Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

레이어 3 VPN 문제 해결

공통 레이어 3 VPN 문제 진단

문제

설명

레이어 3 VPN 구성의 문제를 해결하려면 VPN의 한쪽 끝(로컬 고객 에지 [CE] 라우터)에서 시작하여 VPN의 다른 쪽 끝(원격 CE 라우터)으로 경로를 따릅니다.

솔루션

다음 문제 해결 단계는 일반적인 문제를 진단하는 데 도움이 됩니다.

  1. 로컬 프로바이더 에지(PE)와 CE 라우터 간에 라우팅 프로토콜을 구성한 경우 피어링과 인접성이 완전히 작동되는지 확인합니다. 이렇게 하면 라우팅 인스턴스의 이름을 지정해야 합니다. 예를 들어, OSPF 인접성을 확인하려면 PE 라우터에 show ospf neighbor instance routing-instance-name 명령을 입력합니다.

    피어링과 인접성이 완전히 작동되지 않는 경우 CE 라우터의 라우팅 프로토콜 구성을 확인하고 PE 라우터의 관련 VPN 라우팅 인스턴스에 대한 라우팅 프로토콜 구성을 확인합니다.

  2. 로컬 CE 및 PE 라우터가 서로 핑할 수 있는지 확인합니다.

    로컬 CE 라우터가 로컬 PE 라우터에서 VPN 인터페이스를 ping할 수 있는지 확인하려면 다음 형식으로 ping 명령을 사용하여 PE 라우터의 IP 주소 또는 이름을 지정합니다.

    로컬 PE 라우터가 CE 라우터를 ping할 수 있는지 확인하려면 다음 형식으로 명령을 사용하여 ping CE 라우터의 IP 주소 또는 이름, VPN에 사용되는 인터페이스 이름 및 발신 에코 요청 패킷의 소스 IP 주소(로컬 주소)를 지정합니다.

    종종 명령이 성공하기 전에 ping 로컬 CE와 로컬 PE 라우터 간의 피어링 또는 인접성이 이루어져야 합니다. 링크가 랩 설정에서 작동하는지 확인하려면 계층 수준에서 문을 삭제하고 구성을 다시 커밋하여 interface VPN 라우팅 및 포워딩(VRF)에서 [edit routing-instance routing-instance-name] 인터페이스를 제거합니다. 이렇게 하면 VPN에서 인터페이스가 제거됩니다. 그런 다음 명령을 다시 시도합니다 ping . 명령이 성공하면 인터페이스를 VPN으로 다시 구성하고 로컬 CE 및 PE 라우터에서 라우팅 프로토콜 구성을 다시 확인합니다.

  3. 로컬 PE 라우터에서 로컬 CE 라우터의 경로가 VRF 테이블(.inet.0)routing-instance-name에 있는지 확인합니다.

    다음 예는 라우팅 테이블 항목을 보여줍니다. 여기에서 CE 라우터의 루프백 주소는 10.255.14.155/32 이며 PE와 CE 라우터 간의 라우팅 프로토콜은 BGP입니다. 항목은 일반적인 BGP 발표처럼 보입니다.

    로컬 CE 라우터의 경로가 VRF 라우팅 테이블 없는 경우 CE 라우터가 PE 라우터에 경로를 보급하는지 확인합니다. CE와 PE 라우터 간에 정적 라우팅이 사용되는 경우 적절한 정적 경로가 구성되었는지 확인합니다.

  4. 원격 PE 라우터에서 로컬 CE 라우터의 경로가 bgp.l3vpn.0 라우팅 테이블 있는지 확인합니다.

    명령의 show route table bgp.l3vpn.0 extensive 출력에는 VPN에 특정한 다음 정보가 포함됩니다.

    • 접두사 이름(출력의 첫 줄)에서 경로 구분자는 로컬 CE 라우터의 경로 접두사에 추가됩니다. 경로 구분자는 인터넷 내에서 고유하기 때문에 경로 구분자와 IP 접두사의 연결은 고유 VPN-IP 버전 4(IPv4) 라우팅 항목을 제공합니다.

