Commutation multiprotocole par étiquette (MPLS) : MPLS

Accès Internet à partir d'un VPN MPLS à l'aide d'une table de routage globale

18 octobre 2016 - Traduction automatique
Autres versions: PDFpdf | Anglais (22 août 2015) | Commentaires


Contenu


Introduction

L'objectif de ce document est d'expliquer la configuration des échantillons utilisés pour accéder à l'Internet à partir d'un VPN basé sur la Commutation multiprotocole par étiquette (MPLS), au moyen d'une table de routage globale.

Dans certains scénarios de réseau, on l'exige pour accéder à l'Internet d'un VPN basé sur MPLS en plus de la continuation pour mettre à jour la connectivité VPN parmi les sites entreprise. Cette configuration d'échantillon se concentre sur fournir l'accès Internet du routage VPN et de l'expédition (VRF) qui contient le default route au routeur de passerelle Internet (IGW).

Conditions préalables

Conditions requises

Une compréhension de base de l'expédition et du MPLS VPN MPLS est exigée pour comprendre entièrement le contenu du document.

Composants utilisés

Les informations dans ce document sont basées sur les versions de logiciel et de matériel ci-dessous.

  • Version de logiciel 12.1(3)T de½ du¿Â du Cisco IOSïÂ. La release 12.0(5)T inclut la caractéristique MPLS VPN

  • Tout routeur de Cisco de la gamme 3600 ou de plus tard, comme le Cisco 3660 ou les 7206

Les informations présentées dans ce document ont été créées à partir de périphériques dans un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Si vous travaillez dans un réseau opérationnel, assurez-vous de bien comprendre l'impact potentiel de toute commande avant de l'utiliser.

Théorie générale

En cet exemple de configuration, ces stratégies étaient en place :

  • Un routeur avec la Connectivité à l'Internet est relié au réseau MPLS. Il peut ou peut ne pas injecter des artères de Protocole BGP (Border Gateway Protocol) dans la table de routage globale.

    Remarque: Les Routeurs de PE comprennent le BGP. Les Routeurs tels que le gigabit commutent le routeur (GSR) (qui exécute en tant que routeur de noyau de fournisseur) n'exécutez pas le BGP du tout.

  • Il n'y a aucune condition requise pour qu'un VRF ait une pleine table de routage de l'Internet (table BGP global), ainsi une route statique par défaut est mise dans un VRF indiquant l'adresse du prochain saut globale de l'IGW.

  • Un client VPN utilise une plage enregistrée d'adresse unique qui est routable dans la table globale de routage d'Internet. La méthode d'accès discutée dans ce document n'est pas recommandée où les clients ont seulement des adresses privées dans leur réseau.

Conventions

Ces acronymes sont utilisés dans ce document :

  • CE - Routeur de Customer Edge

  • PE - Routeur de Provider Edge

  • P - Principal routeur de fournisseur

Pour plus d'informations sur les conventions utilisées dans ce document, reportez-vous aux Conventions relatives aux conseils techniques Cisco.

Configurez

  • Vous pouvez se référer au schéma de réseau pour une illustration de cette configuration. Dans cet exemple, le CE 1 et le CE 2 sont dans le même VPN. Ils sont configurés sous le VRF customer1, puisqu'il n'y a aucune condition requise pour qu'un VRF ait une pleine table de routage de l'Internet (selon les stratégies dans la section de théorie générale de ce document).

  • Une route statique par défaut est configurée dans le VRF customer1 sur le CE 1 indiquant l'IGW. En plaçant une route statique par défaut dans le VRF customer1, des paquets qui n'apparient pas les artères l'unes des contenues dans le VRF customer1 seront envoyés à l'IGW.

