.l3vpn.0 라우팅 테이블에 없는 경우 다음을 수행합니다.
명령문에서
vrf-import구성된 원격 PE 라우터에서 VRF 가져오기 필터를 확인합니다. (로컬 PE 라우터에서 문으로vrf-export구성된 VRF 내보내기 필터를 확인합니다.)PE 라우터 간에 작동하는 LSP 또는 LDP 경로가 있는지 확인합니다. 이를 위해서는 IBGP 다음 홉 주소가 inet.3 테이블에 있는지 확인합니다.
PE 라우터 간의 IBGP 세션이 올바르게 설정 및 구성되었는지 확인합니다.
'숨겨진' 경로를 확인합니다. 이는 일반적으로 경로의 레이블이 제대로 지정되지 않았음을 의미합니다. 이렇게 하려면 명령을 사용합니다
show route table bgp.l3vpn.0 hidden.내부 레이블이 로컬 PE 라우터에 의해 할당된 내부 VPN 레이블과 일치하는지 확인합니다. 이렇게 하려면 명령을 사용합니다
show route table mpls.
다음 예는 원격 PE 라우터에서 이 명령의 출력을 보여줍니다. 여기서 내부 레이블은
100004입니다.... Push 100004, Push 10005 (top)
다음 예는 로컬 PE 라우터에서 이 명령의 출력을 보여주며, 이는 의
100004내부 레이블이 원격 PE 라우터의 내부 레이블과 일치함을 보여줍니다.... 100004 *[VPN/7] 06:56:25, metric 1 > to 192.168.197.141 via fe-1/0/0.0, Pop
원격 PE 라우터에서 로컬 CE 라우터의 경로가 VRF 테이블(routing-instance-name.inet.0)에 있는지 확인합니다.
user@host> show route table routing-instance-name.inet.0 detail 10.255.14.155/32 (1 entry, 1 announced) *BGP Preference: 170/-101 Route Distinguisher: 10.255.14.175:3 Source: 10.255.14.175 Nexthop: 192.168.192.1 via fe-1/1/2.0, selected label-switched-path vpn07-vpn05 Push 100004, Push 100005(top) State: <Secondary Active Int Ext> Local AS: 69 Peer AS: 69 Age: 1:16:22 Metric2: 338 Task: BGP_69.10.255.14.175+179 Announcement bits (2): 1-KRT 2-VPN-A-RIP AS path: 1 I Communities: target:69:100 BGP next hop: 10.255.14.175 Localpref: 100 Router ID: 10.255.14.175 Primary Routing Table bgp.l3vpn.0이 라우팅 테이블에서 경로 식별자는 더 이상 접두사 앞에 추가되지 않습니다. 마지막 줄
Primary Routing Table인 은(는) 이 경로가 학습된 테이블을 나열합니다.경로가 이 라우팅 테이블에 없지만 로컬 CE 라우터의 bgp.l3vpn.0 라우팅 테이블에 있는 경우, 경로가 원격 PE 라우터의 VRF 가져오기 정책을 통과하지 못했을 수 있습니다.
VPN-IPv4 경로가 정책과 일치하지 않는
vrf-import경우 경로는 bgp.l3vpn 테이블에 전혀 표시되지 않으므로 VRF 테이블에 존재하지 않습니다. 이 경우, PE 라우터에서 다른 VPN(공통 대상 포함)에 다른vrf-import문을 구성했으며 경로가 bgp.l3vpn.0 테이블에 표시되지만 잘못된 VPN으로 가져왔음을 나타낼 수 있습니다.원격 CE 라우터에서 로컬 CE 라우터의 경로가 라우팅 테이블(inet.0)에 있는지 확인합니다.
user@host> show route
경로가 없는 경우 원격 PE 및 CE 라우터 간의 라우팅 프로토콜 구성을 확인하고 PE와 CE 라우터 간의 피어 및 인접(또는 정적 경로)이 올바른지 확인합니다.
로컬 고객 에지(CE) 라우터에서 유래한 경로가 올바른지 확인하면, 이 절차를 반복하여 원격 고객 에지(CE) 라우터에서 유래한 경로를 확인합니다.
예: 레이어 3 VPN 문제 해결
이 예는 명령을 사용하여 ping VPN 토폴로지에서 다양한 라우터의 접근성을 확인하는 방법과 명령을 사용하여 traceroute VPN 라우터 간에 패킷이 이동하는 경로를 확인하는 방법을 보여줍니다.
- 요구 사항
- 개요
- 다른 CE 라우터에서 CE 라우터 ping
- 로컬 CE 라우터에서 원격 PE 및 CE 라우터 Ping
- 다중 액세스 인터페이스에서 CE 라우터 Ping
- CE 라우터에서 직접 연결된 PE 라우터 Ping
- PE 라우터에서 직접 연결된 CE 라우터 Ping
- 로컬 PE 라우터에서 원격 CE 라우터 Ping
- 기가비트 이더넷 인터페이스에서 일관되지 않게 보급되는 경로 문제 해결
요구 사항
이 예에서 사용되는 하드웨어 및 소프트웨어 구성 요소는 다음과 같습니다.
-
M Series 라우터
-
Junos OS 릴리스 10.0R1 이상
개요
위상수학
그림 1에 표시된 토폴로지는 ping 및 traceroute 명령을 사용하여 레이어 3 VPN에 참여하는 라우터 간의 연결을 테스트하는 방법을 보여주기 위해 이 예에서 사용되는 네트워크를 보여줍니다.
