VRF คืออะไร เอาไว้ทำอะไร ? Command, Troubleshoot MPLS VPN (L3VPN), L2VPN
  • L3VPN
    http://www.siamnetworker.com/board/index.php?topic=1133.msg9607#msg9607

    show ip vrf [vrf-name] ดู vrf แบบสรุปๆ
    Pesaro# show ip vrf
      Name                            Default RD          Interfaces
      Customer_A                      100:101            Loopback101
                                                                      Loopback111
      Customer_B                      100:102            Loopback102
    show ip vrf [{detail | interfaces}] vrf-name ดู vrf แบบละเอียด
    Pesaro# show ip vrf detail Customer_A
    VRF Customer_A; default RD 100:101
      Interfaces:
        Loopback101              Loopback111           
      Connected addresses are not in global routing table
      Export VPN route-target communities
        RT:100:1001           
      Import VPN route-target communities
        RT:100:1001           
      No import route-map
      No export route-map

    Pesaro# show ip vrf interfaces
    Interface              IP-Address      VRF              Protocol
    Loopback101            200.0.6.1      Customer_A      up     
    Loopback111            200.1.6.1      Customer_A      up     
    Loopback102            200.0.6.1      Customer_B      up
    show ip route vrf [vrf-name] ดูเราท์ของแต่ละ vrf
    Pescara# show ip route vrf Customer_A
    Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
          D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
          N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
          E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
          i - IS-IS, L1 - ISIS level-1, L2 - ISIS level-2, ia - ISIS inter area
          * - candidate default, U - per-user static route, o - ODR
          P - periodic downloaded static route

    Gateway of last resort is not set

    B    200.0.6.0/24 [200/0] via 10.10.10.6, 00:42:14
    B    200.1.6.0/24 [200/0] via 10.10.10.6, 00:42:14
    C    200.0.4.0/24 is directly connected, Loopback101
    show running-config | include [vrf name] หรือ show running-config vrf [vrf name] ดูว่าปลายทาง subnet อะไร ในกรณีที่ใช้ Static Route
    show running-config | include [subnet address] ดูว่า subnet นี้ ใช้ vrf อะไร ในกรณีที่ใช้ Static Route
    Pescara#sho run | inc Customer_A
    ip route vrf Customer_A 10.135.193.0 255.255.255.0 Serial1/5:1
    sho mac-add dyn vla [vlan number] = ดูว่ามี mac-add มาจาก vla นี้มั้ย/ใช้งานอยู่มั้ย
    ผิดพลาดประการใดชี้แนะด้วยคับ
    [center]Credit
    http://www.cisco.com/en/US/tech/tk436/tk428/technologies_tech_note09186a0080093fcd.shtml
    [/center]

    Martini Vs Kompella
    http://www.ciscoclub.in.th/index.php?topic=1171


    MPLS VPN Troubleshooting
    ปัญหาพื้นฐาน:
    • [li]CEF enable หรือยัง ?[/li]
      [li]IGP route เป็นยังไงบ้าง ถูกสร้างและประกาศออกไปหรือยัง ?[/li]
      [li]packet ขนาดใหญ่ ข้าม MPLS backbone ได้มั้ย ?[/li]