Remarque: Puisque le prochain ½ du ¿  de 192.168.67.1 ï de saut de passerelle internet n'est pas une partie de VRF du ½ customer1 du ¿  de theïÂ, un default route est configuré sous le VRF customer1 indiquant l'IP 192.168.67.1 de l'interface s8/0 de passerelle internet. L'artère à 192.168.67.1 ne se trouve pas en dessous du VRF customer1, ainsi vous devez avoir un mot clé global dans la route statique par défaut configurée sous le VRF customer1. Le mot clé global spécifie que l'adresse du prochain saut de l'artère statique est résolue dans la table de routage globale, pas dans le le VRF customer1.

Ce qui suit est un exemple de l'artère statique.

ip route vrf customer1 0.0.0.0 0.0.0.0 192.168.67.1 global

Avoir une artère statique avec un mot clé global dans le VRF customer1 s'assure que tous les paquets destinés à l'Internet sont conduits à la passerelle internet et ultérieurement à l'Internet.

Remarque: Le default route en PE 1 est configuré pour indiquer à l'adresse IP d'interface série de la passerelle internet (192.168.67.1) et pas l'adresse de bouclage (10.1.1.6). Ceci évite de blackholing les artères en cas de la panne de Connectivité entre la passerelle internet et l'Internet (R7). Si le default route est indiqué l'adresse de bouclage de la passerelle internet et la Connectivité entre l'Internet gateway-R7 se casse, tous les paquets continueraient à conduire à la passerelle internet. Ceci se produit parce que l'adresse de bouclage demeure (192.168.67.1 différent qui est retirée de la table de routage globale quand l'interface s8/0 descend) et le default route continue à exister dans la table de routage.

L'étape suivante est de s'assurer que des paquets revenant de l'Internet au CE de destination 1 réseau 11.11.11.0/24, sont conduits de la passerelle internet au PE 1 et au CE 1 par le noyau MPLS. Ceci est réalisé en configurant une artère statique pour le CE que 1 réseau indiquant l'interface de l'interface série 8/0 dans la table globale de routage sur le PE 1. le redistribuent dans le Protocole OSPF (Open Shortest Path First) de sorte que la passerelle internet ait cette artère dans sa table globale de routage. Ceci permet à la passerelle internet pour conduire tous les paquets provenant l'Internet au PE 1, et à la destination définitive au delà du CE 1.

L'exemple suivant est la commande d'artère d'IP utilisée dans la configuration sur le PE 1.

ip route 11.11.11.0 255.255.255.0 Serial8/0 192.168.10.1

Remarque: La route statique configurée ci-dessus dans la table globale de routage est en plus de la route statique configurée dans le VRF customer1, qui est utilisé pour les informations d'accessibilité de couche de réseau VPN (NLRI). Sur le PE 1, il est configuré comme affiché en tant que ci-dessous.

ip route vrf customer1 11.11.11.0 255.255.255.0 192.168.10.1

Remarque: Pour obtenir des informations supplémentaires sur les commandes utilisées dans ce document, utilisez l'Outil de recherche de commande (clients enregistrés seulement).

Diagramme du réseau

Ce document utilise la configuration réseau indiquée dans le diagramme suivant :

/image/gif/paws/24508/internet_access_mpls_vpn.gif

Configurations

Ce document utilise les configurations présentées ci-dessous.

CE 1
version 12.2
!
hostname CE-1
!
ip subnet-zero
!
interface Loopback0
 ip address 10.1.1.1 255.255.255.255
!
interface Loopback2
�ip address 11.11.11.1 255.255.255.0
!
interface Serial8/0
�ip address 192.168.10.1 255.255.255.252 

 !--- The interface is connected to PE 1.

 !
ip classless
ip route 0.0.0.0 0.0.0.0 192.168.10.2

!--- This is the default route to route all packets to PE 1.

!

PE 1
version 12.2
!
hostname PE-1
!
ip subnet-zero
!
ip vrf customer1

!--- This configured VRF customer1.
 
�rd 100:1

!--- This configured the route distiguisher for VRF.
 
 route-target export 1:1
 route-target import 1:1

!--- This configured the export and import policies into VRF.
 
!
ip cef

!--- This enabled Cisco Express Forwarding (CEF) switching.

