GRE协议故障处理.doc

上传人:wux****ua 文档编号:8969007 上传时间:2020-04-02 格式:DOC 页数:26 大小:247.50KB
返回 下载 相关 举报
GRE协议故障处理.doc_第1页
第1页 / 共26页
GRE协议故障处理.doc_第2页
第2页 / 共26页
GRE协议故障处理.doc_第3页
第3页 / 共26页
点击查看更多>>
资源描述
目 录2 GRE协议故障处理2-12.1 GRE简介2-22.1.1 GRE协议概述2-22.1.2 报文封装及解封装2-22.1.3 GRE协议的应用2-32.2 GRE故障处理2-42.2.1 典型组网环境2-42.2.2 配置注意事项2-42.2.3 故障诊断流程2-62.2.4 故障处理步骤2-82.3 故障处理案例2-112.3.1 两端Tunnel接口网络协议都Up,但ping不通对端Tunnel接口2-112.3.2 两端Tunnel接口可以ping通,PC之间无法ping通2-142.4 FAQ2-152.5 故障诊断工具2-172.5.1 display命令2-172.5.2 debugging命令2-192.5.3 告警2-20插图目录图2-1 封装好的Tunnel报文格式2-2图2-2 网络通过GRE隧道互连2-2图2-3 GRE的典型组网图2-4图2-4 GRE故障诊断流程图2-7图2-5 GRE本端ping不通对端Tunnel接口2-11图2-6 PC1和PC2之间无法Ping通2-14表格目录表2-1 display this命令输出信息描述2-17表2-2 display this interface命令输出信息描述2-182 GRE协议故障处理关于本章本章描述内容如下表所示。标题内容2.1 GRE简介介绍了进行GRE故障处理时用户所需的知识要点。2.2 GRE故障处理针对典型的GRE组网环境,介绍配置GRE时要注意的事项,故障处理的流程和详细的故障处理步骤。2.3 故障处理案例介绍了若干实际的故障处理案例。2.4 FAQ列出了用户常问的问题,并给出了相应的解答。2.5 故障诊断工具介绍了为进行故障处理所需的故障诊断工具,包括使用display命令和debugging命令、告警信息。2.1 GRE简介2.1.1 GRE协议概述通用路由封装GRE(Generic Routing Encapsulation)是对某些网络层协议(如IPv6)的报文进行封装,使这些被封装的报文能够在另一网络层协议(如IPv4)中传输。GRE可以作为VPN的第三层隧道协议,在协议层之间采用隧道(Tunnel)技术。Tunnel是一种虚拟的点对点的连接,可以看成仅支持点对点连接的虚拟接口。这个虚拟接口提供了一条通路,在两端对数据进行封装及解封装,并在此通路上传输。2.1.2 报文封装及解封装基本概念净荷(Payload)是指系统收到的需要封装和路由的数据报。净荷首先被加上GRE头,即封装为GRE报文;再被封装在IP报文中,这样此报文就可以在IP层传输了。封装好的Tunnel报文格式如图2-1所示。图2-1 封装好的Tunnel报文格式报文的传输报文在Tunnel中传输包括加封装和解封装两个过程。下面以图2-2的网络为例说明这两个过程。图2-2 网络通过GRE隧道互连加封装过程RouterA在连接Group1的接口收到IP数据报后,首先交由IP协议处理。IP协议根据IP报头中的目的地址域来确定如何路由此数据报。如果发现此报文的目的地址要经过网号为1f的网络(Tunnel的虚拟网号),则将此报文发给网号为1f的Tunnel接口。GRE模块收到此报文后进行GRE封装。封装完成后由IP模块来处理此数据报。IP模块为此数据报封装IP报文头后,根据报文目的地址和路由表将其交由相应的网络接口处理。解封装过程解封装过程和加封装过程相反。RouterB从GRE tunnel接口收到IP报文,检查目的地址。如果路由器发现目的地就是本路由器时,去掉此报文的IP报头;接着,根据IP头中的协议字段可判断其为GRE报文,于是将报文交给GRE协议模块处理。GRE协议模块完成相应的处理后,去掉GRE报头,根据协议字段交由IP协议模块处理。IP协议模块将此数据报进行处理。2.1.3 GRE协议的应用GRE主要可用于实现:l 多协议的本地网通过单一协议的骨干网传输;l 将不连续的子网连接起来,扩大步跳数受限协议的网络的工作范围;l 组建VPN;l 与IPSec结合使用,弥补IPSec不能保护组播数据的缺陷;l 提供两种比较弱的安全机制校验和验证与识别关键字KEY验证。2.2 GRE故障处理2.2.1 典型组网环境图2-3 GRE的典型组网图如图2-3所示,Quidway1与Quidway2之间建立一个GRE tunnel。且Quidway1与Quidway3直连,Quidway2与Quidway3直连。2.2.2 配置注意事项配置项子项注意事项Tunnel两端的封装模式tunnel-protocolTunnel两端的封装模式必须相同。Tunnel的源地址sourceTunnel的源地址是发出GRE报文的实际接口IP地址。隧道的源地址可以指定为:源接口源接口的IP地址另一tunnel接口Tunnel的目的地址destinationTunnel的目的地址是接收GRE报文的实际接口IP地址。