• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
  • 漏洞说明
  • 全部
  • 全部
  • 大数据引擎
  • 知了引擎
产品线
搜索
取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式
高级搜索

某局点MSR5620 BGP MPLS vpn分支和总部之间vpn路由无法互相学习排查经验案例

2019-01-24 发表
  • 0关注
  • 0收藏 4430浏览
徐猛 六段
粉丝:9人 关注:1人

组网及说明

       分部和总部都是MSR5620设备,多个分部和总部间建立BGP MPLS VPN,目前有一个分部和总部之间以及异常分部之间的VPN私网路由学习是正常的,另有一个异常分部和总部之间的VPN私网路由学习异常,相互之间的私网路由无法正常学习,但是该分部和其他分部之间VPN私网路由学习正常。其中母局设备SR8810作为组网中的P设备,同时配置了BGP反射器,总部和分部之间都和反射器建立BGP邻居。



问题描述

       分部和总部都是MSR5620设备,多个分部和总部间建立BGP MPLS VPN,目前有一个分部和总部之间以及异常分部之间的VPN私网路由学习是正常的,另有一个异常分部和总部之间的VPN私网路由学习异常,相互之间的私网路由无法正常学习,但是该分部和其他分部之间VPN私网路由学习正常。其中母局设备SR8810作为组网中的P设备,同时配置了BGP反射器,总部和分部之间都和反射器建立BGP邻居。 


 (1)异常分部的路由:少了到总部的vpn私网192.168.200.1的路由,有到其他分部的vpn私网路由:

display ip routing-table vpn-instance  SD_ZhengFu_SheBao

Destinations : 11       Routes : 11

Destination/Mask   Proto   Pre Cost        NextHop         Interface

0.0.0.0/32         Direct  0   0           127.0.0.1       InLoop0

127.0.0.0/8        Direct  0   0           127.0.0.1       InLoop0

127.0.0.0/32       Direct  0   0           127.0.0.1       InLoop0

127.0.0.1/32       Direct  0   0           127.0.0.1       InLoop0

127.255.255.255/32 Direct  0   0           127.0.0.1       InLoop0

192.168.200.8/29   BGP     255 0           100.78.242.180  GE2/0/0

192.168.200.49/32  Direct  0   0           127.0.0.1       InLoop0            //异常分部自己的私网路由

192.168.200.80/29  BGP     255 0           100.78.241.106  GE2/0/0           //其他分部的bgp私网路由

224.0.0.0/4        Direct  0   0           0.0.0.0         NULL0

224.0.0.0/24       Direct  0   0           0.0.0.0         NULL0

255.255.255.255/32 Direct  0   0           127.0.0.1       InLoop0


(2)正常分部查看的vpn私网路由表中可以学习到异常分部的vpn私网路由以及总部的vpn私网路由:

display ip routing-table vpn-instance  SD_ZhengFu_SheBao

Destinations : 15       Routes : 15

Destination/Mask   Proto   Pre Cost        NextHop         Interface

0.0.0.0/32         Direct  0   0           127.0.0.1       InLoop0

127.0.0.0/8        Direct  0   0           127.0.0.1       InLoop0

127.0.0.0/32       Direct  0   0           127.0.0.1       InLoop0

127.0.0.1/32       Direct  0   0           127.0.0.1       InLoop0

127.255.255.255/32 Direct  0   0           127.0.0.1       InLoop0

192.168.200.0/30   BGP     255 0           100.78.241.95   GE2/0/0         //总部的bgp私网路由

192.168.200.8/29   BGP     255 0           100.78.242.180  GE2/0/0

192.168.200.49/32  BGP     255 0           100.78.241.108  GE2/0/0         //异常分部的私网路由

192.168.200.80/29  Direct  0   0           192.168.200.81  GE2/0/1                 //自己的私网路由

192.168.200.80/32  Direct  0   0           192.168.200.81  GE2/0/1

192.168.200.81/32  Direct  0   0           127.0.0.1       InLoop0

192.168.200.87/32  Direct  0   0           192.168.200.81  GE2/0/1

224.0.0.0/4        Direct  0   0           0.0.0.0         NULL0

224.0.0.0/24       Direct  0   0           0.0.0.0         NULL0

255.255.255.255/32 Direct  0   0           127.0.0.1       InLoop0


过程分析

(1)首先进行异常分支和总部的联通性测试,经过ping测试,发现异常分支到SR8810反射器以及总部设备都是正常能ping通的,说明异常分支到总部的IGP路由是正常的:


(2)由于现场是使用BGP反射器的方式来实现的BGP以及MP-BGP的路由传递,于是查看现场的BGP配置(对部分地址做了隐匿,100.*.241.95是总部的loopback接口地址,100.*.241.108是分部的loopback, 100.*.240.34是反射器的loopback接口地址,三台设备均使用loopback接口地址建立邻居。)


