Software Cisco IOS e NX-OS : VPNs de camada 3 (L3VPN)

Camada dinâmica 3 VPN com exemplo de configuração multiponto dos túneis GRE

19 Setembro 2015 - Tradução por Computador
Outras Versões: Versão em PDFpdf | Inglês (22 Agosto 2015) | Feedback

Introdução

Este documento descreve como configurar a camada dinâmica 3 (L3) VPN com a característica multiponto dos túneis do encapsulamento de roteamento genérico (mGRE).

Contribuído por Vinod Sharma, engenheiro de TAC da Cisco.

Pré-requisitos

Requisitos

Antes que você configurar L3 dinâmico VPN com o mGRE escavar um túnel a característica, se assegurar de que seu Multiprotocol Label Switching (MPLS) VPN esteja configurado e trabalhe corretamente, e que a conectividade de ponta a ponta está estabelecida para a rede IPV4.

Componentes Utilizados

As informações neste documento são baseadas nestas versões de software e hardware:

  • Series Router do Cisco 7206VXR (NPE-G1) com liberação 15.2(4)S3 do Cisco IOS ® Software
  • Cisco 7609-S Series Router com Cisco IOS Software Release 12.2(33)SRE4

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.

Informações de Apoio

O L3 dinâmico VPN com característica dos túneis mGRE fornece um mecanismo de transporte L3 baseado em uma tecnologia de tunelamento aumentada mGRE para o uso nas redes IP. O transporte dinâmico do Tunelamento L3 pode igualmente ser usado dentro das redes IP a fim transportar o tráfego VPN através do provedor de serviços e das redes de empreendimento, e fornecer a Interoperabilidade para o transporte de pacote entre o IP e o MPLS VPNs. Esta característica fornece o apoio para o RFC 2547, que define a terceirização de serviços do backbone IP para redes de empreendimento.

As limitações para L3 dinâmico VPN com mGRE escavam um túnel

Está aqui uma lista de limitações que se aplicam para L3 dinâmico VPN com túneis mGRE:

  • O desenvolvimento de um MPLS VPN com encapsulamento IP/GRE e MPLS dentro de uma rede única não é apoiado.
  • Suportes de roteador de cada ponta de provedor (PE) uma configuração de túnel somente.
  • A interface de VLAN no Cisco 7600 Series Router que as caras para o núcleo onde o tráfego em túnel da etiqueta deve entrar não estão apoiadas. Deve ser a interface principal ou uma subinterface.
  • O MPLS VPN sobre o mGRE é apoiado nos Cisco 7600 Series Router que usam a placa de linha ES-40 e a placa de linha do Session Initiation Protocol (SIP) 400 como cartões do núcleo-revestimento.

Configurar

Esta seção descreve duas configurações:

  • O L3 dinâmico VPN com mGRE escava um túnel na rede somente IP
  • O L3 dinâmico VPN com mGRE escava um túnel na rede MPLS IP+

O L3 dinâmico VPN com mGRE escava um túnel na rede (NON-MPLS) somente IP

Diagrama de Rede

Configurações

Estas são as configurações requerida no roteador3 (R3) e no roteador2 (R2).

Está aqui a configuração para o R3:

l3vpn encapsulation ip MGRE
transport ipv4 source Loopback0

route-map MGRE-NEXT-HOP permit 10
set ip next-hop encapsulate l3vpn MGRE

router bgp 65534
 !
address-family vpnv4
neighbor 192.168.2.2 route-map MGRE-NEXT-HOP in

Está aqui a configuração para o R2:

l3vpn encapsulation ip MGRE
transport ipv4 source Loopback0

route-map MGRE-NEXT-HOP permit 10
set ip next-hop encapsulate l3vpn MGRE

router bgp 65534
 !
address-family vpnv4
neighbor 192.168.3.3 route-map MGRE-NEXT-HOP in

Verificar

Use esta seção para confirmar se a sua configuração funciona corretamente.

R2#show tunnel endpoints 
 
 Tunnel0 running in multi-GRE/IP mode

 Endpoint transport 192.168.3.3 Refcount 3 Base 0x1E8E1B74 Create Time 00:47:53
   overlay 192.168.3.3 Refcount 2 Parent 0x1E8E1B74 Create Time 00:47:53


R2#show l3vpn encapsulation ip MGRE

 Profile: MGRE
    transport ipv4 source Loopback0
    protocol gre
    payload mpls
    mtu default
  Tunnel Tunnel0 Created [OK]
  Tunnel Linestate [OK]
  Tunnel Transport Source Loopback0 [OK]


R2#show ip route vrf MGRE 172.16.3.3

Routing Table: MGRE
Routing entry for 172.16.3.3
  Known via "bgp 65534", distance 200, metric 0, type internal
  Last update from 192.168.3.3 on Tunnel0, 01:03:25 ago
  Routing Descriptor Blocks:
  * 192.168.3.3 (default), from 172.16.112.1, 01:03:25 ago, via Tunnel0 <points to tunnel
      Route metric is 0, traffic share count is 1
      AS Hops 0
     MPLS label: 17   <BGP vpnv4 label>
      MPLS Flags: MPLS Required

Nota: No exemplo anterior, há somente dois PE. Contudo, se você tem uma rede grande com roteadores de PE múltiplos, este mGRE dinâmico é muito fácil de configurar e escalável, porque você deve ter a configuração similar em todos os PE, e túneis são descobertos automaticamente.

