免费注册 登录
»»ZXR10常用维护和开局命令.pdf
收起/展开

ZXR10常用维护和开局命令

文档类型:pdf 上传时间:2020-06-03 文档页数:37页 文档大小:397.37 K 文档浏览:283次 文档下载:0次 所需积分:0 学币 文档评分:3.0星

ZXR10常用维护和开局命令内容摘要: 日常维护常用查询命令查看端口状态,主要观察内容为端口速率、双工状态,120 秒内出入方向的流量,端口是否有 crc 校验错误。ZXR10#show interface gei_2/1gei_2/1 is down, line protocol is downduplex fullHybrid Attribute is FiberThe port is photoelectricVlan mode is access, pvid 1Description is noneMTU 1500 bytes BW 1000000000 KbitsSyslog send disableLast clearing of "show interface" counters never120 seconds input ZXR10_Ate124458903 Bps,16790 pps120 seconds output ZXR10_Ate333168956 Bps,26984 ppsInterface peak ZXR10_Ate : input201198013Bps, output386718260 BpsInterface utilization: input15%,output36%Input:Packets : 338Bytes: 41572Unicasts : 0Multicasts: 328Broadcasts: 10Undersize: 0Oversize : 0CRC-ERROR : 0Dropped : 0FZXR10_Agments : 0Jabber:0MacRxErr : 0Output:Packets : 1017Bytes: 125470Unicasts : 0Multicasts: 1017Broadcasts: 0Collision: 0LateCollision: 0Total:64B: 2065-127B : 975128-255B : 360256-511B : 0512-1023B : 01024-1518B: 0查看所有接口的 ip 配置和 up/down 情况ZXR10#show ip interface brief查看系统告警信息ZXR10#show logging alarmAn alarm 18439 level 5 occurred at 10:44:51 09/09/2005 UTC sent by MEC 1 %TCP: tcp rcvbad checksumdescription:An alarm 18439 level 5 occurred at 12:11:12 09/09/2005 UTC sent by MEC 1 %TCP: tcp rcvbad checksumdescription:查看历史操作命令记录ZXR10#show logfile查看系统版本信息和设备启动时长ZXR10#show versionZXR10 Router Operating System Software, ZTE CorporationZXR10 ROS Version V4.6.02ZXR10_T64G Software, Version V2.6.02, RELEASE SOFTWARECopyright (c) 2000-2005 by ZTE CorporationCompiled Dec 21 2005, 17:39:55System image files are flash:System uptime is 0 days, 0 hours, 1 minutes[MPU]Main processor: PowerPC MPC8241 Processor with 256M bytes of memory8K bytes of non-volatile configuration memory32M bytes of processor board System flash (Read/Write)ROM: System Bootstrap, Version: V1.2 ,RELEASE SOFTWAREHardware Version: V1.0, CPLD Version: V1.1System serial: 1264查看当前 CPU 利用率ZXR10#show processorM: Master processorS: Slave processorPeak CPU: CPU peak utility measured in 2 minutesPhyMem: Physical memory (megabyte)PanelCPU(5s) CPU(30s) CPU(2m) Peak CPU PhyMem Buffer MemoryMP(S)15%5%6%18%5120%36.426%MP(M)215%22%13%27%5120%49.608%NP(M) 28%8%7%10%1280%64.930%NP(M) 46%6%6%7%1280%65.333%查看路由转发表(ip 包实际转发依赖这张表的内容)ZXR10#show ip routeIPv4 Routing Table:DestMaskGwInterfaceOwner pri metric0.0.0.00.0.0.0192.168.0.254 vlan100static10192.168.0.252 255.255.255.252 192.168.0.253 vlan100direct0 0192.168.0.253 255.255.255.255 192.168.0.253 vlan100address 0 0192.168.1.0192.168.1.1255.255.255.252255.255.255.255192.168.1.1192.168.1.1vlan201vlan201directaddress0000查看协议路由表(所有协议得到的路由都可在这个表里查到,路由前面有 > 的为最优路由将被加入路由转发表)ZXR10#show ip protocol routing查看各类协议路由的数量ZXR10#show ip protocol routing summary查看所有配置信息ZXR10#show running-config查看从“ospf”字段开始的配置信息ZXR10#show running-config | begin ospf查看哪些用户在线操作ZXR10#whoG 系列交换机端口基本配置开启或关闭端口ZXR10(config)#interface fei_1/1ZXR10(config-if)#shutdownZXR10(config-if)#no shutdown//人为关闭端口//把关闭的端口打开设置端口自适应ZXR10(config)#interface fei_1/1ZXR10(config-if)#no negotiation autoZXR10(config-if)#speed 100ZXR10(config-if)#duplex fullZXR10(config-if)# negotiation auto//关闭端口自适应//设置端口速率为 100M//设置端口为全双工//恢复端口自适应G 系列一些常用的操作命令修改 enable 密码ZXR10(config)# enabl secretzte允许多用户操作ZXR10(config)#multi-user config将 telnet 的用户踢下线ZXR10#clear tcp vty XX//XX 为 telnet 用户登录到设备的进程号,可用 who 命令查到关闭/打开告警在终端上的显示ZXR10#no terminal monitorZXR10#terminal monitor关闭/打开告警功能zte(config)# no logging onzte(config)# logging on配置交换机的 Telnet 功能1、为交换机配一个可以登录的 ipZXR10(config)#vlan 2ZXR10(config-vlan)#exitZXR10(config)#interface vlan2ZXR10(config-if)#ip address 192.168.1.1 255.255.255.0ZXR10(config-if)#exit2、telnet 使用的用户名和密码,必配!ZXR10(config)#username zte password zte对 flash 中的版本文件进行备份ZXR10#copy flash: //img/zxr10.zar tftp: //192.168.1.2/zxr10.zar//使用 tftp 服务器ZXR10#copy flash: //img/zxr10.zar ftp: //192.168.1.2/zxr10.zar@zte:zte //使用 ftp 服务器将版本文件恢复到 flash 中ZXR10#copy tftp: //192.168.1.2/zxr10.zar flash: //img/zxr10.zar//使用 tftp 服务器ZXR10#copy ftp: //192.168.1.2/zxr10.zar@zte:zte flash: //img/zxr10.zar //使用 ftp 服务器39/32 交换机端口限速•以下配置以实现 3928 的 3 号端口入向限速 10M,出向限速 5M 为例。入方向限速:1.定义流流定义借助 ACL 实现,一般使用扩展 ACL。ZXR10(config)#acl extend number 103//定义 ACL,建议一个端口定义一个 ACL,ACL 号为端口号+100,即 3 号端口为 103,方便记忆管理ZXR10(config-ext-acl)# rule 1 permit ip any any2.SrTCM 双桶算法流限速配置ZXR10(config)#traffic-limit in 103 rule-id 1 cir 5000 cbs 500000 ebs 500000说明:103 为 2.1.1 步骤定义的 acl 的编号,rule-id 1 对应流 permit ip any any,cir 参数值为预限速值除以 2(与双桶算法相关),建议 cbs 和 ebs 取最大值 500000。3.TrTCM 单桶算法流限速配置ZXR10(config)#traffic-limit in 101 rule-id 1 cir 10000 cbs 500000 pir 11000 pbs 500000说明:103 为 2.1.1 步骤定义的 acl 的编号,rule-id 1 对应流 permit ip any any,cir 参数值为预限速值,建议 pir 参数值为 cir 值的 1.1 倍,cbs 和 pbs 取最大值 500000。2 和 3 选择其中一种限速即可4.将 ACL 应用于端口ZXR10(config)#interface fei_1/3ZXR10(config-if)#ip access-group 103 in备注:39 系列路由器/交换机入向限速采用流量监管,基于全局流限速实现,所以在实现端口限速时要求每端口定义一个 ACL,如果将一条 ACL 应用于多个端口,多个端口的流量之和为 traffic-limit 中定义的速率值,多个端口之间相互影响。