USG5500MPLS VPN业务不通故障

发布时间:  2013-11-26 浏览次数:  190 下载次数:  0
问题描述
组网:USG5530S-------NE40E------------USG5530S。两台USG5530S作为PE设备,NE40E作为P设备,配置完MPLS VPN功能后,同一VPN无法互访。
告警信息
同一VPN无法ping通对端。
[ZongDui_Jiankong19_USG]ping -vpn jiankong19 19.54.10.1
19:37:13  2013/11/24
  PING 19.54.10.1: 56  data bytes, press CTRL_C to break
    Request time out
    Request time out
    Request time out
    Request time out
    Request time out
处理过程
1、检查VPN路由,私网路由学习正常。
[ZongDui_Jiankong19_USG]dis ip ro vpn jiankong19
19:37:00  2013/11/24
Route Flags: R - relay, D - download to fib
------------------------------------------------------------------------------
Routing Tables: jiankong19
        Destinations : 3        Routes : 3

Destination/Mask    Proto  Pre  Cost     Flags NextHop         Interface

      19.54.0.0/24  Direct 0    0           D  19.54.0.1       Vlanif2
      19.54.0.1/32  Direct 0    0           D  127.0.0.1       InLoopBack0
     19.54.10.0/24  BGP    255  0          RD  19.54.255.4     GigabitEthernet0/0/5
2、检查IGP路由学习,及路由迭代,学习正常。
[ZongDui_Jiankong19_USG]dis ip rou 19.54.255.4
12:04:18  2013/11/25
Route Flags: R - relay, D - download to fib
------------------------------------------------------------------------------
Routing Table : Public
Summary Count : 1

Destination/Mask    Proto  Pre  Cost     Flags NextHop         Interface

19.54.255.4/32  OSPF   10   3           D  10.188.103.126  GigabitEthernet0/0/5
3、检查LDP状态正常。
[ZongDui_Jiankong19_USG] dis mpls ldp sess
19:36:52  2013/11/24

               LDP Session(s) in Public Network
------------------------------------------------------------------------------
Peer-ID            Status      LAM  SsnRole  SsnAge      KA-Sent/Rcv
------------------------------------------------------------------------------
19.54.255.3:0      Operational DU   Passive  000:00:43   176/176
------------------------------------------------------------------------------
TOTAL: 1 session(s) Found.
LAM : Label Advertisement Mode      SsnAge Unit : DDD:HH:MM
4、检查域间转发策略,发现用户根防火墙以及VPN实例jiankong19已经分别开放所有域间转发策略,但跨VPN实例jiankong19到根防火墙的域间转发策略未开启。通过命令policy interzone untrust vpn-instanse jiankong19 trust outbound /outboud开启跨vpn实例的域间转发策略后问题解决。
根因
1、可能VPN私网路由学习问题,导致VPN不通。
2、可能IGP路由问题,导致PE设备不通。
3、MPLS配置问题,公网LSP存在问题。
4、防火墙域间转发策略问题。
建议与总结
1、命令firewall packet-filter default permit all [ vpn-instance vpn-instance-name ],这条命令只会开启根防火墙或者VPN实例的所有域间转发策略,不会开启跨VPN实例的域间转发策略。在配置MPLS VPN以及需要跨VPN实例访问的时候,需要开启跨VPN实例的域间转发策略。
2、配置跨VPN实例的域间转发策略方法为:执行命令firewall packet-filter default { permit | deny } interzone zone-name1 vpn-instance vpn-instance-name zone-name2 [ direction { inbound | outbound } ],虚拟防火墙的安全区域优先级都高于根防火墙的安全区域,inbound表示从根防火墙的安全区域到虚拟防火墙的安全区域,outbound表示从虚拟防火墙的安全区域到根防火墙的安全区域。

END