Switching por etiquetas multiprotocolo (MPLS) : MPLS

Acceso a Internet desde un MPLS VPN mediante una tabla de ruteo global

17 Octubre 2016 - Traducción Automática
Otras Versiones: PDFpdf | Inglés (22 Agosto 2015) | Comentarios


Contenido


Introducción

El propósito de este documento es demostrar un ejemplo de configuración utilizada para acceder a Internet desde una VPN basada en el Multiprotocol Label Switching (MPLS) utilizando una tabla de ruteo global.

En ciertos escenarios de red, se requiere para acceder Internet de un VPN basado en MPLS además de la continuación mantener la conectividad VPN entre los sitios corporativos. Esta configuración de muestra se centra en proporcionar al acceso a internet del VPN Routing and Forwarding (VRF) que contiene la ruta predeterminado al router de gateway de Internet (IGW).

prerrequisitos

Requisitos

Una comprensión básica de la expedición y del MPLS VPN MPLS se requiere entender completamente el contenido de este documento.

Componentes Utilizados

La información que contiene este documento se basa en las versiones de software y hardware indicadas a continuación.

  • Software Release 12.1(3)T del½ del¿Â del Cisco IOSïÂ. La versión 12.0(5)T incluye la característica del MPLS VPN

  • Cualquier router de Cisco de las series 3600 o posterior, como el Cisco 3660 o 7206.

La información que se presenta en este documento se originó a partir de dispositivos dentro de un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener un comando antes de ejecutarlo.

Teoría Precedente

En este ejemplo de configuración, estas directivas existían:

  • Asocian a un router con la Conectividad a Internet a la red MPLS. Puede o no inyectar rutas de Protocolo de gateway de frontera (BGP) a la tabla de ruteo global.

    Nota: El Routers PE entiende el BGP. El Routers tal como el router de switch Gigabit (GRS) (que se realiza como router del núcleo del proveedor) no ejecuta el BGP en absoluto.

  • No hay requerimientos para que un VRF tenga una tabla de ruteo completa de Internet (tabla global BGP), por lo que una ruta predeterminada estática se coloca en un VRF que apunte a la dirección de próximo salto global del IGW.

  • Un cliente VPN usa un solo rango de dirección registrada que es enrutable en la tabla de ruteo de Internet global. El método de acceso discutido en este documento no se recomienda donde los clientes tienen solamente las direcciones privadas en su red.

Convenciones

Estas siglas se utilizan en este documento:

  • CE - Router borde del cliente

  • PE - Router de borde del proveedor

  • P - Router del núcleo del proveedor

Para obtener más información sobre las convenciones del documento, consulte Convenciones de Consejos Técnicos de Cisco.

Configurar

  • Para ver un ejemplo de esta configuración, puede ver el Diagrama de red. En este ejemplo, CE 1 y CE 2 están en la misma VPN Se configuran bajo el customer1 VRF, puesto que no hay requisito para que un VRF tenga una tabla de ruteo completa de Internet (según las directivas en la sección de la Teoría previa de este documento).

  • Una Static Default ruta se configura en el customer1 VRF en el CE1 que señala al IGW. Mediante la colocación de una ruta estática defectuosa en el VRF del customer1, los paquetes que no coinciden con ninguna de las rutas contenidas en el VRF del customer1 serán enviados al IGW.

Nota: Puesto que el ½ del ¿Â de 192.168.67.1 ï del salto siguiente del gateway de Internet no es un customer1 VRF del ½ del ¿Â del theï de la parte de, una ruta predeterminado se configura bajo el customer1 VRF que señala al IP 192.168.67.1 del s8/0 de la interfaz del gateway de Internet. La ruta hacia 192.168.67.1 no se encuentra dentro de la VRF de customer1, por lo cual usted debe contar con una palabra clave global dentro de la ruta estática predeterminada configurada bajo la VRF de customer1. La palabra clave global especifica que la siguiente dirección hop de la ruta estática se resuelve dentro de la tabla de ruteo global, no dentro de customer1 VRF.

Lo que sigue es un ejemplo de la Static ruta.

ip route vrf customer1 0.0.0.0 0.0.0.0 192.168.67.1 global

Tener una ruta estática con una palabra clave global en el VRF para el customer1 asegura que todos los paquetes destinados a Internet sean enrutados hacia la gateway de Internet y luego a Internet.