目的地址必须指定为目的端的IP地址Tunnel的源地址与目的地址唯一标识了一条隧道。这些配置在Tunnel两端必须配置,且两端地址互为源地址和目的地址。Tunnel接口的IP地址ip address为使隧道支持动态路由协议,需要配置Tunnel接口的IP地址或配置IP地址借用。Tunnel接口的IP地址可以不是公网地址。经过Tunnel转发的路由配置静态路由或配置动态路由在隧道两端的路由器上都必须存在经过Tunnel转发的路由,这样,进行了GRE封装的报文才能正确转发。可以通过在Tunnel的两端都配置静态路由或配置动态路由来实现。配置静态路由时,需要注意:目的地址应该是未进行GRE封装的报文的目的地址,出接口是本端Tunnel接口。配置动态路由协议时,在Tunnel接口和与私网相连的路由器接口上都要使能该动态路由协议。为保证能够选到正确的路由,在配置动态路由协议时,应注意避免选择Tunnel接口作为去往Tunnel目的端物理地址的路由出接口。识别关键字(可选)gre key如果使能识别关键字,必须两端都使能,且指定相同的key-number。当在分布式设备上创建Tunnel接口时,建议Tunnel接口的槽位号与所设置的源端接口所在槽位号保持一致。即,使用发出GRE报文的实际接口的槽位号,这样可以提高转发效率。下面以图2-3为例,说明配置GRE时需要注意的事项。l Quidway1上配置Tunnel接口# 配置POS1/0/0 的IP地址。Quidway1 interface pos 1/0/0Quidway1-Pos1/0/0 ip address 100.1.1.1 255.255.255.0# 配置Tunnel接口IP地址。Quidway1 interface tunnel 1/0/0Quidway1 ip address 30.1.1.1 255.255.255.0# 配置Tunnel源地址。l 指定为源端口IP地址Quidway1-Tunnel1/0/0 source 100.1.1.1l 或指定为源端口Quidway1-Tunnel1/0/0 source pos 1/0/0# 配置Tunnel目的地址。Quidway1-Tunnel1/0/0 destination 100.2.1.2l Quidway2上配置Tunnel接口# 配置POS1/0/0 的IP地址。Quidway2 interface pos 1/0/0Quidway2-Pos1/0/0 ip address 100.2.1.2 255.255.255.0# 配置Tunnel接口IP地址。Quidway2 interface tunnel 1/0/0Quidway2-Tunnel1/0/0 ip address 30.1.1.2 255.255.255.0# 配置Tunnel源地址。l 指定为源端口IP地址Quidway2-Tunnel1/0/0 source 100.2.1.2l 或指定为源端口Quidway2-Tunnel1/0/0 source pos 1/0/0# 配置Tunnel目的地址。Quidway2-Tunnel1/0/0 destination 100.1.1.1l 配置路由使Quidway1和Quidway2能互通# Quidway1上配置到Quidway2所需的路由,这里用静态路由。Quidway1 ip route-static 100.2.1.0 255.255.255.0 100.1.1.2# Quidway2上配置到Quidway1所需的路由,这里用静态路由。Quidway2 ip route-static 100.1.1.0 255.255.255.0 100.2.1.1l 配置经过Tunnel转发的运营商网络路由或用户网络路由 配置经过Tunnel转发的运营商网络路由。Quidway1 ip route-static 30.1.1.0 255.255.255.0 tunnel 1/0/0Quidway2 ip route-static 30.1.1.0 255.255.255.0 tunnel 1/0/0 或配置经过Tunnel转发的用户网络路由。Quidway1 ip route-static 10.2.1.0 255.255.255.0 tunnel 1/0/0Quidway2 ip route-static 10.1.1.0 255.255.255.0 tunnel 1/0/02.2.3 故障诊断流程针对图2-3所示的网络,在配置各路由器后发现PC1和PC2不能互相访问。请使用下面的故障诊断流程,如图2-4所示。图2-4 GRE故障诊断流程图2.2.4 故障处理步骤本故障分为两种情况:一端或两端Tunnel接口网络层协议为Down步骤 1 检查两端tunnel的封装模式是否一致可以在该tunnel的接口视图下执行display this interface命令来检查两端tunnel的封装模式是否一致。通过tunnel接口的显示信息,可以查看两端的tunnel的封装模式。