Multiprotocol Label Switching (MPLS) : MPLS

Acesso à Internet a partir de uma VPN MPLS usando uma tabela de roteamento global

19 Setembro 2015 - Tradução por Computador
Outras Versões: Versão em PDFpdf | Inglês (22 Agosto 2015) | Feedback


Índice


Introdução

A finalidade deste documento é demonstrar a configuração de exemplo usada para acessar a Internet de uma VPN com base em Multiprotocol Label Switching (MPLS) usando uma tabela de roteamento global.

Em determinados cenários de rede, exige-se para alcançar o Internet de um VPN MPLS-baseado além do que a continuação manter a conectividade de VPN entre sites corporativo. Esta configuração de exemplo centra-se sobre o fornecimento do acesso ao Internet do VPN Routing and Forwarding (VRF) que contém a rota padrão ao Internet Gateway Router (IGW).

Pré-requisitos

Requisitos

Uma compreensão básica da transmissão e do MPLS VPN MPLS é exigida compreender inteiramente os índices deste documento.

Componentes Utilizados

As informações neste documento são baseadas nas versões de software e hardware abaixo.

  • Software Release 12.1(3)T do � do Cisco IOS. A liberação 12.0(5)T inclui a característica do MPLS VPN

  • Qualquer Cisco 3600 Series Router ou mais recente, como o Cisco 3660 ou 7206

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se você estiver trabalhando em uma rede ativa, certifique-se de que entende o impacto potencial de qualquer comando antes de utilizá-lo.

Material de Suporte

Neste exemplo de configuração, estas políticas eram no lugar:

  • Um roteador com Conectividade ao Internet é anexado à rede MPLS. O roteador pode ou não introduzir rotas BGP na tabela de roteamento global.

    Nota: Os roteadores de PE compreendem o BGP. O Roteadores tal como o Gigabit Switch Router (GSR) (que executa como um roteador central do fornecedor) não executa o BGP de todo.

  • Não há nenhuma exigência para que um VRF tenha uma tabela completa de roteamento na Internet (tabela BGP global), de modo que uma rota padrão estática é colocada em um VRF, apontando para o próximo endereço de nó global do IGW.

  • Um cliente VPN utiliza uma faixa registrada de endereço exclusivo que é roteável na tabela de roteamento de Internet global. O método do acesso discutido neste documento não é recomendado onde os clientes têm somente endereços privados em sua rede.

Convenções

Estes acrônimos são usados neste documento:

  • CE - Roteador de ponta do cliente

  • PE - Roteador de extremidade do provedor

  • P - Roteador central do fornecedor

Para obter mais informações sobre convenções de documento, consulte as Convenções de dicas técnicas Cisco.

Configurar

  • Você pode fazer referência ao Diagrama de Rede de uma ilustração dessa configuração. Nesse exemplo, CE 1 e CE 2 estão na mesma VPN. São configurados sob o cliente1 VRF, desde que não há nenhuma exigência para que um VRF tenha uma tabela de roteamento cheia do Internet (conforme as políticas na seção do material de suporte deste documento).

  • Uma rota padrão estática é configurada no cliente1 VRF no CE1 que aponta ao IGW. Colocando uma rota padrão estática no VRF customer1, os pacotes que não corresponderem a nenhuma das rotas contidas em VRF customer1 serão enviadas ao IGW.

Nota: Desde que o � de 192.168.67.1 do salto seguinte do Gateway de Internet não é parte de um the�customer1 VRF, uma rota padrão é configurada sob o cliente1 VRF que aponta ao IP 192.168.67.1 do s8/0 da relação do Gateway de Internet. A rota para 192.168.67.1 não está dentro do VRF do customer1, portanto é necessário ter uma palavra-chave global dentro da rota padrão estática configurada em VRF do customer1. A palavra-chave global especifica que o endereço do Next Hop da rota estática é resolvido dentro da tabela de roteamento global, não dentro de customer1 VRF.