다른 CE 라우터에서 CE 라우터 ping
절차
단계별 절차
다음은 ping 및 traceroute 명령을 사용하여 레이어 3 VPN 토폴로지 문제를 해결하는 방법에 대한 설명입니다. 명령에서 다른 CE 라우터의 루프백 주소를 IP 주소로 지정하여 하나의 CE 라우터를 다른 라우터에서 ping할 ping 수 있습니다. 고객 에지(CE) 라우터가 직접 연결된 PE 라우터에 루프백 주소를 알린 경우 이 ping 명령이 성공합니다. 이러한 ping 명령의 성공은 라우터 CE1이 라우터 CE2 이외의 모든 네트워크 디바이스를 ping할 수 있음을 의미하며, 그 반대의 경우도 마찬가지입니다. 그림 1 은 다음 단계에서 참조되는 토폴로지를 보여줍니다.
-
라우터 CE1(VPN4)에서 라우터 CE2(VPN5) Ping:
user@vpn4> ping 10.255.10.5 local 10.255.10.4 count 3 PING 10.255.10.5 (10.255.10.5): 56 data bytes 64 bytes from 10.255.10.5: icmp_seq=0 ttl=253 time=1.086 ms 64 bytes from 10.255.10.5: icmp_seq=1 ttl=253 time=0.998 ms 64 bytes from 10.255.10.5: icmp_seq=2 ttl=253 time=1.140 ms --- 10.255.10.5 ping statistics --- 3 packets transmitted, 3 packets received, 0% packet loss round-trip min/avg/max/stddev = 0.998/1.075/1.140/0.059 ms
-
라우터 CE1의 루프백 인터페이스에서 라우터 CE2의 루프백 인터페이스로의 경로를 결정하려면 명령을 사용합니다.
tracerouteuser@vpn4> traceroute 10.255.10.5 source 10.255.10.4 traceroute to 10.255.10.5 (10.255.10.5) from 10.255.10.4, 30 hops max, 40 byte packets 1 vpn1-fe-110.isp-core.net (192.168.192.1) 0.680 ms 0.491 ms 0.456 ms 2 vpn2-t3-001.isp-core.net (192.168.192.110) 0.857 ms 0.766 ms 0.754 ms MPLS Label=100005 CoS=0 TTL=1 S=1 3 vpn5.isp-core.net (10.255.10.5) 0.825 ms 0.886 ms 0.732 ms -
레이어 3 VPN이
traceroute사용하는 경로를 검사하기 위해 명령을 사용할 때, 서비스 프로바이더의 네트워크에 있는 프로바이더(P) 라우터는 표시되지 않습니다. 위와 같이 라우터 VPN1에서 라우터 VPN2로의 점프는 단일 홉으로 표시됩니다. 그림 1 에 표시된 P 라우터(VPN3)는 표시되지 않습니다. -
라우터 CE2(VPN5)에서 라우터 CE1(VPN4) Ping:
user@vpn5> ping 10.255.10.4 local 10.255.10.5 count 3 PING 10.255.10.4 (10.255.10.4): 56 data bytes 64 bytes from 10.255.10.4: icmp_seq=0 ttl=253 time=1.042 ms 64 bytes from 10.255.10.4: icmp_seq=1 ttl=253 time=0.998 ms 64 bytes from 10.255.10.4: icmp_seq=2 ttl=253 time=0.954 ms --- 10.255.10.4 ping statistics --- 3 packets transmitted, 3 packets received, 0% packet loss round-trip min/avg/max/stddev = 0.954/0.998/1.042/0.036 ms
-
라우터 CE2에서 라우터 CE1로의 경로를 결정하려면 명령을 사용합니다.
tracerouteuser@vpn5> traceroute 10.255.10.4 source 10.255.10.5 traceroute to 10.255.10.4 (10.255.10.4) from 10.255.10.5, 30 hops max, 40 byte packets 1 vpn-08-t3-003.isp-core.net (192.168.193.2) 0.686 ms 0.519 ms 0.548 ms 2 vpn1-so-100.isp-core.net (192.168.192.100) 0.918 ms 0.869 ms 0.859 ms MPLS Label=100021 CoS=0 TTL=1 S=1 3 vpn4.isp-core.net (10.255.10.4) 0.878 ms 0.760 ms 0.739 ms
로컬 CE 라우터에서 원격 PE 및 CE 라우터 Ping
절차
단계별 절차
로컬 CE 라우터에서 point-to-point 인터페이스인 원격 PE 및 CE 라우터의 VPN 인터페이스를 ping할 수 있습니다. 그림 1 은 다음 예에서 참조되는 토폴로지를 보여줍니다.
-
라우터 CE1에서 라우터 CE2를 ping합니다.
user@vpn4> ping 192.168.193.5 local 10.255.10.4 count 3 PING 192.168.193.5 (192.168.193.5): 56 data bytes 64 bytes from 192.168.193.5: icmp_seq=0 ttl=253 time=1.040 ms 64 bytes from 192.168.193.5: icmp_seq=1 ttl=253 time=0.891 ms 64 bytes from 192.168.193.5: icmp_seq=2 ttl=253 time=0.944 ms --- 192.168.193.5 ping statistics --- 3 packets transmitted, 3 packets received, 0% packet loss round-trip min/avg/max/stddev = 0.891/0.958/1.040/0.062 ms
-
라우터 CE1의 루프백 인터페이스에서 라우터 CE2의 직접 연결 인터페이스로의 경로를 결정하려면 명령을 사용합니다.
