레이어 3 VPN 문제 해결
공통 레이어 3 VPN 문제 진단
문제
설명
레이어 3 VPN 구성의 문제를 해결하려면 VPN의 한쪽 끝(로컬 고객 에지 [CE] 라우터)에서 시작하여 VPN의 다른 쪽 끝(원격 CE 라우터)으로 경로를 따릅니다.
솔루션
다음 문제 해결 단계는 일반적인 문제를 진단하는 데 도움이 됩니다.
로컬 프로바이더 에지(PE)와 CE 라우터 간에 라우팅 프로토콜을 구성한 경우 피어링과 인접성이 완전히 작동되는지 확인합니다. 이렇게 하면 라우팅 인스턴스의 이름을 지정해야 합니다. 예를 들어, OSPF 인접성을 확인하려면 PE 라우터에
show ospf neighbor instance routing-instance-name
명령을 입력합니다.피어링과 인접성이 완전히 작동되지 않는 경우 CE 라우터의 라우팅 프로토콜 구성을 확인하고 PE 라우터의 관련 VPN 라우팅 인스턴스에 대한 라우팅 프로토콜 구성을 확인합니다.
로컬 CE 및 PE 라우터가 서로 핑할 수 있는지 확인합니다.
로컬 CE 라우터가 로컬 PE 라우터에서 VPN 인터페이스를 ping할 수 있는지 확인하려면 다음 형식으로
ping
명령을 사용하여 PE 라우터의 IP 주소 또는 이름을 지정합니다.user@host> ping (ip-address | host-name)
로컬 PE 라우터가 CE 라우터를 ping할 수 있는지 확인하려면 다음 형식으로 명령을 사용하여
ping
CE 라우터의 IP 주소 또는 이름, VPN에 사용되는 인터페이스 이름 및 발신 에코 요청 패킷의 소스 IP 주소(로컬 주소)를 지정합니다.user@host> ping ip-address interface interface local echo-address
종종 명령이 성공하기 전에
ping
로컬 CE와 로컬 PE 라우터 간의 피어링 또는 인접성이 이루어져야 합니다. 링크가 랩 설정에서 작동하는지 확인하려면 계층 수준에서 문을 삭제하고 구성을 다시 커밋하여interface
VPN 라우팅 및 포워딩(VRF)에서[edit routing-instance routing-instance-name]
인터페이스를 제거합니다. 이렇게 하면 VPN에서 인터페이스가 제거됩니다. 그런 다음 명령을 다시 시도합니다 ping . 명령이 성공하면 인터페이스를 VPN으로 다시 구성하고 로컬 CE 및 PE 라우터에서 라우팅 프로토콜 구성을 다시 확인합니다.로컬 PE 라우터에서 로컬 CE 라우터의 경로가 VRF 테이블(.inet.0)routing-instance-name에 있는지 확인합니다.
user@host> show route table routing-instance-name.inet.0 <detail>
다음 예는 라우팅 테이블 항목을 보여줍니다. 여기에서 CE 라우터의 루프백 주소는
10.255.14.155/32
이며 PE와 CE 라우터 간의 라우팅 프로토콜은 BGP입니다. 항목은 일반적인 BGP 발표처럼 보입니다.10.255.14.155/32 (1 entry, 1 announced) *BGP Preference: 170/-101 Nexthop: 192.168.197.141 via fe-1/0/0.0, selected State: <Active Ext> Peer AS: 1 Age: 45:46 Task: BGP_1.192.168.197.141+179 Announcement bits (2): 0-BGP.0.0.0.0+179 1-KRT AS path: 1 I Localpref: 100 Router ID: 10.255.14.155
로컬 CE 라우터의 경로가 VRF 라우팅 테이블 없는 경우 CE 라우터가 PE 라우터에 경로를 보급하는지 확인합니다. CE와 PE 라우터 간에 정적 라우팅이 사용되는 경우 적절한 정적 경로가 구성되었는지 확인합니다.