    • Route Distinguisher 필드는 VPN-IPv4 주소와 별도로 경로 식별자를 나열합니다.

    • label-switched-path 필드는 VPN 트래픽을 전달하는 데 사용되는 레이블 스위칭 경로(LSP)의 이름을 보여줍니다.

    • Push 필드는 VPN-IPv4 패킷에 전달되는 두 레이블을 모두 보여줍니다. 첫 번째 레이블은 PE 라우터에 의해 할당된 VPN 레이블인 내부 레이블입니다. 두 번째 레이블은 RSVP 레이블인 외부 레이블입니다.

    • Communities 필드는 대상 커뮤니티를 나열합니다.

    • Secondary tables 필드는 이 경로가 설치된 이 라우터의 다른 라우팅 테이블을 나열합니다.

    로컬 CE 라우터의 경로가 원격 PE 라우터의 bgp.l3vpn.0 라우팅 테이블 존재하지 않으면 다음을 수행합니다.

    • 문에서 구성된 원격 PE 라우터에서 VRF 가져오기 필터를 확인합니다 vrf-import . (로컬 PE 라우터에서는 문으로 구성된 VRF 내보내기 필터를 확인합니다 vrf-export .)

    • PE 라우터 사이에 LSP 또는 LDP 경로가 있는지 확인합니다. 이를 위해 IBGP 다음 홉 주소가 inet.3 테이블에 있는지 확인합니다.

    • PE 라우터 간의 IBGP 세션이 올바르게 설정되고 구성되었는지 확인합니다.

    • "숨겨진" 경로를 확인합니다. 이는 일반적으로 경로가 제대로 레이블되지 않았다는 것을 의미합니다. 이렇게 하려면 명령을 사용합니다 show route table bgp.l3vpn.0 hidden .

    • 내부 레이블이 로컬 PE 라우터에 의해 할당된 내부 VPN 레이블과 일치하는지 확인합니다. 이렇게 하려면 명령을 사용합니다 show route table mpls .

    다음 예는 원격 PE 라우터에서 이 명령의 출력을 보여줍니다. 여기서 내부 레이블은 입니다 100004.

    다음 예는 로컬 PE 라우터에서 이 명령의 출력을 보여줍니다. 이 출력은 의 내부 레이블이 원격 PE 라우터의 100004 내부 레이블과 일치한다는 것을 보여줍니다.

  5. 원격 PE 라우터에서 로컬 CE 라우터의 경로가 VRF 테이블(.inet.0)routing-instance-name에 있는지 확인합니다.

    이 라우팅 테이블 경로 식별자가 더 이상 접두사에 추가되지 않습니다. 마지막 줄인 은 Primary Routing Table(는) 이 경로가 학습된 테이블을 나열합니다.

    경로가 이 라우팅 테이블 없지만 로컬 CE 라우터의 bgp.l3vpn.0 라우팅 테이블 존재하는 경우, 경로가 원격 PE 라우터의 VRF 가져오기 정책을 통과하지 않았을 수 있습니다.

    VPN-IPv4 경로가 정책과 일치하지 vrf-import 않으면 경로가 bgp.l3vpn 테이블에 전혀 나타나지 않으므로 VRF 테이블에 존재하지 않습니다. 이것이 발생하면 PE 라우터에서 다른 VPN(공통 대상)에 다른 vrf-import 문을 구성했고 경로가 bgp.l3vpn.0 테이블에 나타나지만 잘못된 VPN으로 가져오고 있음을 나타낼 수 있습니다.

  6. 원격 CE 라우터에서 로컬 CE 라우터의 경로가 라우팅 테이블(inet.0)에 있는지 확인합니다.

