MPLS VPN分為二層MPLS VPN和三層MPLS VPN兩種。二層MPLS VPN適合于能自行組建三層網(wǎng)絡(luò)的大型企業(yè)；三層MPLS VPN適合于維護(hù)路由等復(fù)雜工作交由運(yùn)營(yíng)商負(fù)責(zé)的中小企業(yè)。本文簡(jiǎn)單介紹三層MPLS VPN的組網(wǎng)及其故障處理。

        三層MPLS VPN簡(jiǎn)介

        三層MPLS VPN又稱BGP MPLS VPN，是一種基于路由方式的MPLS VPN解決方案。IETF RFC 2547中對(duì)該技術(shù)做了規(guī)定。

        三層MPLS VPN的網(wǎng)絡(luò)結(jié)構(gòu)，主要由PE（Provider Edge Device，運(yùn)營(yíng)商邊緣設(shè)備）、P（Provide Device，運(yùn)營(yíng)商設(shè)備）和CE（Customer Edge Device，用戶邊緣設(shè)備）3種設(shè)備組成。

        下面簡(jiǎn)要介紹上述設(shè)備所實(shí)現(xiàn)的功能。

        CE：通過(guò)連接到PE的數(shù)據(jù)鏈路為用戶提供網(wǎng)絡(luò)服務(wù)，CE與PE建立鄰接關(guān)系，將本地的VPN路由廣播給PE，并從PE學(xué)習(xí)遠(yuǎn)端VPN路由。

        PE：維護(hù)與之相連站點(diǎn)的VPN路由，為每個(gè)VPN建立一個(gè)VRF（Virtual Route Forwarding Table，虛擬路由轉(zhuǎn)發(fā)表）。在從CE那里學(xué)習(xí)到本地路由信息后，PE使用IBGP與其它PE路由器交換VPN路由信息。同時(shí)，在VPN業(yè)務(wù)穿越骨干網(wǎng)時(shí)，入口/出口PE分別相當(dāng)于入口/出口LSR（Lable Switch Router，標(biāo)簽交換路由器），需要為IP包進(jìn)行封裝/解封裝。

        P：運(yùn)營(yíng)商網(wǎng)絡(luò)中不直接連接CE的路由器，僅負(fù)責(zé)MPLS標(biāo)簽的交換，不需要維護(hù)VPN路由信息。

        三層MPLS VPN通過(guò)多協(xié)議擴(kuò)展BGP（MP-iBGP）承載攜帶標(biāo)簽的VPN IPv4路由信息。每個(gè)VRF通過(guò)配置響應(yīng)策略來(lái)規(guī)定各VPN可以接收和向外發(fā)布站點(diǎn)的路由信息。每個(gè)PE根據(jù)BGP擴(kuò)展發(fā)布的信息進(jìn)行路由計(jì)算，生成并維護(hù)VPN路由表。

        三層MPLS VPN故障的排除

        三層MPLS VPN的故障主要可歸納為路由信息方面的故障和MPLS數(shù)據(jù)流方面的故障兩種。下面以Cisco路由器為例，簡(jiǎn)單介紹如何排除三層MPLS VPN故障。 2.1 路由信息方面故障的處理

        我們可以采用逐步排除法來(lái)解決路由信息方面的故障，，即根據(jù)三層MPLS VPN路由的交換過(guò)程逐步排查，最后確定故障所在位置。我們把這種故障處理的流程大致分成7步。

        以下是各個(gè)步驟具體所要執(zhí)行的操作。

        （1） 在PE-1上使用命令show ip route vrf name驗(yàn)證PE-1是否收到CE-1的路由信息。若收到了來(lái)自CE-1的路由信息，則轉(zhuǎn)到步驟（2）；否則，采用傳統(tǒng)的路由排障方法查找PE與CE之間的物理層或路由協(xié)議（PE與CE之間可運(yùn)行各種路由協(xié)議，如RIP、OSPF、eBGP或靜態(tài)路由協(xié)議）是否有問(wèn)題。

        （2） 在PE-1上使用命令show ip bgp vpnv4 vrf name驗(yàn)證該路由是否正確地發(fā)布到MP-BGP中并帶有正確的擴(kuò)展屬性。若正確，則轉(zhuǎn)到步驟（3）；否則，可確定路由的重發(fā)布等方面存在問(wèn)題（可使用debug ip bgp等命令排障）。

        （3） 在PE-2上使用命令show ip bgp vpnv4 all驗(yàn)證其它VPNv4路由是否已通過(guò)MP-iBGP傳送過(guò)來(lái)。若已經(jīng)收到了其它VPNv4的路由信息，則轉(zhuǎn)到步驟（4）；否則，應(yīng)采用傳統(tǒng)的BGP路由排障方法查找PE-2與其它PE之間的連接是否有問(wèn)題（可使用show ip bgp neighbor等命令）。

        （4） 在PE-2上使用命令show ip bgp vpnv4 vrf name驗(yàn)證BGP的路由選擇是否正確，即屬于該VPN的路由信息是否都被正確地接收了，而不屬于該VPN的路由信息是否被阻止了。若正確，則轉(zhuǎn)到步驟（5）；否則，應(yīng)采用傳統(tǒng)的BGP路由排障方法來(lái)解決，必要時(shí)，可更改local preference和weight等BGP參數(shù)。

        （5） 在PE-2上使用命令show ip route vrf name驗(yàn)證PE-2路由表中是否已存在正確的VPNv4路由信息。若正確，則轉(zhuǎn)到步驟（6）；否則，說(shuō)明PE-2上存在問(wèn)題（可使用show ip vrf detail和傳統(tǒng)的路由排障方法來(lái)解決）。

        （6） 在CE-2上使用show ip route，ping等命令驗(yàn)證CE-2是否已接收到其它CE的路由信息。若正確，則轉(zhuǎn)到步驟（7）；否則，應(yīng)查看PE-2上的路由重發(fā)布是否設(shè)置正確、PE-2與CE-2之間的物理層或路由協(xié)議是否有問(wèn)題。

        （7） 從CE-2到CE-1，可采用相同的方法來(lái)排除路由交換方面的故障。

        MPLS數(shù)據(jù)流方面故障的處理

        對(duì)于MPLS數(shù)據(jù)流方面的故障，可從以下4個(gè)方面來(lái)定位：

        （1） 入口PE路由器上CEF（Cisco Express For-warding，思科快速轉(zhuǎn)發(fā)）端口是否打開(kāi)；

        （2） 入口PE路由器上的CEF條目是否正確；

        （3） PE路由器之間是否有端到端的LSP（La-bel Switch Path，標(biāo)簽交換路徑），這包括檢查中間的P路由器；

        （4） 出口PE路由器上的標(biāo)簽轉(zhuǎn)發(fā)表的條目是否正確。