원격 PE 라우터에서 로컬 CE 라우터의 경로가 bgp.l3vpn.0 라우팅 테이블 있는지 확인합니다.
user@host> show route table bgp.l3vpn.0 extensive 10.255.14.175:3:10.255.14.155/32 (1 entry, 0 announced) *BGP Preference: 170/-101 Route Distinguisher: 10.255.14.175:3 Source: 10.255.14.175 Nexthop: 192.168.192.1 via fe-1/1/2.0, selected label-switched-path vpn07-vpn05 Push 100004, Push 100005(top) State: <Active Int Ext> Local AS: 69 Peer AS: 69 Age: 15:27 Metric2: 338 Task: BGP_69.10.255.14.175+179 AS path: 1 I Communities: target:69:100 BGP next hop: 10.255.14.175 Localpref: 100 Router ID: 10.255.14.175 Secondary tables: VPN-A.inet.0
명령의
show route table bgp.l3vpn.0 extensive
출력에는 VPN에 특정한 다음 정보가 포함됩니다.접두사 이름(출력의 첫 줄)에서 경로 구분자는 로컬 CE 라우터의 경로 접두사에 추가됩니다. 경로 구분자는 인터넷 내에서 고유하기 때문에 경로 구분자와 IP 접두사의 연결은 고유 VPN-IP 버전 4(IPv4) 라우팅 항목을 제공합니다.
Route Distinguisher
필드는 VPN-IPv4 주소와 별도로 경로 식별자를 나열합니다.label-switched-path
필드는 VPN 트래픽을 전달하는 데 사용되는 레이블 스위칭 경로(LSP)의 이름을 보여줍니다.Push
필드는 VPN-IPv4 패킷에 전달되는 두 레이블을 모두 보여줍니다. 첫 번째 레이블은 PE 라우터에 의해 할당된 VPN 레이블인 내부 레이블입니다. 두 번째 레이블은 RSVP 레이블인 외부 레이블입니다.Communities
필드는 대상 커뮤니티를 나열합니다.Secondary tables
필드는 이 경로가 설치된 이 라우터의 다른 라우팅 테이블을 나열합니다.
로컬 CE 라우터의 경로가 원격 PE 라우터의 bgp.l3vpn.0 라우팅 테이블 존재하지 않으면 다음을 수행합니다.
문에서 구성된 원격 PE 라우터에서 VRF 가져오기 필터를 확인합니다
vrf-import
. (로컬 PE 라우터에서는 문으로 구성된 VRF 내보내기 필터를 확인합니다vrf-export
.)PE 라우터 사이에 LSP 또는 LDP 경로가 있는지 확인합니다. 이를 위해 IBGP 다음 홉 주소가 inet.3 테이블에 있는지 확인합니다.
PE 라우터 간의 IBGP 세션이 올바르게 설정되고 구성되었는지 확인합니다.
"숨겨진" 경로를 확인합니다. 이는 일반적으로 경로가 제대로 레이블되지 않았다는 것을 의미합니다. 이렇게 하려면 명령을 사용합니다
show route table bgp.l3vpn.0 hidden
.내부 레이블이 로컬 PE 라우터에 의해 할당된 내부 VPN 레이블과 일치하는지 확인합니다. 이렇게 하려면 명령을 사용합니다
show route table mpls
.
다음 예는 원격 PE 라우터에서 이 명령의 출력을 보여줍니다. 여기서 내부 레이블은 입니다
100004
.... Push 100004, Push 10005 (top)
다음 예는 로컬 PE 라우터에서 이 명령의 출력을 보여줍니다. 이 출력은 의 내부 레이블이 원격 PE 라우터의
100004
내부 레이블과 일치한다는 것을 보여줍니다.... 100004 *[VPN/7] 06:56:25, metric 1 > to 192.168.197.141 via fe-1/0/0.0, Pop
원격 PE 라우터에서 로컬 CE 라우터의 경로가 VRF 테이블(.inet.0)routing-instance-name에 있는지 확인합니다.
user@host> show route table routing-instance-name.inet.0 detail 10.255.14.155/32 (1 entry, 1 announced) *BGP Preference: 170/-101 Route Distinguisher: 10.255.14.175:3 Source: 10.255.14.175 Nexthop: 192.168.192.1 via fe-1/1/2.0, selected label-switched-path vpn07-vpn05 Push 100004, Push 100005(top) State: <Secondary Active Int Ext> Local AS: 69 Peer AS: 69 Age: 1:16:22 Metric2: 338 Task: BGP_69.10.255.14.175+179 Announcement bits (2): 1-KRT 2-VPN-A-RIP AS path: 1 I Communities: target:69:100 BGP next hop: 10.255.14.175 Localpref: 100 Router ID: 10.255.14.175 Primary Routing Table bgp.l3vpn.0
이 라우팅 테이블 경로 식별자가 더 이상 접두사에 추가되지 않습니다. 마지막 줄인 은
Primary Routing Table
(는) 이 경로가 학습된 테이블을 나열합니다.경로가 이 라우팅 테이블 없지만 로컬 CE 라우터의 bgp.l3vpn.0 라우팅 테이블 존재하는 경우, 경로가 원격 PE 라우터의 VRF 가져오기 정책을 통과하지 않았을 수 있습니다.