    경로가 없는 경우 원격 PE 및 CE 라우터 간의 라우팅 프로토콜 구성을 확인하고 PE와 CE 라우터 간의 피어 및 인접성(또는 정적 경로)이 올바른지 확인합니다.

  7. 로컬 CE 라우터에서 유래한 경로가 올바른지 확인하려면 이 절차를 반복하여 원격 CE 라우터에서 발생한 경로를 확인합니다.

예: 레이어 3 VPN 문제 해결

이 예는 명령을 사용하여 ping VPN 토폴로지에서 다양한 라우터의 접근성을 확인하는 방법과 명령을 사용하여 traceroute 패킷이 VPN 라우터 간에 이동하는 경로를 확인하는 방법을 보여줍니다.

요구 사항

이 예는 다음과 같은 하드웨어 및 소프트웨어 구성 요소를 사용합니다.

  • M Series 라우터

  • Junos OS 릴리스 10.0R1 이상

개요

토폴로지

그림 1에 표시된 토폴로지에는 이 예에서 핑 및 트레이스라우트 명령을 사용하여 레이어 3 VPN에 참여하는 라우터 간의 연결을 테스트하는 방법을 시연하는 네트워크가 설명되어 있습니다.

그림 1: ping 및 traceroute를 위한 레이어 3 VPN 토폴로지 예시 Layer 3 VPN Topology for ping and traceroute Examples

다른 CE 라우터에서 CE 라우터 Ping

절차

단계별 절차

다음은 핑과 traceroute 명령을 사용하여 레이어 3 VPN 토폴로지 문제를 해결하는 방법을 설명합니다. 명령에서 다른 CE 라우터의 루프백 주소를 IP 주소로 지정하여 하나의 CE 라우터를 다른 CE 라우터에서 ping할 수 있습니다 ping . 이 ping 명령은 CE 라우터가 직접 연결된 PE 라우터에 루프백 주소를 발표한 경우 성공합니다. 이러한 ping 명령의 성공은 라우터 CE1이 라우터 CE2를 넘어 모든 네트워크 디바이스를 핑할 수 있다는 것을 의미하며, 그 반대의 경우도 마찬가지입니다. 그림 1 은 다음 단계에서 참조되는 토폴로지 를 보여줍니다.

  1. 라우터 CE1(VPN4)의 Ping 라우터 CE2(VPN5) :

  2. 라우터 CE1의 루프백 인터페이스에서 라우터 CE2의 루프백 인터페이스로 의 경로를 결정하려면 명령을 사용합니다 traceroute .

  3. 명령을 사용하여 traceroute 레이어 3 VPN에서 사용하는 경로를 검사할 때 서비스 프로바이더의 네트워크에서 공급자(P) 라우터가 표시되지 않습니다. 위에서 보듯이 라우터 VPN1에서 라우터 VPN2로의 점프는 단일 홉으로 표시됩니다. 그림 1 에 표시된 P 라우터(VPN3)는 표시되지 않습니다.

  4. 라우터 CE2(VPN5)의 Ping 라우터 CE1(VPN4)

  5. 라우터 CE2에서 라우터 CE1로의 경로를 결정하려면 명령을 사용합니다 traceroute .

로컬 CE 라우터에서 원격 PE 및 CE 라우터 Ping

절차

단계별 절차

로컬 CE 라우터에서 포인트 투 포인트 인터페이스인 원격 PE 및 CE 라우터에서 VPN 인터페이스를 ping할 수 있습니다. 그림 1 은 다음 예에서 참조되는 토폴로지 를 보여줍니다.

  1. 라우터 CE1에서 라우터 CE2 Ping.

  2. 라우터 CE1의 루프백 인터페이스에서 라우터  CE2의 직접 연결된 인터페이스로의 경로를 결정하려면 명령을 사용합니다 traceroute .