出方向限速:ZXR10(config)#interface fei_1/3ZXR10(config-if)#traffic-shape 5200 4095说明:•••••5200 为预限速值。4095 为突发数据(burst size)大小。预限速值的粒度为 650kbps,预限速值建议设为 650 的整数倍。突发大小粒度为 4kbytes,建议恒为最大值 4095。限速 650Kbps 的话(最小粒度),突发要设置为 80。39/32 交换机端口绑定方法一:把 MAC 0002.3f67.ad98 和交换机 1 口及 IP 地址( 192.168.1.3 )绑定。1:ZXR10(config)#mac add permanent 0002.3f67.ad98 ethernet fei_1/x//端口 1 和 MAC 永久绑定//2:ZXR10(config)# mac learning ethernet fei_1/x disable//把端口 1 的 MAC 学习功能关闭//3:ZXR10(config)#interface fei_1/x//进入到 1 端口模式下//4:ZXR10(config)#unknow-source-discard enable//开启未知源丢弃功能//5:ZXR10(config)#int vlan 100//进入 VLAN 模式下//6:ZXR10(config-if)#set arp permanent 192.168.1.3 0002.3f67.ad98//IP 和 MAC 对应起来//7:ZXR10(config-if)#arp protect interface limit-num 1//如果这个 VLAN 有 100 个电脑,那么就把 1 改为 100//方法二:在端口下同时绑定 ip 地址和 mac 地址int fei_1/1no security-accesssecurty-access 0dec.f60e.3c11 129.33.236.19 [vlanid]unknow-source-discard enableG 系列交换机 Vlan 操作创建/删除 vlanZXR10(config)#vlan 2ZXR10(config)#no vlan 2批量创建/删除 vlanZXR10#vlan databaseZXR10(vlan)#vlan 2-200,210ZXR10(vlan)#no vlan 20-30//创建了 vlan2-200 以及 210//删除了 vlan20-30创建 vlan 的 ip 接口并配置 ip 地址ZXR10(config)#interface vlan2ZXR10(config-if)#ip address 192.168.1.1 255.255.255.0将多个端口加入 vlanZXR10(config)#vlan 2ZXR10(config-vlan)#switchportpvid fei_1/1-10,fei_1/14将某个端口加入 vlanZXR10(config)#interface fei_1/24ZXR10(config-if)#switchport access vlan 2设置端口的 vlan 透传ZXR10(config)#interface fei_1/24ZXR10(config-if)#switchport mode trunkZXR10(config-if)#switchport trunk vlan 2-10,14Vlan 业务配置——QinQrouter拨号用户内层vlan:10外层vlan:20BAS专线用户一vlan:30透传专线用户二:内层vlan50Gei_1/1外层vlan60T160GGei_4/1网管vlan:40透传12826s2用户13用户2T160G(无 NP 扣板)配置:gei_1/1:ZXR10(config)#interface gei_1/1ZXR10(config-if)#switchport mode hybridZXR10(config-if)#switchport hybrid vlan 20,30,40,60 tagZXR10(config-if)#switchport hybrid vlan 100 untag//100 为 helpvlan,全局只规划 1个即可,用来帮助透传的 vlan30、vlan40 在交换机中转发ZXR10(config-if)#switchport qinq uplinkZXR10(config-if)#exitZXR10(config)#interface vlan 40ZXR10(config-if)#ip add 10.10.10.2 255.255.255.0ZXR10(config-if)#exitgei_4/1:ZXR10(config)#interface gei_4/1ZXR10(config-if)#switchport mode hybridZXR10(config-if)#switchport hybrid vlan 30,40 tagZXR10(config-if)#switchport hybrid vlan 20,60,100 untagZXR10(config-if)#switchport hybrid native vlan 20ZXR10(config-if)#switchport qinq customerZXR10(config)#vlan qinq session-no 1 customer-port fei_4/1 uplink-port gei_1/1 in-vlan 30 untaghelper-vlan 100ZXR10(config)#vlan qinq session-no 2 customer-port fei_4/1 uplink-port gei_1/1 in-vlan 40 untaghelper-vlan 100ZXR10(config)#vlan qinq session-no 3 customer-port fei_4/1 uplink-port gei_1/1 in-vlan 50 ovlan60•1.2.3.需要加外层标签的业务配置时应注意以下三点:Uplink 口设为 hybrid tagCustomer 口设为 hybrid untagCustomer 口的 native vlan =业务量最大的业务的外层标签•1.2.3.如果还有其他业务需要加外层标签的,则:Uplink 口设为 hybrid tagCustomer 口设为 hybrid untag配置 session•不需要加外层标签的业务配置时应注意以下四点:1.2.3.4.Uplink 口设为 hybrid tagCustomer 口设为 hybrid tag在 customer 和 uplink 口都配置一个 hybrid untag vlan 作为 helper vlan配置 session 启用 helper vlanVlan 业务配置——Supervlan大量地址需求的VLAN C用户按照传统方式路 由 器 / 交 换 机 为用户分配单独的网段/网关;少量地址需求的VLAN A和VLAN B用户gei_1/2汇聚交换VLAN A网吧等少量地址需求用户FE/GE以太接口VLAN BVLAN C网吧等少量地址需求用户机构等大量地址需求用户vlan 终结在路由器上,E 系列路由器配置:Ü 创建 supervlan 接口ZXR10 (config)#interface supervlan1000//此处创建编号为 1000 的 supervlan,高端路由器 C58 及以后版本支持 1024 个,之前版本支持 64 个。ZXR10 (config-int)#inter-subvlan-routing disable//禁止 subvlan 用户的互通ZXR10 (config-int)#ip-pool-filter enable//使能 ip 地址绑定功能,该配置与 ArP 广播开关配合使用。建议开启 IP 绑定功能,减少 ARP 广播包。ZXR10 (config-int)#arp-broadcast disable//关闭 ARP 广播。只有在使能 IP 绑定后,才能关闭 arp 广播,否则会出现业务不通的情况。ZXR10 (config-int)#ip address 192.168.1.1 255.255.255.0//配置 supervlan 接口地址Ü Subvlan 接口的配置:ZXR10 (config)#interface gei_1/2.100ZXR10 (config-if)# encapsulation dot1Q 100ZXR10 (config-if)# supervlan 1000ZXR10 (config-if)#ip supervlan pool 192.168.1.5 192.168.1.6//做地址绑定,要求从 Vlan100 接入的用户只能使用 IP 地址 192.168.1.5 和 192.168.1.6,如果只允许使用 1 个地址,将起始结束地址配置相同。Ü 汇聚层交换机的配置将 vlan100 向 E 系列路由器透传配置略链路聚合的基本配置ZTE1smartgroup1ZTE1(config)# interface smartgroup1ZTE1(config-if)# exitZTE1(config)# interface fei_1/23ZTE1(config-if)# smartgroup 1 mode activeZTE1(config)# interface fei_1/24ZTE1(config-if)# smartgroup 1 mode activeZTE1(config)# interface smartgroup1ZTE1(config-if)# switchport mode trunkZTE1(config-if)# switchport trunk vlan 100ZTE2(config)# interface smartgroup10ZTE2(config-if)# exitZTE2(config)# interface fei_1/1ZTE2(config-if)# smartgroup 10 mode activeZTE2(config)# interface fei_1/2ZTE2//此处为动态聚合,若为静态则 mode 后选 onZTE2(config-if)# smartgroup 10 mode activeZTE2(config)# interface smartgroup10ZTE2(config-if)# switchport mode trunkZTE2(config-if)# switchport trunk vlan 100查看聚合组状态 :ZTE2(config)#show lacp 10 internal聚合为 0x35)时,表示端口聚合成功。