显示结果举例如下:Quidway-Tunnel1/0/0 display this interfaceTunnel1/0/0 current state : UPLine protocol current state : UPDescription : HUAWEI, Quidway Series, Tunnel1/0/0 Interface, Route PortThe Maximum Transmit Unit is 1500 bytesInternet Address is 30.1.1.1/24Encapsulation is TUNNEL, loopback not setTunnel source 100.1.1.1 (Serial1/0/0), destination 100.2.1.2Tunnel protocol/transport GRE/IP , key disabledChecksumming of packets disabledQoS max-bandwidth : 64 KbpsOutput queue : (Urgent queue : Size/Length/Discards) 0/50/0Output queue : (Protocol queue : Size/Length/Discards) 0/1000/0Output queue : (FIFO queuing : Size/Length/Discards) 0/75/0 5 minutes input rate 0 bytes/sec, 0 packets/sec 5 minutes output rate 0 bytes/sec, 0 packets/sec 0 packets input, 0 bytes 0 input error 0 packets output, 0 bytes 0 output error目前,tunnel支持三种封装模式,即:GRE(默认封装模式)、ipv6-ipv4以及MPLS TE。从显示的信息中的粗体部分可以看出,当前的tunnel封装模式为GRE。如果两端的封装模式相同,则说明问题不在此步骤。步骤 2 两端tunnel是否配置了IP地址、源地址和目的地址;两端是否互为源地址和目的地址确定tunnel两端封装模式一致后,检查两端的tunnel是否配置了tunnel的IP地址、源地址和目的地址,重点检查两端的tunnel是否互为源和目的地址。因为Tunnel的源地址与目的地址唯一标识了一条隧道;如果不是互为源和目的地址,那么就不能共同建立一条隧道。可以在tunnel接口视图下执行display this来检查两端tunnel的配置状态。例如,在图2-3中,对隧道正确的配置如下:Quidway1的tunnel配置状态为:Quidway1-Tunnel1/0/0 display this#interface Tunnel1/0/0 ip address 30.1.1.1 255.255.255.0 source 100.1.1.1 destination 100.2.1.2#returnQuidway2的配置状态为:Quidway2-Tunnel1/0/0 display this#interface Tunnel1/0/0 ip address 30.1.1.2 255.255.255.0 source 100.2.1.2 destination 100.1.1.1#return上述的tunnel接口配置信息中,如果两端互为源和目的地址,但在tunnel接口视图下执行display this interface 命令,发现tunnel链路状态“Line protocol current state”仍然是“down”,则继续按如下步骤检查。步骤 3 检查tunnel源和目的地址之间是否存在路由确定两端tunnel接口的配置无误后,tunnel的链路状态仍然是Down,此时要检查tunnel的源地址所在的接口和目的地址所在的接口之间是否可达:l 如果两个接口不是直连的,检查这两个接口之间是否存在到对方的路由。l 如果将tunnel建立在直连的两个接口间,就不会存在路由的问题。使用display ip routing-table命令查看路由表。如果路由表正确,使用display fib命令查看转发表(FIB表),即查看数据能否正确转发。FIB表应与路由表一致。仍以图2-3中的Quidway1和Quidway2为例,执行display fib以后,Quidway1上的FIB表显示如下:FIB Table: Total number of Routes : 10Destination/Mask Nexthop Flag TimeStamp Interface Token127.0.0.1/32 127.0.0.1 HU t0 InLoop0 0x0127.0.0.0/8 127.0.0.1 U t0 InLoop0 0x0100.1.1.1/32 127.0.0.1 HU t0 InLoop0 0x0100.1.1.0/24 100.1.1.1 U t0 Pos1/0/0 0x010.1.1.2/32 127.0.0.1 HU t0 InLoop0 0x010.1.1.0/24 10.1.1.2 U t0 Pos2/0/0 0x030.1.1.1/32 