Logiciels Cisco IOS et NX-OS : Réseaux VPN de couche 3 (L3VPN)

La couche dynamique 3 VPN avec GRE multipoint perce un tunnel l'exemple de configuration

17 décembre 2015 - Traduction automatique
Autres versions: PDFpdf | Anglais (22 août 2015) | Commentaires

Introduction

Ce document décrit comment configurer la couche dynamique 3 (L3) VPN avec la configuration multipoint de tunnels de Generic Routing Encapsulation (mGRE).

Contribué par Vinod Sharma, ingénieur TAC Cisco.

Conditions préalables

Conditions requises

Avant que vous configuriez L3 dynamique VPN avec le mGRE perce un tunnel la caractéristique, vous assuriez que votre Commutation multiprotocole par étiquette (MPLS) VPN est configuré et fonctionne correctement, et que la Connectivité de bout en bout est établie pour le réseau d'IPV4.

Composants utilisés

Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :

  • Routeur de la gamme de Cisco 7206VXR (NPE-G1) avec la version de logiciel 15.2(4)S3 de Cisco IOS®
  • Routeur de gamme Cisco 7609-S avec la version du logiciel Cisco IOS 12.2(33)SRE4

Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Si votre réseau est opérationnel, assurez-vous que vous comprenez l'effet potentiel de toute commande.

Informations générales

Le L3 dynamique VPN avec la configuration de tunnels de mGRE fournit un mécanisme de transport L3 basé sur une technologie de tunnellisation améliorée de mGRE pour l'usage dans les réseaux IP. Le transport dynamique du Tunnellisation L3 peut également être utilisé dans des réseaux IP afin de transporter le trafic VPN à travers le fournisseur de services et les réseaux d'entreprise, et fournir l'Interopérabilité pour le transport de paquet entre IP et MPLS VPN. Cette caractéristique fournit le support pour RFC 2547, qui définit l'outsourcing des services de circuit principal IP pour des réseaux d'entreprise.

Les restrictions pour L3 dynamique VPN avec le mGRE perce un tunnel

Voici une liste de restrictions qui s'appliquent pour L3 dynamique VPN avec des tunnels de mGRE :

  • Le déploiement d'un MPLS VPN avec l'encapsulation IP/GRE et MPLS dans un réseau simple n'est pas pris en charge.
  • Chaque routeur de Provider Edge (PE) prend en charge une configuration de tunnel seulement.
  • L'interface VLAN sur la gamme Cisco 7600 que le routeur qui fait face vers le noyau où le trafic percé un tunnel d'étiquette doit écrire n'est pas prise en charge. Ce devrait être l'interface principale ou une sous-interface.
  • MPLS VPN au-dessus de mGRE est pris en charge sur le Routeurs de la gamme Cisco 7600 qui utilisent le linecard ES-40 et le linecard du Protocole SIP (Session Initiation Protocol) 400 comme cartes de noyau-revêtement.

Configurez

Cette section décrit deux configurations :

  • L3 dynamique VPN avec le mGRE perce un tunnel sur le réseau réservé à l'IP
  • L3 dynamique VPN avec le mGRE perce un tunnel sur IP + réseau MPLS

L3 dynamique VPN avec le mGRE perce un tunnel sur le réseau (Non-MPLS) réservé à l'IP

Diagramme du réseau

Configurations

Ce sont les configurations exigées sur Routeur3 (R3) et le Router2 (R2).

Voici la configuration pour R3 :

l3vpn encapsulation ip MGRE
transport ipv4 source Loopback0

route-map MGRE-NEXT-HOP permit 10
set ip next-hop encapsulate l3vpn MGRE

router bgp 65534
 !
address-family vpnv4
neighbor 192.168.2.2 route-map MGRE-NEXT-HOP in

Voici la configuration pour R2 :

l3vpn encapsulation ip MGRE
transport ipv4 source Loopback0

route-map MGRE-NEXT-HOP permit 10
set ip next-hop encapsulate l3vpn MGRE

router bgp 65534
 !
address-family vpnv4
neighbor 192.168.3.3 route-map MGRE-NEXT-HOP in

Vérifiez

Utilisez cette section pour confirmer que votre configuration fonctionne correctement.

R2#show tunnel endpoints 
 
 Tunnel0 running in multi-GRE/IP mode

 Endpoint transport 192.168.3.3 Refcount 3 Base 0x1E8E1B74 Create Time 00:47:53
   overlay 192.168.3.3 Refcount 2 Parent 0x1E8E1B74 Create Time 00:47:53


R2#show l3vpn encapsulation ip MGRE

 Profile: MGRE
    transport ipv4 source Loopback0
    protocol gre
    payload mpls
    mtu default
  Tunnel Tunnel0 Created [OK]
  Tunnel Linestate [OK]
  Tunnel Transport Source Loopback0 [OK]