//当 Agg State 为 selected,Port State 为 0x3d(静态OSPF 常用配置和查询命令ZXR10(config)# router ospf 1------ 配置 OSPF 进程ZXR10(config-router)# router-id x.x.x.x------指定设备的 router-idZXR10(config-router)# network x.x.x.x y.y.y.y area z------ 添加 OSPF 接口ZXR10(config-router)# redistribute connect------ 重分发其他路由ZXR10(config-router)# area 1 nssa------- 配置区域类型ZXR10(config-router)# area 1 range x.x.x.x y.y.y.y advertise------区域路由汇总ZXR10(config-router)# summary-address x.x.x.x y.y.y.y------重分发路由汇总ZXR10(config-router)# maximum-paths x------负载均衡路径数ZXR10(config-router)# notify default route always------ 向同区域邻居分发缺省路由ZXR10(config-router)# exitZXR10(config)# interface fei_1/1ZXR10(config-if)# ip ospf cost x------ 指定接口 cost 值ZXR10(config-if)# ip ospf priority x------ 指定接口优先级ZXR10(config-if)# ip ospf authentication message-digest------ 配置接口 MD5 认证ZXR10(config-if)# ip ospf message-digest-key 1 md5 xx------ 配置 MD5 的密文ZXR10# clear ip ospf process xx------ 重启 OSPF 进程ZXR10# show run | begin router ospf------ 查看 OSPF 的配置信息ZXR10# show ip ospf neighbor------ 查看 OSPF 的邻居信息,邻居状态为 full 表示正常ZXR10# show ip ospf interface ------查看运行 OSPF 的接口,此处可查看到接口的 cost 值ZXR10# show ip ospf database------ 查看 OSPF 的 LSDBZXR10# show ip ospf request-list------ 查看路由器请求的所有 LSAZXR10# show ip ospf retransmission-list------ 查看路由器重传的所有 LSA单区域的 ospf 配置示例组网说明:网络拓扑如图所示,2 台 GER(可用 GAR 代替)和 2 台 3928(或 G 系列交换机)均属于 area 0,2 台 pc 在 ospf 域外。要求:1、全网互通,且 PC-1 和 PC-2 能相互访问。2、数据流方向如图所示,比如:GER-1 要访问 PC-2,必须经过 GER-2 和 3928-2,3928-1 要访问 10.1.1.0/30,必须经过 GER2。参考配置:GER-1GER-1(config)#interface loopback1GER-1(config-if)#ip address 1.1.1.1 255.255.255.255GER-1(config-if)#exitGER-1(config)#interface fei_1/1GER-1(config-if)#ip address 10.1.1.1 255.255.255.252GER-1(config-if)#exitGER-1(config)#interface fei_1/2GER-1(config-if)#ip address 10.1.2.1 255.255.255.252GER-1(config-if)#exitGER-1(config)#interface fei_1/3GER-1(config-if)#ip address 10.1.3.1 255.255.255.252GER-1(config-if)#exitGER-1(config-if)#router ospf 1GER-1 (config-router)#network 10.1.1.0 0.0.0.3 area 0GER-1 (config-router)#network 10.1.2.0 0.0.0.3 area 0GER-1 (config-router)#network 10.1.3.0 0.0.0.3 area 0GER-1 (config-router)#network 1.1.1.1 0.0.0.0 area 0GER-1 (config-router)#exitGER-1(config)#interface fei_1/3GER-1(config-if)#ip ospf cost 10GER-1(config-if)#exit3928-13928-1 (config)#interface loopback13928-1 (config-if)#ip address 3.3.3.3 255.255.255.2553928-1(config)#vlan 103928-1 (config-vlan)# switchport pvid fei_1/13928-1 (config-vlan)#exit3928-1(config)#vlan 203928-1 (config-vlan)# switchport pvid fei_1/23928-1 (config-vlan)#exit3928-1(config)#vlan 503928-1 (config-vlan)# switchport pvid fei_1/33928-1 (config-vlan)#exit3928-1(config)#interface vlan 103928-1(config-if)#ip address 192.168.1.1 255.255.255.03928-1(config-if)#exit3928-1(config)#interface vlan 203928-1(config-if)#ip address 10.1.2.2 255.255.255.2523928-1(config-if)#exit3928-1(config)#interface vlan 503928-1(config-if)#ip address 10.1.5.2 255.255.255.03928-1(config-if)#exit3928-1 (config-if)#router ospf 13928-1 (config-router)#network 10.1.2.0 0.0.0.3 area 03928-1 (config-router)#network 10.1.5.0 0.0.0.3 area 03928-1 (config-router)#network 3.3.3.3 0.0.0.0 area 03928-1 (config-router)#redistribute connected3928-1 (config-router)#exit3928-1(config)#interface vlan 203928-1(config-if)#ip ospf cost 103928-1(config-if)#exit其余两台设备配置类似。特殊区域配置配置 OSPF 的 NSSA 区域ZXR10(config-router)#area1nssano-redistributiondefault-information-originatemetric-type ext-1no-summaryarea 1 nssa:把区域 1 设置为 nssa 区域no-summary:不将其他区域的 ospf 路由传递到本区域的其他路由器default-information-originate:向 nssa 区域的所有路由器下发缺省路由no-redistribution:若本路由器引入了外部路由不会生成 type7 的 lsa 传给 nssa 区域内路由器。metric-type ext-1:下发的缺省路由使用类型 1 的 metric 计算方式,即把 ospf 世界的 cost值加到路由的计算当中。BGP/MPLS VPN 配置实例(E 系列)网络结构网络拓扑组网配置说明如图所示,本实例中有 2 台 PE 设备和 1 台 P 设备。l PE 和 P 设备为 ZXR10 T64E 路由器l PE 和 P 设备之间互连链路为千兆lMP-BGP 用于交换用户路由: P 设备作为路由反射器,2 台 PE 设备作为路由反射器客户端版本说明:T64E 运行 V2.6.02.c1 版本。配置说明下面列出每台 P 设备和 PE 设备部分配置,并对相关命令进行描述和说明,便于阅读和理解。PE1(T64E)ip vrf MYjiaoyurd 4809:652102012route-target import 4809:652102012route-target export 4809:652102012ip vrf MYgongshangrd 4809:652102013route-target import 4809:652102013route-target export 4809:652102013(定义创建 VRF。VRF 就是 VPN 路由转发表的缩写,名称可以根据用户特征来制定,便于识别和维护;RD 是的定义本机是唯一的,全网也强烈建议唯一定义,避免某种情况下冲突; IMPORT RT 决定了你导入什么样的路由,而 EXPORT RT 为你通告出去的路由打上标记,方便其它 PE 导入。注意 RT 是可以配置多个的,用于实现复杂组网)interface loopback2ip address 61.139.36.35 255.255.255.255(创建 loopback 地址,在这里这个 loopback 地址以后就是本 PE 的标识符了,之后很多协议要利用这个地址作为 router-id)interface gei_5/1ip ospf mtu-ignorephysical-layer mode npctip address 61.157.141.106 255.255.255.252description TO-P1no negotiation autompls ip(和 P1 互连的接口配置,需要使用 MPLS IP 命令在接口上启用 MPLS。ip ospf mtu-ignore这个参数是可选的参数,因为 T64E 的以太口 MTU 是 1500,不能够修改,对端设备如果是其它厂家的设备并且 MTU 设置了不一样的值,并且不方便修改成和 T64E 一样,则 OSPF的邻居状态会无法正常建立,我们配置了这个参数后可以让 OSPF 忽略双方不匹配的 MTU值,建立 OSPF 邻居)interface gei_5/2physical-layer mode npctdescription TO Switchnegotiation auto(连接二层交换机接入用户,由于存在多个用户 vlan,所以下面会启用子接口作为每个 vlan用户的接入网关,所以主端口上不需要多余的配置。)