  3. 라우터 CE1(VPN4)의 Ping 라우터 PE2(VPN2). 이 경우 라우터 CE1에서 시작된 패킷은 라우터 PE2로, 라우터 CE2로 이동한 다음 라우터 PE2로 이동하여 라우터 PE2가 ICMP(Internet Control Message Protocol) 요청에 응답하기 전에 라우터 PE2로 돌아갑니다. 명령을 사용하여 traceroute 이를 확인할 수 있습니다.

  4. 라우터 CE1에서 라우터 PE2로의 경로를 결정하려면 명령을 사용합니다 traceroute .

다중 액세스 인터페이스에서 CE 라우터 Ping

절차

단계별 절차

VPN 인터페이스가 라우터 CE1의 인터페이스와 같은 fe-1/1/2.0 다중 액세스 인터페이스인 경우 하나의 CE 라우터를 다른 CE 라우터에서 ping할 수 없습니다. 라우터 CE2에서 라우터 CE1을 핑하려면 라우터 PE1의 [edit routing-instances routing-instance-name] 계층 수준에서 문을 포함 vrf-table-label 하거나 라우터 PE1에서 정적 경로를 라우터 CE1의 VPN 인터페이스에 구성해야 합니다. 라우터 ping에 vrf-table-label 문을 포함하는 경우, 정적 경로를 구성할 수 없습니다.

  1. 라우터 PE1에서 라우터 CE1의 VPN 인터페이스로 정적 경로를 구성하는 경우, 다음 홉은 라우터 CE1( [edit routing-instance routing-instance-name] 계층 수준에서)을 가리킬 것이며, 다음 구성에 표시된 대로 라우터 PE1에서 라우터 PE2로 이 경로를 공지해야 합니다.

  2. 이제 라우터 CE2에서 라우터 CE1을 핑할 수 있습니다.

  3. 이 두 인터페이스 간의 경로를 결정하려면 명령을 사용합니다 traceroute .

CE 라우터에서 직접 연결된 PE 라우터 Ping

절차

단계별 절차

CE 라우터의 루프백 인터페이스에서 직접 연결된 PE 라우터에서 VPN 인터페이스를 핑할 수 있습니다. 그림 1 은 이 절차에서 참조되는 토폴로지 를 보여줍니다.

  1. 라우터 CE1(VPN4)의 루프백 인터페이스에서 라우터 PE1에서 VPN 인터페이스 fe-1/1/0.0핑:

  2. 라우터 CE2(VPN5)의 루프백 인터페이스에서 라우터 PE2에서 VPN 인터페이스 t3-0/0/3.0핑:

  3. 라우터 CE2(VPN5)의 루프백 인터페이스에서 라우터 PE2에서 VPN 인터페이스 t3-0/0/3.0핑:

  4. 라우터 CE2의 루프백 인터페이스에서 라우터 PE2의 VPN 인터페이스로 경로를 결정하려면 명령을 사용합니다 traceroute .

PE 라우터에서 직접 연결된 CE 라우터 Ping

절차

단계별 절차

PE 라우터의 VPN 및 루프백 인터페이스에서 직접 연결된 CE 라우터에서 VPN 인터페이스를 핑할 수 있습니다. 그림 1 은 이 절차에서 참조되는 토폴로지 를 보여줍니다.

  1. PE 라우터(라우터 PE1)의 VPN 인터페이스에서 직접 연결된 CE 라우터(라우터 CE1)에서 VPN 또는 루프백 인터페이스를 핑할 수 있습니다.

    라우터 PE1(VPN1)의 VPN 인터페이스에서 라우터 CE1에서 VPN 인터페이스 fe-1/1/0.0핑:

  2. 라우터 PE1(VPN1)의 VPN 인터페이스에서 라우터 CE1에서 루프백 인터페이스 10.255.10.4핑:

  3. 라우터 PE1의 VPN 인터페이스에서 라우터 CE1의 VPN 및 루프백 인터페이스로 의 경로를 각각 결정하려면 다음 traceroute 명령을 사용합니다.

