MD5认证配置不一致导致LDP对等体关系无法建立

发布时间:  2011-12-20 浏览次数:  138 下载次数:  1
问题描述
  环网上PE之间的传输采用微波链路( 组网拓扑见附件),微波设备在升级的过程中,会进行重启,相应链路会中断。处于环网上的PE均有两条微波链路与相邻PE相连。微波设备升级是逐步进行,每次只重启一个环网上的一台微波设备,因此正常情况下,当微波设备重启时,PE仍存在另一条链路,与另一邻居PE的IS-IS邻居关系仍然是up,BGP VPNV4邻居关系仍然是Established,LSP隧道仍然存在,VPN业务不会中断。当升级TH-P和JD之间的微波设备,进行重启时,JD和WH两台PE在网管脱管,且通过L3VPN下挂的Node B业务中断。直到该微波设备重启完毕,受影响的网管业务和Node B业务才恢复正常。


  路由器在网管上脱管。
处理过程
  1. 检查WH和SE-02的日志,未发现互连接口down日志信息;与传输确认,当时并未同时升级WH和SE-02之间的微波设备,且传输链路正常;
  2. 在WH和SE-02上,分别使用命令display isis peer,显示ISIS邻居关系为up;
  3. 在WH上,使用命令display mpls ldp session,显示到对等体10.195.0.157(SE-02)的状态是NonExistent;
<RAN-Dam:WH-NE40E-01> display mpls ldp session
 LDP Session(s) in Public Network
 Codes: LAM(Label Advertisement Mode), SsnAge Unit(DDDD:HH:MM)
 A '*' before a session means the session is being deleted.
 ------------------------------------------------------------------------------
 PeerID             Status      LAM  SsnRole  SsnAge      KASent/Rcv
 ------------------------------------------------------------------------------
 10.195.0.55:0      Operational DU   Passive  0005:06:53  30456/30455
 10.195.0.157:0     NonExistent      Passive              0/0                               
------------------------------------------------------------------------------
 TOTAL: 2 session(s) Found.
  1. 进一步排查LDP对等体关系无法建立的原因,检查WH和SE-02的互连接口均使能了MPLS基本功能和MPLS LDP协议;
  2. 在WH上,使用命令display current-configuration configuration mpls-ldp,发现配置的MD5认证对等体是10.195.0.51(SE-01)和10.195.0.55(JD);
<RAN-Dam:WH-NE40E-01> display cur conf mpls-ldp
#
mpls ldp
 graceful-restart
 md5-password cipher 10.195.0.51 "Z<C,$aa+%'XR)EYSXDN=!!!                  
 md5-password cipher 10.195.0.55 "Z<C,$aa+%'XR)EYSXDN=!!!                 
#
  1. 而在SE-02上,使用命令display current-configuration configuration mpls-ldp,发现配置的MD5认证对等体是10.195.0.51(SE-01)和10.195.0.53(WH),但对端(WH)没有配置到本端(SE-02)的MD5认证,两端MD5认证配置不一致,从而LDP对等体关系无法建立。
<RAN-Dam:SE-NE40E-02>disp current-configuration configuration mpls-ldp
#
mpls ldp
 graceful-restart
 md5-password cipher 10.195.0.51 "Z<C,$aa+%'XR)EYSXDN=!!!
 md5-password cipher 10.195.0.53 "Z<C,$aa+%'XR)EYSXDN=!!!
#
 
  由此,得出该问题的定位结论:JD和WH虽然与其他PE存在BGP VPNV4邻居关系,但由于WH和SE-02的MPLS LDP对等体认证不成功,导致LDP对等体关系没有成功建立,没有生成相应的LSP。在VPN私网路由学习的过程中,LSP隧道迭代不成功,没有将路由加入到VPN实例的路由表,最终导致VPN私网路由没有互相学到,VPN业务不通。
根因
WH或SE-02的LDP对等体MD5认证配置错误,导致LDP peer关系没有建立成功。
解决方案

  由于客户在环网上新增PE时(如RTA和RTC之间新增RTB),部分LDP MD5认证配置没有修改为直连PE的LSR ID,两端MD5认证配置不一致,造成相应的对等体关系没有建立。将MD5改为一致后问题解决。

    对全网MPLS LDP对等体认证配置进行检查,在其他多台PE发现此错误,进行整改,后续其他环网的微波设备升级,该问题不再发生。同时,也消除了微波链路故障造成业务中断的隐患。

 

建议与总结

  由于微波设备重启的过程中,JD上行到TH-P的链路中断,且只有JD和WH两台PE出现网元脱管及Node B业务中断问题,由此可以判定是由于WH和SE-02之间的物理链路或相关网络协议的问题。可能的原因如下:
  1. WH和SE-02的互连接口或传输链路的问题,导致互连接口没有up或链路存在问题;
  2. WH和SE-02的IS-IS邻居关系没有up,IGP路由不可达,导致LDP peer及BGP VPNV4 peer关系没有建立成功;
  3. WH或SE-02的互连接口下没有使能MPLS基本功能或MPLS LDP协议,导致LDP peer关系没有建立成功;
  4. WH或SE-02的LDP对等体MD5认证配置错误,导致LDP peer关系没有建立成功。

END