R2#show ip route vrf MGRE 172.16.3.3

Routing Table: MGRE
Routing entry for 172.16.3.3
  Known via "bgp 65534", distance 200, metric 0, type internal
  Last update from 192.168.3.3 on Tunnel0, 01:03:25 ago
  Routing Descriptor Blocks:
  * 192.168.3.3 (default), from 172.16.112.1, 01:03:25 ago, via Tunnel0 <points to tunnel
      Route metric is 0, traffic share count is 1
      AS Hops 0
     MPLS label: 17   <BGP vpnv4 label>
      MPLS Flags: MPLS Required

Remarque: Dans l'exemple précédent, il y a le siège potentiel d'explosion seulement deux. Cependant, si vous avez un grand réseau avec de plusieurs Routeurs de PE, il est très facile configurer ce mGRE dynamique et extensible, parce que vous devez avoir la configuration semblable sur tout le siège potentiel d'explosion, et des tunnels sont découverts automatiquement.

L3 dynamique VPN avec le mGRE perce un tunnel sur IP + réseau MPLS

Diagramme du réseau

Si vous avez un double scénario de connexion où une connexion est MPLS et l'autre est non-MPLS, vous devez configurer le mGRE sur tous les Routeurs de PE impliqués. Avec cette topologie, vous devez configurer le mGRE sur chacun des trois Routeurs de PE.

Si vous n'avez pas configuré le mGRE sur la connexion entre R3 et R1 - lien MPLS, alors les sous-réseaux derrière R3 ne pouvez pas communiquer avec les sous-réseaux derrière R2.

R1 et R2 établissent des périphériques du tunnel avec R3 basé sur le profil L3 VPN. Référez-vous à la configuration dans ce document où le profil L3 VPN n'est pas configuré, le route-map au pair de Protocole BGP (Border Gateway Protocol) sur R3 n'est pas appliqué, et le route-map pour le L3 VPN pour R3 sur R1 n'est pas appliqué.

Configurations

Ce sont les configurations exigées sur R1, R2, et R3.

Voici la configuration pour R1 :

l3vpn encapsulation ip MGRE
transport ipv4 source Loopback0

route-map MGRE-NEXT-HOP permit 10
set ip next-hop encapsulate l3vpn MGRE

router bgp 65534
address-family vpnv4
neighbor 192.168.2.2 send-community extended
neighbor 192.168.2.2 route-map MGRE-NEXT-HOP in
neighbor 192.168.3.3 activate

Voici la configuration pour R2 :

l3vpn encapsulation ip MGRE
transport ipv4 source Loopback0

route-map MGRE-NEXT-HOP permit 10
set ip next-hop encapsulate l3vpn MGRE

router bgp 65534
address-family vpnv4
neighbor 192.168.1.1 route-map MGRE-NEXT-HOP in
neighbor 192.168.1.1 activate

Voici la configuration pour R3 :

router bgp 65534
address-family vpnv4
neighbor 192.168.1.1 activate

Vérifiez

Maintenant, vous pouvez cingler du R2 loopback1 au R3 loopback1 :

R2#ping vrf  MGRE  172.16.3.3 source 172.16.2.2       

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.16.3.3, timeout is 2 seconds:
Packet sent with a source address of 172.16.2.2
.....
Success rate is 0 percent (0/5)


R2#show ip route vrf MGRE 172.16.3.3

Routing Table: MGRE
Routing entry for 172.16.3.3/32
  Known via "bgp 65534", distance 200, metric 0, type internal
  Last update from 192.168.3.3 on Tunnel0, 00:50:23 ago
  Routing Descriptor Blocks:
  * 192.168.3.3 (default), from 192.168.1.1, 00:50:23 ago, via Tunnel0  <it is
pointed towards a tunnel>

      Route metric is 0, traffic share count is 1
      AS Hops 0
      MPLS label: 19
      MPLS Flags: MPLS Required


R2#show tunnel endpoints
 Tunnel1 running in multi-GRE/IP mode

 Tunnel0 running in multi-GRE/IP mode

 Endpoint transport 192.168.1.1 Refcount 3 Base 0x507665E4 Create Time 01:24:25
   overlay 192.168.1.1 Refcount 2 Parent 0x507665E4 Create Time 01:24:25
 Endpoint transport 192.168.3.3 Refcount 3 Base 0x507664D4 Create Time 00:50:51
   overlay 192.168.3.3 Refcount 2 Parent 0x507664D4 Create Time 00:50:51

R2 a créé un tunnel dynamique pour 192.168.3.3 a basé sur le bgp next-hop pour l'artère de 172.16.3.3.