tracerouteuser@vpn4> traceroute 192.168.193.5 source 10.255.10.4 traceroute to 192.168.193.5 (192.168.193.5) from 10.255.10.4, 30 hops max, 40 byte packets 1 vpn1-fe-110.isp-core.net (192.168.192.1) 0.669 ms 0.508 ms 0.457 ms 2 vpn2-t3-001.isp-core.net (192.168.192.110) 0.851 ms 0.769 ms 0.750 ms MPLS Label=100000 CoS=0 TTL=1 S=1 3 vpn5-t3-003.isp-core.net (192.168.193.5) 0.829 ms 0.838 ms 0.731 ms -
라우터 CE1(VPN4)에서 라우터 PE2(VPN2)를 ping합니다. 이 경우, 라우터 CE1에서 시작된 패킷은 라우터 PE2가 ICMP(Internet Control Message Protocol) 요청에 응답하기 전에 라우터 PE2로 이동한 다음 라우터 CE2로 이동한 다음 라우터 PE2로 돌아갑니다. 명령을 사용하여
traceroute이를 확인할 수 있습니다.user@vpn4> ping 192.168.193.2 local 10.255.10.4 count 3 PING 192.168.193.2 (192.168.193.2): 56 data bytes 64 bytes from 192.168.193.2: icmp_seq=0 ttl=254 time=1.080 ms 64 bytes from 192.168.193.2: icmp_seq=1 ttl=254 time=0.967 ms 64 bytes from 192.168.193.2: icmp_seq=2 ttl=254 time=0.983 ms --- 192.168.193.2 ping statistics --- 3 packets transmitted, 3 packets received, 0% packet loss round-trip min/avg/max/stddev = 0.967/1.010/1.080/0.050 ms
-
라우터 CE1에서 라우터 PE2로의 경로를 결정하려면 명령을 사용합니다.
tracerouteuser@vpn4> traceroute 192.168.193.2 source 10.255.10.4 traceroute to 192.168.193.2 (192.168.193.2) from 10.255.10.4, 30 hops max, 40 byte packets 1 vpn1-fe-110.isp-core.net (192.168.192.1) 0.690 ms 0.490 ms 0.458 ms 2 vpn2-t3-003.isp-core.net (192.168.193.2) 0.846 ms 0.768 ms 0.749 ms MPLS Label=100000 CoS=0 TTL=1 S=1 3 vpn5-t3-003.isp-core.net (192.168.193.5) 0.643 ms 0.703 ms 0.600 ms 4 vpn-08-t3-003.isp-core.net (192.168.193.2) 0.810 ms 0.739 ms 0.729 ms
다중 액세스 인터페이스에서 CE 라우터 Ping
절차
단계별 절차
VPN 인터페이스가 라우터 CE1의 인터페이스와 같은 다중 액세스 인터페이스인 경우 하나의 CE 라우터를 다른 라우터에서 ping할 fe-1/1/2.0 수 없습니다. 라우터 CE2에서 라우터 CE1을 ping하려면 라우터 PE1의 계층 수준에서 문을 [edit routing-instances routing-instance-name] 포함 vrf-table-label 하거나 라우터 PE1에서 라우터 CE1의 VPN 인터페이스에 대한 정적 경로를 구성해야 합니다. 라우터를 vrf-table-label 핑하는 명령문을 포함하면 정적 경로를 구성할 수 없습니다.
-
라우터 PE1에서 라우터 CE1의 VPN 인터페이스에 대한 정적 경로를 구성하는 경우, 다음 홉은 계층 수준에서 라우터 CE1
[edit routing-instance routing-instance-name]을 가리켜야 하며, 이 경로는 다음 구성과 같이 라우터 PE1에서 라우터 PE2로 발표되어야 합니다.[edit] routing-instances { direct-multipoint { instance-type vrf; interface fe-1/1/0.0; route-distinguisher 69:1; vrf-import direct-import; vrf-export direct-export; routing-options { static { route 192.168.192.4/32 next-hop 192.168.192.4; } } protocols { bgp { group to-vpn4 { peer-as 1; neighbor 192.168.192.4; } } } } policy-options { policy-statement direct-export { term a { from protocol bgp; then { community add direct-comm; accept; } } term b { from { protocol static; route-filter 192.168.192.4/32 exact; } then { community add direct-comm; accept; } } term d { then reject; } } } } -
이제 라우터 CE2에서 라우터 CE1을 ping할 수 있습니다.
user@vpn5> ping 192.168.192.4 local 10.255.10.5 count 3 PING 192.168.192.4 (192.168.192.4): 56 data bytes 64 bytes from 192.168.192.4: icmp_seq=0 ttl=253 time=1.092 ms 64 bytes from 192.168.192.4: icmp_seq=1 ttl=253 time=1.019 ms 64 bytes from 192.168.192.4: icmp_seq=2 ttl=253 time=1.031 ms --- 192.168.192.4 ping statistics --- 3 packets transmitted, 3 packets received, 0% packet loss round-trip min/avg/max/stddev = 1.019/1.047/1.092/0.032 ms
-
이 두 인터페이스 간의 경로를 결정하려면 명령을 사용합니다.
tracerouteuser@vpn5> traceroute 192.168.192.4 source 10.255.10.5 traceroute to 192.168.192.4 (192.168.192.4) from 10.255.10.5, 30 hops max, 40 byte packets 1 vpn-08-t3003.isp-core.net (192.168.193.2) 0.678 ms 0.549 ms 0.494 ms 2 vpn1-so-100.isp-core.net (192.168.192.100) 0.873 ms 0.847 ms 0.844 ms MPLS Label=100021 CoS=0 TTL=1 S=1 3 vpn4-fe-112.isp-core.net (192.168.192.4) 0.825 ms 0.743 ms 0.764 ms
CE 라우터에서 직접 연결된 PE 라우터 Ping
절차
단계별 절차
CE 라우터의 루프백 인터페이스에서 직접 연결된 PE 라우터의 VPN 인터페이스를 ping할 수 있습니다. 그림 1 은 이 절차에서 참조되는 토폴로지를 보여줍니다.