VPN-IPv4 경로가 정책과 일치하지
vrf-import
않으면 경로가 bgp.l3vpn 테이블에 전혀 나타나지 않으므로 VRF 테이블에 존재하지 않습니다. 이것이 발생하면 PE 라우터에서 다른 VPN(공통 대상)에 다른vrf-import
문을 구성했고 경로가 bgp.l3vpn.0 테이블에 나타나지만 잘못된 VPN으로 가져오고 있음을 나타낼 수 있습니다.원격 CE 라우터에서 로컬 CE 라우터의 경로가 라우팅 테이블(inet.0)에 있는지 확인합니다.
user@host> show route
경로가 없는 경우 원격 PE 및 CE 라우터 간의 라우팅 프로토콜 구성을 확인하고 PE와 CE 라우터 간의 피어 및 인접성(또는 정적 경로)이 올바른지 확인합니다.
로컬 CE 라우터에서 유래한 경로가 올바른지 확인하려면 이 절차를 반복하여 원격 CE 라우터에서 발생한 경로를 확인합니다.
예: 레이어 3 VPN 문제 해결
이 예는 명령을 사용하여 ping
VPN 토폴로지에서 다양한 라우터의 접근성을 확인하는 방법과 명령을 사용하여 traceroute
패킷이 VPN 라우터 간에 이동하는 경로를 확인하는 방법을 보여줍니다.
- 요구 사항
- 개요
- 다른 CE 라우터에서 CE 라우터 Ping
- 로컬 CE 라우터에서 원격 PE 및 CE 라우터 Ping
- 다중 액세스 인터페이스에서 CE 라우터 Ping
- CE 라우터에서 직접 연결된 PE 라우터 Ping
- PE 라우터에서 직접 연결된 CE 라우터 Ping
- 로컬 PE 라우터에서 원격 CE 라우터 Ping
- 기가비트 이더넷 인터페이스에서 일관되지 않게 보급된 경로 문제 해결
요구 사항
이 예는 다음과 같은 하드웨어 및 소프트웨어 구성 요소를 사용합니다.
M Series 라우터
Junos OS 릴리스 10.0R1 이상
개요
토폴로지
그림 1에 표시된 토폴로지에는 이 예에서 핑 및 트레이스라우트 명령을 사용하여 레이어 3 VPN에 참여하는 라우터 간의 연결을 테스트하는 방법을 시연하는 네트워크가 설명되어 있습니다.
다른 CE 라우터에서 CE 라우터 Ping
절차
단계별 절차
다음은 핑과 traceroute
명령을 사용하여 레이어 3 VPN 토폴로지 문제를 해결하는 방법을 설명합니다. 명령에서 다른 CE 라우터의 루프백 주소를 IP 주소로 지정하여 하나의 CE 라우터를 다른 CE 라우터에서 ping할 수 있습니다 ping
. 이 ping
명령은 CE 라우터가 직접 연결된 PE 라우터에 루프백 주소를 발표한 경우 성공합니다. 이러한 ping
명령의 성공은 라우터 CE1이 라우터 CE2를 넘어 모든 네트워크 디바이스를 핑할 수 있다는 것을 의미하며, 그 반대의 경우도 마찬가지입니다. 그림 1 은 다음 단계에서 참조되는 토폴로지 를 보여줍니다.