127.0.0.1 HU t0 InLoop0 0x030.1.1.0/24 30.1.1.1 U t0 Tun1/0/0 0x0Quidway2上的显示为:FIB Table: Total number of Routes : 10Destination/Mask Nexthop Flag TimeStamp Interface Token127.0.0.1/32 127.0.0.1 HU t0 InLoop0 0x0127.0.0.0/8 127.0.0.1 U t0 InLoop0 0x0100.2.1.2/32 127.0.0.1 HU t0 InLoop0 0x0100.2.1.0/24 100.2.1.2 U t0 Pos1/0/0 0x010.2.1.2/32 127.0.0.1 HU t0 InLoop0 0x010.2.1.0/24 10.2.1.2 U t0 Pos2/0/0 0x030.1.1.2/32 127.0.0.1 HU t0 InLoop0 0x030.1.1.0/24 30.1.1.2 U t0 Tun1/0/0 0x0从上述的FIB表中可以看出,Quidway1没有到Qudiway2网段100.2.1.0的路由,Quidway2也没有到Qudiway1网段100.1.1.0的路由;所以,两端tunnel接口的状态为Down,两端不能ping通。需要分别在Quidway1和Quidway2上配置静态路由或动态路由协议,使Quidway1有从100.1.1.0到100.2.1.0网段的路由,Quidway2有从100.2.1.0到100.1.1.0的路由。至此,如果Tunnel接口的网络层协议状态仍然为Down,请联系华为的技术支持工程师;如果两端Tunnel接口的网络层协议状态变为Up,但仍ping不通对端Tunnel接口IP地址,请继续执行如下操作。-结束两端Tunnel接口的网络层协议都Up 步骤 1 检查两端GRE Key的配置是否一致在两端执行display interface tunnel interface-number命令,检查两端tunnel接口的GRE Key是否一致。正确的配置为:l 或者两端都不配置GRE Key;l 或者两端配置相同的key-number。如果两端Tunnel接口GRE Key一致,但两端仍然ping不通对端,继续进行如下操作。步骤 2 检查两端tunnel接口的IP地址如果两端tunnel的状态都为Up,但ping不通对端tunnel接口,需要检查两端tunnel接口的IP地址是否在同一网段。如果不在同一网段,则需要配置静态路由或动态路由,使本端路由器有到对端tunnel接口IP地址的路由。配置注意事项请参见配置注意事项中相应配置项的注意事项。至此,如果无法排除故障,请联系华为的技术支持工程师。-结束2.3 故障处理案例2.3.1 两端Tunnel接口网络协议都Up,但ping不通对端Tunnel接口网络环境图2-5 GRE本端ping不通对端Tunnel接口GRE两端Tunnel接口网络协议都Up。但Router1的Tunnel1/0/0与Router2 的Tunnel1/0/0之间无法互相ping通。故障分析出现此现象的可能原因有:l 两端GRE Key的配置不一致l 两端tunnel接口IP地址不在同一个网段且tunnel间没有可达路由在两端执行display interface tunnel interface-number命令,检查两端tunnel接口的GRE Key是否一致。在Router1执行:Router1 display interface Tunnel 1/0/0Tunnel1/0/0 current state : UPLine protocol current state : UPDescription : HUAWEI, Quidway Series, Tunnel1/0/0 InterfaceThe Maximum Transmit Unit is 1000 bytesInternet Address is 11.1.1.1/24Encapsulation is TUNNEL, loopback not setTunnel source 1.1.1.1 (LoopBack1), destination 2.2.2.2Tunnel protocol/transport GRE/IP , key 0x2linkalive disabledChecksumming of packets disabledQoS max-bandwidth : 64 KbpsOutput queue : (Urgent queue : Size/Length/Discards) 0/50/0Output queue : (Protocol queue : Size/Length/Discards) 0/1000/0Output queue : (FIFO queuing : Size/Length/Discards) 0/256/0 5 minutes input rate 0 bytes/sec, 0 packets/sec 5 minutes output rate 0 