Nota: La ruta predeterminado en el PE1 se configura para señalar a la dirección IP de la interfaz serial del gateway de Internet (192.168.67.1) y no al Loopback Address (10.1.1.6). De este modo, se evita la creación de agujeros negros en las rutas en el caso de un error de conectividad entre el gateway de Internet e Internet (R7). Si la ruta predeterminada apunta hacia la dirección de loopback del gateway de Internet y la conectividad entre los cortes de la gateway R7, todos los paquetes podrían continuar enrutándose hacia el gateway de Internet. Esto sucede porque sigue habiendo el Loopback Address para arriba (192.168.67.1 desemejante que se retira de la tabla de Global Routing cuando va el s8/0 de la interfaz abajo) y la ruta predeterminado continúa existiendo en la tabla de ruteo.

El siguiente paso es asegurarse de que los paquetes que se vuelven de Internet a la red 11.11.11.0/24 del destino CE1, están ruteados del gateway de Internet al PE1 y al CE1 con la base MPLS. Esto es alcanzada configurando una Static ruta para la red CE1 que señala a la interfaz del serial 8/0 en la tabla de Global Routing en PE 1. lo redistribuye en el Open Shortest Path First (OSPF) de modo que el gateway de Internet tenga esa ruta en su tabla de Global Routing. Esto permite que la gateway de Internet enrute todos los paquetes que se transmiten desde Internet a PE1 y de ahí al destino final más allá de CE 1.

El siguiente ejemplo es el comando ip route usado en configuración en el PE1.

ip route 11.11.11.0 255.255.255.0 Serial8/0 192.168.10.1

Nota: La Static ruta antedicha configurada en la tabla de Global Routing está además de la Static ruta configurada dentro del customer1 VRF, que se utiliza para la información de alcance de la capa de red VPN (NLRI). En PE 1, se configura de la siguiente manera.

ip route vrf customer1 11.11.11.0 255.255.255.0 192.168.10.1

Nota: Para obtener información adicional sobre los comandos que se utilizan en este documento, use la Command Lookup Tool (solo para clientes registrados).

Diagrama de la red

Este documento utiliza la instalación de red que se muestra en el siguiente diagrama.

/image/gif/paws/24508/internet_access_mpls_vpn.gif

Configuraciones

Este documento usa las configuraciones detalladas a continuación.

CE 1
version 12.2
!
hostname CE-1
!
ip subnet-zero
!
interface Loopback0
 ip address 10.1.1.1 255.255.255.255
!
interface Loopback2
�ip address 11.11.11.1 255.255.255.0
!
interface Serial8/0
�ip address 192.168.10.1 255.255.255.252 

 !--- The interface is connected to PE 1.

 !
ip classless
ip route 0.0.0.0 0.0.0.0 192.168.10.2

!--- This is the default route to route all packets to PE 1.

!

PE 1
version 12.2
!
hostname PE-1
!
ip subnet-zero
!
ip vrf customer1

!--- This configured VRF customer1.
 
�rd 100:1

!--- This configured the route distiguisher for VRF.
 
 route-target export 1:1
 route-target import 1:1

!--- This configured the export and import policies into VRF.
 
!
ip cef

!--- This enabled Cisco Express Forwarding (CEF) switching.

!
interface Loopback0
 ip address 10.1.1.2 255.255.255.255
!       
interface Ethernet0/0

!--- It is connected to P router.

 ip address 10.10.23.2 255.255.255.0
 tag-switching ip

!--- MPLS switching is enabled.
 
!
interface Serial8/0
! Connected to CE-1
�ip vrf forwarding customer1

!--- Route forwarding based on customer1 VRF is enabled.
 
 ip address 192.168.10.2 255.255.255.252
!
router ospf 1
 log-adjacency-changes
 redistribute static subnets
 network 0.0.0.0 255.255.255.255 area 0
!
router bgp 100
 no synchronization
 bgp log-neighbor-changes
 neighbor 10.1.1.4 remote-as 100

!--- Neighbor relationship with PE 2 is established.

 neighbor 10.1.1.4 update-source Loopback0
 neighbor 10.1.1.4 next-hop-self
 no auto-summary
!
 address-family ipv4 vrf customer1

!--- The address-family configuration mode specifies IPv4 unicast 
!---address prefixes for customer1 VRF.

 no auto-summary
 no synchronization
 network 11.11.11.0 mask 255.255.255.0

!--- CE 1 network 11.11.11.0/24 to PE 2 is announced.

network 192.168.10.0 mask 255.255.255.252
 exit-address-family
!
address-family vpnv4

!--- This is the address-family VPNV4 configuration mode for 
!--- configuring BGP sessions.