!
interface Loopback0
 ip address 10.1.1.2 255.255.255.255
!       
interface Ethernet0/0

!--- It is connected to P router.

 ip address 10.10.23.2 255.255.255.0
 tag-switching ip

!--- MPLS switching is enabled.
 
!
interface Serial8/0
! Connected to CE-1
�ip vrf forwarding customer1

!--- Route forwarding based on customer1 VRF is enabled.
 
 ip address 192.168.10.2 255.255.255.252
!
router ospf 1
 log-adjacency-changes
 redistribute static subnets
 network 0.0.0.0 255.255.255.255 area 0
!
router bgp 100
 no synchronization
 bgp log-neighbor-changes
 neighbor 10.1.1.4 remote-as 100

!--- Neighbor relationship with PE 2 is established.

 neighbor 10.1.1.4 update-source Loopback0
 neighbor 10.1.1.4 next-hop-self
 no auto-summary
!
 address-family ipv4 vrf customer1

!--- The address-family configuration mode specifies IPv4 unicast 
!---address prefixes for customer1 VRF.

 no auto-summary
 no synchronization
 network 11.11.11.0 mask 255.255.255.0

!--- CE 1 network 11.11.11.0/24 to PE 2 is announced.

network 192.168.10.0 mask 255.255.255.252
 exit-address-family
!
address-family vpnv4

!--- This is the address-family VPNV4 configuration mode for 
!--- configuring BGP sessions.

�neighbor 10.1.1.4 activate
 neighbor 10.1.1.4 send-community extended
 no auto-summary
 exit-address-family
!
ip classless
ip route 11.11.11.0 255.255.255.0 Serial8/0 192.168.10.1

!--- The static route in the global routing table is pointing to 
!--- the interface connected to CE 1.

ip route vrf customer1 0.0.0.0 0.0.0.0 192.168.67.1 global

!--- The static default route under customer1 VRF, routing packets  
!--- outside of�VPN to the Internet gateway.

! routes
ip route vrf customer1 11.11.11.0 255.255.255.0 192.168.10.1

!--- The static route for network 11.11.11.0/24 (CE-1 Network) under 
!---customer1 VRF ensures the reachability of CE 1 network from the 
!--- other VPN sites.

P
version 12.2
!
hostname P
!
ip subnet-zero
!
ip cef

!--- CEF switching is enabled.

!
interface Loopback0
 ip address 10.1.1.3 255.255.255.255
!
interface Ethernet0/0

!--- This is connected to PE 1.

 ip address 10.10.23.3 255.255.255.0
 tag-switching ip

!--- MPLS switching is enabled.

!
interface Ethernet1/0

!--- This is connected to PE 2.

 ip address 10.10.34.3 255.255.255.0
 tag-switching ip
!
interface Ethernet2/0

!--- This is connected to the Internet gateway.

 ip address 10.10.36.3 255.255.255.0
 tag-switching ip
!
router ospf 1 
 log-adjacency-changes 
network 0.0.0.0 255.255.255.255 area 0

IGW
version 12.2
!
hostname IGW
!
ip subnet-zero
!
ip cef

!--- This enabled CEF switching.

!
interface Loopback0
 ip address 10.1.1.6 255.255.255.255
!
interface Ethernet2/0

!--- This is connected to P router.

 ip address 10.10.36.6 255.255.255.0
tag-switching ip
!
interface Serial8/0

!--- This is connected to Internet R7.

 ip address 192.168.67.1 255.255.255.252
!
router ospf 1
 log-adjacency-changes
 network 0.0.0.0 255.255.255.255 area 0
 !
 router bgp 100
 no synchronization
 bgp log-neighbor-changes
 network 11.11.11.0 mask 255.255.255.0
 network 22.22.22.0 mask 255.255.255.0
 neighbor 192.168.67.2 remote-as 200
 no auto-summary

PE 2
version 12.2
!
hostname PE-2
!
ip subnet-zero
!
ip vrf customer1

!--- Customer1 VRF is configured.