interface gei_5/2.2(创建子接口 2,子接口和封装的 vlan 设置成一样便于记忆和维护)encapsulation dot1Q 2(封装 802.1Q vlan 2,用于识别交换机上送上来的 vlan2 的数据)ip vrf forwarding MYjiaoyu(绑定定义的 VRF,将此接口定义为此接入 VPN 用户的接口)ip address 10.19.1.1 255.255.255.0(VPN 用户的网关)description MYjiaoyu(接口描述信息,便于以后维护识别)interface gei_5/2.25(创建另一个子接口 25)encapsulation dot1Q 25(封装 802.1Q vlan 25,用于识别交换机上送上来的 vlan25 的数据)ip vrf forwarding MYgongshang(绑定定义的 VRF,将此接口定义为此接入 VPN 用户的接口)ip address 172.27.183.254 255.255.255.0(VPN 用户的网关)description MYgongshang(接口描述信息,便于以后维护识别)router ospf 100network 61.157.141.104 0.0.0.3 area 0.0.0.0(配置 OSPF 协议作为全网的 IGP 协议)router bgp 65190(配置 bgp 进程,自治域系统号是 65190)neighbor 61.139.36.31 remote-as 65190(指定 IBGP 的邻居,本例中,31 是路由反射器 P1的地址)no neighbor 61.139.36.31 activate(由于是用于 VPN 路由传播,所以这里不启用 IPV4 的邻居,如果没有 IPV4 的 BGP 路由设计需求,则不用交互 IPV4 路由)neighbor 61.139.36.31 update-source loopback2(指定路由更新,源地址为自己的 loopback2地址)(这里只是必要的全局 IPV4 的邻居定义,在后面还必须专门指定 VPNV4 的邻居)address-family ipv4 vrf MYjiaoyuredistribute connectedredistribute static$(对于每个用户(VRF),配置这个用户的路由策略,只有配置了这个策略,本地的路由才能通过 BGP 通告给对端 PE。在这里定义了将这个用户在本机的直连、静态路由重分布到这个 VRF 中,这样 BGP 才能将这些直连、静态路由通告给其它 PE 路由器。)address-family ipv4 vrf MYgongshangdefault-information originateredistribute connectedredistribute static(对于后面定义的某条静态缺省路由,使用 redistribute static 命令是不能够通告出去的的,必须使用 default-information originate 命令来将本地的缺省路由通告给其它 PE)$address-family vpnv4neighbor 61.139.36.31 activate(vpnv4 下的邻居的指定,只有配置了这个邻居,BGP 才能交互 VPN 路由。)$mpls ip(全局启用 mpls ,缺省信令协议是 ldp 协议。只有这里全局启用后,接口下的 mplsip 才生效)mpls ldp router-id loopback2 force(强制使用 loopback2 作为 ldp 协议中 router-id)mpls ldp access-fec for 10(需要知道的是,MPLS VPN 中所有 PE、P 路由器只需要 PE 路由器的 loopback 地址标签,没有必要为所有路由产生标签,所以这里定义了只为 access list定义的地址生成标签,access list 在后面定义)ip route vrf MYjiaoyu 10.39.0.0 255.255.0.0 10.19.20.18ip route vrf MYjiaoyu 10.23.1.0 255.255.255.0 10.19.1.114ip route vrf MYjiaoyu 10.23.2.0 255.255.255.0 10.19.1.112ip route vrf MYjiaoyu 10.23.3.0 255.255.255.0 10.19.1.113ip route vrf MYjiaoyu 10.23.5.0 255.255.255.0 10.19.1.111ip route vrf MYjiaoyu 10.38.0.0 255.255.0.0 10.19.1.115ip route vrf MYgongshang 0.0.0.0 0.0.0.0 172.27.183.253(PE 到 CE 的用户的静态路由,注意最后一条是某个 VPN 用户的缺省路由的配置)ip access-list standard 10permit 61.139.36.36 0.0.0.0permit 61.139.36.35 0.0.0.0(定义所有 PE 的 loopback 地址列表,当 mpls ldp access-fec for 10 引用它的时候,只为这些地址产生 mpls 标签了。)PE2(T64E)PE2 的配置和 PE1 类似,命令解释可以参考 PE1ip vrf MYjiaoyurd 4809:652102012route-target import 4809:652102012route-target export 4809:652102012ip vrf MYgongshangrd 4809:652102013route-target import 4809:652102013route-target export 4809:652102013interface loopback2ip address 61.139.36.36 255.255.255.255interface gei_5/1ip ospf mtu-ignorephysical-layer mode npctip address 61.157.141.110 255.255.255.252description TO-P1no negotiation autompls ipinterface gei_5/2.5encapsulation dot1Q 5ip vrf forwarding MYjiaoyuip address 10.98.6.2 255.255.255.248description MYjiaoyuinterface gei_5/2.6encapsulation dot1Q 6ip vrf forwarding MYgongshangip address 172.27.211.254 255.255.255.0description MYgongshangip access-group 113 inrouter ospf 100network 61.157.141.108 0.0.0.3 area 0.0.0.0router bgp 65190no synchronizationneighbor 61.139.36.31 remote-as 65190no neighbor 61.139.36.31 activateneighbor 61.139.36.31 update-source loopback2address-family ipv4 vrf MYjiaoyudefault-information originateredistribute connectedredistribute static$address-family ipv4 vrf MYgongshangredistribute connectedredistribute static$address-family vpnv4neighbor 61.139.36.31 activate$!mpls ipmpls ldp router-id loopback2 forcempls ldp access-fec for 10!ip route vrf MYjiaoyu 0.0.0.0 0.0.0.0 10.98.6.1!ip access-list standard 10permit 61.139.36.35 0.0.0.0permit 61.139.36.36 0.0.0.0P1(T64E)P 的配置和 PE 不太一样,下面对不一样的配置进行描述interface loopback2ip address 61.139.36.31 255.255.255.255interface gei_5/1ip ospf mtu-ignorephysical-layer mode npctip address 61.157.141.105 255.255.255.252description TO-PE1no negotiation autompls ipinterface gei_5/2ip ospf mtu-ignorephysical-layer mode npctip address 61.157.141.109 255.255.255.252description TO-PE2no negotiation autompls iprouter ospf 100network 61.157.141.108 0.0.0.3 area 0.0.0.0network 61.157.141.106 0.0.0.3 area 0.0.0.0router bgp 65190no bgp default route-target filter(作为路由反射器,此命令一定要加上,否则路由无法反射给 PE)no synchronizationneighbor 61.139.36.35 remote-as 65190no neighbor 61.139.36.35 activateneighbor 61.139.36.35 update-source loopback2neighbor 61.139.36.35 route-reflector-client(可以不配置)neighbor 61.139.36.36 remote-as 65190no neighbor 61.139.36.36 activateneighbor 61.139.36.36 update-source loopback2neighbor 61.139.36.36 route-reflector-client(可以不配置)address-family vpnv4neighbor 61.139.36.35 activateneighbor 61.139.36.35 route-reflector-client(指定 PE1 为路由反射器客户端)neighbor 61.139.36.36 activateneighbor 61.139.36.36 route-reflector-client(指定 PE2 为路由反射器客户端)$mpls ipmpls ldp router-id loopback2 forcempls ldp access-fec for 10(P 设备也一样,只需要 PE 设备的 loopback 地址的标签,用于转发)ip access-list standard 10permit 61.139.36.35 0.0.0.0permit 61.139.36.36 0.0.0.0常用维护诊断操作MPLS LDP使用 show mpls forwarding-table 查看当前的 MPLS 标签转发表。这里显示的 MPLS 标签表,是 MPLSVPN 的外层标签表,用于 MPLS 包的转发。需要了解的是,对于 MPLS VPN,PE 和 P 设备不需要对所有路由都生成 MPLS 标签,全网只需要对 PE 的 loopback 地址生成标签,因为 MPLS 包的转发只需要知道目的 PE 设备的 loopback 地址,再查询对应的标签进行转发。所以在启用 mpls ldp 的时候,可以通过定义 acl 来生成维护指定 PE loopback地址的标签。