bytes/sec, 0 packets/sec 0 packets input, 0 bytes 0 input error 0 packets output, 0 bytes 0 output error在Router2执行:Quidway2 display interface Tunnel 1/0/0Tunnel1/0/0 current state : UPLine protocol current state : UPDescription : HUAWEI, Quidway Series, Tunnel1/0/0 InterfaceThe Maximum Transmit Unit is 1000 bytesInternet Address is 21.1.1.1/24Encapsulation is TUNNEL, loopback not setTunnel source 2.2.2.2 (LoopBack1), destination 1.1.1.1Tunnel protocol/transport GRE/IP , key disabledlinkalive disabledChecksumming of packets disabledQoS max-bandwidth : 64 KbpsOutput queue : (Urgent queue : Size/Length/Discards) 0/50/0Output queue : (Protocol queue : Size/Length/Discards) 0/1000/0Output queue : (FIFO queuing : Size/Length/Discards) 0/256/0 5 minutes input rate 0 bytes/sec, 0 packets/sec 5 minutes output rate 0 bytes/sec, 0 packets/sec 0 packets input, 0 bytes 0 input error 0 packets output, 0 bytes 0 output error从以上显示结果可发现,Router1使能了GRE Key,且配置Key number为2;Router2没有使能GRE Key。进行如下配置之一,使两端GRE Key的配置一致:l 在Router1上执行undo gre key命令去使能GRE Keyl 或在Router2上执行gre key2使能GRE Key如果此时仍然无法排除故障,在两端tunnel接口视图下执行display this命令查看两端tunnel的IP地址。Quidway1显示如下:#interface Tunnel1/0/0 ip address 11.1.1.1 255.255.255.0 source LoopBack1 destination 2.2.2.2 gre key 2 mtu 1000 #Qudiway2显示如下:#interface Tunnel1/0/0 ip address 21.1.1.1 255.255.255.0 source LoopBack1 destination 1.1.1.1 gre key 2#从以上显示信息可以看出,两端tunnel的IP地址都是24位,但不在同一网段:一个是11.1.1.1,一个是21.1.1.1。所以,需要检查两端是否配置到达对端tunnel1/0/0的IP地址的路由。分别在两端执行display fib命令。Router1显示如下:FIB Table: Total number of Routes : 11Destination/Mask Nexthop Flag TimeStamp Interface TunnelID127.0.0.1/32 127.0.0.1 HU t138 InLoop0 0x0127.0.0.0/8 127.0.0.1 U t138 InLoop0 0x01.1.1.1/32 127.0.0.1 HU t140437 InLoop0 0x0172.2.6.1/32 127.0.0.1 HU t407843 InLoop0 0x0172.2.6.0/24 172.2.6.1 U t407843 Eth4/2/0 0x0172.2.4.0/24 172.2.6.2 DGU t442303 Eth4/2/0 0x02.2.2.2/32 172.2.6.2 DGHU t442303 Eth4/2/0 0x011.1.1.1/32 127.0.0.1 HU t494003 InLoop0 0x011.1.1.0/24 11.1.1.1 U t494003 Tun1/0/0 0x0Router2显示如下:FIB Table: Total number of Routes : 13Destination/Mask Nexthop Flag TimeStamp Interface Token127.0.0.1/32 127.0.0.1 HU t0 InLoop0 0x0127.0.0.0/8 127.0.0.1 U t0 InLoop0 0x0172.2.4.1/32 127.0.0.1 HU t0 InLoop0 0x021.1.1.1/32 127.0.0.1 HU t0 InLoop0 0x02.2.2.2/32 127.0.0.1 HU t0 InLoop0 0x0172.2.4.0/24 172.2.4.1 U t0 Eth3/2/0 0x0172.2.6.0/24 172.2.4.2 DGU t0 Eth3/2/0 0x01.1.1.1/32 172.2.4.2 DGHU t0 Eth3/2/0 0x0从上述信息中可以看出,两端没有配置到达对端tunnel接口IP地址的路由。