科学の箱

科学・IT・登山の話題

Juniper Network

VPNでRIPを利用しているときの調査手順

投稿日:2014年7月3日 更新日:

VPNでRIPを利用した時のトラブル対応手順をまとめておく。

VPNがリンクアップしていて通信が正常にできないとき、原因としては2つ考えられる。
– ポリシー
– ルーティングテーブル

まずポリシーについてはANY ANYでパーミットを入れておく。これによりPolicyは調査項目から除外できる。

次にルーティングテーブルについて調べる。このときあらかじめStatic route(両方とも)で接続ができることを確認しておく。

ここまでが前提条件としてRIPの調査を進める。

手順は以下のようになる

  • ルーティングテーブルの確認
  • neighborsの確認
  • インタフェースの確認
  • databaseの確認

Routing Tableの全体を確認

RoutingテーブルでStatic/Connected/Hostが正しく表示されているかを確認する。RIPは再配送されてきた情報以外は、Connected/Hostについて認識されていなければやり取りをすることができない。ローカルインタフェースおよびStaticインタフェースについて正しくルーティングテーブルに取り込まれていることを確認する。

get vrouter trust-vr 
        ID          IP-Prefix      Interface         Gateway   P Pref    Mtr     Vsys
--------------------------------------------------------------------------------------
*        17     192.168.1.0/24        bgroup0         0.0.0.0   C    0      0     Root
*         1        10.0.0.0/24         eth0/0         0.0.0.0   C    0      0     Root
*         2        10.0.0.1/32         eth0/0         0.0.0.0   H    0      0     Root
*        18     192.168.1.1/32        bgroup0         0.0.0.0   H    0      0     Root
*        14          0.0.0.0/0         eth0/0      10.0.0.254   S   20      1     Root

*        32     192.168.2.0/24          tun.1        10.0.0.2   R  100     11     Root
         31     192.168.1.0/24          tun.1        10.0.0.2   R  100      3     Root

RIP Neighborsの確認

ルーティングテーブル上にRがない場合にはneighborsが認識されていない可能性がある。インタフェース毎にRIPプロトコルの相手が表示されるかを検証する。

get vrouter trust-vr protocol rip neighbors

ssg5-serial-> get vrouter trust-vr protocol rip neighbors
VR: trust-vr
----------------------------------------------------------------------------
Flags : Static - S, Demand Circuit - T, NHTB - N, Down - D, Up - U, Poll - P,
        Demand Circuit Init - I
Neighbors on interface bgroup0
----------------------------------------------------------------------------
IpAddress       Version  Age          Expires      BadPackets BadRoutes Flags   
----------------------------------------------------------------------------
Neighbors on interface tunnel.1
----------------------------------------------------------------------------
IpAddress       Version  Age          Expires      BadPackets BadRoutes Flags   
----------------------------------------------------------------------------
10.0.0.2        2        00:32:45     00:02:35              0         0 U

ここではtunnel.1で10.0.0.2がneighborとして認識されていることがわかる。

RIPが有効になっているインタフェースを確認

RIPはインタフェースで明示的に有効にする必要がある。ここではRIPが対象としているインタフェースで正しく有効になっているかを確認する。

get vrouter trust-vr protocol rip
Interface   IP-Prefix        Admin      State    Flags   NbrCnt Metric Ver-Rx/Tx
----------------------------------------------------------------------------
bgroup0     192.168.1.1/24   enabled    enabled  S            0     10   v1v2/v1v2
tun.1       unnumbered       enabled    enabled  S            1      1   v1v2/v1v2

この時RIPのメトリックがInterfaceで設定された値であることも確認しておく。

RIPデータベースの確認

RIPデータベースを確認して予定している情報が取り込まれているかを確認する。

Connected/HostがFlags = I
Connected/HostがFlags = Iのルーティングとして出ているかを確認する。ここに出ていないローカルネットワークのサブネットは配送されない。表示されない原因として、1)インタフェースの設定がおかしい、2)再配送がインタフェースで居されていない、3)アクセスリストにIPアドレスが入っていない。