라우터 CE1(VPN4)의 Ping 라우터 CE2(VPN5) :
user@vpn4> ping 10.255.10.5 local 10.255.10.4 count 3 PING 10.255.10.5 (10.255.10.5): 56 data bytes 64 bytes from 10.255.10.5: icmp_seq=0 ttl=253 time=1.086 ms 64 bytes from 10.255.10.5: icmp_seq=1 ttl=253 time=0.998 ms 64 bytes from 10.255.10.5: icmp_seq=2 ttl=253 time=1.140 ms --- 10.255.10.5 ping statistics --- 3 packets transmitted, 3 packets received, 0% packet loss round-trip min/avg/max/stddev = 0.998/1.075/1.140/0.059 ms
라우터 CE1의 루프백 인터페이스에서 라우터 CE2의 루프백 인터페이스로 의 경로를 결정하려면 명령을 사용합니다
traceroute
.user@vpn4> traceroute 10.255.10.5 source 10.255.10.4 traceroute to 10.255.10.5 (10.255.10.5) from 10.255.10.4, 30 hops max, 40 byte packets 1 vpn1-fe-110.isp-core.net (192.168.192.1) 0.680 ms 0.491 ms 0.456 ms 2 vpn2-t3-001.isp-core.net (192.168.192.110) 0.857 ms 0.766 ms 0.754 ms MPLS Label=100005 CoS=0 TTL=1 S=1 3 vpn5.isp-core.net (10.255.10.5) 0.825 ms 0.886 ms 0.732 ms
명령을 사용하여
traceroute
레이어 3 VPN에서 사용하는 경로를 검사할 때 서비스 프로바이더의 네트워크에서 공급자(P) 라우터가 표시되지 않습니다. 위에서 보듯이 라우터 VPN1에서 라우터 VPN2로의 점프는 단일 홉으로 표시됩니다. 그림 1 에 표시된 P 라우터(VPN3)는 표시되지 않습니다.라우터 CE2(VPN5)의 Ping 라우터 CE1(VPN4)
user@vpn5> ping 10.255.10.4 local 10.255.10.5 count 3 PING 10.255.10.4 (10.255.10.4): 56 data bytes 64 bytes from 10.255.10.4: icmp_seq=0 ttl=253 time=1.042 ms 64 bytes from 10.255.10.4: icmp_seq=1 ttl=253 time=0.998 ms 64 bytes from 10.255.10.4: icmp_seq=2 ttl=253 time=0.954 ms --- 10.255.10.4 ping statistics --- 3 packets transmitted, 3 packets received, 0% packet loss round-trip min/avg/max/stddev = 0.954/0.998/1.042/0.036 ms
라우터 CE2에서 라우터 CE1로의 경로를 결정하려면 명령을 사용합니다
traceroute
.user@vpn5> traceroute 10.255.10.4 source 10.255.10.5 traceroute to 10.255.10.4 (10.255.10.4) from 10.255.10.5, 30 hops max, 40 byte packets 1 vpn-08-t3-003.isp-core.net (192.168.193.2) 0.686 ms 0.519 ms 0.548 ms 2 vpn1-so-100.isp-core.net (192.168.192.100) 0.918 ms 0.869 ms 0.859 ms MPLS Label=100021 CoS=0 TTL=1 S=1 3 vpn4.isp-core.net (10.255.10.4) 0.878 ms 0.760 ms 0.739 ms
로컬 CE 라우터에서 원격 PE 및 CE 라우터 Ping
절차
단계별 절차
로컬 CE 라우터에서 포인트 투 포인트 인터페이스인 원격 PE 및 CE 라우터에서 VPN 인터페이스를 ping할 수 있습니다. 그림 1 은 다음 예에서 참조되는 토폴로지 를 보여줍니다.
라우터 CE1에서 라우터 CE2 Ping.