-
라우터 CE1(VPN4)의 루프백 인터페이스에서,
fe-1/1/0.0라우터 PE1의 VPN 인터페이스, 을(를) ping합니다.user@vpn4> ping 192.168.192.1 local 10.255.10.4 count 3 PING 192.168.192.1 (192.168.192.1): 56 data bytes 64 bytes from 192.168.192.1: icmp_seq=0 ttl=255 time=0.885 ms 64 bytes from 192.168.192.1: icmp_seq=1 ttl=255 time=0.757 ms 64 bytes from 192.168.192.1: icmp_seq=2 ttl=255 time=0.734 ms --- 192.168.192.1 ping statistics --- 3 packets transmitted, 3 packets received, 0% packet loss round-trip min/avg/max/stddev = 0.734/0.792/0.885/0.066 ms
-
라우터 CE2(VPN5)의 루프백 인터페이스에서, 라우터 PE2의 VPN 인터페이스
t3-0/0/3.0, 을 ping합니다.user@vpn5> ping 192.168.193.2 local 10.255.10.5 count 3 PING 192.168.193.2 (192.168.193.2): 56 data bytes 64 bytes from 192.168.193.2: icmp_seq=0 ttl=255 time=0.998 ms 64 bytes from 192.168.193.2: icmp_seq=1 ttl=255 time=0.834 ms 64 bytes from 192.168.193.2: icmp_seq=2 ttl=255 time=0.819 ms --- 192.168.193.2 ping statistics --- 3 packets transmitted, 3 packets received, 0% packet loss round-trip min/avg/max/stddev = 0.819/0.884/0.998/0.081 ms
-
라우터 CE2(VPN5)의 루프백 인터페이스에서, 라우터 PE2의 VPN 인터페이스
t3-0/0/3.0, 을 ping합니다.user@vpn5> ping 192.168.193.2 local 10.255.10.5 count 3 PING 192.168.193.2 (192.168.193.2): 56 data bytes 64 bytes from 192.168.193.2: icmp_seq=0 ttl=255 time=0.998 ms 64 bytes from 192.168.193.2: icmp_seq=1 ttl=255 time=0.834 ms 64 bytes from 192.168.193.2: icmp_seq=2 ttl=255 time=0.819 ms --- 192.168.193.2 ping statistics --- 3 packets transmitted, 3 packets received, 0% packet loss round-trip min/avg/max/stddev = 0.819/0.884/0.998/0.081 ms
-
라우터 CE2의 루프백 인터페이스에서 라우터 PE2의 VPN 인터페이스로의 경로를 결정하려면 명령을 사용합니다.
tracerouteuser@vpn5> traceroute 192.168.193.2 source 10.255.10.5 traceroute to 192.168.193.2 (192.168.193.2) from 10.255.10.5, 30 hops max, 40 byte packets 1 vpn-08-t3003.isp-core.net (192.168.193.2) 0.852 ms 0.670 ms 0.656 ms
PE 라우터에서 직접 연결된 CE 라우터 Ping
절차
단계별 절차
PE 라우터의 VPN 및 루프백 인터페이스에서 직접 연결된 CE 라우터의 VPN 인터페이스를 ping할 수 있습니다. 그림 1 은 이 절차에서 참조되는 토폴로지를 보여줍니다.
-
PE 라우터(라우터 PE1)의 VPN 인터페이스에서 직접 연결된 CE 라우터(라우터 CE1)의 VPN 또는 루프백 인터페이스를 ping할 수 있습니다.