A.异常分支侧配置:

interface LoopBack0

 ip address 100.*.241.108 255.255.255.255

#

ip vpn-instance SD_ZhengFu_SheBao

 route-distinguisher 65175:712

 vpn-target 65175:712 import-extcommunity

 vpn-target 65175:712 export-extcommunity

#

bgp 65175

 non-stop-routing

 peer 100.*.240.34 as-number 65175

 peer 100.*.240.34 connect-interface LoopBack0

 #

 address-family ipv4 unicast

  import-route direct

  import-route static

  peer 100.*.240.34 enable

 #

 address-family vpnv4

  undo policy vpn-target

  peer 100.*.240.34 enable

 #

 ip vpn-instance SD_ZhengFu_SheBao

  #

  address-family ipv4 unicast

   import-route direct

#


B.反射器设备配置

interface LoopBack0

 ip address 100.*.240.34 255.255.255.255

bgp 65175

 non-stop-routing

 group DLHJ-12-RR internal

 peer DLHJ-12-RR connect-interface LoopBack0

 group ESN-RR internal

 peer ESN-RR connect-interface LoopBack0

 peer ESN-RR password cipher $c$3$KvD8u31d0sGLzXKMl95uq2idwfMrVM1zADybfTM=

 group SSN-RR internal

 peer SSN-RR connect-interface LoopBack0

 peer SSN-RR password cipher $c$3$nArsIvCBYC08mUaiOAc/o+MNVoF0a0Q48jbVAEo=

 peer 100.*.241.95 group DLHJ-12-RR

 peer 100.*.241.108 group DLHJ-12-RR

 #

 address-family ipv4 unicast

  reflector cluster-id 100.*.240.34

  peer DLHJ-12-RR enable

  peer DLHJ-12-RR reflect-client

  peer ESN-RR enable

  peer SSN-RR enable

 #

 address-family vpnv4

  reflector cluster-id 100.*.240.34

  undo policy vpn-target

  peer DLHJ-12-RR enable

  peer DLHJ-12-RR reflect-client

  peer ESN-RR enable

  peer SSN-RR enable

#


C.总部侧配置查看如下:

interface LoopBack0

 ip address 100.*.241.95 255.255.255.255

#

ip vpn-instance SD_ZhengFu_SheBao

 route-distinguisher 65175:712

 vpn-target 65175:712 import-extcommunity

 vpn-target 65175:712 export-extcommunity

#

bgp 65175

 non-stop-routing

 peer 100.*.240.34 as-number 65175

 peer 100.*.240.34 connect-interface LoopBack0

 #

 address-family ipv4 unicast

  import-route direct

  import-route static

  peer 100.*.240.34 enable

 #

 address-family vpnv4

  undo policy vpn-target

  peer 100.*.240.34 enable

 #

 ip vpn-instance SD_ZhengFu_SheBao

  #

  address-family ipv4 unicast

   import-route direct

   import-route static

#


(3)查看分支侧设备和总部侧设备的BGP邻居情况:

A.异常分支和反射器的BGP邻居查看正常:

  ===============display bgp peer ipv4=============== 

 BGP local router ID: 100.*.241.108

Local AS number: 65175

Total number of peers: 1                 Peers in established state: 1

  * - Dynamically created peer

  Peer                    AS  MsgRcvd  MsgSent OutQ PrefRcv Up/Down  State

  100.*.240.34        65175      765       14    0    1632 00:06:15 Established

B.总部侧设备和反射器的BGP邻居情况也正常:

  ===============display bgp peer ipv4=============== 

 BGP local router ID: 100.*.241.108

Local AS number: 65175

Total number of peers: 1                 Peers in established state: 1

  * - Dynamically created peer

  Peer                    AS  MsgRcvd  MsgSent OutQ PrefRcv Up/Down  State

  100.*.240.34        65175    54200    13397    0    1632 0185h09m Established


       但是仔细看异常分支侧设备和总部侧设备的BGP local router ID发现,异常分支设备和总部设备的BGP local router ID都是100.*.241.108。但是看总部设备配置中并未指定BGP的Router ID,后来让现场将总部侧设备强行指定了一个和异常分支设备不一样的BGP 的Router ID后,两端私网路由发布正常。



解决方法

       现场将总部侧设备强行指定了一个和异常分支设备不一样的BGP 的Router ID后,两端私网路由发布正常。  


但是现场有个疑问:100.*.241.108并非总部设备上配置的任何地址信息。按照缺省的Router ID竞选规则,不应该会选该数值作为Router ID。

         缺省情况下router ID的竞选规则如下:

缺省情况下,未配置全局Router ID

如果未配置全局Router ID,则按照下面的规则进行选择:

1.     如果存在配置IP地址的Loopback接口,则选择Loopback接口地址中最大的作为Router ID

2.     如果所有Loopback接口都未配置IP地址,则从其他接口的IP地址中选择最大的作为Router ID(不考虑接口的up/down状态)


后来经了解,之前现场配置过BGP的Router ID刚好命中了设备的一条规则,规则内容如下:

·     如果是在BGP实例视图下配置的Router ID,则Router ID所在接口被删除时路由器不会重新选择Router ID,只有在BGP实例视图下使用undo router-id命令删除手工配置的Router ID后,路由器才会重新选择Router ID


该案例对您是否有帮助:

您的评价:1

若您有关于案例的建议,请反馈:

作者在2019-06-11对此案例进行了修订
0 个评论

该案例暂时没有网友评论

编辑评论

举报

×

侵犯我的权益 >
对根叔知了社区有害的内容 >
辱骂、歧视、挑衅等(不友善)

侵犯我的权益

×

泄露了我的隐私 >
侵犯了我企业的权益 >
抄袭了我的内容 >
诽谤我 >
辱骂、歧视、挑衅等(不友善)
骚扰我

泄露了我的隐私

×

您好,当您发现根叔知了上有泄漏您隐私的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您认为哪些内容泄露了您的隐私?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)

侵犯了我企业的权益

×

您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
  • 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
  • 3. 是哪家企业?(营业执照,单位登记证明等证件)
  • 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔知了社区有害的内容

×

垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载 >
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票

不规范转载

×

举报说明

提出建议

    +

亲~登录后才可以操作哦!

确定

亲~检测到您登陆的账号未在http://hclhub.h3c.com进行注册

注册后可访问此模块

跳转hclhub

你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作