Потеря пакетов при использовании L3VPN

[l1ght]

Доброе время суток, есть проблема при использовании VRF на маршрутизаторе cisco. В наличии есть маршрутизаторы cisco 3825 с использованием VRF.

Проблема заключается в том, что при пинге определенной сети, настроенной через VRF, идут потери пакетов (примерно 25%), но при пинге маршрутизатора по менеджменту vlan'у потерь никаких нет.

 

И что еще интересно, что на остальных маршрутизаторах 3825 используются точно такие же конфигурации но проблем с потерями пакетов нет.

 

Кто сталкивался или знает в чем может быть проблема - подскажите пожалуйста. Ниже приведен пример конфигурации маршрутизатора:

ip vrf TEST
rd 1001:1000
route-target export 1001:1000
route-target import 1001:1000
!
!
!
interface GigabitEthernet0/0.100
description #L3VPN TEST#
encapsulation dot1Q 100
ip vrf forwarding TEST
ip address 10.10.10.1 255.255.255.0
service-policy input 10M
service-policy output 10M
!
!
router bgp 1001
no synchronization
bgp log-neighbor-changes
neighbor 192.168.8.2 remote-as 1001
neighbor 192.168.8.2 version 4
no auto-summary
!
!
address-family ipv4 vrf TEST
 redistribute connected
 no synchronization
exit-address-family
!

[triam]

А без service-policy input 10M и service-policy output 10M

Пробовали?

[l1ght]

А без service-policy input 10M и service-policy output 10M

Пробовали?

 

Не пробовали, но на всех остальных 3825 девайсах стоит service-policy и все работает нормально.

[l1ght]

А без service-policy input 10M и service-policy output 10M

Пробовали?

 

Убрал service-policy - никаких результатов. Так же передергивал сессию BGP - результата не дало.

[triam]

А как вы проверяете? С какими параметрами ping запускаете?

[l1ght]

А как вы проверяете? С какими параметрами ping запускаете?

sh ip vrf
 Name                             Default RD          Interfaces
 TEST                             1001:1000           Vl100 

 

ping в менеджмент vlan'e:

ping 11.11.11.1 repeat 20
Sending 20, 100-byte ICMP Echos to 11.11.11.1, timeout is 2 seconds:
!!!!!!!!!!!!!!!!!!!!

 

Теперь ping в vrf TEST

ping vrf TEST 10.10.10.1 repeat 20

Type escape sequence to abort.
Sending 20, 100-byte ICMP Echos to 10.10.10.1, timeout is 2 seconds:
.!.!.!....!.!!.!!!.!

 

Ping произвожу с центрального роутера (Route Reflector), на все остальные устройства 3825 с этого центрального маршрутизатора проходят нормально как по менеджмент vlan'у, так и в vrf.

[agr]

А центральный роутер напрямую включен в проблемный роутер?

[l1ght]

А центральный роутер напрямую включен в проблемный роутер?

 

Что имеется ввиду "напрямую"? Есть провайдер, который предоставляет транспорт до каждого маршрутизатора, связь с маршрутизаторами осуществляется протягиванием vlana у провайдера.

[g3fox]

Полагаю, что дело не в vrf а в используемых адресах. Может у магистрала где-то полисер под который попадают ваши адреса ?

Edited August 8, 2012 by g3fox

[l1ght]

Полагаю, что дело не в vrf а в используемых адресах. Может у магистрала где-то полисер под который попадают ваши адреса ?

Это точно нет, адреса я написал выдуманные. С адресацией все в порядке, на остальных девайсах все работает (например адреса 10.10.11.1, 10.10.12.1 и т.д.). Тем более тогда бы вообще не работало, а не 25% потерь было бы.

[darkagent]

Так может у магистрала на l2 бардак по вашему влану где? мож где закольцевали или влан побежал не самой ближней дорогой по каким-нибудь радио линкам.

[l1ght]

Так может у магистрала на l2 бардак по вашему влану где? мож где закольцевали или влан побежал не самой ближней дорогой по каким-нибудь радио линкам.

Это исключено.

[triam]

А покажите show ip route vrf TEST

[sio]

l1ght В описании не понятно, что вам предоставляет провайдер. Если допустить, что вы заказываете два vlan'а, а у провайдера mpls, то очень даже может быть, что по одному vlan ошибок нет, а по другому есть.

[g3fox]

Полагаю, что дело не в vrf а в используемых адресах. Может у магистрала где-то полисер под который попадают ваши адреса ?

Это точно нет, адреса я написал выдуманные. С адресацией все в порядке, на остальных девайсах все работает (например адреса 10.10.11.1, 10.10.12.1 и т.д.). Тем более тогда бы вообще не работало, а не 25% потерь было бы.

У нас такое было. На последней миле по ошибке попадали в полисер.

А, действительно, вы какую услугу берёте у магистрала ? Это всё ходит в одном влане ?

[mukca]

пинги менежмент влана и интерфейса vrt приходят через разных провайдеров??? через физически разные порты??? через разные vlan ы ??? через разные тунели ?? или комбинацию чегото из этого всего????

 

ошибки на порту(ах) есть ???

[l1ght]

пинги менежмент влана и интерфейса vrt приходят через разных провайдеров??? через физически разные порты??? через разные vlan ы ??? через разные тунели ?? или комбинацию чегото из этого всего????

 

ошибки на порту(ах) есть ???

1) Все проходит через одного провайдера (транспорт - простой vlan).

2) Все проходит через один и тот же физический порт.

3) Да - менеджмент vlan отличается от vlan'a, в котором используется vrf.

[dovecot]

Немного подправлю.

 

1) В качестве транспорта используется провайдерский EoMPLS. На устройствах агрегации провайдер делает QinQ (мы подаем свой 1 ВЛАН, провайдер запаковывает в свой 1. Кардинально ничего не меняется).

 

3) пинги management vlan и customer vlan проходят через один и тот же транспортный vlan/L3 interface. По сути и там, и там MPLS packet switching, только в первом случае есть только транспортная метка, во втором еще и VPN метка.

[nuclearcat]

Если используется лишь 802.1q, я бы расположил с обеих сторон линуксы, которые первоначально проверены на столе, и погонял бы пакеты с одного на другой. Если виноват провайдер - будет наглядно видно в tcpdump