  4. 라우터 PE2(VPN2)의 VPN 인터페이스에서 라우터 CE2에서 VPN 인터페이스 t3-0/0/3.0핑:

  5. 라우터 PE2(VPN2)의 VPN 인터페이스에서 라우터 CE2에서 루프백 인터페이스 10.255.10.5핑:

  6. 라우터 PE2의 VPN 인터페이스에서 라우터 CE2의 VPN 및 루프백 인터페이스로 의 경로를 각각 결정하려면 다음 traceroute 명령을 사용합니다.

로컬 PE 라우터에서 원격 CE 라우터 Ping

절차

단계별 절차

다음 절차는 레이어 3 VPN에만 효과적입니다. 레이어 3 VPN의 로컬 PE 라우터에서 원격 CE 라우터를 ping하려면 다음 인터페이스를 구성해야 합니다.

  1. 루프백 인터페이스에 대한 논리적 장치를 구성합니다.

    PE 라우터의 루프백 인터페이스에 추가 논리적 장치를 구성하려면 계층 수준에서 문을 [edit interfaces lo0] 구성 unit 합니다.

  2. 로컬 PE 라우터의 레이어 3 VPN 라우팅 인스턴스에 대한 루프백 인터페이스를 구성합니다. 하나의 논리적 루프백 인터페이스를 각 레이어 3 VPN 라우팅 인스턴스와 연결하여 라우터에서 특정 라우팅 인스턴스를 ping할 수 있습니다.

    계층 수준에서 문을 사용하여 1 단계에서 구성한 interface 루프백 인터페이스를 [edit routing-instances routing-instance-name] 지정합니다.

    interface-name (는) 루프백 인터페이스의 논리적 장치입니다(예: lo0.1).

  3. PE 라우터의 VPN 인터페이스에서 이제 원격 CE 라우터의 루프백 인터페이스에서 논리 장치를 ping할 수 있습니다.

    루프백 인터페이스에서 새로운 논리적 단위를 지정하는 데 사용합니다 interface (예: lo0.1). 명령을 사용하는 ping interface 방법에 대한 자세한 내용은 Junos 인터페이스 명령 참조를 참조하십시오.

기가비트 이더넷 인터페이스에서 일관되지 않게 보급된 경로 문제 해결

절차

단계별 절차

레이어 3 VPN의 LAN에 대한 직접 경로의 경우, Junos OS 다음 홉으로 지정할 수 있는 CE 라우터를 찾으려고 시도합니다. 이 작업을 수행할 수 없는 경우 기가비트 이더넷 인터페이스의 보급 경로는 삭제됩니다.

이러한 경우:

  1. static VRF 라우팅 인스턴스의 [edit routing-options] 또는 [edit logical-systems logical-system-name routing-options] 계층 수준에서 문을 LAN 서브넷의 CE 라우터로 사용하여 CE 라우터를 다음 홉으로 구성합니다. 이 LAN의 직접 목적지로 가는 모든 트래픽은 CE 라우터로 이동합니다. 이중화를 위해 LAN의 두 CE 라우터에 2개의 정적 경로를 추가할 수 있습니다.

  2. vrf-table-label 계층 수준에서 [edit routing-instances routing-instance-name] 문을 구성하여 패킷의 내부 레이블을 특정 VRF 라우팅 테이블 매핑합니다. 이렇게 하면 캡슐화된 IP 헤더를 조사하여 모든 트래픽의 VRF 라우팅 인스턴스에서 IP 조회를 강제할 수 있습니다.

    참고:

    문은 vrf-table-label 모든 코어 대면 인터페이스에서 사용할 수 없습니다. 예를 들어 채널화된 인터페이스는 지원되지 않습니다. 이더넷 및 SONET/SDH 인터페이스를 통한 문 지원에 대한 vrf-table-label 정보는 IP 헤더 기반 레이어 3 VPN의 패킷 필터링을 참조하십시오.