라우터 PE1(VPN1)의 VPN 인터페이스에서 라우터 CE1의 VPN 인터페이스
fe-1/1/0.0, 을 ping합니다.user@vpn1> ping 192.168.192.4 interface fe-1/1/0.0 local 192.168.192.1 count 3 PING 192.168.192.4 (192.168.192.4): 56 data bytes 64 bytes from 192.168.192.4: icmp_seq=0 ttl=255 time=0.866 ms 64 bytes from 192.168.192.4: icmp_seq=1 ttl=255 time=0.728 ms 64 bytes from 192.168.192.4: icmp_seq=2 ttl=255 time=0.753 ms --- 192.168.192.4 ping statistics --- 3 packets transmitted, 3 packets received, 0% packet loss round-trip min/avg/max/stddev = 0.728/0.782/0.866/0.060 ms
-
라우터 PE1(VPN1)의 VPN 인터페이스에서 라우터 CE1의 루프백 인터페이스
10.255.10.4을 ping합니다.user@vpn1> ping 10.255.10.4 interface fe-1/1/0.0 local 192.168.192.1 count 3 PING 10.255.10.4 (10.255.10.4): 56 data bytes 64 bytes from 10.255.10.4: icmp_seq=0 ttl=255 time=0.838 ms 64 bytes from 10.255.10.4: icmp_seq=1 ttl=255 time=0.760 ms 64 bytes from 10.255.10.4: icmp_seq=2 ttl=255 time=0.771 ms --- 10.255.10.4 ping statistics --- 3 packets transmitted, 3 packets received, 0% packet loss round-trip min/avg/max/stddev = 0.760/0.790/0.838/0.034 ms
-
라우터 PE1의 VPN 인터페이스에서 라우터 CE1의 VPN 및 루프백 인터페이스까지의 경로를 각각 결정하려면 다음
traceroute명령을 사용해야 합니다.user@vpn1> traceroute 10.255.10.4 interface fe-1/1/0.0 source 192.168.192.1 traceroute to 10.255.10.4 (10.255.10.4) from 192.168.192.1, 30 hops max, 40 byte packets 1 vpn4.isp-core.net (10.255.10.4) 0.842 ms 0.659 ms 0.621 ms user@vpn1> traceroute 192.168.192.4 interface fe-1/1/0.0 source 192.168.192.1 traceroute to 192.168.192.4 (192.168.192.4) from 192.168.192.1, 30 hops max, 40 byte packets 1 vpn4-fe-112.isp-core.net (192.168.192.4) 0.810 ms 0.662 ms 0.640 ms
-
라우터 PE2(VPN2)의 VPN 인터페이스에서 라우터 CE2의 VPN 인터페이스
t3-0/0/3.0을 ping합니다.user@vpn2> ping 192.168.193.5 interface t3-0/0/3.0 local 192.168.193.2 count 3 PING 192.168.193.5 (192.168.193.5): 56 data bytes 64 bytes from 192.168.193.5: icmp_seq=0 ttl=255 time=0.852 ms 64 bytes from 192.168.193.5: icmp_seq=1 ttl=255 time=0.909 ms 64 bytes from 192.168.193.5: icmp_seq=2 ttl=255 time=0.793 ms --- 192.168.193.5 ping statistics --- 3 packets transmitted, 3 packets received, 0% packet loss round-trip min/avg/max/stddev = 0.793/0.851/0.909/0.047 ms
-
라우터 PE2(VPN2)의 VPN 인터페이스에서 라우터 CE2의 루프백 인터페이스
10.255.10.5을 ping합니다.user@vpn2> ping 10.255.10.5 interface t3-0/0/3.0 local 192.168.193.2 count 3 PING 10.255.10.5 (10.255.10.5): 56 data bytes 64 bytes from 10.255.10.5: icmp_seq=0 ttl=255 time=0.914 ms 64 bytes from 10.255.10.5: icmp_seq=1 ttl=255 time=0.888 ms 64 bytes from 10.255.10.5: icmp_seq=2 ttl=255 time=1.066 ms --- 10.255.10.5 ping statistics --- 3 packets transmitted, 3 packets received, 0% packet loss round-trip min/avg/max/stddev = 0.888/0.956/1.066/0.079 ms
-
라우터 PE2의 VPN 인터페이스에서 라우터 CE2의 VPN 및 루프백 인터페이스까지의 경로를 결정하려면 각각 다음
traceroute명령을 사용합니다.user@vpn2> traceroute 10.255.10.5 interface t3-0/0/3.0 source 192.168.193.2 traceroute to 10.255.10.5 (10.255.10.5) from 192.168.193.2, 30 hops max, 40 byte packets 1 vpn5.isp-core.net (10.255.10.5) 1.009 ms 0.677 ms 0.633 ms user@vpn2> traceroute 192.168.193.5 interface t3-0/0/3.0 source 192.168.193.2 traceroute to 192.168.193.5 (192.168.193.5) from 192.168.193.2, 30 hops max, 40 byte packets 1 vpn5-t3-003.isp-core.net (192.168.193.5) 0.974 ms 0.665 ms 0.619 ms
로컬 PE 라우터에서 원격 CE 라우터 Ping
절차
단계별 절차
다음 절차는 레이어 3 VPN에만 적용됩니다. 레이어 3 VPN의 로컬 PE 라우터에서 원격 CE 라우터를 핑하려면 다음과 같은 인터페이스를 구성해야 합니다.
-
루프백 인터페이스의 논리적 단위를 구성합니다.
PE 라우터의 루프백 인터페이스에서 추가적인 논리적 단위를 구성하려면 계층 수준에서 명령문을
[edit interfaces lo0]구성합니다unit.[edit interfaces] lo0 { unit number { family inet { address address; } } } -
로컬 PE 라우터에서 레이어 3 VPN 라우팅 인스턴스에 대한 루프백 인터페이스를 구성합니다. 하나의 논리적 루프백 인터페이스를 각 레이어 3 VPN 라우팅 인스턴스와 연결하여 라우터에서 특정 라우팅 인스턴스를 ping할 수 있습니다.
계층 수준에서 문을
[edit routing-instances routing-instance-name]사용하여interface1단계에서 구성한 루프백 인터페이스를 지정합니다.[edit routing-instances routing-instance-name] interface interface-name;
은
interface-name(는) 루프백 인터페이스의 논리적 장치입니다(예:lo0.1). -
PE 라우터의 VPN 인터페이스에서 이제 원격 CE 라우터의 루프백 인터페이스에 있는 논리 장치를 ping할 수 있습니다.
user@host> ping interface interface host루프백 인터페이스에서 새로운 논리적 단위를 지정하는 데 사용합니다
interface(예:lo0.1). 명령 사용ping interface방법에 대한 자세한 내용은 Junos 인터페이스 명령 참조를 참조하십시오.