PE1# show mpls forwarding-tableMpls Ldp Forwarding-table:InLabel OutLabel DestPfxlen InterfaceNextHop5410148861.139.36.3632gei_5/161.157.141.105如上显示,PE1 只需要知道 PE2 的 loopback 地址标签===================================PE2#show mpls forwarding-tableMpls Ldp Forwarding-table:InLabel OutLabel DestPfxlen InterfaceNextHop3710152061.139.36.3532gei_5/161.157.141.109如上显示,PE2 只需要知道 PE1 的 loopback 地址标签===================================P1# show mpls forwarding-tableMpls Ldp Forwarding-table:InLabel OutLabel DestPfxlen InterfaceNextHop101488Pop tag61.139.36.3532gei_5/161.157.141.106101520Pop tag61.139.36.3632gei_5/261.157.141.110如上显示,P 设备负责转发 MPLS 包,所以需要 PE1 和 PE2 的 loopback 地址标签===================================使用 show mpls ldp neighbor命令显式已经建立的 ldp 邻接关系是否正常建立,一般如果MPLS 标签表正常,则 LDP 邻居关系一般不会有问题。如果 MPLS 标签未能正常生成,则可以查看 LDP 邻居状态是否正常。PE1# show mpls ldp neighborPeer LDP Ident: 61.139.36.1:0; Local LDP Ident 61.139.36.35:0TCP connection: 61.139.36.1.646 - 61.139.36.35.1156state: Oper; Msgs sent/rcvd: 2758/2751; DownstreamUp Time: 07:37:00LDP discovery sources:gei_5/1; Src IP addr: 61.157.141.105Addresses bound to peer LDP Ident:61.139.34.1 61.139.36.1 61.157.141.5 61.139.36.3161.157.141.97 61.157.141.101 61.157.141.105 61.157.141.10961.157.141.113 61.157.141.117 61.157.141.121 61.157.141.125PE2# show mpls ldp neighborPeer LDP Ident: 61.139.36.1:0; Local LDP Ident 61.139.36.36:0TCP connection: 61.139.36.1.646 - 61.139.36.36.1051state: Oper; Msgs sent/rcvd: 190669/190439; DownstreamUp Time: 22d1hLDP discovery sources:gei_5/1; Src IP addr: 61.157.141.109Addresses bound to peer LDP Ident:61.139.34.1 61.139.36.1 61.157.141.113 61.157.141.561.139.36.31 61.157.141.97 61.157.141.101 61.157.141.10561.157.141.109 61.157.141.117 61.157.141.125 61.157.141.121BGPVPN 用户路由通过 MP-BGP 来承载。要确认 BGP 运行正常,最直接的就是确认邻居状态是否正常。记住正常的 BGP 状态必须仕 Established。Show ip BGP neighbor 里面可以查看收发的路由信息等 BGP 详细信息,对于 VPN 业务,只需要看 For address family: VPNv4Unicast 即可查看 BGP 邻居状态,可以使用 show ip bgp summary 简要的看看状态:PE1#show ip bgp summaryNeighborVer AsMsgRcvd MsgSend Up/Down(s)State61.139.36.31 465190 151901690253w3d19hEstablished也可以使用 show ip bgp neighbor 仔细查看邻居状态:PE1# show ip bgp neighborBGP neighbor is 61.139.36.31, remote AS 65190, internal linkBGP version 4, remote router ID 61.139.36.1BGP state = Established, up for 3w3dLast read update 00:00:28, hold time is 90 seconds, keepalive interval is 30 secondsNeighbor capabilities:Route refresh: advertised and receivedAddress family IPv4 Unicast: receivedAddress family VPNv4 Unicast: advertised and receivedAll received 151903 messages132227 updates, 0 errs1 opens, 0 errs19675 keepalives0 vpnv4 refreshs, 0 ipv4 refreshs, 0 errs0 notifications, 0 other errsAfter last established received 151901 messages132227 updates, 0 errs0 opens, 0 errs19674 keepalives0 vpnv4 refreshs, 0 ipv4 refreshs, 0 errs0 notifications, 0 other errsAll sent 69027 messages50 updates, 1 opens, 68974 keepalives2 vpnv4 refreshs, 0 ipv4 refreshs, 0 notificationsAfter last established sent 69025 messages50 updates, 0 opens, 68973 keepalives2 vpnv4 refreshs, 0 ipv4 refreshs, 0 notificationsFor address family: IPv4 Unicast no activateAll received nlri 0, unnlri 0, 0 accepted prefixesAll sent nlri 0, unnlri 0, 0 advertised prefixesmaximum limit 4294967295Minimum time between advertisement runs is 30 secondsMinimum time between origin runs is 15 secondsFor address family: VPNv4 UnicastAll received nlri 102839, unnlri 87626, 197 accepted prefixesAll sent nlri 100, unnlri 14, 86 advertised prefixesmaximum limit 4294967295Connections established 1Local host: 61.139.36.35, Local port: 179Foreign host: 61.139.36.31, Foreign port: 4402如果 BGP 的邻居状态不是 Established,需要检查双方的配置是否有正确。另外注意检查BGP 邻居双方是否 TCP 可达,因为 BGP 是基于 TCP 179 端口的协议,请确保双方 IP 层互通的情况下,TCP179 端口没有被封掉。VPN在 LDP、BGP 状态正常的情况下,要确定 VPN 是否正常,首先就要确定用户的路由是否正确。要查看某 VPN 用户路由,使用 show ip route vrf 命令,如 PE1 上查看路由:PE1#sh ip route vrf MYgongshangIPv4 Routing Table:DestMaskGwInterfaceOwnerpri metric0.0.0.00.0.0.0172.27.183.253 gei_5/2.25 static 1 0172.27.183.0255.255.255.0 172.27.183.254 gei_5/2.25 direct 0 0172.27.183.254 255.255.255.255 172.27.183.254 gei_5/2.25 address 0 0172.27.211.0255.255.255.061.139.36.36gei_5/1bgp200 0172.27.211.254 255.255.255.255 61.139.36.36gei_5/1bgp200 0前三条是本地路由,类型分别是静态、直连、地址。后两条是 BGP 类型,说明是从其它PE 学习过来的,GW 一栏说明这两条路由是从 61.139.36.36(就是 PE2)学习过来的。=====================================PE2 上对应 VPN 路由:PE2#sh ip route vrf MYgongshangIPv4 Routing Table:DestMaskGwInterfaceOwnerpri metric0.0.0.00.0.0.061.139.36.35gei_5/1bgp200 0172.27.183.0255.255.255.0 61.139.36.35gei_5/1bgp200 0172.27.183.254 255.255.255.255 61.139.36.35gei_5/1bgp200 0172.27.211.0255.255.255.0172.27.211.254 gei_5/2.6direct 0 0172.27.211.254 255.255.255.255 172.27.211.254 gei_5/2.6address 0 0后两条是本地路由,类型分别是直连、地址,这两条路由在上面可以看到 PE1 已经通过 BGP学习到了。前三条是 BGP 类型,说明是从其它 PE 学习过来的,GW 一栏说明这两条路由是从 61.139.36.35(就是 PE1)学习过来的。对比这两个 PE 的同一个 VPN 路由,我们可以看出,两台 PE 互相学习到了路由。其中从对端学习到的路由类型是 BGP,网关 GW 是对方 PE 的 loopback 地址。本例中本地路由都是直连或者静态的,如果配置了 PE 和 CE 的动态路由,这里还可以看到本地的动态路由协议,如 OSPF 等。但是记住对方收到后仍然是 BGP 路由。PE 上路由正确,CE 上的路由的正确指向也不要忽视了。接下来我们可以在 CE 端互相测试网络是否正常,这是最有效的测试方法。但如果条件不具备无法操作用户 CE 进行测试,也可以直接在 PE 上使用 ping vrf 命令来测试 VPN,记住要带上 vrf 参数。