�neighbor 10.1.1.4 activate
 neighbor 10.1.1.4 send-community extended
 no auto-summary
 exit-address-family
!
ip classless
ip route 11.11.11.0 255.255.255.0 Serial8/0 192.168.10.1

!--- The static route in the global routing table is pointing to 
!--- the interface connected to CE 1.

ip route vrf customer1 0.0.0.0 0.0.0.0 192.168.67.1 global

!--- The static default route under customer1 VRF, routing packets  
!--- outside of�VPN to the Internet gateway.

! routes
ip route vrf customer1 11.11.11.0 255.255.255.0 192.168.10.1

!--- The static route for network 11.11.11.0/24 (CE-1 Network) under 
!---customer1 VRF ensures the reachability of CE 1 network from the 
!--- other VPN sites.

P
version 12.2
!
hostname P
!
ip subnet-zero
!
ip cef

!--- CEF switching is enabled.

!
interface Loopback0
 ip address 10.1.1.3 255.255.255.255
!
interface Ethernet0/0

!--- This is connected to PE 1.

 ip address 10.10.23.3 255.255.255.0
 tag-switching ip

!--- MPLS switching is enabled.

!
interface Ethernet1/0

!--- This is connected to PE 2.

 ip address 10.10.34.3 255.255.255.0
 tag-switching ip
!
interface Ethernet2/0

!--- This is connected to the Internet gateway.

 ip address 10.10.36.3 255.255.255.0
 tag-switching ip
!
router ospf 1 
 log-adjacency-changes 
network 0.0.0.0 255.255.255.255 area 0

IGW
version 12.2
!
hostname IGW
!
ip subnet-zero
!
ip cef

!--- This enabled CEF switching.

!
interface Loopback0
 ip address 10.1.1.6 255.255.255.255
!
interface Ethernet2/0

!--- This is connected to P router.

 ip address 10.10.36.6 255.255.255.0
tag-switching ip
!
interface Serial8/0

!--- This is connected to Internet R7.

 ip address 192.168.67.1 255.255.255.252
!
router ospf 1
 log-adjacency-changes
 network 0.0.0.0 255.255.255.255 area 0
 !
 router bgp 100
 no synchronization
 bgp log-neighbor-changes
 network 11.11.11.0 mask 255.255.255.0
 network 22.22.22.0 mask 255.255.255.0
 neighbor 192.168.67.2 remote-as 200
 no auto-summary

PE 2
version 12.2
!
hostname PE-2
!
ip subnet-zero
!
ip vrf customer1

!--- Customer1 VRF is configured.

�rd 100:1 

!--- Route Distinguisher for VRF is configured.
 
 route-target export 1:1 
 route-target import 1:1 

!--- This configured the import and export policies for customer1 
!--- VRF.

!
ip cef 

!--- This enabled CEF switching.
 
! 
interface Loopback0 
 ip address 10.1.1.4 255.255.255.255
interface Ethernet1/0

!--- Connected to P router.

 ip address 10.10.34.4 255.255.255.0
 tag-switching ip

!--- MPLS switching is enabled.

!
interface Serial9/0

!--- Connected to CE 2 router.

ip vrf forwarding customer1

!--- This enables VRF forwarding on the interface.

 ip address 192.168.20.1 255.255.255.252
!
router ospf 1
 log-adjacency-changes
 redistribute static subnets
 network 0.0.0.0 255.255.255.255 area 0
!
router bgp 100
 no synchronization
 bgp log-neighbor-changes
 neighbor 10.1.1.2 remote-as 100
 neighbor 10.1.1.2 update-source Loopback0
 neighbor 10.1.1.2 next-hop-self 
no auto-summary 
!
 address-family ipv4 vrf customer1

!--- This is the address-family IPv4 configuration of customer1 VRF.

 no auto-summary
 no synchronization
 network 22.22.22.0 mask 255.255.255.0

!--- This announces the CE 2 network to PE 1.