�rd 100:1 

!--- Route Distinguisher for VRF is configured.
 
 route-target export 1:1 
 route-target import 1:1 

!--- This configured the import and export policies for customer1 
!--- VRF.

!
ip cef 

!--- This enabled CEF switching.
 
! 
interface Loopback0 
 ip address 10.1.1.4 255.255.255.255
interface Ethernet1/0

!--- Connected to P router.

 ip address 10.10.34.4 255.255.255.0
 tag-switching ip

!--- MPLS switching is enabled.

!
interface Serial9/0

!--- Connected to CE 2 router.

ip vrf forwarding customer1

!--- This enables VRF forwarding on the interface.

 ip address 192.168.20.1 255.255.255.252
!
router ospf 1
 log-adjacency-changes
 redistribute static subnets
 network 0.0.0.0 255.255.255.255 area 0
!
router bgp 100
 no synchronization
 bgp log-neighbor-changes
 neighbor 10.1.1.2 remote-as 100
 neighbor 10.1.1.2 update-source Loopback0
 neighbor 10.1.1.2 next-hop-self 
no auto-summary 
!
 address-family ipv4 vrf customer1

!--- This is the address-family IPv4 configuration of customer1 VRF.

 no auto-summary
 no synchronization
 network 22.22.22.0 mask 255.255.255.0

!--- This announces the CE 2 network to PE 1.

 exit-address-family
!
 address-family vpnv4

!--- This is the address-family VPNV4 configuration for BGP Sessions 
!--- with PE 1.

 neighbor 10.1.1.2 activate
 neighbor 10.1.1.2 send-community extended
 no auto-summary
 exit-address-family
!
ip classless
ip route 22.22.22.0 255.255.255.0 Serial9/0 192.168.20.2

!--- This is the static route for�network�22.22.22.0/24 in the global 
!--- routing table pointing to the interface connected to CE 2.

ip route vrf customer1 0.0.0.0 0.0.0.0 192.168.67.1 global

!--- This is the static default route�for customer VRF 
!--- for destinations outside the VPN.

ip route vrf customer1 22.22.22.0 255.255.255.0 192.168.20.2 

!--- This is the static route within customer1 VRF for CE 2 
!--- network for VPN connectivity.

CE 2
version 12.2
!
hostname CE-2
!
ip subnet-zero
!
interface Loopback0
 ip address 22.22.22.22 255.255.255.0
!
interface Serial9/0

!--- This is connected to PE 2.

 ip address 192.168.20.2 255.255.255.252
!
ip classless
ip route 0.0.0.0 0.0.0.0 192.168.20.1

!--- This is the default route pointing to PE 2.

Vérifiez

Cette section présente des informations que vous pouvez utiliser pour vous assurer que votre configuration fonctionne correctement.

Connectivité de ½ du ¿  VPNï entre le CE 1 et le CE 2

Pour vérifier la connectivité VPN entre le CE 1 et le CE 2, le CE 1 devrait pouvoir atteindre le réseau 22.22.22.0/24 de la CE 2's et l'autre manière autour. Pour vérifier ceci, vérifiez l'artère au réseau 22.22.22.0/24 dans le VRF customer1 au PE 1.

Certaines commandes show sont prises en charge par l'Output Interpreter Tool (clients enregistrés uniquement), qui vous permet de voir une analyse de la sortie de la commande show.

  1. La commande du show ip route vrf customer1 confirme l'artère au réseau 22.22.22.0/24 instruit du ½ du ¿  de shownï de 10.1.1.4 (adresse de bouclage de PE 2's) mis en valeur dans la sortie ci-dessous.