如在 MYgongshang VPN 中,在 PE1 上,Ping 一下 PE2 的接口地址(也就是用户的网关),则:PE1#ping vrf MYgongshang 172.27.211.254sending 5,100-byte ICMP echos to 172.27.211.254,timeout is 2 seconds.!!!!!Success rate is 100 percent(5/5),round-trip min/avg/max= 0/16/20 ms.这里的 ping 没有涉及到 CE 的地址,只能基本上说明 PE1 和 PE2 之间是通的。我们还需要确认 PE1 到 PE2 下用户 CE 是否可以 ping 通,可以在 PE2 上用 show arp 命令查看到底哪些用户 CE 在线,并使用 ping 命令确认用户可以 ping 通,便于测试:PE2#sh arp gei_5/2.6 查看 PE2 下这个用户还有哪些 CE 设备在线,通过 arp 可以看出直连的 CE。Arp protect interface is disabled . The count is 4.AddressAge(min)Hardware AddrInterface172.27.211.40000a1.b009.1e03gei_5/2.6172.27.211.3765078.4c70.3b93gei_5/2.6172.27.211.11800e0.4c6a.2471gei_5/2.6172.27.211.25400d0.d0c0.28c0gei_5/2.6可以看出有三个 CE 在线PE2#ping vrf MYgongshang 172.27.211.11sending 5,100-byte ICMP echos to 172.27.211.11,timeout is 2 seconds.!!!!!Success rate is 100 percent(5/5),round-trip min/avg/max= 0/12/20 ms.随便挑选一个 CE(172.27.211.11)可以 ping 通后,那么可以到 PE1 上 ping 这个 CE 了,应该可以 ping 通。PE1#ping vrf MYgongshang 172.27.211.11sending 5,100-byte ICMP echos to 172.27.211.11,timeout is 2 seconds.!!!!!Success rate is 100 percent(5/5),round-trip min/avg/max= 0/12/20 ms.反过来在 PE2 上也可以 ping 一下 PE1 上 CE 的地址。查看内外层标签必须要知道的是,L3 MPLS VPN 数据包在传输的时候,是有 2 层标签的:l 外层标签是 MPLS LDP 生成的,用于数据的转发,使用 show mpls forwarding 可以看到;l 内层标签是 MP-BGP 随机生成的,用于出口 PE 识别数据,判断向哪个 CE 端口转发用,使用 show ip protocol routing vrf 可以看到查看内层标签:PE1#show ip protocol routing vrf MYgongshangRoutes of vpn:status codes: *valid, >bestDestNextHopIntagOuttagRtPrfProtocol*> 0.0.0.0/0172.27.183.253 256notag1static*> 172.27.183.0/24172.27.183.254 255notag0connected*> 172.27.183.254/32 172.27.183.254 254notag0connected*> 172.27.211.0/2461.139.36.36207393200bgp-int*> 172.27.211.254/32 61.139.36.36208205200bgp-int就这个 VPN 举例而言,在 PE1 上,如果收到 CE 发送的目的是 172.27.211.1/24 网段的数据包,则首先打上内层标签 393。同时可以看到,下一跳是 61.139.36.36,这时候需要根据外层标签表来查找这个 61.139.36.36 地址(PE2 的 loopback 地址)的标签,也就是外层标签。查看外层标签:PE1# show mpls forwarding-tableMpls Ldp Forwarding-table:InLabel OutLabel DestPfxlen InterfaceNextHop5410148861.139.36.3632gei_5/161.157.141.105查到 61.139.36.36 对应的标签是 101488,那么打好内层标签 393 的数据包接着被打上101488,就形成一个完整的 MPLS 包从 gei_5/1 口上发到对端。开通 L3 VPN 步骤提示配置 MPLSMPLS 是 MPLS VPN 最基本的配置之一,要构建 MPLS 网络,PE 和 P 设备互连的端口要运行打开 mpls ip 参数,并且全局需要运行 mpls ip 命令。具体命令参考前面配置说明。MP-BGP这里说的 BGP 是 MP-BGP,它的使用是为了传递用户路由。在 PE 较少并且以后没有太多PE 规划的情况下,可以使用 PE 全网状 BGP 互连的结构。如果 PE 较多或者为了以后规划配置方便,可以使用路由反射器,减少 PE 之间的 BGP 连接。配置 RR 的时候,注意 no bgp default route-target filter 命令的必要性。具体配置命令参考前面配置说明。VPN 数据配置1. 首先要定义 vrf,根据规划定义好 vrf 名称、RD(全网唯一,避免重复)、RT。2. 确定用户接口,绑定定义好的 vrf,注意绑定好 VRF 以后再配置接口 IP 地址。3. 确定 PE 和 CE 的路由策略,一般简单的网络结构使用静态路由效率较高。如果用户有使用动态路由的需求,PE 和 CE 可以支持 OSPF/RIP/BGP 等协议。配置到这里,理论上已经可以收到对方路由了,但是本身的路由还没有通告给对方。4. 配置 BGP 中 address family ipv4 vrf 下的配置。这个配置是用其它路由协议来通告本地路由给对方 PE 的。其中使用 redistribute 命令可以将静态、直连、或者其它动态路由协议注入 BGP,由 BGP 通告给对方 PE。注意如果 PE-CE 配置了缺省静态路由,则使用 redistribute static 是无效的,必须使用 default-information originate 来通告给其它 PE。测试诊断诊断工作伴随在每一个步骤,一步一步的进行,便于最后的测试工作。l 配置 MPLS LDP 的时候就需要检查测试 MPLS 标签表l 配置 BGP 的时候需要检查 BGP 邻居关系l 配置完 VPN 数据后,先检查必要的路由信息l测试用户 VPN 建议使用 CE 来测试,如果条件实在不具备可以在 PE 上进行。测试中如果发现问题,可以将测试步骤逐渐细分,根据自己掌握的维护诊断命令逐步判断问题所在。配置维护注意事项ll在不同厂家设备对接的时候,需要注意端口的 MTU 问题,如果双方不能匹配,则注意E 系列接口上可以让 OSPF 忽略 MTU 参数,确保 OSPF 邻居建立PE 和 P 只需要 PE 设备的 loopback 地址的标签,路由器上有大量的 IGP 路由,没有必要为这些无关路由都维护一个没有意义的标签。使用 mpls ldp access-fec for 命令生成指定标签的时候注意,某些版本 acl 如果修改过后,mpls ip 需要重启才能对新的acl 生效。VPLS 配置实例(E 系列)网络结构网络拓扑组网配置说明如图所示,本实例中有 3 台 PE 设备和 1 台 P 设备。l PE 和 P 设备为 ZXR10 T64E 路由器l PE 和 P 设备之间互连链路为千兆版本说明:T64E 运行 V2.6.02.c1 版本。配置说明PE1(T64E)vfi GongShangJuvcid 100pwtype ethernet-vlanpeer 61.139.36.33peer 61.139.36.36(定义创建 VFI,名称自定义;VCID 对于每个 VPN 是唯一的,不同 PE 上同一个 VPN 的VCID 必须相同;pwtype 有两种值可以设置,ethernet 用于主接口模式,ethernet-vlan 用于子接口模式;peer 定义了对端 PE 的 loopback 地址,这个命令决定了 VPN 的互通结构。)interface loopback2ip address 61.139.36.35 255.255.255.255(创建 loopback 地址,在这里这个 loopback 地址以后就是本 PE 的标识符了,之后很多协议要利用这个地址作为 router-id)interface gei_5/1ip ospf mtu-ignorephysical-layer mode npctip address 61.157.141.106 255.255.255.252description TO-P1no negotiation autompls ip(和 P1 互连的接口配置,需要使用 MPLS IP 命令在接口上启用 MPLS。ip ospf mtu-ignore这个参数是可选的参数,因为 T64E 的以太口 MTU 是 1500,不能够修改,对端设备如果是其它厂家的设备并且 MTU 设置了不一样的值,并且不方便修改成和 T64E 一样,则 OSPF的邻居状态会无法正常建立,我们配置了这个参数后可以让 OSPF 忽略双方不匹配的 MTU值,建立 OSPF 邻居)interface gei_4/2.105(创建子接口 105)encapsulation dot1Q 105(封装 802.1Q vlan 105,用于识别交换机上送上来的 vlan105 的数据)description TO GongShangJuxconnect vfi GongShangJu(绑定定义的 VFI,将此接口定义为此接入 VPN 用户的接口)(OSPF 配置省略,参见 BGP/MPLS VPN)mpls ip(全局启用 mpls ,缺省信令协议是 ldp 协议。只有这里全局启用后,接口下的 mplsip 才生效)mpls ldp router-id loopback2 force(强制使用 loopback2 作为 ldp 协议中 router-id)mpls ldp access-fec for 10(需要知道的是,MPLS VPN 中所有 PE、P 路由器只需要 PE 路由器的 loopback 地址标签,没有必要为所有路由产生标签,所以这里定义了只为 access list定义的地址生成标签,access list 在后面定义)mpls ldp target-session 61.139.36.36mpls ldp target-session 61.139.36.33(PE 之间建立的 LDP 会话,用于内层标签的分发,其作用类似于三层 VPN 的 BGP 协议;PE 之间必须两两建立 LDP 会话。)ip access-list standard 10permit 61.139.36.36 0.0.0.0permit 61.139.36.35 0.0.0.0permit 61.139.36.33 0.0.0.0(定义所有 PE 的 loopback 地址列表,当 mpls ldp access-fec for 10 引用它的时候,只为这些地址产生 mpls 标签了。)