    ตรวจสอบ routing flow (ไม่เห็น route): มีหลักๆ 3 ส่วน
    • [li]CE-PE
      [list][li]PE ได้รับ route จาก CE มั้ย ?
      [list][li]show ip route vrf [vrf-name] on PE[/li]
      [li]แก้ปัญหาตาม routing protocol นั้นๆ[/li]
    [/li][/list][/li]
    [li]PE-PE
    • [li]route ถูก redistribute เข้าไปใน MP-BGP หรือยัง extended community ทำงานดีมั้ย ?
      show ip bgp vpnv4 vrf [vrf-name] [ip-prefix] on PE ต้นทาง[/li]
      [li]route ถูกส่งไป PE ตัวอื่นในรูปแบบ VPNv4 เรียบร้อยดีมั้ย ?
      show ip bgp vpnv4 all [ip-prefix/length] on PE ต้น,ปลายทาง[/li]
      [li]BGP selection process ทำงานถูกต้องมั้ย ไปถูกทางรึป่าว ?
      [list][li]show ip bgp vpnv4 vrf [vrf-name] [ip-prefix] on PE ปลายทาง[/li]
      [li]ถ้าไม่ถูกก็เปลี่ยน local preference หรือ weight ตามต้องการ[/li]
      [li]อย่าเปลี่ยนค่า MED เพราะมันใช้เป็น metric ในการ redistribute ระหว่าง IGP-BGP[/li]
    [/li]
    [li]routes VPNv4 ถูกติดตั้งใน VRFs บน PE ตัวอื่นเรียบร้อยดีมั้ย ?
    show ip route vrf, show ip bgp [ip-prefix], show ip vrf detail[/li]
    [li]routes VPNv4 redistribute จาก BGP เข้าไปใน routing protocol ของ PE-CE เรียบร้อยดีมั้ย ?
    ตรวจสอบ command redistribution ใน routing protocol ที่ run กับลูกค้า ว่ามี redistribute bgp หรือยัง[/li][/list][/li]
    [li]PE-CE
    • [li]routes เดินทางถึงลูกค้าเรียบร้อยมั้ย ?
      show ip route on CE ต้องเห็น route จาก CE อีกฝั่งนึง[/li]
    [/li][/list]
    ตรวจสอบ data flow (ping ไม่ได้):
    • [li]CEF enable ที่ขา ingress PE router เรียบร้อยหรือยัง ?
      show cef interface
      Router#show cef interface serial 1/0.20
      Serial1/0 is up (if_number 18)
        Internet address is 150.1.31.37/30
        ICMP redirects are always sent
        Per packet loadbalancing is disabled
        IP unicast RPF check is disabled
        Inbound access list is not set
        Outbound access list is not set
        IP policy routing is disabled
        Interface is marked as point to point interface
        Hardware idb is Serial1/0
        Fast switching type 5, interface type 64
        IP CEF switching enabled
        IP CEF VPN Fast switching turbo vector

        VPN Forwarding table "SiteA2"
        Input fast flags 0x1000, Output fast flags 0x0
        ifindex 3(3)
        Slot 1 Slot unit 0 VC -1
        Transmit limit accumulator 0x0 (0x0)
        IP MTU 1500
      [/li]
      [li]CEF มีการทำงานถูกต้องมั้ย ?
      [list][li]show ip cef vrf [vrf-name] [ip-prefix/length] detail[/li]
      [li]ตรวจสอบ label stack ว่า mask label vpn เป็น 2 stack มั้ย ?[/li]
    [/li]
    [li]LSP ทำงานได้เรียบร้อยมั้ย ?
    • [li]ไล่ show ip cef [ip loopback PE ปลายทาง] ไปเรื่อยๆ label หายมั้ย, swap label ถูกมั้ย จนถึง PE ปลายทาง[/li]
      [li]ถ้้ามีการ disabled TTL propagation เวลา trace จะไม่เห็น hop ภายใน Core[/li]
      [li]ตรวจสอบ MTU ตลอดเส้นทาง ว่า packet 1500 ของลูกค้าถูก fragment มั้ย ? เพื่อความปลอดภัย[/li]
    [/li]
    [li]LFIB ทำงานที่ขา egress เรียบร้อยมั้ย ?
    • [li]show ip cef vrf [vrf-name] [ip-prefix] detail on PE ต้นทาง[/li]
      [li]show mpls forwarding vrf [vrf-name] [ip-prefix] detail on PE ปลายทาง[/li]
    [/li][/list]

    OSPF::Down Bit
    https://blog.initialdraft.com/archives/2558/


    Case Study 1 : VPNv4 NoNeg
    • [li]10.5.140.252
      #sho ip bgp vpnv4 all sum
      Neighbor        V          AS MsgRcvd MsgSent  TblVer  InQ OutQ Up/Down  State/PfxRcd
      10.5.140.18    4        18252      0      0        1    0    0 never    (NoNeg)