O seguinte é um exemplo da rota estática.

ip route vrf customer1 0.0.0.0 0.0.0.0 192.168.67.1 global

Uma rota estática com uma palavra-chave global no VRF do cliente1 garante que todos os pacotes destinados à Internet sejam roteados para o gateway de Internet e, posteriormente, para a Internet.

Nota: A rota padrão no PE1 é configurada para apontar ao endereço IP de Um ou Mais Servidores Cisco ICM NT da interface serial do Gateway de Internet (192.168.67.1) e não ao endereço de loopback (10.1.1.6). Isso evita buracos negros em rotas em caso de falha de conectividade entre o gateway de Internet e a Internet (R7). Se a rota padrão aponta para o endereço de circuito de retorno do gateway da Internet e a conectividade entre o gateway da Internet-R7 se perde, todos os pacotes continuam a rotear para o gateway da Internet. Isto acontece porque o endereço de loopback permanece acima (192.168.67.1 desigual que está retirado da tabela de roteamento global quando o s8/0 da relação vai para baixo) e a rota padrão continua a existir na tabela de roteamento.

A próxima etapa é assegurar-se de que os pacotes que voltam do Internet à rede 11.11.11.0/24 do destino CE1, estejam distribuídos do Gateway de Internet ao PE1 e ao CE1 com o núcleo MPLS. Isto é conseguido configurando uma rota estática para a rede CE1 que aponta à relação da série 8/0 na tabela de roteamento global em PE 1. redistribui-o no Open Shortest Path First (OSPF) de modo que o Gateway de Internet tenha essa rota em sua tabela de roteamento global. Isso permite que o gateway de Internet roteie todos os pacotes que chegam da Internet para PE 1 e para o destino final além de CE 1.

O exemplo seguinte é o comando ip route usado na configuração no PE1.

ip route 11.11.11.0 255.255.255.0 Serial8/0 192.168.10.1

Nota: A rota estática acima configurada na tabela de roteamento global é além do que a rota estática configurada dentro do cliente1 VRF, que é usada para a informação de alcançabilidade da camada de rede VPN (NLRI). No PE 1 ele está configurado da maneira mostrada a seguir.

ip route vrf customer1 11.11.11.0 255.255.255.0 192.168.10.1

Nota: Para localizar informações adicionais sobre os comandos usados neste documento, utilize a Ferramenta Command Lookup (somente clientes registrados).

Diagrama de Rede

Este documento utiliza a instalação de rede mostrada no diagrama abaixo.

/image/gif/paws/24508/internet_access_mpls_vpn.gif

Configurações

Este documento utiliza as configurações mostradas abaixo.

CE 1
version 12.2
!
hostname CE-1
!
ip subnet-zero
!
interface Loopback0
 ip address 10.1.1.1 255.255.255.255
!
interface Loopback2
�ip address 11.11.11.1 255.255.255.0
!
interface Serial8/0
�ip address 192.168.10.1 255.255.255.252 

 !--- The interface is connected to PE 1.

 !
ip classless
ip route 0.0.0.0 0.0.0.0 192.168.10.2

!--- This is the default route to route all packets to PE 1.

!

PE 1
version 12.2
!
hostname PE-1
!
ip subnet-zero
!
ip vrf customer1

!--- This configured VRF customer1.
 
�rd 100:1

!--- This configured the route distiguisher for VRF.
 
 route-target export 1:1
 route-target import 1:1

!--- This configured the export and import policies into VRF.
 
!
ip cef

!--- This enabled Cisco Express Forwarding (CEF) switching.

!
interface Loopback0
 ip address 10.1.1.2 255.255.255.255
!       
interface Ethernet0/0

!--- It is connected to P router.

 ip address 10.10.23.2 255.255.255.0
 tag-switching ip

!--- MPLS switching is enabled.
 