所以,需要在两端增加到达对端tunnel1/0/0的路由:在Router1上配置静态路由:ip route-static 21.1.1.0 24 tunnel 1/0/0;在Router2上配置静态路由:ip route-static 11.1.1.0 24 tunnel 1/0/0。此时在Router1和Router2上ping对端tunnel1/0/0的IP地址,可以收到对端的回应报文。这样就建立了一个正确的GRE隧道。如果至此还无法排除此GRE故障案例,请联系华为的技术支持工程师。处理步骤步骤 1 检查两端tunnel接口的GRE Key是否一致。步骤 2 检查两端是否配置到达对端tunnel接口IP地址的路由。-结束案例总结GRE两端的Tunnel接口网络层协议为Up,并不表明GRE隧道配置成功。还要使两端GRE Key的配置一致,且源端路由器和目的端路由器上都存在经过Tunnel转发的路由,即两端都有对端Tunnel接口IP地址的路由。2.3.2 两端Tunnel接口可以ping通,PC之间无法ping通网络环境如图2-6所示,Tunnel两端接口配置正确且Tunnel两端可以Ping通,但PC1和PC2之间无法Ping通。图2-6 PC1和PC2之间无法Ping通故障分析隧道配置正确,但PC1和PC2之间无法Ping通,可能原因有:l Router1上没有到PC1的路由l Router2上没有到PC2的路由l PC1未指定Router1为自己的缺省网关l PC2未指定Router2为自己的缺省网关在Router1和Router2分别执行display ip routing-table命令,检查Router1是否有经过Tunnel1/0/0接口到10.2.0.0/16的路由;在Router2是否有经过Tunnel2/0/0接口到10.1.0.0/16的路由。如果缺少相应的路由,在系统视图下使用ip route-static命令添加。以Router1为例,配置如下:Router1 ip route-static 10.2.0.0 255.255.0.0 tunnel 1/0/0。此时在Router1和Router2上ping对端tunnel接口的IP地址,应该可以收到对端的回应报文。如果PC之间仍无法ping通,则查看PC1是否指定Router1为自己的缺省网关;然后查看PC2是否指定Router2为自己的缺省网关。处理步骤步骤 1 检查Router1是否有经过Tunnel1/0/0接口到10.2.0.0/16的路由。步骤 2 检查Router2是否有经过Tunnel2/0/0接口到10.1.0.0/16的路由。步骤 3 检查PC1是否指定Router1为自己的缺省网关。步骤 4 检查PC2是否指定Router2为自己的缺省网关。-结束案例总结GRE的两端Tunnel接口可以ping通后,要使GRE封装的报文正确转发,必须使源端路由器和目的端路由器上都存在经过Tunnel转发的路由。2.4 FAQl 问:Tunnel源地址的配置支持源接口方式,可为什么使用指定源接口方式配置tunnel的源地址后,tunnel的状态并没有Up。在该接口视图下用命令display this interface查看源地址时,显示的Tunnel source为0.0.0.0?答:这是因为指定的tunnel源的源接口并没有配置IP地址,请配置该源接口的IP地址。l 问:配置Tunnel时,按照先配置tunnel的IP地址、源和目的IP地址,再配置源接口的IP地址的顺序。完成后,为何tunnel状态不能为Up?答:可能原因是在同一个源和目的地址建立了两条tunnel,其中一条tunnel使用IP地址作为tunnel的源地址,另一条使用源接口作为tunnel的源地址。这种情况下,如果配置源接口的IP地址后,只能使配置了源接口的那个tunnel会变为Up,而使用IP地址的那个tunnel的状态不能变为Up。l 问:用IP地址指定tunnel源地址,而该IP地址属于某一源接口,为什么在该接口视图下用命令display this interface查看源接口时,发现tunnel的源接口变成了另外一个接口了呢?答:原因是配置完tunnel后,将tunnel源地址的IP地址配置给了其他的接口。tunnel检测到为其源地址配置的IP地址所在的源接口更改了,就会自动将tunnel源地址的源接口更新。l 问:为什么配置了tunnel的IP地址、源地址和目的地址后,tunnel的状态还是Down呢?答:让tunnel状态为Up的条件有3个: 配置了tunnel接口的IP地址; 配置了源地址和目的地址; 最容易忽视的一个,源和目的地址之间要有可达的路由。