      10.5.140.18
      (config)#router bgp 1
      (config-router)#bgp router-id 10.5.140.18
      (config-router)#neighbor 10.5.140.252 shu
      (config-router)# no neighbor 10.5.140.252 shu[/li]

    L2VPN
    • [li]sho mpl l2t vc [vc number] = ตรวจสอบสถานะของ vc (vc number จะต้องตรงกันทั้งสองฝั่ง)[/li]
      [li]sho mpl l2t vc [vc number] det = ตรวจสอบแบบละเอียดซึ่งจะมีในส่วน MTU ที่สำคัญ
          MTU: local 1526, remote 1526 <- จะต้องตรงกันทั้งสองฝั่งไม่งั้น vc จะไม่ up[/li]
      [li](config)#xconnect logging pseudowire status = ให้แสดง log เวลา VC up/down[/li]

    Case Study 1 : L2VPN VC Down some Destination
    Cause: MPLS Router ID mismatch
    Solution: Force MPLS Router ID ((config)#mpls ldp router-id loopback 0 force)
    • [li]ping source interface looback0 to [interface loopback0 of destination] is OK ? If OK go to next step[/li]
      [li]traceroute/ping mpls ip [interface loopback0 of destination] is OK ? If OK go to next step[/li]
      [li]sh mpls ldp nei [interface loopback0 of destination]
      #sho mpls ldp nei 10.5.0.1
          Peer LDP Ident: 10.5.0.1:0; Local LDP Ident 10.5.0.73:0 -> must interface loopback0[/li]

    [center]Credit: P'Phong@AIT[/center]
    Case Study 2 : L2VPN set int mtu 9000 but can't ping mpls pseudowire size 9000
    • [li]3600X#ping mpls pseudowire 10.5.0.73 1147301700 repeat 500 siz 8984
      Success rate is 100 percent (500/500), round-trip min/avg/max = 8/9/84 ms
      3600X#ping mpls pseudowire 10.5.0.73 1147301700 repeat 500 siz 8985
      Success rate is 0 percent (0/500)
      8984 ไม่แน่ใจว่าเพราะว่าเป็น 3600X หรือ IOS version 15 มันส่ง router alert label อีก 4 byte เข้าใจว่าตอนใช้งานจริง น่าจะใช้ได้ 8988 router alert label อีก 4 byte น่าจะมีเฉพาะแต่ตอน ping เท่านั้น[/li]
      [li]7609s#ping mpls pseudowire 10.5.110.17 1147301700 siz 8988
      Success rate is 100 percent (5/5), round-trip min/avg/max = 4/7/8 ms
      7609s#ping mpls pseudowire 10.5.110.17 1147301700 siz 8989
      Success rate is 0 percent (0/5)
      9000 - outer label 4 byte - vc label 4 byte - Pseudowire Control word 4 Byte = เนื้อที่ ในการส่งข้อมูล = 8988[/li]
      [li]image[/li]

    L2VPN Pseudowire Redundancy
    http://www.networkers-online.com/blog/2008/11/mpls-l2vpn-atom-pseudowire-redundancy

    UP pri ac  Gi9/16.12:12(Eth VLAN)      UP mpls 10.5.0.38:1138074000        UP
    IA sec ac  Gi9/16.12:12(Eth VLAN)      UP mpls 10.5.0.87:1174087000        DN

    267495: Sep  2 10:05:32.486 bkk: %XCONNECT-5-PW_STATUS: MPLS peer 10.5.0.38 vcid 1138074000, VC DOWN, VC state DOWN
    267496: Sep  2 10:05:32.494 bkk: %XCONNECT-5-PW_STATUS: MPLS peer 10.5.0.87 vcid 1174087000, VC UP, VC state UP

    267498: Sep  2 10:36:44.637 bkk: %XCONNECT-5-PW_STATUS: MPLS peer 10.5.0.87 vcid 1174087000, VC DOWN, VC state DOWN
    267499: Sep  2 10:36:44.641 bkk: %XCONNECT-5-PW_STATUS: MPLS peer 10.5.0.38 vcid 1138074000, VC UP, VC state UP 8)