!
interface Serial8/0
! Connected to CE-1
�ip vrf forwarding customer1

!--- Route forwarding based on customer1 VRF is enabled.
 
 ip address 192.168.10.2 255.255.255.252
!
router ospf 1
 log-adjacency-changes
 redistribute static subnets
 network 0.0.0.0 255.255.255.255 area 0
!
router bgp 100
 no synchronization
 bgp log-neighbor-changes
 neighbor 10.1.1.4 remote-as 100

!--- Neighbor relationship with PE 2 is established.

 neighbor 10.1.1.4 update-source Loopback0
 neighbor 10.1.1.4 next-hop-self
 no auto-summary
!
 address-family ipv4 vrf customer1

!--- The address-family configuration mode specifies IPv4 unicast 
!---address prefixes for customer1 VRF.

 no auto-summary
 no synchronization
 network 11.11.11.0 mask 255.255.255.0

!--- CE 1 network 11.11.11.0/24 to PE 2 is announced.

network 192.168.10.0 mask 255.255.255.252
 exit-address-family
!
address-family vpnv4

!--- This is the address-family VPNV4 configuration mode for 
!--- configuring BGP sessions.

�neighbor 10.1.1.4 activate
 neighbor 10.1.1.4 send-community extended
 no auto-summary
 exit-address-family
!
ip classless
ip route 11.11.11.0 255.255.255.0 Serial8/0 192.168.10.1

!--- The static route in the global routing table is pointing to 
!--- the interface connected to CE 1.

ip route vrf customer1 0.0.0.0 0.0.0.0 192.168.67.1 global

!--- The static default route under customer1 VRF, routing packets  
!--- outside of�VPN to the Internet gateway.

! routes
ip route vrf customer1 11.11.11.0 255.255.255.0 192.168.10.1

!--- The static route for network 11.11.11.0/24 (CE-1 Network) under 
!---customer1 VRF ensures the reachability of CE 1 network from the 
!--- other VPN sites.

P
version 12.2
!
hostname P
!
ip subnet-zero
!
ip cef

!--- CEF switching is enabled.

!
interface Loopback0
 ip address 10.1.1.3 255.255.255.255
!
interface Ethernet0/0

!--- This is connected to PE 1.

 ip address 10.10.23.3 255.255.255.0
 tag-switching ip

!--- MPLS switching is enabled.

!
interface Ethernet1/0

!--- This is connected to PE 2.

 ip address 10.10.34.3 255.255.255.0
 tag-switching ip
!
interface Ethernet2/0

!--- This is connected to the Internet gateway.

 ip address 10.10.36.3 255.255.255.0
 tag-switching ip
!
router ospf 1 
 log-adjacency-changes 
network 0.0.0.0 255.255.255.255 area 0

IGW
version 12.2
!
hostname IGW
!
ip subnet-zero
!
ip cef

!--- This enabled CEF switching.

!
interface Loopback0
 ip address 10.1.1.6 255.255.255.255
!
interface Ethernet2/0

!--- This is connected to P router.

 ip address 10.10.36.6 255.255.255.0
tag-switching ip
!
interface Serial8/0

!--- This is connected to Internet R7.

 ip address 192.168.67.1 255.255.255.252
!
router ospf 1
 log-adjacency-changes
 network 0.0.0.0 255.255.255.255 area 0
 !
 router bgp 100
 no synchronization
 bgp log-neighbor-changes
 network 11.11.11.0 mask 255.255.255.0
 network 22.22.22.0 mask 255.255.255.0
 neighbor 192.168.67.2 remote-as 200
 no auto-summary

PE 2
version 12.2
!
hostname PE-2
!
ip subnet-zero
!
ip vrf customer1

!--- Customer1 VRF is configured.

�rd 100:1 

!--- Route Distinguisher for VRF is configured.
 
 route-target export 1:1 
 route-target import 1:1 

!--- This configured the import and export policies for customer1 
!--- VRF.

!
ip cef 

!--- This enabled CEF switching.
 