如果源地址和目的地址之间没有可达的路由,可使用ip route-static命令配置静态路由,也可以运行动态路由协议,实现tunnel的源地址和目的地址之间有可达的路由。l 问:所有的配置都完成了,源和目的地址之间也有可达路由,tunnel的状态也是Up的,为什么还是ping不通对端Tunnel接口IP地址呢?答:可能原因有: 两端tunnel接口IP地址不在同一网段。 两端GRE Key的配置不一致。如果只有一端配置了GRE Key,或者两端都配置了GRE Key但Key-number不一致,都会使本端ping不通对端Tunnel接口IP地址。l 问:配置了几层嵌套tunnel以后,为什么ping不通?答:在tunnel中只支持3层的嵌套,如果超出3层嵌套,就会ping不通。所以,检查一下配置tunnel的层数。l 问:假设有三台路由器A、B和C,A和B直连,B和C直连,隧道建立在AC之间。这种情况下,需要进行哪些配置才能建立一条隧道呢?答:需要进行如下配置: 首先在路由器A、B、C上分别完成各自的接口配置,并在A、C上创建Tunnel接口。 在A上指定tunnel的源接口为A上与B相连的物理接口,指定tunnel的目的地址为C上与B相连的物理接口。 在C上指定tunnel的源接口为C上与B相连的物理接口,指定tunnel的目的地址为A上与B相连的物理接口。 添加A到C的路由和C到A的路由。这样就完成了跨路由器的隧道的建立。l 问:GRE隧道建立成功,但为什么报文还是不能正确转发?答:在源端路由器和目的端路由器上都必须存在经过Tunnel转发的路由,这样,需要进行GRE封装的报文才能正确转发。可以配置静态路由或配置动态路由。在Tunnel的两端都要配置。配置该静态路由的命令是ip route-static dest-ip-address mask | mask-length tunnel tunnel-number。需要注意:目的地址dest-ip-address不是目的端Tunnel接口的IP地址,而是未进行GRE封装的报文的目的地址,出接口应配置成本端Tunnel接口;下一跳是对端Tunnel接口的地址。配置动态路由协议时,在Tunnel接口和与私网相连的路由器接口上都要使能该动态路由协议。并且,为保证能够选到正确的路由,在配置动态路由协议时,应注意避免去往Tunnel目的端物理地址的路由下一跳被选为Tunnel接口。l 问:L2VPN或L3VPN进行隧道选路时,选中了GRE,虽然该隧道接口为Up,但VPN数据转发不通。为什么?答:VPN根据隧道策略在隧道管理提供的隧道中选择合适的隧道。如果隧道策略配置的隧道类型是GRE,隧道管理向GRE模块查询指定目的IP地址的GRE隧道。GRE模块会将所有符合条件的状态为UP的Tunnel提供给隧道管理。在没有使能Linkalive功能的情况下,即使对端不可达,本端GRE的隧道接口状态也可能为Up。因此,隧道管理向VPN提供的隧道有可能不可用,即VPN选中的隧道有可能是实际不可用的。为了避免VPN选中不可用的隧道,建议GRE隧道两端都使能Linkalive功能。2.5 故障诊断工具2.5.1 display命令命令说明display this此命令应在当前tunnel接口视图下执行,显示当前tunnel的最基本的配置信息。display this interface此命令应在当前tunnel接口视图下执行,显示tunnel接口的详细信息。display fib显示转发信息表。display thisQuidway-Tunnel4/0/0 display this#interface Tunnel4/0/0 ip address 2.2.2.2 255.255.255.0 source Ethernet3/2/0 destination 192.168.1.1 gre key 10 gre checksum#Return表2-1 display this命令输出信息描述项目说明ip address 2.2.2.2 255.255.255.0当前Tunnel接口的IP地址为2.2.2.2,掩码为255.255.255.0。source Ethernet3/2/0当前Tunnel的源接口为Ethernet3/2/0。destination 192.168.1.1当前Tunnel的目的地址为192.168.1.1。gre key 10当前Tunnel接口的关键字值是10。gre checksum当前Tunnel接口使能了校验和检查。