user@vpn4> ping 192.168.193.5 local 10.255.10.4 count 3 PING 192.168.193.5 (192.168.193.5): 56 data bytes 64 bytes from 192.168.193.5: icmp_seq=0 ttl=253 time=1.040 ms 64 bytes from 192.168.193.5: icmp_seq=1 ttl=253 time=0.891 ms 64 bytes from 192.168.193.5: icmp_seq=2 ttl=253 time=0.944 ms --- 192.168.193.5 ping statistics --- 3 packets transmitted, 3 packets received, 0% packet loss round-trip min/avg/max/stddev = 0.891/0.958/1.040/0.062 ms
라우터 CE1의 루프백 인터페이스에서 라우터 CE2의 직접 연결된 인터페이스로의 경로를 결정하려면 명령을 사용합니다
traceroute
.user@vpn4> traceroute 192.168.193.5 source 10.255.10.4 traceroute to 192.168.193.5 (192.168.193.5) from 10.255.10.4, 30 hops max, 40 byte packets 1 vpn1-fe-110.isp-core.net (192.168.192.1) 0.669 ms 0.508 ms 0.457 ms 2 vpn2-t3-001.isp-core.net (192.168.192.110) 0.851 ms 0.769 ms 0.750 ms MPLS Label=100000 CoS=0 TTL=1 S=1 3 vpn5-t3-003.isp-core.net (192.168.193.5) 0.829 ms 0.838 ms 0.731 ms
라우터 CE1(VPN4)의 Ping 라우터 PE2(VPN2). 이 경우 라우터 CE1에서 시작된 패킷은 라우터 PE2로, 라우터 CE2로 이동한 다음 라우터 PE2로 이동하여 라우터 PE2가 ICMP(Internet Control Message Protocol) 요청에 응답하기 전에 라우터 PE2로 돌아갑니다. 명령을 사용하여
traceroute
이를 확인할 수 있습니다.user@vpn4> ping 192.168.193.2 local 10.255.10.4 count 3 PING 192.168.193.2 (192.168.193.2): 56 data bytes 64 bytes from 192.168.193.2: icmp_seq=0 ttl=254 time=1.080 ms 64 bytes from 192.168.193.2: icmp_seq=1 ttl=254 time=0.967 ms 64 bytes from 192.168.193.2: icmp_seq=2 ttl=254 time=0.983 ms --- 192.168.193.2 ping statistics --- 3 packets transmitted, 3 packets received, 0% packet loss round-trip min/avg/max/stddev = 0.967/1.010/1.080/0.050 ms
라우터 CE1에서 라우터 PE2로의 경로를 결정하려면 명령을 사용합니다
traceroute
.user@vpn4> traceroute 192.168.193.2 source 10.255.10.4 traceroute to 192.168.193.2 (192.168.193.2) from 10.255.10.4, 30 hops max, 40 byte packets 1 vpn1-fe-110.isp-core.net (192.168.192.1) 0.690 ms 0.490 ms 0.458 ms 2 vpn2-t3-003.isp-core.net (192.168.193.2) 0.846 ms 0.768 ms 0.749 ms MPLS Label=100000 CoS=0 TTL=1 S=1 3 vpn5-t3-003.isp-core.net (192.168.193.5) 0.643 ms 0.703 ms 0.600 ms 4 vpn-08-t3-003.isp-core.net (192.168.193.2) 0.810 ms 0.739 ms 0.729 ms
다중 액세스 인터페이스에서 CE 라우터 Ping
절차
단계별 절차
VPN 인터페이스가 라우터 CE1의 인터페이스와 같은 fe-1/1/2.0
다중 액세스 인터페이스인 경우 하나의 CE 라우터를 다른 CE 라우터에서 ping할 수 없습니다. 라우터 CE2에서 라우터 CE1을 핑하려면 라우터 PE1의 [edit routing-instances routing-instance-name]
계층 수준에서 문을 포함 vrf-table-label
하거나 라우터 PE1에서 정적 경로를 라우터 CE1의 VPN 인터페이스에 구성해야 합니다. 라우터 ping에 vrf-table-label
문을 포함하는 경우, 정적 경로를 구성할 수 없습니다.
라우터 PE1에서 라우터 CE1의 VPN 인터페이스로 정적 경로를 구성하는 경우, 다음 홉은 라우터 CE1(
[edit routing-instance routing-instance-name]
계층 수준에서)을 가리킬 것이며, 다음 구성에 표시된 대로 라우터 PE1에서 라우터 PE2로 이 경로를 공지해야 합니다.[edit] routing-instances { direct-multipoint { instance-type vrf; interface fe-1/1/0.0; route-distinguisher 69:1; vrf-import direct-import; vrf-export direct-export; routing-options { static { route 192.168.192.4/32 next-hop 192.168.192.4; } } protocols { bgp { group to-vpn4 { peer-as 1; neighbor 192.168.192.4; } } } } policy-options { policy-statement direct-export { term a { from protocol bgp; then { community add direct-comm; accept; } } term b { from { protocol static; route-filter 192.168.192.4/32 exact; } then { community add direct-comm; accept; } } term d { then reject; } } } }
이제 라우터 CE2에서 라우터 CE1을 핑할 수 있습니다.