    PE-1# show ip route vrf customer1
    Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
           D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area�
           N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
           E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
           i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area
           * - candidate default, U - per-user static route, o - ODR
           P - periodic downloaded static route
    
    Gateway of last resort is 192.168.67.1 to network 0.0.0.0
    
    192.168.10.0/30 is subnetted, 1 subnets
    C       192.168.10.0 is directly connected, Serial8/0
           22.0.0.0/24 is subnetted, 1 subnets
    B       22.22.22.0 [200/0] via 10.1.1.4, 01:00:50
           11.0.0.0/24 is subnetted, 1 subnets
    S      11.11.11.0 [1/0] via 192.168.10.1
    S*   0.0.0.0/0 [1/0] via 192.168.67.1
  2. La similitude, au PE 2, l'artère au réseau 11.11.11.0/24 dans le VRF customer1 est affichée dans l'exemple ci-dessous.

    PE-2# show ip route vrf customer1
    Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
           D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area�
           N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
           E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
           i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area
           * - candidate default, U - per-user static route, o - ODR
           P - periodic downloaded static route 
    
    Gateway of last resort is 192.168.67.1 to network 0.0.0.0
    
    192.168.10.0/30 is subnetted, 1 subnets
    B       192.168.10.0 [200/0] via 10.1.1.2, 01:00:09
         22.0.0.0/24 is subnetted, 1 subnets
    S       22.22.22.0 [1/0] via 192.168.20.2
         192.168.20.0/30 is subnetted, 1 subnets
    C       192.168.20.0 is directly connected, Serial9/0
         11.0.0.0/24 is subnetted, 1 subnets
    B       11.11.11.0 [200/0] via 10.1.1.2, 01:00:09
    S*   0.0.0.0/0 [1/0] via 192.168.67.1
  3. Vérifiez maintenant la Connectivité entre le CE 1 et le CE 2 en cinglant un hôte 22.22.22.22 sur le CE 2 utilisant l'adresse IP source de 11.11.11.1 du CE 1.

    CE-1# ping
    Protocol [ip]:
    Target IP address: 22.22.22.22
    Repeat count [5]:
    Datagram size [100]:
    Timeout in seconds [2]:
    Extended commands [n]: y
    Source address or interface: 11.11.11.1
    Type of service [0]:
    Set DF bit in IP header? [no]:
    Validate reply data? [no]:
    Data pattern [0xABCD]:
    Loose, Strict, Record, Timestamp, Verbose[none]:
    Sweep range of sizes [n]:
    Type escape sequence to abort.
    Sending 5, 100-byte ICMP Echos to 22.22.22.22, timeout is 2 seconds:
    !!!!!
    
    Success rate is 100 percent (5/5), round-trip min/avg/max = 20/20/20 ms

Connectivité à l'Internet du CE 1

Suivez les étapes ci-dessous pour vérifier la Connectivité à l'Internet de CE1.

  1. Tous les paquets destinés à l'Internet ou au VPN du CE 1 conduiront utilisant un default route configuré en CE 1 indiquant le PE 1, comme affiché ci-dessous.

    CE-1# show ip route 0.0.0.0
    Routing entry for 0.0.0.0/0, supernet
      Known via "static", distance 1, metric 0, candidate default path
      Routing Descriptor Blocks:
      * 192.168.10.2
    Route metric is 0, traffic share count is 1
  2. Les paquets entrant dans le PE 1 interface s8/0 obtiennent conduit utilisant la table de routage du VRF customer1. Le PE 1 a un default route dans le VRF customer1 indiquant l'adresse IP 192.168.67.1 IGW, comme affiché ci-dessous dans la sortie pour le show ip route vrf customer1 sur le PE 1.

    PE-1# show ip route vrf customer1
    Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
           D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area�
           N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
           E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
           i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area
           * - candidate default, U - per-user static route, o - ODR
           P - periodic downloaded static route
    
    Gateway of last resort is 192.168.67.1 to network 0.0.0.0
    
         192.168.10.0/30 is subnetted, 1 subnets
    C       192.168.10.0 is directly connected, Serial8/0
         22.0.0.0/24 is subnetted, 1 subnets
    B       22.22.22.0 [200/0] via 10.1.1.4, 01:21:11
         11.0.0.0/24 is subnetted, 1 subnets
    S       11.11.11.0 [1/0] via 192.168.10.1
    S*   0.0.0.0/0 [1/0] via 192.168.67.1
    
  3. Puisque le default route sur le PE 1 est configuré avec un mot clé global, il recherche le prochain saut 192.168.67.1 dans sa table et artères de routage globales à l'IGW, comme affiché ci-dessous.