R2#show ip bgp vpnv4 vrf  MGRE 172.16.3.3
BGP routing table entry for 43984:300:172.16.3.3/32, version 29
Paths: (1 available, best #1, table MGRE)
  Advertised to update-groups:
     1         
  Local, imported path from 300:300:172.16.3.3/32
    192.168.3.3 (metric 3) (via Tunnel0) from 192.168.1.1 (192.168.1.1)
      Origin incomplete, metric 0, localpref 100, valid, internal, best
      Extended Community: RT:43984:300
      Originator: 192.168.3.3, Cluster list: 192.168.1.1
      mpls labels in/out nolabel/19

Il est vérifié sur R1, et il a également créé des périphériques du tunnel pour les deux Routeurs de PE :

R1#show tunnel endpoints 
 Tunnel1 running in multi-GRE/IP mode

 Tunnel0 running in multi-GRE/IP mode

 Endpoint transport 192.168.2.2 Refcount 3 Base 0x1E8EE7B0 Create Time 01:36:41
   overlay 192.168.2.2 Refcount 2 Parent 0x1E8EE7B0 Create Time 01:36:41
 Endpoint transport 192.168.3.3 Refcount 3 Base 0x1E8EE590 Create Time 00:59:34
   overlay 192.168.3.3 Refcount 2 Parent 0x1E8EE590 Create Time 00:59:34

Sur R3, aucun périphérique du tunnel n'est créé :

R3#show tunnel endpoints

Voici l'artère pour le sous-réseau R2, qui a lancé le ping :

R3#show ip route vrf  MGRE  172.16.2.2

Routing Table: MGRE
Routing entry for 172.16.2.2/32
  Known via "bgp 65534", distance 200, metric 0, type internal
  Last update from 192.168.2.2 01:01:57 ago
  Routing Descriptor Blocks:
  * 192.168.2.2 (default), from 192.168.1.1, 01:01:57 ago
      Route metric is 0, traffic share count is 1
      AS Hops 0
      MPLS label: 17
      MPLS Flags: MPLS Required

Par conséquent, le paquet est envoyé encapsulé dans GRE vers R3. Puisque R3 n'a aucun tunnel, il ne reçoit pas le paquet GRE, et le relâche.

Par conséquent, vous devez configurer le mGRE de bout en bout sur un chemin afin de le faire fonctionner. Voici la configuration pour le mGRE sur R3, qui est nécessaire :

l3vpn encapsulation ip MGRE
transport ipv4 source Loopback0

route-map MGRE-NEXT-HOP permit 10
set ip next-hop encapsulate l3vpn MGRE

Dès que vous créerez le profil L3 VPN, des périphériques du tunnel sont créés, et vous recevez le trafic qui a été abandonné plus tôt. Cependant, le trafic de retour est MPLS et pas GRE jusqu'à ce que vous appliquiez le profil sur le pair BGP. Ce trafic est abandonné sur R1, parce que R1 n'a aucune informations d'étiquette pour R2, qui exécute seulement l'IP.

R3#show tunnel endpoints 
 Tunnel0 running in multi-GRE/IP mode

 Endpoint transport 192.168.1.1 Refcount 3 Base 0x2B79FBD4 Create Time 00:00:02
   overlay 192.168.1.1 Refcount 2 Parent 0x2B79FBD4 Create Time 00:00:02
 Endpoint transport 192.168.2.2 Refcount 3 Base 0x2B79FAC4 Create Time 00:00:02
   overlay 192.168.2.2 Refcount 2 Parent 0x2B79FAC4 Create Time 00:00:02


R3#show ip cef vrf  MGRE  172.16.2.2
172.16.2.2/32
  nexthop 192.168.13.1 GigabitEthernet0/0.1503 label 21 17

  router bgp 65534
address-family vpnv4
neighbor 192.168.1.1 route-map MGRE-NEXT-HOP in


R3#show ip cef vrf  MGRE  172.16.2.2
172.16.2.2/32
  nexthop 192.168.2.2 Tunnel0 label 17 <exit interface is tunnel and only vpnv4 label is left>


R2#ping vrf  MGRE 172.16.3.3 source  172.16.2.2

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.16.3.3, timeout is 2 seconds:
Packet sent with a source address of 172.16.2.2
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/4 ms

Scénario 3

Supposez les sous-réseaux derrière R5, qui doivent communiquer avec R3, ne veulent pas utiliser le mGRE. Puis, vous pouvez utiliser le route-map qui a été utilisé pour le profil L3 VPN afin de placer le prochain-saut et appeler un prefix-list, et permettez seulement les préfixes qui ont besoin du tunnel de mGRE.

Voici la configuration pour R1 :

route-map MGRE-NEXT-HOP permit 10
 match ip address prefix-list test
 set ip next-hop encapsulate l3vpn MGRE
route-map MGRE-NEXT-HOP permit 20

Vous pouvez permettre les préfixes dans le test de prefix-list qui ont besoin du tunnel de mGRE, et tout autrement n'a pas un tunnel comme interface de sortie et suit le routage normal. Cette configuration fonctionne parce que R3 et R5 ont la Connectivité MPLS de bout en bout.

Dépannez

Il n'existe actuellement aucune information de dépannage spécifique pour cette configuration.

Informations connexes


Conversations connexes de la communauté de soutien de Cisco

Le site Cisco Support Community est un forum où vous pouvez poser des questions, répondre à des questions, faire part de suggestions et collaborer avec vos pairs.


Document ID: 116725