! 
interface Loopback0 
 ip address 10.1.1.4 255.255.255.255
interface Ethernet1/0

!--- Connected to P router.

 ip address 10.10.34.4 255.255.255.0
 tag-switching ip

!--- MPLS switching is enabled.

!
interface Serial9/0

!--- Connected to CE 2 router.

ip vrf forwarding customer1

!--- This enables VRF forwarding on the interface.

 ip address 192.168.20.1 255.255.255.252
!
router ospf 1
 log-adjacency-changes
 redistribute static subnets
 network 0.0.0.0 255.255.255.255 area 0
!
router bgp 100
 no synchronization
 bgp log-neighbor-changes
 neighbor 10.1.1.2 remote-as 100
 neighbor 10.1.1.2 update-source Loopback0
 neighbor 10.1.1.2 next-hop-self 
no auto-summary 
!
 address-family ipv4 vrf customer1

!--- This is the address-family IPv4 configuration of customer1 VRF.

 no auto-summary
 no synchronization
 network 22.22.22.0 mask 255.255.255.0

!--- This announces the CE 2 network to PE 1.

 exit-address-family
!
 address-family vpnv4

!--- This is the address-family VPNV4 configuration for BGP Sessions 
!--- with PE 1.

 neighbor 10.1.1.2 activate
 neighbor 10.1.1.2 send-community extended
 no auto-summary
 exit-address-family
!
ip classless
ip route 22.22.22.0 255.255.255.0 Serial9/0 192.168.20.2

!--- This is the static route for�network�22.22.22.0/24 in the global 
!--- routing table pointing to the interface connected to CE 2.

ip route vrf customer1 0.0.0.0 0.0.0.0 192.168.67.1 global

!--- This is the static default route�for customer VRF 
!--- for destinations outside the VPN.

ip route vrf customer1 22.22.22.0 255.255.255.0 192.168.20.2 

!--- This is the static route within customer1 VRF for CE 2 
!--- network for VPN connectivity.

CE 2
version 12.2
!
hostname CE-2
!
ip subnet-zero
!
interface Loopback0
 ip address 22.22.22.22 255.255.255.0
!
interface Serial9/0

!--- This is connected to PE 2.

 ip address 192.168.20.2 255.255.255.252
!
ip classless
ip route 0.0.0.0 0.0.0.0 192.168.20.1

!--- This is the default route pointing to PE 2.

Verificar

Esta seção fornece informações que você pode usar para confirmar se sua configuração está funcionando adequadamente.

VPN�Connectivity entre o CE1 e o CE2

Para verificar a conectividade do VPN entre o CE 1 e o CE 2, o CE 1 deve poder alcançar a rede de CE, 22.22.22.0/24, e vice-versa. Para averiguar isso, verifique a rota para a rede 22.22.22.0/24 no customer1 VRF em PE 1.

A Output Interpreter Tool (somente clientes registrados) oferece suporte a determinados comandos show, o que permite exibir uma análise da saída do comando show.

  1. O comando show ip route vrf customer1 confirma a rota à rede 22.22.22.0/24 instruída do shown� de 10.1.1.4 (o endereço de loopback do PE2) destacado na saída abaixo.

    PE-1# show ip route vrf customer1
    Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
           D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area�
           N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
           E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
           i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area
           * - candidate default, U - per-user static route, o - ODR
           P - periodic downloaded static route
    
    Gateway of last resort is 192.168.67.1 to network 0.0.0.0
    
    192.168.10.0/30 is subnetted, 1 subnets
    C       192.168.10.0 is directly connected, Serial8/0
           22.0.0.0/24 is subnetted, 1 subnets
    B       22.22.22.0 [200/0] via 10.1.1.4, 01:00:50
           11.0.0.0/24 is subnetted, 1 subnets
    S      11.11.11.0 [1/0] via 192.168.10.1
    S*   0.0.0.0/0 [1/0] via 192.168.67.1
  2. A similaridade, no PE2, a rota à rede 11.11.11.0/24 no cliente1 VRF é mostrada no exemplo abaixo.