기가비트 이더넷 인터페이스에서 일관되지 않게 보급되는 경로 문제 해결
절차
단계별 절차
레이어 3 VPN의 LAN에 있는 직접 경로의 경우, Junos OS는 다음 홉으로 지정할 수 있는 CE 라우터를 찾으려고 시도합니다. 이 작업을 수행할 수 없는 경우 기가비트 이더넷 인터페이스에서 보급된 경로가 삭제됩니다.
이러한 경우:
-
staticLAN 서브넷의 CE 라우터에 대한 VRF 라우팅 인스턴스의 또는[edit logical-systems logical-system-name routing-options]계층 수준에서 문을[edit routing-options]사용하여 CE 라우터를 다음 홉으로 구성합니다. 이 LAN의 직접 대상에 대한 모든 트래픽은 CE 라우터로 이동합니다. 중복을 위해 LAN에 있는 2개의 CE 라우터에 2개의 정적 경로를 추가할 수 있습니다. -
vrf-table-label패킷의 내부 레이블을 특정 VRF 라우팅 테이블에 매핑하도록 계층 수준에서 명령문을[edit routing-instances routing-instance-name]구성합니다. 이렇게 하면 캡슐화된 IP 헤더를 검사하여 모든 트래픽에 대해 VRF 라우팅 인스턴스에서 IP 조회를 강제 실행할 수 있습니다.메모:문은
vrf-table-label모든 코어 대면 인터페이스에 사용할 수 있는 것은 아닙니다. 예를 들어, 채널화된 인터페이스는 지원되지 않습니다. 이더넷 및 SONET/SDH 인터페이스를 통한 명령문 지원vrf-table-label에 대한 자세한 내용은 IP 헤더 기반 레이어 3 VPN의 패킷 필터링을 참조하십시오.
예: TTL 감소를 비활성화하여 레이어 3 VPN과 관련된 네트워킹 문제 진단
이 예는 레이어 3 VPN 시나리오의 단일 VRF 라우팅 인스턴스에서 TTL 감소를 비활성화하는 방법을 보여줍니다.
요구 사항
시작하기 전에:
-
라우터 인터페이스를 구성합니다. 네트워크 인터페이스 구성 가이드를 참조하십시오.
개요
VPN과 관련된 네트워킹 문제를 진단하려면 일반적인 TTL(Time-to-Live) 감소를 비활성화하는 것이 유용할 수 있습니다. IP 헤더는 홉 카운터 역할을 하는 TTL 필드를 포함합니다. 라우팅된 모든 홉에서 TTL은 1씩 감소합니다. 패킷이 목적지에 도달하기 전에 TTL이 0에 도달하면 패킷이 폐기되고 (선택적으로) ICMP TTL 초과 메시지가 소스로 전송됩니다. MPLS 레이블에는 TTL 필드도 있습니다. MPLS 라우터는 IP 패킷이 LSP(Label-Switched Path)에 들어갈 때 TTL을 복사합니다. TTL이 27인 IP 패킷은 TTL이 27인 MPLS 레이블을 수신합니다. Junos OS는 레이블 스위칭 홉마다 IP TTL 대신 MPLS 캡슐화 패킷의 MPLS TTL을 감소시킵니다. MPLS TTL은 IP TTL에서 복사(또는 전파)되므로 traceroute는 경로의 모든 홉(라우팅 또는 레이블 스위칭)을 나열합니다. 패킷이 LSP를 나갈 때 감소된 MPLS TTL은 IP TTL 필드로 다시 전파됩니다.
기본적으로 TTL 전파가 활성화됩니다. global no-propagate-ttl 문은 라우터 수준에서 TTL 전파를 비활성화하고 모든 RSVP 신호 또는 LDP 신호 LSP에 영향을 미칩니다. 라우터가 LSP의 수신 라우터 역할을 하고 라우터 구성에 문이 포함된 no-propagate-ttl 경우, 라우터는 IP 패킷 TTL에 관계없이 TTL 값이 255인 MPLS 헤더를 푸시합니다. 라우터가 끝에서 두 번째 라우터 역할을 하면 MPLS TTL을 IP 패킷으로 전파하지 않고 MPLS 헤더를 팝합니다. 따라서 IP 패킷 TTL 값은 LSP의 홉 수에 관계없이 보존됩니다.
라우터 수준에서 TTL 전파 동작을 구성하는 대신 VRF 라우팅 인스턴스에서 경로에 대한 동작을 구성할 수 있습니다. 이 예는 글로벌 라우터 수준이 아닌 단일 VRF 라우팅 인스턴스에서 경로에 대한 TTL 전파를 비활성화하는 방법을 보여줍니다.
VRF별 구성은 전역 라우터 구성보다 우선합니다. 라우터에서 TTL 전파를 비활성화하고 단일 VRF 라우팅 인스턴스에 대해 TTL 전파를 명시적으로 활성화하면 해당 라우팅 인스턴스에 대해 TTL 전파가 적용됩니다. VRF 라우팅 인스턴스에서 TTL 전파를 명시적으로 활성화하려면 라우팅 인스턴스에 명령문을 포함 vrf-propagate-ttl 하십시오.
TTL 전파 동작을 변경할 때, VRF 경로에 대한 이전 다음 홉은 inet.3 라우팅 테이블에서 삭제되고 새로운 다음 홉이 추가됩니다.
수신 라우터에서 vrf-propagate-ttl 또는 no-vrf-propagate-ttl 문만 구성하면 됩니다.