display this interfaceQuidway-Tunnel1/0/0 display this interfaceTunnel1/0/0 current state : UPLine protocol current state : UPDescription : HUAWEI, Quidway Series, Tunnel1/0/0 Interface, Route PortThe Maximum Transmit Unit is 1500 bytesInternet Address is 30.1.1.2/24Encapsulation is TUNNEL, loopback not setTunnel source 100.1.1.1 (Serial1/0/0), destination 100.1.1.2Tunnel protocol/transport GRE/IP , key disabledChecksumming of packets disabledQoS max-bandwidth : 64 KbpsOutput queue : (Urgent queue : Size/Length/Discards) 0/50/0Output queue : (Protocol queue : Size/Length/Discards) 0/1000/0Output queue : (FIFO queuing : Size/Length/Discards) 0/75/0 5 minutes input rate 0 bytes/sec, 0 packets/sec 5 minutes output rate 0 bytes/sec, 0 packets/sec 0 packets input, 0 bytes 0 input error 0 packets output, 0 bytes 0 output error表2-2 display this interface命令输出信息描述项目说明Tunnel1/0/0 current state : UP当前Tunnel接口的状态为Up。Line protocol current state : UP当前Tunnel接口的协议状态为UP。The Maximum Transmit Unit is 1500 bytes当前Tunnel接口的最大传输单元为1500字节。Internet Address is 30.1.1.2/24当前Tunnel接口的IP地址为30.1.1.2,掩码为24位,即255.255.255.0。Tunnel source 100.1.1.1 (Serial1/0/0), destination 100.1.1.2当前Tunnel的源地址为100,1.1.1(源接口为Serial1/0/0),目的地址为100.1.1.2。Tunnel protocol/transport GRE/IP , key disabled隧道协议是GRE,传输协议是IP;当前Tunnel接口不进行关键字验证。Checksumming of packets disabled当前Tunnel接口不对报文进行校验和检查。QoS max-bandwidth : 64 Kbps当前Tunnel接口的最大带宽为64Kbit/s。display fib display fib FIB Table: Total number of Routes : 8Destination/Mask Nexthop Flag TimeStamp Interface Token127.0.0.1/32 127.0.0.1 HU t0 InLoop0 0x0127.0.0.0/8 127.0.0.1 U t0 InLoop0 0x01.1.1.3/32 127.0.0.1 HU t0 InLoop0 0x01.1.1.0/24 1.1.1.3 U t0 Eth3/1/0 0x0192.168.1.3/32 127.0.0.1 HU t0 InLoop0 0x0192.168.1.0/24 192.168.1.3 U t0 Eth3/2/0 0x02.2.2.2/32 127.0.0.1 HU t0 InLoop0 0x02.2.2.0/24 2.2.2.2 U t0 Tun4/0/0 0x0display fib命令用来检查当前路由器到其他接口的可达路由的情况。当前tunnel状态为Down时,可以用display fib命令来检查tunnel源地址和目的地址之间是否有可达路由。2.5.2 debugging命令命令说明debugging tunnel显示tunnel的debug信息debugging ip packet acl显示符合ACL规则的报文信息debugging ip icmp显示ping报文的信息debugging tunneldebugging tunnel命令输出信息举例(以一个ping过程的debug信息为例):*0.93688561 PE TUNNEL/8/ATKDBG:Slot=2;Tunnel2/0/0-Out: Mbu
展开阅读全文
相关资源
正为您匹配相似的精品文档
相关搜索

最新文档


当前位置:首页 > 图纸专区 > 大学资料


copyright@ 2023-2025  zhuangpeitu.com 装配图网版权所有   联系电话:18123376007

备案号:ICP2024067431-1 川公网安备51140202000466号


本站为文档C2C交易模式,即用户上传的文档直接被用户下载,本站只是中间服务平台,本站所有文档下载所得的收益归上传人(含作者)所有。装配图网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。若文档所含内容侵犯了您的版权或隐私,请立即通知装配图网,我们立即给予删除!