    PE-2# show ip route vrf customer1
    Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
           D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area�
           N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
           E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
           i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area
           * - candidate default, U - per-user static route, o - ODR
           P - periodic downloaded static route 
    
    Gateway of last resort is 192.168.67.1 to network 0.0.0.0
    
    192.168.10.0/30 is subnetted, 1 subnets
    B       192.168.10.0 [200/0] via 10.1.1.2, 01:00:09
         22.0.0.0/24 is subnetted, 1 subnets
    S       22.22.22.0 [1/0] via 192.168.20.2
         192.168.20.0/30 is subnetted, 1 subnets
    C       192.168.20.0 is directly connected, Serial9/0
         11.0.0.0/24 is subnetted, 1 subnets
    B       11.11.11.0 [200/0] via 10.1.1.2, 01:00:09
    S*   0.0.0.0/0 [1/0] via 192.168.67.1
  3. Verifique agora a Conectividade entre o CE1 e o CE2 sibilando um host 22.22.22.22 no CE2 usando o endereço IP de origem de 11.11.11.1 do CE1.

    CE-1# ping
    Protocol [ip]:
    Target IP address: 22.22.22.22
    Repeat count [5]:
    Datagram size [100]:
    Timeout in seconds [2]:
    Extended commands [n]: y
    Source address or interface: 11.11.11.1
    Type of service [0]:
    Set DF bit in IP header? [no]:
    Validate reply data? [no]:
    Data pattern [0xABCD]:
    Loose, Strict, Record, Timestamp, Verbose[none]:
    Sweep range of sizes [n]:
    Type escape sequence to abort.
    Sending 5, 100-byte ICMP Echos to 22.22.22.22, timeout is 2 seconds:
    !!!!!
    
    Success rate is 100 percent (5/5), round-trip min/avg/max = 20/20/20 ms

Conectividade com a Internet a partir do CE 1

Siga as etapas abaixo para verificar a Conectividade ao Internet do CE1.

  1. Todos os pacotes destinados a Internet ou VPN a partir do CE 1 serão roteados utilizando uma rota padrão configurada no CE 1 apontando para o PE 1, conforme mostrado abaixo.

    CE-1# show ip route 0.0.0.0
    Routing entry for 0.0.0.0/0, supernet
      Known via "static", distance 1, metric 0, candidate default path
      Routing Descriptor Blocks:
      * 192.168.10.2
    Route metric is 0, traffic share count is 1
  2. Os pacotes que chegam na interface PE 1 s8/0 são roteados usando o customer1 VRF Routing Table. O PE 1 possui uma rota padrão no apontamento de customer1 VRF para o endereço de IP IGW 192.168.67.1, como mostrado abaixo na saída do show ip route vrf customer1 em PE 1.

    PE-1# show ip route vrf customer1
    Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
           D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area�
           N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
           E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
           i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area
           * - candidate default, U - per-user static route, o - ODR
           P - periodic downloaded static route
    
    Gateway of last resort is 192.168.67.1 to network 0.0.0.0
    
         192.168.10.0/30 is subnetted, 1 subnets
    C       192.168.10.0 is directly connected, Serial8/0
         22.0.0.0/24 is subnetted, 1 subnets
    B       22.22.22.0 [200/0] via 10.1.1.4, 01:21:11
         11.0.0.0/24 is subnetted, 1 subnets
    S       11.11.11.0 [1/0] via 192.168.10.1
    S*   0.0.0.0/0 [1/0] via 192.168.67.1
    
  3. Porque a rota padrão no PE1 é configurada com uma palavra-chave global, procura o salto seguinte 192.168.67.1 em sua tabela de roteamento global e as rotas ao IGW, como mostrado abaixo.

