chainick Posted July 2, 2009 Posted July 2, 2009 (edited) Структура следующая: CE1[10.250.0.249/30] -- PE11[10.255.3.1] ---- MPLS CORE ---- PE22[10.255.1.114] -- [10.142.27.73/30]CE1 PE11: Код ip vrf vpn1 rd 100:110 route-target export 100:1000 route-target import 100:1000 interface Loopback0 ip vrf forwarding vpn1 ip address 10.142.27.73 255.255.255.252 end router bgp 100 no synchronization bgp log-neighbor-changes neighbor 10.255.3.1 remote-as 100 no auto-summary ! address-family vpnv4 neighbor 10.255.3.1 activate neighbor 10.255.3.1 send-community both neighbor 10.255.3.1 next-hop-self neighbor 10.255.3.1 distribute-list default out exit-address-family ! address-family ipv4 vrf vpn1 redistribute connected redistribute static no synchronization exit-address-family ip prefix-list default: 2 entries seq 5 permit 0.0.0.0/0 seq 10 permit 10.142.27.72/29 Сеть СЕ1 видим: Цитата sh ip bgp vpnv4 vrf vpn1 BGP table version is 5, local router ID is 10.142.16.114 Status codes: s suppressed, d damped, h history, * valid, > best, i - internal, r RIB-failure, S Stale Origin codes: i - IGP, e - EGP, ? - incomplete Network Next Hop Metric LocPrf Weight Path Route Distinguisher: 100:110 (default for vrf vpn1) *>i10.250.0.248/30 10.255.3.1 0 100 0 ? *> 10.142.27.72/30 0.0.0.0 0 32768 ? PE22: Код ip vrf vpn1 rd 100:110 route-target export 100:1000 route-target import 100:1000 ! router bgp 100 no synchronization bgp log-neighbor-changes neighbor 10.255.1.114 remote-as 100 no auto-summary ! address-family vpnv4 neighbor 10.255.1.114 activate neighbor 10.255.1.114 send-community both exit-address-family ! address-family ipv4 vrf vpn1 redistribute connected no synchronization exit-address-family interface GigabitEthernet4/2 description test-stand ip vrf forwarding vpn1 ip address 10.250.0.250 255.255.255.252 wrr-queue random-detect min-threshold 1 70 70 wrr-queue random-detect min-threshold 2 70 70 wrr-queue random-detect max-threshold 1 100 100 wrr-queue random-detect max-threshold 2 100 100 wrr-queue cos-map 2 1 4 6 7 rcv-queue threshold 1 70 100 rcv-queue cos-map 1 1 0 1 2 3 4 6 7 rcv-queue cos-map 1 2 5 mls qos trust cos end И тут видим: Цитата sh ip bgp vpnv4 vrf vpn1 BGP table version is 23, local router ID is 10.255.3.1 Status codes: s suppressed, d damped, h history, * valid, > best, i - internal, r RIB-failure, S Stale Origin codes: i - IGP, e - EGP, ? - incomplete Network Next Hop Metric LocPrf Weight Path Route Distinguisher: 100:110 (default for vrf vpn1) *> 10.250.0.248/30 0.0.0.0 0 32768 ? *>i10.142.27.72/30 10.255.1.114 0 100 0 ? По лдп связность видна: Цитата sh mpls ldp neighbor 10.255.3.1 Peer TDP Ident: 10.255.3.1:0; Local TDP Ident 10.255.1.114:0 TCP connection: 10.255.3.1.16209 - 10.255.1.114.711 State: Oper; PIEs sent/rcvd: 0/292; Downstream Up time: 04:03:20 TDP discovery sources: Directed Hello 10.255.1.114 -> 10.255.3.1, active, passive Addresses bound to peer TDP Ident: 10.250.0.13 10.7.37.33 10.142.22.33 10.7.32.1 10.7.33.1 10.7.34.1 10.7.35.1 10.7.36.1 10.7.34.65 10.255.3.1 10.7.37.1 А вот пакеты не ходят: Цитата PE11#ping vrf vpn1 10.142.27.73 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 79.142.27.73, timeout is 2 seconds: ..... Success rate is 0 percent (0/5) PE11#ping vrf vpn1 10.250.0.249 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 10.250.0.249, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 1/2/8 ms Помогите, пожалуйста разобраться! Edited July 3, 2009 by chainick Вставить ник Quote