user@vpn5> ping 192.168.192.4 local 10.255.10.5 count 3 PING 192.168.192.4 (192.168.192.4): 56 data bytes 64 bytes from 192.168.192.4: icmp_seq=0 ttl=253 time=1.092 ms 64 bytes from 192.168.192.4: icmp_seq=1 ttl=253 time=1.019 ms 64 bytes from 192.168.192.4: icmp_seq=2 ttl=253 time=1.031 ms --- 192.168.192.4 ping statistics --- 3 packets transmitted, 3 packets received, 0% packet loss round-trip min/avg/max/stddev = 1.019/1.047/1.092/0.032 ms
이 두 인터페이스 간의 경로를 결정하려면 명령을 사용합니다
traceroute
.user@vpn5> traceroute 192.168.192.4 source 10.255.10.5 traceroute to 192.168.192.4 (192.168.192.4) from 10.255.10.5, 30 hops max, 40 byte packets 1 vpn-08-t3003.isp-core.net (192.168.193.2) 0.678 ms 0.549 ms 0.494 ms 2 vpn1-so-100.isp-core.net (192.168.192.100) 0.873 ms 0.847 ms 0.844 ms MPLS Label=100021 CoS=0 TTL=1 S=1 3 vpn4-fe-112.isp-core.net (192.168.192.4) 0.825 ms 0.743 ms 0.764 ms
CE 라우터에서 직접 연결된 PE 라우터 Ping
절차
단계별 절차
CE 라우터의 루프백 인터페이스에서 직접 연결된 PE 라우터에서 VPN 인터페이스를 핑할 수 있습니다. 그림 1 은 이 절차에서 참조되는 토폴로지 를 보여줍니다.
라우터 CE1(VPN4)의 루프백 인터페이스에서 라우터 PE1에서 VPN 인터페이스
fe-1/1/0.0
핑:user@vpn4> ping 192.168.192.1 local 10.255.10.4 count 3 PING 192.168.192.1 (192.168.192.1): 56 data bytes 64 bytes from 192.168.192.1: icmp_seq=0 ttl=255 time=0.885 ms 64 bytes from 192.168.192.1: icmp_seq=1 ttl=255 time=0.757 ms 64 bytes from 192.168.192.1: icmp_seq=2 ttl=255 time=0.734 ms --- 192.168.192.1 ping statistics --- 3 packets transmitted, 3 packets received, 0% packet loss round-trip min/avg/max/stddev = 0.734/0.792/0.885/0.066 ms
라우터 CE2(VPN5)의 루프백 인터페이스에서 라우터 PE2에서 VPN 인터페이스
t3-0/0/3.0
핑:user@vpn5> ping 192.168.193.2 local 10.255.10.5 count 3 PING 192.168.193.2 (192.168.193.2): 56 data bytes 64 bytes from 192.168.193.2: icmp_seq=0 ttl=255 time=0.998 ms 64 bytes from 192.168.193.2: icmp_seq=1 ttl=255 time=0.834 ms 64 bytes from 192.168.193.2: icmp_seq=2 ttl=255 time=0.819 ms --- 192.168.193.2 ping statistics --- 3 packets transmitted, 3 packets received, 0% packet loss round-trip min/avg/max/stddev = 0.819/0.884/0.998/0.081 ms
라우터 CE2(VPN5)의 루프백 인터페이스에서 라우터 PE2에서 VPN 인터페이스
t3-0/0/3.0
핑:user@vpn5> ping 192.168.193.2 local 10.255.10.5 count 3 PING 192.168.193.2 (192.168.193.2): 56 data bytes 64 bytes from 192.168.193.2: icmp_seq=0 ttl=255 time=0.998 ms 64 bytes from 192.168.193.2: icmp_seq=1 ttl=255 time=0.834 ms 64 bytes from 192.168.193.2: icmp_seq=2 ttl=255 time=0.819 ms --- 192.168.193.2 ping statistics --- 3 packets transmitted, 3 packets received, 0% packet loss round-trip min/avg/max/stddev = 0.819/0.884/0.998/0.081 ms
라우터 CE2의 루프백 인터페이스에서 라우터 PE2의 VPN 인터페이스로 경로를 결정하려면 명령을 사용합니다
traceroute
.user@vpn5> traceroute 192.168.193.2 source 10.255.10.5 traceroute to 192.168.193.2 (192.168.193.2) from 10.255.10.5, 30 hops max, 40 byte packets 1 vpn-08-t3003.isp-core.net (192.168.193.2) 0.852 ms 0.670 ms 0.656 ms
PE 라우터에서 직접 연결된 CE 라우터 Ping
절차
단계별 절차
PE 라우터의 VPN 및 루프백 인터페이스에서 직접 연결된 CE 라우터에서 VPN 인터페이스를 핑할 수 있습니다. 그림 1 은 이 절차에서 참조되는 토폴로지 를 보여줍니다.