PE2(T64E)PE2 的配置和 PE1 类似,命令解释可以参考 PE1interface loopback2ip address 61.139.36.36 255.255.255.255interface gei_5/1ip ospf mtu-ignorephysical-layer mode npctip address 61.157.141.110 255.255.255.252description TO-P1no negotiation autompls ipinterface gei_4/2.105encapsulation dot1Q 105description TO GongShangJu VPLSxconnect vfi GongShangJumpls ipmpls ldp router-id loopback2 forcempls ldp access-fec for 10mpls ldp target-session 61.139.36.33mpls ldp target-session 61.139.36.35ip access-list standard 10permit 61.139.36.33 0.0.0.0permit 61.139.36.35 0.0.0.0permit 61.139.36.36 0.0.0.0PE3(T64E)PE3 的配置和 PE1 类似,命令解释可以参考 PE1vfi GongShangJuvcid 100pwtype ethernet-vlanpeer 61.139.36.35peer 61.139.36.36interface loopback2ip address 61.139.36.33 255.255.255.255interface gei_5/1ip ospf mtu-ignorephysical-layer mode npctip address 61.157.141.98 255.255.255.252description TO-P1no negotiation autompls ipinterface gei_4/2.105encapsulation dot1Q 105description TO GongShangJu VPLSxconnect vfi GongShangJumpls ipmpls ldp router-id loopback2 forcempls ldp access-fec for 10mpls ldp target-session 61.139.36.35mpls ldp target-session 61.139.36.36ip access-list standard 10permit 61.139.36.33 0.0.0.0permit 61.139.36.35 0.0.0.0permit 61.139.36.36 0.0.0.0P1(T64E)P 的配置和 PE 不太一样,下面对不一样的配置进行描述interface loopback2ip address 61.139.36.31 255.255.255.255interface gei_5/1ip ospf mtu-ignorephysical-layer mode npctip address 61.157.141.105 255.255.255.252description TO-PE1no negotiation autompls ipinterface gei_5/2ip ospf mtu-ignorephysical-layer mode npctip address 61.157.141.109 255.255.255.252description TO-PE2no negotiation autompls ipinterface gei_5/4ip ospf mtu-ignorephysical-layer mode npctip address 61.157.141.97 255.255.255.252description TO-PE3no negotiation autompls ipmpls ipmpls ldp router-id loopback2 forcempls ldp access-fec for 10(P 设备也一样,只需要 PE 设备的 loopback 地址的标签,用于转发)ip access-list standard 10permit 61.139.36.35 0.0.0.0permit 61.139.36.36 0.0.0.0permit 61.139.36.33 0.0.0.0常用维护诊断操作MPLS LDP使用 show mpls forwarding-table 查看当前的 MPLS 标签转发表。这里显示的 MPLS 标签表,是 MPLSVPN 的外层标签表,用于 MPLS 包的转发。需要了解的是,对于 MPLS VPN,PE 和 P 设备不需要对所有路由都生成 MPLS 标签,全网只需要对 PE 的 loopback 地址生成标签,因为 MPLS 包的转发只需要知道目的 PE 设备的 loopback 地址,再查询对应的标签进行转发。所以在启用 mpls ldp 的时候,可以通过定义 acl 来生成维护指定 PE loopback地址的标签。PE1# show mpls forwarding-tableMpls Ldp Forwarding-table:InLabel OutLabel DestPfxlen InterfaceNextHop5310171261.139.36.3332gei_5/161.157.141.1055410148861.139.36.3632gei_5/161.157.141.105如上显示,PE1 只需要知道 PE2、PE3 的 loopback 地址标签===================================PE2#show mpls forwarding-tableMpls Ldp Forwarding-table:InLabel OutLabel DestPfxlen InterfaceNextHop3810171261.139.36.3332gei_5/161.157.141.1093710152061.139.36.3532gei_5/161.157.141.109如上显示,PE2 只需要知道 PE1、PE3 的 loopback 地址标签===================================PE3#show mpls forwarding-tableMpls Ldp Forwarding-table:InLabel OutLabel DestPfxlen InterfaceNextHop6910152061.139.36.3532gei_5/161.157.141.977010148861.139.36.3632gei_5/161.157.141.97如上显示,PE3 只需要知道 PE1、PE2 的 loopback 地址标签===================================P1# show mpls forwarding-tableMpls Ldp Forwarding-table:InLabel OutLabel DestPfxlen InterfaceNextHop101488Pop tag61.139.36.3532gei_5/161.157.141.106101520Pop tag61.139.36.3632gei_5/261.157.141.110101712Pop tag61.139.36.3332gei_5/461.157.141.97如上显示,P 设备负责转发 MPLS 包,所以需要 PE1、PE2、PE3 的 loopback 地址标签===================================使用 show mpls ldp neighbor命令显式已经建立的 ldp 邻接关系是否正常建立,一般如果MPLS 标签表正常,则 LDP 邻居关系一般不会有问题。如果 MPLS 标签未能正常生成,则可以查看 LDP 邻居状态是否正常。PE1# show mpls ldp neighborPeer LDP Ident: 61.139.36.1:0; Local LDP Ident 61.139.36.35:0TCP connection: 61.139.36.1.646 - 61.139.36.35.1156state: Oper; Msgs sent/rcvd: 2758/2751; DownstreamUp Time: 07:37:00LDP discovery sources:gei_5/1; Src IP addr: 61.157.141.105Addresses bound to peer LDP Ident:61.139.34.1 61.139.36.1 61.157.141.5 61.139.36.3161.157.141.97 61.157.141.101 61.157.141.105 61.157.141.10961.157.141.113 61.157.141.117 61.157.141.121 61.157.141.125PE2# show mpls ldp neighborPeer LDP Ident: 61.139.36.1:0; Local LDP Ident 61.139.36.36:0TCP connection: 61.139.36.1.646 - 61.139.36.36.1051state: Oper; Msgs sent/rcvd: 190669/190439; DownstreamUp Time: 22d1hLDP discovery sources:gei_5/1; Src IP addr: 61.157.141.109Addresses bound to peer LDP Ident:61.139.34.1 61.139.36.1 61.157.141.113 61.157.141.561.139.36.31 61.157.141.97 61.157.141.101 61.157.141.10561.157.141.109 61.157.141.117 61.157.141.125 61.157.141.121PE3# show mpls ldp neighborPeer LDP Ident: 61.139.36.1:0; Local LDP Ident 61.139.36.33:0TCP connection: 61.139.36.1.646 - 61.139.36.33.1024state: Oper; Msgs sent/rcvd: 82026/81869; DownstreamUp Time: 9d11hLDP discovery sources:gei_5/1; Src IP addr: 61.157.141.97Addresses bound to peer LDP Ident:61.139.34.1 61.139.36.1 61.157.141.5 61.139.36.3161.157.141.97 61.157.141.105 61.157.141.109 61.157.141.11361.157.141.117 61.157.141.121 61.157.141.125 61.157.141.101内层标签信令 LDPPE 之间的 VPLS 的内层 VC 标签可以通过 LDP 信令(Martini 方式)来实现交换。