    PE-1# show ip route 192.168.67.1
    Routing entry for 192.168.67.0/30
      Known via "ospf 1", distance 110, metric 84, type intra area
      Last update from 10.10.23.3 on Ethernet0/0, 00:21:54 ago
      Routing Descriptor Blocks:
      * 10.10.23.3, from 10.1.1.6, 00:21:54 ago, via Ethernet0/0
     Route metric is 84, traffic share count is 1
  4. Os pacotes que chegam ao IGW são roteados para a Internet, com base nas rotas BGP obtidas em R7. Nesse caso, você pode consultar a rota BGP obtida no R7 para demonstrar a conectividade à Internet. Encontra-se abaixo a rota BGP (rede 99.99.99.0/24) aprendida de R7 na tabela de roteamento de IGW.

    IGW# show ip route 99.99.99.0
    Routing entry for 99.99.99.0/24
      Known via "bgp 100", distance 20, metric 0
      Tag 200, type external
      Last update from 192.168.67.2 01:37:25 ago
      Routing Descriptor Blocks:
      * 192.168.67.2, from 192.168.67.2, 01:37:25 ago
          Route metric is 0, traffic share count is 1
          AS Hops 1

    Os pacotes que tiveram origem no CE-1 são roteados para a Internet.

  5. Para pacotes que voltam da Internet destinados à rede CE 1 11.11.11.0/24, o IGW deve ter um direcionamento de rota para PE 1 na sua tabela de roteamento global. Uma rota estática na tabela de roteamento global da PE 1, direcionada para a interface s8/0 na PE 1, com conexão para a CE 1 e redistribuída no OSPF foi configurada. Isto assegura-se de que o IGW tenha uma rota em sua tabela de roteamento global que aponta ao PE1. A rota estática em PE 1 e a rota aprendida OSPF em IGW é mostrada a seguir.

    IGW# show ip route 11.11.11.0
    Routing entry for 11.11.11.0/24
      Known via "ospf 1", distance 110, metric 20, type extern 2, forward metric 20
      Last update from 10.10.36.3 on Ethernet2/0, 00:34:34 ago
      Routing Descriptor Blocks:
      * 10.10.36.3, from 10.1.1.2, 00:34:34 ago, via Ethernet2/0
          Route metric is 20, traffic share count is 1
    
    PE-1# show ip route 11.11.11.0
    Routing entry for 11.11.11.0/24
      Known via "static", distance 1, metric 0
      Redistributing via ospf 1
      Advertised by ospf 1 subnets
      Routing Descriptor Blocks:
      * 192.168.10.1, via Serial8/0
          Route metric is 0, traffic share count is 1
  6. Agora, verifique a conectividade com a Internet a partir do CE 1 efetuando ping do endereço IP de R7 99.99.99.1 com o endereço de origem CE 1 de 11.11.11.1.

    CE-1# ping
    Protocol [ip]:
    Target IP address: 99.99.99.1
    Repeat count [5]:
    Datagram size [100]:
    Timeout in seconds [2]:
    Extended commands [n]: y
    Source address or interface: 11.11.11.1
    Type of service [0]:
    Set DF bit in IP header? [no]:
    Validate reply data? [no]:
    Data pattern [0xABCD]:
    Loose, Strict, Record, Timestamp, Verbose[none]:
    Sweep range of sizes [n]:
    Type escape sequence to abort.
    Sending 5, 100-byte ICMP Echos to 99.99.99.1, timeout is 2 seconds:
    !!!!!
    Success rate is 100 percent (5/5), round-trip min/avg/max = 20/24/32 ms
    CE-1#

Troubleshooting

Atualmente, não existem informações disponíveis específicas sobre Troubleshooting para esta configuração.

Discussões relacionadas da comunidade de suporte da Cisco

A Comunidade de Suporte da Cisco é um fórum onde você pode perguntar e responder, oferecer sugestões e colaborar com colegas.


Informações Relacionadas


Document ID: 24508