PE 라우터(라우터 PE1)의 VPN 인터페이스에서 직접 연결된 CE 라우터(라우터 CE1)에서 VPN 또는 루프백 인터페이스를 핑할 수 있습니다.
라우터 PE1(VPN1)의 VPN 인터페이스에서 라우터 CE1에서 VPN 인터페이스
fe-1/1/0.0
핑:user@vpn1> ping 192.168.192.4 interface fe-1/1/0.0 local 192.168.192.1 count 3 PING 192.168.192.4 (192.168.192.4): 56 data bytes 64 bytes from 192.168.192.4: icmp_seq=0 ttl=255 time=0.866 ms 64 bytes from 192.168.192.4: icmp_seq=1 ttl=255 time=0.728 ms 64 bytes from 192.168.192.4: icmp_seq=2 ttl=255 time=0.753 ms --- 192.168.192.4 ping statistics --- 3 packets transmitted, 3 packets received, 0% packet loss round-trip min/avg/max/stddev = 0.728/0.782/0.866/0.060 ms
라우터 PE1(VPN1)의 VPN 인터페이스에서 라우터 CE1에서 루프백 인터페이스
10.255.10.4
핑:user@vpn1> ping 10.255.10.4 interface fe-1/1/0.0 local 192.168.192.1 count 3 PING 10.255.10.4 (10.255.10.4): 56 data bytes 64 bytes from 10.255.10.4: icmp_seq=0 ttl=255 time=0.838 ms 64 bytes from 10.255.10.4: icmp_seq=1 ttl=255 time=0.760 ms 64 bytes from 10.255.10.4: icmp_seq=2 ttl=255 time=0.771 ms --- 10.255.10.4 ping statistics --- 3 packets transmitted, 3 packets received, 0% packet loss round-trip min/avg/max/stddev = 0.760/0.790/0.838/0.034 ms
라우터 PE1의 VPN 인터페이스에서 라우터 CE1의 VPN 및 루프백 인터페이스로 의 경로를 각각 결정하려면 다음
traceroute
명령을 사용합니다.user@vpn1> traceroute 10.255.10.4 interface fe-1/1/0.0 source 192.168.192.1 traceroute to 10.255.10.4 (10.255.10.4) from 192.168.192.1, 30 hops max, 40 byte packets 1 vpn4.isp-core.net (10.255.10.4) 0.842 ms 0.659 ms 0.621 ms user@vpn1> traceroute 192.168.192.4 interface fe-1/1/0.0 source 192.168.192.1 traceroute to 192.168.192.4 (192.168.192.4) from 192.168.192.1, 30 hops max, 40 byte packets 1 vpn4-fe-112.isp-core.net (192.168.192.4) 0.810 ms 0.662 ms 0.640 ms
라우터 PE2(VPN2)의 VPN 인터페이스에서 라우터 CE2에서 VPN 인터페이스
t3-0/0/3.0
핑:user@vpn2> ping 192.168.193.5 interface t3-0/0/3.0 local 192.168.193.2 count 3 PING 192.168.193.5 (192.168.193.5): 56 data bytes 64 bytes from 192.168.193.5: icmp_seq=0 ttl=255 time=0.852 ms 64 bytes from 192.168.193.5: icmp_seq=1 ttl=255 time=0.909 ms 64 bytes from 192.168.193.5: icmp_seq=2 ttl=255 time=0.793 ms --- 192.168.193.5 ping statistics --- 3 packets transmitted, 3 packets received, 0% packet loss round-trip min/avg/max/stddev = 0.793/0.851/0.909/0.047 ms
라우터 PE2(VPN2)의 VPN 인터페이스에서 라우터 CE2에서 루프백 인터페이스
10.255.10.5
핑:user@vpn2> ping 10.255.10.5 interface t3-0/0/3.0 local 192.168.193.2 count 3 PING 10.255.10.5 (10.255.10.5): 56 data bytes 64 bytes from 10.255.10.5: icmp_seq=0 ttl=255 time=0.914 ms 64 bytes from 10.255.10.5: icmp_seq=1 ttl=255 time=0.888 ms 64 bytes from 10.255.10.5: icmp_seq=2 ttl=255 time=1.066 ms --- 10.255.10.5 ping statistics --- 3 packets transmitted, 3 packets received, 0% packet loss round-trip min/avg/max/stddev = 0.888/0.956/1.066/0.079 ms
라우터 PE2의 VPN 인터페이스에서 라우터 CE2의 VPN 및 루프백 인터페이스로 의 경로를 각각 결정하려면 다음
traceroute
명령을 사용합니다.user@vpn2> traceroute 10.255.10.5 interface t3-0/0/3.0 source 192.168.193.2 traceroute to 10.255.10.5 (10.255.10.5) from 192.168.193.2, 30 hops max, 40 byte packets 1 vpn5.isp-core.net (10.255.10.5) 1.009 ms 0.677 ms 0.633 ms user@vpn2> traceroute 192.168.193.5 interface t3-0/0/3.0 source 192.168.193.2 traceroute to 192.168.193.5 (192.168.193.5) from 192.168.193.2, 30 hops max, 40 byte packets 1 vpn5-t3-003.isp-core.net (192.168.193.5) 0.974 ms 0.665 ms 0.619 ms
로컬 PE 라우터에서 원격 CE 라우터 Ping
절차
단계별 절차
다음 절차는 레이어 3 VPN에만 효과적입니다. 레이어 3 VPN의 로컬 PE 라우터에서 원격 CE 라우터를 ping하려면 다음 인터페이스를 구성해야 합니다.