토폴로지 다이어그램
그림 2 는 이 예에서 사용되는 토폴로지를 보여줍니다. 라우터 PE1 및 라우터 PE2에는 두 개의 VPN---VPN-A 및 VPN-B가 있습니다. 디바이스 CE1 및 CE4는 VPN-A에 속합니다. 디바이스 CE2 및 CE5는 VPN-B에 속합니다. 이 예에서 라우터 PE1의 TTL 전파는 VPN-A에서는 비활성화되어 있지만 VPN-B에서는 비활성화되어 있지 않습니다. CE1에 연결된 인터페이스에서 PE1이 수신한 패킷에는 TTL 전파가 비활성화되어 있습니다. 이 예는 라우터 PE1의 구성을 보여줍니다. 송신 라우터(PE2)에는 문을 포함할 no-vrf-propagate-ttl 필요가 없습니다.
에 대한 TTL 전파 비활성화
구성
절차
CLI 빠른 구성
VRF 라우팅 인스턴스에서 TTL 전파를 빠르게 비활성화하려면 다음 명령을 복사하여 CLI에 붙여넣으십시오.
[edit]
set interfaces lo0 unit 0 family inet address 10.255.179.45/32 primary
set protocols mpls interface all
set protocols bgp group ibgp type internal
set protocols bgp group ibgp local-address 10.255.179.45
set protocols bgp group ibgp family inet-vpn unicast
set protocols bgp group ibgp neighbor 10.255.179.71
set protocols ospf area 0.0.0.0 interface fe-1/1/2.0
set protocols ospf area 0.0.0.0 interface fxp0.0 disable
set protocols ospf area 0.0.0.0 interface lo0.0
set protocols ldp interface all
set policy-options policy-statement VPN-A-export term a from protocol ospf
set policy-options policy-statement VPN-A-export term a from interface ge-1/2/0.0
set policy-options policy-statement VPN-A-export term a then community add VPN-A
set policy-options policy-statement VPN-A-export term a then accept
set policy-options policy-statement VPN-A-export term b then reject
set policy-options policy-statement VPN-A-import term a from protocol bgp
set policy-options policy-statement VPN-A-import term a from community VPN-A
set policy-options policy-statement VPN-A-import term a then accept
set policy-options policy-statement VPN-A-import term b then reject
set policy-options policy-statement VPN-B-export term a from protocol static
set policy-options policy-statement VPN-B-export term a then community add VPN-B
set policy-options policy-statement VPN-B-export term a then accept
set policy-options policy-statement VPN-B-export term b then reject
set policy-options policy-statement VPN-B-import term a from protocol bgp
set policy-options policy-statement VPN-B-import term a from community VPN-B
set policy-options policy-statement VPN-B-import term a then accept
set policy-options policy-statement VPN-B-import term b then reject
set policy-options policy-statement bgp-to-ospf from protocol bgp
set policy-options policy-statement bgp-to-ospf then accept
set policy-options community VPN-A members target:1:100
set policy-options community VPN-B members target:1:200
set routing-instances VPN-A instance-type vrf
set routing-instances VPN-A interface ge-1/2/0.0
set routing-instances VPN-A route-distinguisher 10.255.179.45:100
set routing-instances VPN-A interface ge-1/2/0.0
set routing-instances VPN-A no-vrf-propagate-ttl
set routing-instances VPN-A vrf-import VPN-A-import
set routing-instances VPN-A vrf-export VPN-A-export
set routing-instances VPN-A protocols ospf export bgp-to-ospf
set routing-instances VPN-A protocols ospf area 0.0.0.0 interface ge-1/2/0.0
set routing-instances VPN-B instance-type vrf
set routing-instances VPN-B interface so-0/1/0.0
set routing-instances VPN-B route-distinguisher 10.255.179.45:300
set routing-instances VPN-B vrf-import VPN-B-import
set routing-instances VPN-B vrf-export VPN-B-export
set routing-instances VPN-B routing-options static route 10.255.179.15/32 next-hop so-0/1/0.0
set routing-options autonomous-system 1
단계별 절차
다음 예제에서는 구성 계층에서 다양한 수준의 탐색이 필요합니다. CLI 탐색에 대한 정보는 구성 모드에서 CLI 편집기 사용을 참조하십시오.
플로우 맵을 구성하려면:
-
루프백 인터페이스를 구성합니다.
[edit] user@PE1# edit interfaces [edit interfaces] user@PE1# set lo0 unit 0 family inet address 10.255.179.45/32 primary user@PE1# exit -
라우팅 프로토콜을 구성합니다.
내부 BGP 이웃 주소는 그림 2에 있는 라우터 PE2의 루프백 인터페이스 주소입니다.
[edit] user@PE1# edit protocols [edit protocols] user@PE1# set mpls interface all user@PE1# set bgp group ibgp type internal user@PE1# set bgp group ibgp local-address 10.255.179.45 user@PE1# set bgp group ibgp family inet-vpn unicast user@PE1# set bgp group ibgp neighbor 10.255.179.71 user@PE1# set ospf area 0.0.0.0 interface fe-1/1/2.0 user@PE1# set ospf area 0.0.0.0 interface fxp0.0 disable user@PE1# set ospf area 0.0.0.0 interface lo0.0 user@PE1# set ldp interface all user@PE1# exit -
VPN-A 및 VPN-B에 대한 라우팅 정책을 구성합니다.