O L3 dinâmico VPN com mGRE escava um túnel na rede MPLS IP+

Diagrama de Rede

Se você tem uma encenação dupla da conexão onde uma conexão seja MPLS e o outro é NON-MPLS, você deve configurar o mGRE em todos os roteadores de PE envolvidos. Com esta topologia, você deve configurar o mGRE em todos os três roteadores de PE.

Se você não configurou o mGRE na conexão entre o link R3 e R1- MPLS, a seguir as sub-redes atrás do R3 não podem comunicar-se com as sub-redes atrás do R2.

O r1 e o R2 constroem pontos finais de túnel com o R3 baseado no perfil L3 VPN. Refira a configuração neste documento onde o perfil L3 VPN não é configurado, o mapa de rotas ao par do Border Gateway Protocol (BGP) no R3 não é aplicado, e o mapa de rotas para o L3 VPN para o R3 no r1 não é aplicado.

Configurações

Estas são as configurações requerida no r1, no R2, e no R3.

Está aqui a configuração para o r1:

l3vpn encapsulation ip MGRE
transport ipv4 source Loopback0

route-map MGRE-NEXT-HOP permit 10
set ip next-hop encapsulate l3vpn MGRE

router bgp 65534
address-family vpnv4
neighbor 192.168.2.2 send-community extended
neighbor 192.168.2.2 route-map MGRE-NEXT-HOP in
neighbor 192.168.3.3 activate

Está aqui a configuração para o R2:

l3vpn encapsulation ip MGRE
transport ipv4 source Loopback0

route-map MGRE-NEXT-HOP permit 10
set ip next-hop encapsulate l3vpn MGRE

router bgp 65534
address-family vpnv4
neighbor 192.168.1.1 route-map MGRE-NEXT-HOP in
neighbor 192.168.1.1 activate

Está aqui a configuração para o R3:

router bgp 65534
address-family vpnv4
neighbor 192.168.1.1 activate

Verificar

Agora, você pode sibilar do R2 loopback1 ao R3 loopback1:

R2#ping vrf  MGRE  172.16.3.3 source 172.16.2.2       

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.16.3.3, timeout is 2 seconds:
Packet sent with a source address of 172.16.2.2
.....
Success rate is 0 percent (0/5)


R2#show ip route vrf MGRE 172.16.3.3

Routing Table: MGRE
Routing entry for 172.16.3.3/32
  Known via "bgp 65534", distance 200, metric 0, type internal
  Last update from 192.168.3.3 on Tunnel0, 00:50:23 ago
  Routing Descriptor Blocks:
  * 192.168.3.3 (default), from 192.168.1.1, 00:50:23 ago, via Tunnel0  <it is
pointed towards a tunnel>

      Route metric is 0, traffic share count is 1
      AS Hops 0
      MPLS label: 19
      MPLS Flags: MPLS Required


R2#show tunnel endpoints
 Tunnel1 running in multi-GRE/IP mode

 Tunnel0 running in multi-GRE/IP mode

 Endpoint transport 192.168.1.1 Refcount 3 Base 0x507665E4 Create Time 01:24:25
   overlay 192.168.1.1 Refcount 2 Parent 0x507665E4 Create Time 01:24:25
 Endpoint transport 192.168.3.3 Refcount 3 Base 0x507664D4 Create Time 00:50:51
   overlay 192.168.3.3 Refcount 2 Parent 0x507664D4 Create Time 00:50:51

O R2 criou um túnel dinâmico para 192.168.3.3 baseou no salto seguinte BGP para a rota de 172.16.3.3.