루프백 인터페이스에 대한 논리적 장치를 구성합니다.
PE 라우터의 루프백 인터페이스에 추가 논리적 장치를 구성하려면 계층 수준에서 문을
[edit interfaces lo0]
구성unit
합니다.[edit interfaces] lo0 { unit number { family inet { address address; } } }
로컬 PE 라우터의 레이어 3 VPN 라우팅 인스턴스에 대한 루프백 인터페이스를 구성합니다. 하나의 논리적 루프백 인터페이스를 각 레이어 3 VPN 라우팅 인스턴스와 연결하여 라우터에서 특정 라우팅 인스턴스를 ping할 수 있습니다.
계층 수준에서 문을 사용하여 1 단계에서 구성한
interface
루프백 인터페이스를[edit routing-instances routing-instance-name]
지정합니다.[edit routing-instances routing-instance-name] interface interface-name;
은
interface-name
(는) 루프백 인터페이스의 논리적 장치입니다(예:lo0.1
).PE 라우터의 VPN 인터페이스에서 이제 원격 CE 라우터의 루프백 인터페이스에서 논리 장치를 ping할 수 있습니다.
user@host> ping interface interface host
루프백 인터페이스에서 새로운 논리적 단위를 지정하는 데 사용합니다
interface
(예:lo0.1
). 명령을 사용하는ping interface
방법에 대한 자세한 내용은 Junos 인터페이스 명령 참조를 참조하십시오.
기가비트 이더넷 인터페이스에서 일관되지 않게 보급된 경로 문제 해결
절차
단계별 절차
레이어 3 VPN의 LAN에 대한 직접 경로의 경우, Junos OS 다음 홉으로 지정할 수 있는 CE 라우터를 찾으려고 시도합니다. 이 작업을 수행할 수 없는 경우 기가비트 이더넷 인터페이스의 보급 경로는 삭제됩니다.
이러한 경우:
static
VRF 라우팅 인스턴스의[edit routing-options]
또는[edit logical-systems logical-system-name routing-options]
계층 수준에서 문을 LAN 서브넷의 CE 라우터로 사용하여 CE 라우터를 다음 홉으로 구성합니다. 이 LAN의 직접 목적지로 가는 모든 트래픽은 CE 라우터로 이동합니다. 이중화를 위해 LAN의 두 CE 라우터에 2개의 정적 경로를 추가할 수 있습니다.vrf-table-label
계층 수준에서[edit routing-instances routing-instance-name]
문을 구성하여 패킷의 내부 레이블을 특정 VRF 라우팅 테이블 매핑합니다. 이렇게 하면 캡슐화된 IP 헤더를 조사하여 모든 트래픽의 VRF 라우팅 인스턴스에서 IP 조회를 강제할 수 있습니다.참고:문은
vrf-table-label
모든 코어 대면 인터페이스에서 사용할 수 없습니다. 예를 들어 채널화된 인터페이스는 지원되지 않습니다. 이더넷 및 SONET/SDH 인터페이스를 통한 문 지원에 대한vrf-table-label
정보는 IP 헤더 기반 레이어 3 VPN의 패킷 필터링을 참조하십시오.