这里的LDP 是通过 mpls ldp target-session 实现的(作用有别于 MPLS IP 建立的 LDP 邻居),如:PE1# show mpls ldp neighborPeer LDP Ident: 61.139.36.33:0; Local LDP Ident 61.139.36.35:0TCP connection: 61.139.36.33.646 - 61.139.36.35.1292state: Oper; Msgs sent/rcvd: 431/431; DownstreamUp Time: 06:39:33LDP discovery sources:Targeted Hello (61.139.36.33); Src IP addr: 61.139.36.33Addresses bound to peer LDP Ident:61.139.36.3 61.139.36.33 61.157.141.98 61.157.141.13061.157.142.25Peer LDP Ident: 61.139.36.36:0; Local LDP Ident 61.139.36.35:0TCP connection: 61.139.36.36.1161 - 61.139.36.35.646state: Oper; Msgs sent/rcvd: 477/472; DownstreamUp Time: 07:29:53LDP discovery sources:Targeted Hello (61.139.36.36); Src IP addr: 61.139.36.36Addresses bound to peer LDP Ident:61.139.36.6 61.139.36.36 61.157.141.110 61.157.142.1361.157.142.17 61.157.142.69 61.157.141.142查看 VC二层 VPN 运行正常,VC 的状态必须是 UP 的,如:PE1#show mpls l2transport vc vpls vfi GongShangJuVFINameLocalCircuit DestAddressGongShangJuVFI61.139.36.33VC ID100StatusupGongShangJuVFI61.139.36.36100up查看内外层标签二层 VPN 和三层 VPN 一样都有两层标签。外层标签都是 MPLS LDP 生成,用于 MPLS包的路由转发。内层标签对于三层 VPN 来说是 BGP 生成,用于区分 VPN;对于二层 VPN来说,是内层 LDP 形成,用于区分 VPN。用 show mpls l2transport binding 查看内层标签的分配;用 show mpls forwarding-table 查看外层标签的分配;用 show mpls l2transport vc vpls detail vfi 命令查看 VC 状态同时可以看到整个标签栈的情况。查看内层标签:PE1#show mpls l2transport bindingDestination Address: 61.139.36.33, VC ID: 100Local Label: 16(通告给对端 PE 的内层标签)Cbit: 0VC Type: VLANGroupID: 0MTU: NULLInterface Desc:Remote Label: 16(从对端 PE 学习过来的内层标签)Cbit: 0VC Type: VLANGroupID: 0MTU: NULLInterface Desc:Destination Address: 61.139.36.36, VC ID: 100Local Label: 18(通告给对端 PE 的内层标签)Cbit: 0VC Type: VLANGroupID: 0MTU: NULLInterface Desc:Remote Label: 18(从对端 PE 学习过来的内层标签)Cbit: 0VC Type: VLANGroupID: 0MTU: NULLInterface Desc:查看外层标签:PE1# show mpls forwarding-tableMpls Ldp Forwarding-table:InLabel OutLabel DestPfxlen InterfaceNextHop5310171261.139.36.3332gei_5/161.157.141.1055410148861.139.36.3632gei_5/161.157.141.105查看 VC 以及标签栈:PE1#show mpls l2transport vc vpls detail vfi GongShangJuLocal interface: VFI GongShangJu upDestination address: 61.139.36.33, VC ID: 100, VC status: up(VC 状态是 UP 的)Tunnel label: 101712, next hop 61.157.141.105Output interface: gei_5/1, imposed label stack { 101712, 16 }(标签栈显示,内层标签是 16,外层标签是 101712)Create time: 06:52:25, last status change time: 06:52:25Signaling protocol: LDP, peer 61.139.36.33 : 0, upMPLS VC labels: local 16, remote 16Group ID: local 0, remote 0MTU: local 1500, remote 1500Remote interface description:Sequencing: receive disabled, send disabledLocal interface: VFI GongShangJu upDestination address: 61.139.36.36, VC ID: 100, VC status: up(VC 状态是 UP 的)Tunnel label: 101488, next hop 61.157.141.105Output interface: gei_5/1, imposed label stack { 101488, 18 }(标签栈显示,内层标签是 18,外层标签是 101488)Create time: 07:49:36, last status change time: 07:34:15Signaling protocol: LDP, peer 61.139.36.36 : 0, upMPLS VC labels: local 18, remote 18Group ID: local 0, remote 0MTU: local 1500, remote 1500Remote interface description:Sequencing: receive disabled, send disabledVPN在内外层标签、VC 正常的情况下,要检查用户 VPN 是否正常,就要确认 VPN 用户的 MAC地址学习情况。使用 show mac 命令查看该 VPN 的 MAC 地址表,如:PE1#show mac-table GongShangJuMACpeer-addressoutIntLab outExtLab outInterfacetype00e0.fc53.2bb0 LocalNULLNULLgei_5/3.105dynamicPeer-address 是 local 表示是本地 PE 从本地 CE 学习倒的 MAC 地址00e0.fc39.885d 61.139.36.3316101712gei_5/1dynamic0007.4f4a.80c0 61.139.36.3316101712gei_5/1dynamicPeer-address 是 61.139.36.33 表示是从 PE3 学习到的 MAC 地址;同时还显示了内外层标签。PE3#show mac-table GongShangJuMACpeer-addressoutIntLab outExtLab outInterfacetype00e0.fc39.885d LocalNULLNULLgei_5/2.200dynamic0007.4f4a.80c0 LocalNULLNULLgei_5/4.997dynamicPE3 从本地 CE 学习到的 MAC 地址,和 PE1 上学习倒的 MAC 地址是相同的00e0.fc53.2bb0 61.139.36.3516101520gei_5/1dynamic开通 L2 VPN 步骤配置 MPLSMPLS 是 MPLS VPN 最基本的配置之一,要构建 MPLS 网络,PE 和 P 设备互连的端口要运行打开 mpls ip 参数,并且全局需要运行 mpls ip 命令。具体命令参考前面配置说明。配置内层 LDP 信令内层 LDP 信令用于 PE 之间交换内层标签,所以 PE 之间必须两两建立 LDP 的会话。使用mpls ldp target-session 命令建立 PE 之间的 LDP 会话。使用 show mpls ldp neighbor 确定 PE之间的 ldp 会话是否建立正常。VPN 数据配置二层 VPN 用户端的数据配置比较简单1. 首先定义 VFI:根据规划定义好 VFI 名称、peer 地址、pw 类型2. 确定用户接口是主接口还是子接口,要和 VFI 的类型对应3. 绑定对应的 VFI诊断测试诊断工作伴随在每一个步骤左右,一步一步的进行,便于最后的测试工作。l 配置 MPLS LDP 的时候就需要检查测试 MPLS 标签表l 配置内层 LDP 信令的时候需要检查内层 LDP 信令的邻居关系l 配置完 VPN 数据后,先检查 VC 的状态,再检查用户的 MAC 地址学习情况l 测试用户二层 VPN 和三层 VPN 测试不一样,必须使用 CE 来测试。测试中如果发现问题,可以将测试步骤逐渐细分,根据自己掌握的维护诊断命令逐步判断问题所在。维护经验、注意事项虽然 MAC 地址的学习可以作为诊断故障的一个依据,就和交换机一样,VPLS 的 MAC 地址也会定时老化,学习不到 MAC 地址有可能是没有用户的原因造成,不要盲目诊断为故障。

日常维护常用查询命令查看端口状态,主要观察内容为端口速率、双
查看历史操作命令记录ZXR10#show logfile查看系统版本信息和设备
192.168.1.0 255.255.255.252 192.168.1.1 vlan201 direct 0 0 1
关闭/打开告警在终端上的显示ZXR10#no terminal monitor ZXR10#t
还剩 33页未读,点此继续全文在线阅读

免费下载ZXR10常用维护和开局命令到电脑,使用更方便!

本文推荐: ZXR10常用维护和开局命令.pdf全文阅读下载  关键词: 常用   维护   开局   命令  
学文库温馨提示:文档由用户自行上传分享,文档预览可能有差异,下载后仅供学习交流,未经上传用户书面授权,请勿作他用。 文档下载资源交流QQ群:317981604
< / 37>

QQ|小黑屋|网站声明|网站地图|学文库 ( 冀ICP备06006432号 )

GMT+8, 2020-8-9 04:59 , Processed in 0.303198 second(s), 5 queries , Gzip On, Redis On.

Powered by 学文库 1.0

Copyright © 2019-2020, 学文库

返回顶部