_user_ Posted July 2, 2009 Posted July 2, 2009 А вот пакеты не ходят: PE11#ping vrf vpn1 10.142.27.73 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 79.142.27.73, timeout is 2 seconds: ..... Success rate is 0 percent (0/5) PE11#ping vrf vpn1 10.250.0.249 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 10.250.0.249, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 1/2/8 ms Помогите, пожалуйста разобраться! А что за подсеть 79.142.27.73в vrf vpn1 ? И почему ее нет в таблице ? Вставить ник Quote
chainick Posted July 3, 2009 Author Posted July 3, 2009 >> А что за подсеть 79.142.27.73в vrf vpn1 Считаем, что это сеть 10.142.27.73, не хотел светить реальные адреса, но спалился :) Вставить ник Quote
Telesis Posted July 3, 2009 Posted July 3, 2009 может так? ip vrf vpn1 rd 100:110 route-target export 100:110 route-target import 100:110 Вставить ник Quote
chainick Posted July 3, 2009 Author Posted July 3, 2009 Так какая разница, ведь метки RT ведь с обеих сторон одинаковые, я правильно понимаю? У меня есть еще подозрение, что трафик с РЕ1 уходит не в тот канал, где находится РЕ2. Пытаюсь это проверить так: #traceroute mpls ipv4 10.142.27.73/32Tracing MPLS Label Switched Path to 10.142.27.73/32, timeout is 2 seconds Codes: '!' - success, 'Q' - request not transmitted, '.' - timeout, 'U' - unreachable, 'R' - downstream router but not target, 'M' - malformed request Type escape sequence to abort. Q 1 * Может быть причина в этом? show ip cef <loopback PE>/32 internal #sh ip cef 10.142.27.73 internal0.0.0.0/0, epoch 5, RIB, refcount 7, per-destination sharing sources: RIB, D/N, DRH feature space: LFD: 0.0.0.0/0 0 local labels contains path extension list label switch chain 0x47363978 IPRM: 0x00028000 Broker: linked subblocks: DefNet source: 0.0.0.0/0 ifnums: GigabitEthernet5/1(340): 10.250.0.14 path 50F90138, path list 50F8A9E0, share 1/1, type attached nexthop, for IPv4 MPLS short path extensions: MOI flags = 0x0 label implicit-null nexthop 10.250.0.14 GigabitEthernet5/1, adjacency IP adj out of GigabitEthernet5/1, addr 10.250.0.14 46764C40 output chain: IP adj out of GigabitEthernet5/1, addr 10.250.0.14 46764C40 Вставить ник Quote
chainick Posted July 3, 2009 Author Posted July 3, 2009 Все, нашел баг - была неправильная связность между РЕ, в ядре маршрут не туда смотрел. Вставить ник Quote
chainick Posted July 3, 2009 Author Posted July 3, 2009 Задал еще один вопрос, чтобы не плодить темы. С предыдущим вопросом разобрался. Теперь появился вопрос - предположим, у меня есть впн, клиент живет в своем vrf, впн работает. Теперь клиент хочет интернет. Насколько я правильно понимаю, для этого я анонсирую сеть клиентского vrf в свою глобальную таблицу. Но, соответственно, клиент начинает видеть и мою сеть! А мне этого не хочется, зачем он мне тут нужен? Вставить ник Quote
Stak Posted July 3, 2009 Posted July 3, 2009 заведите vrf для интернет, и сделайте роут-ликинг между ними Вставить ник Quote
ingress Posted July 3, 2009 Posted July 3, 2009 http://www.specialist.ru/programs/course.asp?idc=1011 советую :) если нет денег, хотя бы слейте с торентов курс и прочитайте, там всё написано, и про траблшутинг и доступ в интернет в том числе. Вставить ник Quote
chainick Posted July 3, 2009 Author Posted July 3, 2009 Stak, спасибо за наводку. ingress, прочитаю, спасибо! Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.