MPLS VPN是一种应用于广域骨干网络的数据隧道传输技术,通过在IP报文外封装多协议标记实现了VPN内部业务在广域网上传输。它能够充分利用广域公用骨干网的强大传输能力,降低了部门与企业建设内部应用网络Intranet的成本,提高了用户网络运营和管理的灵活性,同时还能够满足用户对信息传输安全性、实时性、宽频带和方便性的需要。
我单位政务信息网按照全省的统一安排和部署,各级信息中心密切配合建设完成了一个覆盖省、市、县三级党政部门的政务信息统一网络平台,把各部门的纵向业务通讯需求聚合在一起,采用MPLS VPN技术在统一的网络主干上为各党政部门划分不同的专用数据通道,既解决部门上下之间的信息交流和网络互联互通,又避免主干链路的各自为政、分散重复建设,取得了较好的组网效果。
在工程实施过程中,出现了由于主干线路上选购的光电转换器性能不足,无法透传大数据包,造成MPLS VPN网络故障的情况。通过对这个故障的分析可以让我们对MPLS VPN技术的实现原理及数据报文的结构有一个完整的了解。
图1 网络拓扑图
问题的描述
政务信息网的主干采用了华为公司的NE08(省级)、NE16(市级)以及NE05(县级)三级路由设备组成全省互联互通的MPLS VPN网络平台。具体的网络拓扑结构图如图1所示。
网上税收征管系统是省、市、县三级地税系统依托政务信息网建设的首个MPLS VPN网络平台的具体应用。在组网过程中,出现了如下的故障现象:县地税局可以正常访问市地税局的Web服务器,但却无法访问省地税局的Web服务器,同时在县级NE05路由器上ping省级NE08路由器时,小包可以正常ping通,而大的数据包却无法通过(如图2)。
图2 无法访问
分析故障的原因
为了准确定位故障发生的位置和原因,我们使用抓包工具在数据报文经过的主干链路上进行抓包分析。
1.在县地税局的用户终端上分别向市地税局的Web服务器以及省地税局的Web服务器ping 1472字节的数据包。在县级NE05路由器的出口位置进行抓包分析,发现ping市地税局的Web服务器时,报文长度是1518字节;而ping省地税局Web服务器时,报文长度则是1522字节(如图3、图4)。
图3 ping市地税局web服务器时的抓包信息
图4 ping省地税局web服务器时的抓包信息
2.变更抓包点的位置,在市级NE16路由器的入口位置进行抓包,发现只有1518字节到市地税局Web服务器的数据包,而没有1522字节到省地税局Web服务器的数据包。
根据以上抓包情况,我们可以初步判定县地税局用户不能正常访问省地税局服务器的原因是由于连接市、县二级路由器的光电转换器无法透传大包导致的。具体分析如下:
1)普通计算机发出的二层IP报文最大长度是1514字节,它包括了1472字节的数据包、20字节的IP报文头、8字节的ICMP报文头以及14字节的二层DLC报文头。超过1472字节的数据包会被网卡切片成多个IP报文进行传输。因此,县地税局用户发出的访问数据包到达县级NE05路由器的最大IP报文就是1514字节。
2)在政务信息MLPS VPN网络拓扑结构中,县级路由器NE05既是P设备也是PE设备,因此用户发送的纯IP数据报文在被转发到下一跳之前,需要被插入MPLS标签,以区分不同部门的VPN。我们抓到的县到市地税局的最大IP数据报文是1518字节,其实就是插入了一个4字节的MPLS标签;而县到省地税局的数据访问则是一种跨域MPLS VPN连接,IP报文经过了NE05→NE16→NE08三台P设备进行连接转发,因此县地税局用户发送的纯IP数据报文需要被插入2层MPLS标签进行寻址转发(经过市级NE16后,将会被去除一层MPLS标签),1514字节的纯IP数据报文经过NE05路由器后变成了1522字节(如图5、图6)。
图5 访问市地税局的IP数据报文中一层MPLS标签
图6 访问省地税局的IP数据报文中二层MPLS标签
3.在NE05路由器的出口我们可以正常捕捉到县到市地税局1518字节以及县到省地税局1522字节数据包;经过一对光电转换器后,在市级NE16路由器的入口则只能捕捉到县到市地税局1518字节数据包,因此可以判定故障原因是由于光电转换器对于超过1518字节以上的IP数据报文无法正常转发造成的。
4.逐步减小县地税局的用户终端ping数据包的大小,当数据包小于1468字节时,就可以正常ping通省地税局的Web服务器。这是因为1468字节的数据包加上三种协议包头,再加上2层MPLS标签,县到省地税局的IP数据报文正好是1518字节,可以正常通过光电转换器。
问题处理结果
通过与光电转换器生产厂商进行联系与沟通,我们更换了一种新型号的光电转换器,新的光电转换器可以支持透传1530以上字节的数据包,故障得到解决。
从以上案例的分析可知,MPLS VPN是一种基于多协议标签交换的路由隧道技术,工作原理是通过在普通的IP数据包中插入MPLS标签,来区分不同的VPN,实现在一条物理链路上为不同用户的数据传输划分出逻辑专用隧道。同时,由于IP数据包访问的目的地不同,经过P设备的路由跳数也不相同,插入的MPLS标签可能是多层的。在故障分析时,应根据MPLS VPN的工作原理,分析网络链路中不同接入点的IP数据包字节发生的改变,逐级排查,最终确定故障发生位置及产生的原因。
【相关文章】
【责任编辑:
杨硕 TEL:(010)68476636-8001】
责编:
微信扫一扫实时了解行业动态
微信扫一扫分享本文给好友 
微信扫一扫实时了解行业动态
资深技术经理:无线网络设备导致信..
网上邻居九招特殊的应用.doc
