华为HCIE-R&S（数通）论述题（五）

华为HCIE-R&S（数通）论述题（五）

MPLS LDP隧道建立以及故障排除

问题一：如图所示，在4台路由器使用OSPF互联互通的情况下，建立MPLS企业网LSP隧道，但发现LSP隧道建立失败，那么影响MPLS公网LSP建立的因素有哪些？（至少答对4条）（4分）

答案解析：
1、LDP会话故障导致LSP隧道建立失败

导致LDP会话无法建立的因素有以下几种：

1>LDP LSR-ID冲突
LSR ID用来在网络中唯一标识一个LSR。LSR没有缺省的LSR ID，必须手工配置。如果LSR ID冲突将导致无法建立LDP会话。

2>MPLS设备在全局或接口未使能MPLS/MPLS LDP功能
只有使能了全局MPLS以及MPLS LDP，才可以配置MPLS LDP的其他配置。如果接口未使能MPLS以及MPLS LDP，将导致LDP会话无法建立。

3>LDP配置了认证，密码不一致。
为了提高LDP会话连接的安全性，可以对LDP使用的TCP连接配置认证。LDP会话的两个对等体可以配置不同的加密方式，但是密码必须相同。如果密码不同，将会导致LDP会话无法建立

4>针对LDP建立TCP会话时，过滤源目端口号为646的报文
LDP会话基于TCP连接，TCP发起连接为源端口号随机，目的端口号为646，如果针对源目端口号为646的TCP报文进行过滤，将会导致LDP会话无法建立。

2、设备配置了LDP标签策略导致LSP隧道建立失败
缺省情况下，LSR会向其上游和下游LDP对等体都分配标签，会导致大量LSP的建立，造成资源的浪费，为了减少LSP的数量，配置LDP Inbound策略或者Outbound策略，限制标签映射消息的接收和发送。如果配置不当，会导致正常的LSP建立失败。

3、设备配置了LDP LSP建立的触发策略导致LSP隧道建立失败
使能MPLS LDP后，LSP将自动建立，如果不通过策略控制，将有大量的LSP建立导致资源浪费。为了减少LSP的数量，在Ingress和Egress上配置lsp-trigger策略，在Transit上配置propagate mapping策略，从而控制LSP的数量，节约网络资源。如果配置不当，会导致正常的LSP建立失败。

问题二：在MPLS网络中使用传统ip ping和trace route进行故障检测会面临什么样的问题？（4分）

答案解析：
在MPLS网络中使用传统ip ping和traceroute无法检测出LSP是否存在故障，可能会出现LSP建立失败但是仍然能够ping成功和tracert成功的问题。

传统的ip ping和traceroute主要用于检测目的网络的可达性，根据输出的统计信息来判断源端到目的端是否可达。ping命令通过使用ICMP请求报文和ICMP应答报文实现源端到目的端网络连通性的检测。traceroute命令使用UDP探测报文和ICMP错误报文实现源端到目的端网络连通性的检测，并记录从源端到目的端所经过的网关地址，便于后续定位故障点。

在当前MPLS网络中，假设所有的LSP都建立失败，此时在R1设备上执行ping命令检测R1到R4的网络连通性，R1首先查看FIB表中是否存在去往R4的路由信息，并根据tunnel id的取值判断是否需要标签转发（tunnel id为0，ip转发，不为0标签转发），题目已知4台路由器使用OSPF实现底层网络可达，所以R1的FIB表中存在去往R4的路由，且由于LSP建立失败tunnel id为0，需要IP转发。于是R1向R4发送ICMP请求报文，R4收到该报文后，发现是请求自己的，于是向R1回复ICMP应答报文，R1收到R4回复的应答报文后，输出成功的统计信息，即ping成功。由此可以判断出R1到R4 的网络连通性可达。如果假设所有LSP都建立成功，在R1设备上执行ping命令后，R1查FIB表根据tunnel id不为0 ，需要标签转发，R1在封装ICMP请求报文时会在IP头前加上一个MPLS头部，并向下一跳R2转发，当R2收到该报文后，直接查LFIB表，找到对应的出接口、出标签、下一跳，并向R4转发，R4收到该标签报文后发现是求自己的，同理查FIB表根据tunnel id不为0进行标签转发，最终R1收到R4回应的ICMP应答报文，并输出成功的统计信息。

至于tracert它的作用和ping类似，但是工作原理略有不同，在设备上执行tracert命令后，源端设备首先判断是ip转发还是标签转发，然后发送一个TTL值为1的UDP探测报文，并指定一个在目标设备没有应用的端口向下一跳网关设备转发，下一跳设备收到该报文后，如果是IP转发，则返回一个TTL值超时的ICMP错误消息以指明此数据包不能被发送，如果是标签转发，则查看是否有该探测报文源地址的路由，存在则返回一个TTL值超时的ICMP错误消息以指明此数据包不能被发送，不存在则不作响应直到超时，源端设备输出统计信息为***，并且源端会再发送一个TTL值为2的UDP探测报文，上述过程不断进行，直到到达目的地，由于报文探测指定的端口是一个在目标设备没有应用的端口，目标设备就会响应ICMP port unreachable信息给源端，表示目标端口不可达，同时说明tracert执行完毕。从而可以从源端显示的结果中，看到目标设备所经过的路径。

根据上述内容，我们可以判断出，其实只要底层路由可达，LSP建立失败或者成功，都不影响最终输出的统计信息，唯一的区别就是ICMP报文封装上多了一个MPLS头部，所以得出结论是传统的IP ping和tracert在MPLS网络中无法检测LSP故障。

问题三：如何在MPLS网络中有效的进行故障检测？（2分）

答案解析：
采用PING LSP和tracert LSP命令来进行测试。
因为在MPLS网络中，如果通过LSP转发数据失败，负责建立LSP的MPLS控制平面将无法检测到这种错误，加大了网络维护的难度。MPLS Ping/MPLS Tracert为用户提供了发现LSP错误、并及时定位失效节点的机制。

MPLS Ping主要用于检查LSP的连通性。MPLS Tracert在检查LSP的连通性的同时，还可以分析网络什么地方发生了故障。类似于普通IP的Ping/Tracert，MPLS Ping/MPLS Tracert使用MPLS回显请求（Echo Request）报文和MPLS回显应答（Echo Reply）报文检测LSP的可用性。这两种消息都以UDP报文格式发送，其中Echo Request的UDP端口号为3503，该端口号只有使能MPLS功能的设备才能识别。

MPLS Echo Request中携带需要检测的FEC信息，和其他属于此FEC的报文一样沿LSP发送，从而实现对LSP的检测。MPLS Echo Request报文通过MPLS转发给目的端，而MPLS Echo Reply报文则通过IP转发给源端。另外为了防止LSP断路时Echo Request进行IP转发，从而保证LSP的连通性测试，将Echo Request消息的IP头中目的地址设置为127.0.0.1/8（本机环回地址），IP头中的TTL值为1。

由于目的地址为127.0.0.1（环回地址）所以如果LSP建立失败时，报文不会通过IP转发，这样我们就能判断出该网络中LSP是否正常。