MR

MRについては、NexthopとSourceが正しいこと、インタフェースがNexthopと矛盾していないことを確認する。SourceはRIP情報が来たルータである。Nexthopは該当のサブネットについて送り込むゲートウェイになる。このNexthopとIfpで示されるインタフェースは一致している必要が合る。

metricを確認する

Flags=Iである場合にはCost=0である。それ以外はデフォルトではない設定がされているの確認する。Rである場合にはその前のSourceで確認する。現在のcost – 1でSource側では設定されている。

ssg5-serial-> get vrouter trust-vr protocol rip database
VR: trust-vr
----------------------------------------------------------------------------
Total database entry: 3
Flags: Added in Multipath - M, RIP - R, Redistributed - I,
       Default (advertised) - D, Permanent - P, Summary - S,
       Unreachable - U, Hold - H
DBID   Prefix                Nexthop        Ifp     Cost Flags   Source
----------------------------------------------------------------------------
    69 192.168.1.0/24        0.0.0.0        bgroup0    0 I       -                 
          <-- connected routeについて確認する OK
          <-- Nexthopが0.0.0.0であるならばRIP経由で取得したroutingではないことがわかる、よってSourceもブランク
          <-- RIP経由で取得したルーティングであればSourceに値が入っているはず
          <-- Redistributedフラグがついているのでneighborsで学習されているかを確認すること
          <-- connetedは配送の許可をしているのでこれは構成どおりである
          
    72 192.168.1.0/24        10.0.0.2       tun.1      3 MR      10.0.0.2           
          <-- from 10.0.0.2 need to check on peer
          <-- こちらは対向ではredistributedになっていないし、pemissionにもはいっていない、おかしい。
          
    73 192.168.2.0/24        10.0.0.2       tun.1     11 MR      10.0.0.2
          <-- from 10.0.0.2 need to check on peer
          <-- 対向ではredistributedになっている。
Iは送り込み先でRとして表示されていることを確認する。このときCostはneighborsでは+1もしくは+2となっている。MRについてはSourceで表示されているneighborsでどうなっているかを確認する。たどっていけばIで表示されるレコードに到達する。


おかしなレコードがあった場合には送信元の該当インタフェースでRIPを無効にして確認してみるとよい。


メトリックの比較
192.168.1.1
    85 192.168.2.0/24        10.0.0.2       tun.1     11 MR      10.0.0.2
    81 192.168.1.0/24        0.0.0.0        bgroup0    0 I       -

192.168.2.1
    55 192.168.2.0/24        0.0.0.0        n/a       10 I       -
    56 192.168.1.0/24        10.0.0.1       tunnel.1    2 MR      10.0.0.1

 

メタ情報

inarticle



メタ情報

inarticle



-Juniper, Network
-

執筆者:


comment

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

関連記事

no image

Juniper Firewall SSG5 ファクトリリセット

背面にあるリセットボタンを使ってファクトリリセットをできるが、少々面倒くさい。 リセットスイッチを押すとグリーンからオレンジ色になる。 オレンジ色から緑になったら離す。 コンソールには下記のメッセージ …

no image

Cascade Profilerを使うときの手順

目的を明らかにする 自分が何のデータを必要としているのかを明らかにするために、目的をはっきりさせる。目的はS+Vで記述する。 Sは場所+サービス + 情報の種類とする。場所はネットワークが提供している …

no image

2台のJuniperをつなげて疎通するときのポイント

ping疎通までに必要な設定 Routingを設定する Untrust -> TrustへのPolicy 基本はこの2つを設定すれば疎通はできるはず。   Related posts: …

no image

Nortel ERS Troubleshooting.

コマンド一覧 show logging reverse-order show port-statistics show qos queue-set show environmental show st …

no image

Static -> RIP -> OSPFで再送する

20140909153014162 ネットワーク構成図はきれいにまとめる時間がないので添付を参照してほしい。 テストとしてStatitcをRIPに再送、そのままOSPFに再送をかけてみた。 SSG5側 …

2014年7月
« 6月   8月 »
 123456
78910111213
14151617181920
21222324252627
28293031  

side bar top



アーカイブ

カテゴリー