R2#show ip bgp vpnv4 vrf  MGRE 172.16.3.3
BGP routing table entry for 43984:300:172.16.3.3/32, version 29
Paths: (1 available, best #1, table MGRE)
  Advertised to update-groups:
     1         
  Local, imported path from 300:300:172.16.3.3/32
    192.168.3.3 (metric 3) (via Tunnel0) from 192.168.1.1 (192.168.1.1)
      Origin incomplete, metric 0, localpref 100, valid, internal, best
      Extended Community: RT:43984:300
      Originator: 192.168.3.3, Cluster list: 192.168.1.1
      mpls labels in/out nolabel/19

Verifica-se no r1, e igualmente criou pontos finais de túnel para ambos os roteadores de PE:

R1#show tunnel endpoints 
 Tunnel1 running in multi-GRE/IP mode

 Tunnel0 running in multi-GRE/IP mode

 Endpoint transport 192.168.2.2 Refcount 3 Base 0x1E8EE7B0 Create Time 01:36:41
   overlay 192.168.2.2 Refcount 2 Parent 0x1E8EE7B0 Create Time 01:36:41
 Endpoint transport 192.168.3.3 Refcount 3 Base 0x1E8EE590 Create Time 00:59:34
   overlay 192.168.3.3 Refcount 2 Parent 0x1E8EE590 Create Time 00:59:34

No R3, nenhum ponto final de túnel é criado:

R3#show tunnel endpoints

Está aqui a rota para a sub-rede R2, que originou o sibilo:

R3#show ip route vrf  MGRE  172.16.2.2

Routing Table: MGRE
Routing entry for 172.16.2.2/32
  Known via "bgp 65534", distance 200, metric 0, type internal
  Last update from 192.168.2.2 01:01:57 ago
  Routing Descriptor Blocks:
  * 192.168.2.2 (default), from 192.168.1.1, 01:01:57 ago
      Route metric is 0, traffic share count is 1
      AS Hops 0
      MPLS label: 17
      MPLS Flags: MPLS Required

Daqui, o pacote é enviado encapsulado no GRE para o R3. Desde que o R3 não tem nenhum túnel, não aceita o pacote GRE, e deixa-o cair.

Consequentemente, você deve configurar o mGRE fim-a-fim em um trajeto a fim fazê-lo trabalhar. Está aqui a configuração para o mGRE no R3, que é necessário:

l3vpn encapsulation ip MGRE
transport ipv4 source Loopback0

route-map MGRE-NEXT-HOP permit 10
set ip next-hop encapsulate l3vpn MGRE

Assim que você criar o perfil L3 VPN, os pontos finais de túnel estão criados, e você recebe o tráfego que foi deixado cair mais cedo. Contudo, o tráfego de retorno é MPLS e não GRE até que você aplique o perfil no bgp peer. Esse tráfego é deixado cair no r1, porque o r1 não tem nenhuma informação da etiqueta para o R2, que executa somente o IP.

R3#show tunnel endpoints 
 Tunnel0 running in multi-GRE/IP mode

 Endpoint transport 192.168.1.1 Refcount 3 Base 0x2B79FBD4 Create Time 00:00:02
   overlay 192.168.1.1 Refcount 2 Parent 0x2B79FBD4 Create Time 00:00:02
 Endpoint transport 192.168.2.2 Refcount 3 Base 0x2B79FAC4 Create Time 00:00:02
   overlay 192.168.2.2 Refcount 2 Parent 0x2B79FAC4 Create Time 00:00:02


R3#show ip cef vrf  MGRE  172.16.2.2
172.16.2.2/32
  nexthop 192.168.13.1 GigabitEthernet0/0.1503 label 21 17

  router bgp 65534
address-family vpnv4
neighbor 192.168.1.1 route-map MGRE-NEXT-HOP in


R3#show ip cef vrf  MGRE  172.16.2.2
172.16.2.2/32
  nexthop 192.168.2.2 Tunnel0 label 17 <exit interface is tunnel and only vpnv4 label is left>


R2#ping vrf  MGRE 172.16.3.3 source  172.16.2.2

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.16.3.3, timeout is 2 seconds:
Packet sent with a source address of 172.16.2.2
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/4 ms

Cenário 3

Supõe as sub-redes atrás do R5, que precisam de se comunicar com o R3, não querem usar o mGRE. Então, você pode usar o mapa de rotas que foi usado para o perfil L3 VPN a fim ajustar o salto seguinte e chamar uma lista de prefixos, e permite somente os prefixos que precisam o túnel mGRE.

Está aqui a configuração para o r1:

route-map MGRE-NEXT-HOP permit 10
 match ip address prefix-list test
 set ip next-hop encapsulate l3vpn MGRE
route-map MGRE-NEXT-HOP permit 20

Você pode permitir os prefixos no teste da lista de prefixos que precisam o túnel mGRE, e tudo mais não tem um túnel como uma relação da saída e segue o roteamento normal. Esta configuração trabalha porque o R3 e o R5 têm a Conectividade MPLS fim-a-fim.

Troubleshooting

Atualmente, não existem informações disponíveis específicas sobre Troubleshooting para esta configuração.

Informações Relacionadas


Discussões relacionadas da comunidade de suporte da Cisco

A Comunidade de Suporte da Cisco é um fórum onde você pode perguntar e responder, oferecer sugestões e colaborar com colegas.


Document ID: 116725