 exit-address-family
!
 address-family vpnv4

!--- This is the address-family VPNV4 configuration for BGP Sessions 
!--- with PE 1.

 neighbor 10.1.1.2 activate
 neighbor 10.1.1.2 send-community extended
 no auto-summary
 exit-address-family
!
ip classless
ip route 22.22.22.0 255.255.255.0 Serial9/0 192.168.20.2

!--- This is the static route for�network�22.22.22.0/24 in the global 
!--- routing table pointing to the interface connected to CE 2.

ip route vrf customer1 0.0.0.0 0.0.0.0 192.168.67.1 global

!--- This is the static default route�for customer VRF 
!--- for destinations outside the VPN.

ip route vrf customer1 22.22.22.0 255.255.255.0 192.168.20.2 

!--- This is the static route within customer1 VRF for CE 2 
!--- network for VPN connectivity.

CE 2
version 12.2
!
hostname CE-2
!
ip subnet-zero
!
interface Loopback0
 ip address 22.22.22.22 255.255.255.0
!
interface Serial9/0

!--- This is connected to PE 2.

 ip address 192.168.20.2 255.255.255.252
!
ip classless
ip route 0.0.0.0 0.0.0.0 192.168.20.1

!--- This is the default route pointing to PE 2.

Verificación

En esta sección encontrará información que puede utilizar para confirmar que su configuración esté funcionando correctamente.

Conectividad del ½ del ¿Â VPNï entre el CE1 y el CE2

Para verificar la conectividad VPN entre CE 1 y CE 2, CE 1 debe ser capaz de alcanzar la red 22.22.22.0.24 de CE 2 y viceversa. Para comprobar esto, verifique la ruta hacia la red 22.22.22.0/24 en la VRF de customer1 en PE 1.

La herramienta Output Interpreter (sólo para clientes registrados) permite utilizar algunos comandos “show” y ver un análisis del resultado de estos comandos.

  1. El comando show ip route vrf customer1 confirma la ruta a la red 22.22.22.0/24 docta del ½ del ¿Â del shownï de 10.1.1.4 (el Loopback Address PE2) resaltado en la salida abajo.

    PE-1# show ip route vrf customer1
    Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
           D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area�
           N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
           E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
           i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area
           * - candidate default, U - per-user static route, o - ODR
           P - periodic downloaded static route
    
    Gateway of last resort is 192.168.67.1 to network 0.0.0.0
    
    192.168.10.0/30 is subnetted, 1 subnets
    C       192.168.10.0 is directly connected, Serial8/0
           22.0.0.0/24 is subnetted, 1 subnets
    B       22.22.22.0 [200/0] via 10.1.1.4, 01:00:50
           11.0.0.0/24 is subnetted, 1 subnets
    S      11.11.11.0 [1/0] via 192.168.10.1
    S*   0.0.0.0/0 [1/0] via 192.168.67.1
  2. La semejanza, en el PE2, la ruta a la red 11.11.11.0/24 en el customer1 VRF se muestra en el ejemplo abajo.

    PE-2# show ip route vrf customer1
    Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
           D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area�
           N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
           E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
           i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area
           * - candidate default, U - per-user static route, o - ODR
           P - periodic downloaded static route 
    
    Gateway of last resort is 192.168.67.1 to network 0.0.0.0
    
    192.168.10.0/30 is subnetted, 1 subnets
    B       192.168.10.0 [200/0] via 10.1.1.2, 01:00:09
         22.0.0.0/24 is subnetted, 1 subnets
    S       22.22.22.0 [1/0] via 192.168.20.2
         192.168.20.0/30 is subnetted, 1 subnets
    C       192.168.20.0 is directly connected, Serial9/0
         11.0.0.0/24 is subnetted, 1 subnets
    B       11.11.11.0 [200/0] via 10.1.1.2, 01:00:09
    S*   0.0.0.0/0 [1/0] via 192.168.67.1
  3. Ahora marque la Conectividad entre el CE1 y el CE2 haciendo ping un host 22.22.22.22 en el CE2 usando la dirección IP de origen de 11.11.11.1 del CE1.

