多协议标签交换 (MPLS) : 用于 VPN 的多协议标签交换 (MPLS for VPN)

在MPLS/VPN网络的路由泄漏

2015 年 8 月 28 日 - 机器翻译
其他版本: PDFpdf | 英语 (2015 年 4 月 22 日) | 反馈


目录


简介

本文档提供 MPLS/VPN 环境中的路由泄漏的示例配置。

先决条件

要求

本文档没有任何特定的要求。

使用的组件

本文档不限于特定的软件和硬件版本。

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。

规则

有关文档规则的详细信息,请参阅 Cisco 技术提示规则

配置

本部分包含以下两个配置示例:

  • 从全局路由表到 VPN 路由/转发实例 (VRF) 的路由泄漏和从 VRF 到全局路由表的路由泄漏

  • 不同 VRF 之间的路由泄漏

注意: 要寻找关于本文中指令的其他信息,请使用命令查找工具(注册用户)。

从全局路由表到 VRF 的路由泄漏和从 VRF 到全局路由表的路由泄漏

此配置描述从全局路由表到 VRF 的路由泄漏和从 VRF 到全局路由表的路由泄漏。

网络图

此配置使用以下网络设置:

/image/gif/paws/47807/routeleaking_01.gif

配置

在本示例中,从全局路由表访问位于 VRF 中的网络管理系统 (NMS) 工作站。提供商边缘 (PE) 路由器和提供商 (P) 路由器必须将 NetFlow 信息导出到 VRF 中的 NMS 工作站 (10.0.2.2)。可通过 PE-4 上的 VRF 接口访问 10.0.2.2。

为了从全局表访问 10.0.2.0/30,在 PE-4 上引入了从 VRF 接口指向 10.0.2.0/30 的静态路由。然后通过内部网关协议 (IGP) 将此静态路由重新分配到所有 PE 和 P 路由器。这可确保所有 PE 和 P 路由器都可通过 PE-4 访问 10.0.2.0/30。

还添加了静态 VRF 路由。该静态 VRF 路由指向全局网络中将数据流发送到此 NMS 工作站的子网。如果不添加此路由,PE-4 会丢弃在 VRF 接口上接收到的 NMS 工作站中的数据流;并且 PE-4 会将 ICMP:host unreachable rcv 消息发送到 NMS 工作站。

本部分使用以下配置:

PE-4
!
ip cef
!
ip vrf vpn2
rd 200:1
route-target export 200:1
route-target import 200:1
!
interface Serial1/0
ip address 10.1.2.5 255.255.255.252
no ip directed-broadcast
!
interface Serial2/0
ip vrf forwarding vpn2
ip address 10.0.2.1 255.255.255.0
no ip directed-broadcast
!
ip classless
ip route 10.0.2.0 255.255.255.252 Serial2/0
ip route vrf vpn2 10.1.2.4 255.255.255.252 Serial1/0
!

现在可以将静态路由重新分配到要在网络范围内通告的任何 IGP。VRF 接口是 LAN 接口(例如,以太网)时同样适用。这种情况下的确切配置命令是:

ip route 10.0.2.0 255.255.255.252 Ethernet2/0 10.0.2.2

注意: 在接口名称后配置的 IP 地址仅由地址解析协议 (ARP) 用于了解要解析的地址。

注意: 对于 4500 系列交换机,必须在 VRF 表中为相应的下一跳地址配置静态 ARP 条目。

注意: 默认情况下,思科IOS�软件接受静态VRF路由如配置。这可能会损害安全性,因为它可能引入不同 VRF 之间的路由泄漏。可以使用 no ip route static inter-vrf 命令防止安装此类静态 VRF 路由。有关 no ip route static inter-vrf 命令的详细信息,请参阅 MPLS 虚拟专用网 (VPN)

验证

此部分提供信息确认您的配置适当地工作。

命令输出解释程序工具仅限注册用户)支持某些 show 命令,使用此工具可以查看对 show 命令输出的分析。

  • show ip route 10.0.2.0 — 显示指定的 IP 地址路由条目。

  • show ip route vrf vpn2 10.1.2.4 — 显示指定的 IP 地址 VRF 路由条目。

PE-4# show ip route 10.0.2.0

Routing entry for 10.0.2.0/30
Known via "static", distance 1, metric 0 (connected)
Routing Descriptor Blocks:
* directly connected, via Serial2/0
Route metric is 0, traffic share count is 1

PE-4# show ip route vrf vpn2 10.1.2.4

Routing entry for 10.1.2.4/30
Known via "static", distance 1, metric 0 (connected)
Redistributing via bgp 1
Advertised by bgp 1
Routing Descriptor Blocks:
* directly connected, via Serial1/0
Route metric is 0, traffic share count is 1

不同 VRF 之间的路由泄漏

此配置描述不同 VRF 之间的路由泄漏。

网络图

此配置使用以下网络图:

/image/gif/paws/47807/routeleaking_02.gif

配置

不能将两个静态路由配置为在 VRF 之间通告每个前缀,因为不支持此方法 — 路由器将不路由数据包。为了实现 VRF 之间的路由泄漏,必须使用路由目标的导入功能并对路由器启用边界网关协议 (BGP)。不需要 BGP 邻居。

本部分使用以下配置:

PE-4
!
ip vrf vpn1
 rd 100:1
 route-target export 100:1
 route-target import 100:1
 route-target import 200:1
!
ip vrf vpn2
 rd 200:1
 route-target export 200:1
 route-target import 200:1
 route-target import 100:1
!
interface Serial1/0
 ip vrf forwarding vpn1
 ip address 10.1.2.5 255.255.255.252
 no ip directed-broadcast
!
interface Serial2/0
 ip vrf forwarding vpn2
 ip address 10.0.2.1 255.255.255.0
 no ip directed-broadcast
router bgp 1
!
address-family ipv4 vrf vpn2
 redistribute connected
 !
address-family ipv4 vrf vpn1
 redistribute connected
!

验证

本部分提供的信息可用于对配置进行故障排除。

命令输出解释程序工具仅限注册用户)支持某些 show 命令,使用此工具可以查看对 show 命令输出的分析。

  • show ip bgp vpnv4 all — 显示通过 BGP 了解的所有 VPNv4 前缀。

PE-4# show ip bgp vpnv4 all

BGP table version is 13, local router ID is 7.0.0.4
Status codes: s suppressed, d damped, h history, * valid,
> best, i - internal, r RIB-failure, S Stale
Origin codes: i - IGP, e - EGP, ? - incomplete

Network Next Hop Metric LocPrf Weight Path
Route Distinguisher: 100:1 (default for vrf vpn1)
*> 10.0.2.0/24 0.0.0.0 0 32768 ?
*> 10.1.2.4/30 0.0.0.0 0 32768 ?
Route Distinguisher: 200:1 (default for vrf vpn2)
*> 10.0.2.0/24 0.0.0.0 0 32768 ?
*> 10.1.2.4/30 0.0.0.0 0 32768 ?

注意: 在 VRF 之间泄漏路由的另一方式是将 PE-4 路由器上的两个以太网接口连接在一起并将每个以太网接口与一个 VRF 相关联。还必须在 VRF 表中为相应下一跳地址配置静态 ARP 条目。然而,不建议对 VRF 之间的路由泄漏使用此解决方案;建议使用的解决方案是前面所述的 BGP 技术。

故障排除

目前没有针对此配置的故障排除信息。

相关的思科支持社区讨论

思科支持社区是您提问、解答问题、分享建议以及与工作伙伴协作的论坛。


相关信息


Document ID: 47807