    PE-1# show ip route 192.168.67.1
    Routing entry for 192.168.67.0/30
      Known via "ospf 1", distance 110, metric 84, type intra area
      Last update from 10.10.23.3 on Ethernet0/0, 00:21:54 ago
      Routing Descriptor Blocks:
      * 10.10.23.3, from 10.1.1.6, 00:21:54 ago, via Ethernet0/0
     Route metric is 84, traffic share count is 1
  4. Les paquets atteignant IGW obtiennent conduit plus d'à l'Internet basé sur les routes BGP qu'il a apprises de R7. Dans ce cas, vous pouvez regarder la route BGP apprise de R7 pour expliquer la Connectivité à l'Internet. Affichée ci-dessous est la route BGP (réseau 99.99.99.0/24) apprise de R7 dans la table de routage IGW.

    IGW# show ip route 99.99.99.0
    Routing entry for 99.99.99.0/24
      Known via "bgp 100", distance 20, metric 0
      Tag 200, type external
      Last update from 192.168.67.2 01:37:25 ago
      Routing Descriptor Blocks:
      * 192.168.67.2, from 192.168.67.2, 01:37:25 ago
          Route metric is 0, traffic share count is 1
          AS Hops 1

    Les paquets qui ont provenu de CE-1 obtiennent conduit à l'Internet.

  5. Pour des paquets revenant de l'Internet destiné au CE 1 réseau 11.11.11.0/24, IGW devrait avoir une route pointant au PE 1 dans sa table globale de routage. Une artère statique dans la table globale de routage du PE 1's indiquant l'interface s8/0 sur le PE 1 se connectant au CE 1 et redistribué lui dans l'OSPF est configurée. Ceci s'assure que l'IGW a une artère dans sa table globale de routage indiquant le PE 1. L'artère statique sur le PE 1 et la route apprise OSPF sur IGW est affichée ci-dessous.

    IGW# show ip route 11.11.11.0
    Routing entry for 11.11.11.0/24
      Known via "ospf 1", distance 110, metric 20, type extern 2, forward metric 20
      Last update from 10.10.36.3 on Ethernet2/0, 00:34:34 ago
      Routing Descriptor Blocks:
      * 10.10.36.3, from 10.1.1.2, 00:34:34 ago, via Ethernet2/0
          Route metric is 20, traffic share count is 1
    
    PE-1# show ip route 11.11.11.0
    Routing entry for 11.11.11.0/24
      Known via "static", distance 1, metric 0
      Redistributing via ospf 1
      Advertised by ospf 1 subnets
      Routing Descriptor Blocks:
      * 192.168.10.1, via Serial8/0
          Route metric is 0, traffic share count is 1
  6. Vérifiez maintenant la Connectivité à l'Internet du 1par de la CE cinglant R7 l'adresse IP 99.99.99.1 avec du CE 1 adresse source de 11.11.11.1.

    CE-1# ping
    Protocol [ip]:
    Target IP address: 99.99.99.1
    Repeat count [5]:
    Datagram size [100]:
    Timeout in seconds [2]:
    Extended commands [n]: y
    Source address or interface: 11.11.11.1
    Type of service [0]:
    Set DF bit in IP header? [no]:
    Validate reply data? [no]:
    Data pattern [0xABCD]:
    Loose, Strict, Record, Timestamp, Verbose[none]:
    Sweep range of sizes [n]:
    Type escape sequence to abort.
    Sending 5, 100-byte ICMP Echos to 99.99.99.1, timeout is 2 seconds:
    !!!!!
    Success rate is 100 percent (5/5), round-trip min/avg/max = 20/24/32 ms
    CE-1#

Dépannez

Il n'existe actuellement aucune information de dépannage spécifique pour cette configuration.


Informations connexes


Document ID: 24508