[edit] user@PE1# edit policy-options [edit policy-options] user@PE1# set policy-statement VPN-A-export term a from protocol ospf user@PE1# set policy-statement VPN-A-export term a from interface ge-1/2/0.0 user@PE1# set policy-statement VPN-A-export term a then community add VPN-A user@PE1# set policy-statement VPN-A-export term a then accept user@PE1# set policy-statement VPN-A-export term b then reject user@PE1# set policy-statement VPN-A-import term a from protocol bgp user@PE1# set policy-statement VPN-A-import term a from community VPN-A user@PE1# set policy-statement VPN-A-import term a then accept user@PE1# set policy-statement VPN-A-import term b then reject user@PE1# set policy-statement VPN-B-export term a from protocol static user@PE1# set policy-statement VPN-B-export term a then community add VPN-B user@PE1# set policy-statement VPN-B-export term a then accept user@PE1# set policy-statement VPN-B-export term b then reject user@PE1# set policy-statement VPN-B-import term a from protocol bgp user@PE1# set policy-statement VPN-B-import term a from community VPN-B user@PE1# set policy-statement VPN-B-import term a then accept user@PE1# set policy-statement VPN-B-import term b then reject user@PE1# set policy-statement bgp-to-ospf from protocol bgp user@PE1# set policy-statement bgp-to-ospf then accept user@PE1# set community VPN-A members target:1:100 user@PE1# set community VPN-B members target:1:200 user@PE1# exit -
VPN-A의 문을 포함하여
no-vrf-propagate-ttlVPN-A 및 VPN-B 라우팅 인스턴스를 구성합니다.[edit] user@PE1# edit routing-instances [edit routing-instances] user@PE1# set VPN-A instance-type vrf user@PE1# set VPN-A interface ge-1/2/0.0 user@PE1# set VPN-A route-distinguisher 10.255.179.45:100 user@PE1# set VPN-A interface ge-1/2/0.0 user@PE1# set VPN-A no-vrf-propagate-ttl user@PE1# set VPN-A vrf-import VPN-A-import user@PE1# set VPN-A vrf-export VPN-A-export user@PE1# set VPN-A protocols ospf export bgp-to-ospf user@PE1# set VPN-A protocols ospf area 0.0.0.0 interface ge-1/2/0.0 user@PE1# set VPN-B instance-type vrf user@PE1# set VPN-B interface so-0/1/0.0 user@PE1# set VPN-B route-distinguisher 10.255.179.45:300 user@PE1# set VPN-B vrf-import VPN-B-import user@PE1# set VPN-B vrf-export VPN-B-export user@PE1# set VPN-B routing-options static route 10.255.179.15/32 next-hop so-0/1/0.0 user@PE1# exit -
로컬 AS(Autonomous System)를 정의합니다.
[edit] user@PE1# edit routing-options [edit routing-options] user@PE1# set autonomous-system 1 user@PE1# exit -
디바이스 구성을 완료하면 해당 구성을 커밋합니다.
[edit] user@PE1# commit
결과
, show policy-options, show routing-instancesshow protocols, 및 show routing-options 명령을 입력하여 show interfaces구성을 확인합니다.
user@PE1# show interfaces
lo0 {
unit 0 {
family inet {
address 10.255.179.45/32 {
primary;
}
}
}
}
user@PE1# show policy-options
policy-statement VPN-A-export {
term a {
from {
protocol ospf;
interface ge-1/2/0.0;
}
then {
community add VPN-A;
accept;
}
}
term b {
then reject;
}
}
policy-statement VPN-A-import {
term a {
from {
protocol bgp;
community VPN-A;
}
then accept;
}
term b {
then reject;
}
}
policy-statement VPN-B-export {
term a {
from protocol static;
then {
community add VPN-B;
accept;
}
}
term b {
then reject;
}
}
policy-statement VPN-B-import {
term a {
from {
protocol bgp;
community VPN-B;
}
then accept;
}
term b {
then reject;
}
}
policy-statement bgp-to-ospf {
from protocol bgp;
then accept;
}
community VPN-A members target:1:100;
community VPN-B members target:1:200;
user@PE1# show protocols
mpls {
interface all;
}
bgp {
group ibgp {
type internal;
local-address 10.255.179.45;
family inet-vpn {
unicast;
}
neighbor 10.255.179.71;
}
}
ospf {
area 0.0.0.0 {
interface fe-1/1/2.0;
interface fxp0.0 {
disable;
}
interface lo0.0;
}
}
ldp {
interface all;
}
user@PE1# show routing-instances
VPN-A {
instance-type vrf;
interface ge-1/2/0.0;
no-vrf-propagate-ttl;
route-distinguisher 10.255.179.45:100;
vrf-import VPN-A-import;
vrf-export VPN-A-export;
protocols {
ospf {
export bgp-to-ospf;
area 0.0.0.0 {
interface ge-1/2/0.0;
}
}
}
}
VPN-B {
instance-type vrf;
interface so-0/1/0.0;
route-distinguisher 10.255.179.45:300;
vrf-import VPN-B-import;
vrf-export VPN-B-export;
routing-options {
static {
route 10.255.179.15/32 next-hop so-0/1/0.0;
}
}
}
user@PE1# show routing-options autonomous-system 1;
확인
작업을 확인하려면 다음 명령을 실행합니다.
-
TTL Action명령의show route extensive table VPN-A출력에 있는 필드를 참조하십시오. -
TTL Action명령의show route extensive table VPN-B출력에 있는 필드를 참조하십시오. -
디바이스 CE1에서 디바이스 CE4의 루프백 주소로 명령을 실행합니다
traceroute. -
디바이스 CE4에서 디바이스 CE1의 루프백 주소에 명령을 실행합니다
traceroute.