三層MPLS VPN及其故障處理

MPLS VPN分為二層MPLS VPN和三層MPLS VPN兩種。二層MPLS VPN適合于能自行組建三層網(wǎng)絡(luò)的大型企業(yè)；三層MPLS VPN適合于維護(hù)路由等復(fù)雜工作交由運(yùn)營商負(fù)責(zé)的中小企業(yè)。本文簡單介紹三層MPLS VPN的組網(wǎng)及其故障處理。

三層MPLS VPN簡介

三層MPLS VPN又稱BGP MPLS VPN，是一種基于路由方式的MPLS VPN解決方案。IETF RFC 2547中對(duì)該技術(shù)做了規(guī)定。

三層MPLS VPN的網(wǎng)絡(luò)結(jié)構(gòu)，主要由PE（Provider Edge Device，運(yùn)營商邊緣設(shè)備）、P（Provide Device，運(yùn)營商設(shè)備）和CE（Customer Edge Device，用戶邊緣設(shè)備）3種設(shè)備組成。

下面簡要介紹上述設(shè)備所實(shí)現(xiàn)的功能。

CE：通過連接到PE的數(shù)據(jù)鏈路為用戶提供網(wǎng)絡(luò)服務(wù)，CE與PE建立鄰接關(guān)系，將本地的VPN路由廣播給PE，并從PE學(xué)習(xí)遠(yuǎn)端VPN路由。

PE：維護(hù)與之相連站點(diǎn)的VPN路由，為每個(gè)VPN建立一個(gè)VRF（Virtual Route Forwarding Table，虛擬路由轉(zhuǎn)發(fā)表）。在從CE那里學(xué)習(xí)到本地路由信息后，PE使用IBGP與其它PE路由器交換VPN路由信息。同時(shí)，在VPN業(yè)務(wù)穿越骨干網(wǎng)時(shí)，入口/出口PE分別相當(dāng)于入口/出口LSR（Lable Switch Router，標(biāo)簽交換路由器），需要為IP包進(jìn)行封裝/解封裝。

P：運(yùn)營商網(wǎng)絡(luò)中不直接連接CE的路由器，僅負(fù)責(zé)MPLS標(biāo)簽的交換，不需要維護(hù)VPN路由信息。

三層MPLS VPN通過多協(xié)議擴(kuò)展BGP（MP-iBGP）承載攜帶標(biāo)簽的VPN IPv4路由信息。每個(gè)VRF通過配置響應(yīng)策略來規(guī)定各VPN可以接收和向外發(fā)布站點(diǎn)的路由信息。每個(gè)PE根據(jù)BGP擴(kuò)展發(fā)布的信息進(jìn)行路由計(jì)算，生成并維護(hù)VPN路由表。

三層MPLS VPN故障的排除

三層MPLS VPN的故障主要可歸納為路由信息方面的故障和MPLS數(shù)據(jù)流方面的故障兩種。下面以Cisco路由器為例，簡單介紹如何排除三層MPLS VPN故障。 2.1 路由信息方面故障的處理

我們可以采用逐步排除法來解決路由信息方面的故障，，即根據(jù)三層MPLS VPN路由的交換過程逐步排查，最后確定故障所在位置。我們把這種故障處理的流程大致分成7步。

以下是各個(gè)步驟具體所要執(zhí)行的操作。

（1）在PE-1上使用命令“show ip route vrf name”驗(yàn)證PE-1是否收到CE-1的路由信息。若收到了來自CE-1的路由信息，則轉(zhuǎn)到步驟（2）；否則，采用傳統(tǒng)的路由排障方法查找PE與CE之間的物理層或路由協(xié)議（PE與CE之間可運(yùn)行各種路由協(xié)議，如RIP、OSPF、eBGP或靜態(tài)路由協(xié)議）是否有問題。

（2）在PE-1上使用命令“show ip bgp vpnv4 vrf name”驗(yàn)證該路由是否正確地發(fā)布到MP-BGP中并帶有正確的擴(kuò)展屬性。若正確，則轉(zhuǎn)到步驟（3）；否則，可確定路由的重發(fā)布等方面存在問題（可使用“debug ip bgp”等命令排障）。

（3）在PE-2上使用命令“show ip bgp vpnv4 all”驗(yàn)證其它VPNv4路由是否已通過MP-iBGP傳送過來。若已經(jīng)收到了其它VPNv4的路由信息，則轉(zhuǎn)到步驟（4）；否則，應(yīng)采用傳統(tǒng)的BGP路由排障方法查找PE-2與其它PE之間的連接是否有問題（可使用“show ip bgp neighbor”等命令）。

（4）在PE-2上使用命令“show ip bgp vpnv4 vrf name”驗(yàn)證BGP的路由選擇是否正確，即屬于該VPN的路由信息是否都被正確地接收了，而不屬于該VPN的路由信息是否被阻止了。若正確，則轉(zhuǎn)到步驟（5）；否則，應(yīng)采用傳統(tǒng)的BGP路由排障方法來解決，必要時(shí)，可更改“local preference”和“weight”等BGP參數(shù)。

（5）在PE-2上使用命令“show ip route vrf name”驗(yàn)證PE-2路由表中是否已存在正確的VPNv4路由信息。若正確，則轉(zhuǎn)到步驟（6）；否則，說明PE-2上存在問題（可使用“show ip vrf detail”和傳統(tǒng)的路由排障方法來解決）。

（6）在CE-2上使用“show ip route，ping”等命令驗(yàn)證CE-2是否已接收到其它CE的路由信息。若正確，則轉(zhuǎn)到步驟（7）；否則，應(yīng)查看PE-2上的路由重發(fā)布是否設(shè)置正確、PE-2與CE-2之間的物理層或路由協(xié)議是否有問題。

（7）從CE-2到CE-1，可采用相同的方法來排除路由交換方面的故障。

MPLS數(shù)據(jù)流方面故障的處理

對(duì)于MPLS數(shù)據(jù)流方面的故障，可從以下4個(gè)方面來定位：

（1）入口PE路由器上CEF（Cisco Express For-warding，思科快速轉(zhuǎn)發(fā)）端口是否打開；

（2）入口PE路由器上的CEF條目是否正確；

（3） PE路由器之間是否有端到端的LSP（La-bel Switch Path，標(biāo)簽交換路徑），這包括檢查中間的P路由器；

（4）出口PE路由器上的標(biāo)簽轉(zhuǎn)發(fā)表的條目是否正確。

【推薦閱讀】

◆上網(wǎng)行為運(yùn)維管理專區(qū)

◆上網(wǎng)行為運(yùn)維管理的七大內(nèi)容和四個(gè)技巧

◆ 測(cè)量上網(wǎng)行為管理系統(tǒng)性能的三種方法

◆上網(wǎng)行為運(yùn)維一體化管理的內(nèi)涵如何把握？