    CE-1# ping
    Protocol [ip]:
    Target IP address: 22.22.22.22
    Repeat count [5]:
    Datagram size [100]:
    Timeout in seconds [2]:
    Extended commands [n]: y
    Source address or interface: 11.11.11.1
    Type of service [0]:
    Set DF bit in IP header? [no]:
    Validate reply data? [no]:
    Data pattern [0xABCD]:
    Loose, Strict, Record, Timestamp, Verbose[none]:
    Sweep range of sizes [n]:
    Type escape sequence to abort.
    Sending 5, 100-byte ICMP Echos to 22.22.22.22, timeout is 2 seconds:
    !!!!!
    
    Success rate is 100 percent (5/5), round-trip min/avg/max = 20/20/20 ms

Conectividad con Internet desde CE 1

Siga los pasos abajo para verificar la Conectividad a Internet del CE1.

  1. Todos los paquetes destinados a Internet o a VPN desde CE se rutearán mediante una ruta predeterminada configurada en CE1 dirigida a PE 1, tal como se muestra a continuación.

    CE-1# show ip route 0.0.0.0
    Routing entry for 0.0.0.0/0, supernet
      Known via "static", distance 1, metric 0, candidate default path
      Routing Descriptor Blocks:
      * 192.168.10.2
    Route metric is 0, traffic share count is 1
  2. Los paquetes que entran a la interfaz PE 1 s8/0 se enrutan mediante la tabla de ruteo VRF de customer1. PE 1 tiene una ruta predeterminada en el VRF de customer1 que apunta a la dirección IGW IP 192.168.67.1, como se ilustra debajo en el resultado del comando show ip route vrf customer1 en PE 1.

    PE-1# show ip route vrf customer1
    Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
           D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area�
           N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
           E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
           i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area
           * - candidate default, U - per-user static route, o - ODR
           P - periodic downloaded static route
    
    Gateway of last resort is 192.168.67.1 to network 0.0.0.0
    
         192.168.10.0/30 is subnetted, 1 subnets
    C       192.168.10.0 is directly connected, Serial8/0
         22.0.0.0/24 is subnetted, 1 subnets
    B       22.22.22.0 [200/0] via 10.1.1.4, 01:21:11
         11.0.0.0/24 is subnetted, 1 subnets
    S       11.11.11.0 [1/0] via 192.168.10.1
    S*   0.0.0.0/0 [1/0] via 192.168.67.1
    
  3. Porque la ruta predeterminado en el PE1 se configura con una palabra clave global, busca el salto siguiente 192.168.67.1 en su tabla de Global Routing y rutas al IGW, como se muestra abajo.

    PE-1# show ip route 192.168.67.1
    Routing entry for 192.168.67.0/30
      Known via "ospf 1", distance 110, metric 84, type intra area
      Last update from 10.10.23.3 on Ethernet0/0, 00:21:54 ago
      Routing Descriptor Blocks:
      * 10.10.23.3, from 10.1.1.6, 00:21:54 ago, via Ethernet0/0
     Route metric is 84, traffic share count is 1
  4. Los paquetes que alcanzan IGW son enrutados hacia la Internet basada en las rutas BGP que aprendió de R7. En este caso, puede mirar a la ruta BGP aprendida de R7 para demostrar la conectividad a Internet. A continuación se muestra la ruta BGP (red 99.99.99.0/24) conocida desde R7 en la tabla de ruteo IGW.

    IGW# show ip route 99.99.99.0
    Routing entry for 99.99.99.0/24
      Known via "bgp 100", distance 20, metric 0
      Tag 200, type external
      Last update from 192.168.67.2 01:37:25 ago
      Routing Descriptor Blocks:
      * 192.168.67.2, from 192.168.67.2, 01:37:25 ago
          Route metric is 0, traffic share count is 1
          AS Hops 1

    Los paquetes que se originaron en CE-1 se enrutan hacia Internet.

  5. Para los paquetes que vuelven de Internet destinados a la red CE 1 11.11.11.0/24, IGW debe tener una ruta apuntando a PE 1 en su tabla de ruteo global. Se configura una ruta estática en la tabla de ruteo global de PE 1 que apunta a una interfaz s8/0 en PE 1 conectada con CE 1 y redistribuida en OSPF. Esto se asegura de que el IGW tenga una ruta en su tabla de Global Routing que señala al PE1. A continuación se muestra la ruta estática en PE 1 y la ruta aprendida OSPF en IGW.

    IGW# show ip route 11.11.11.0
    Routing entry for 11.11.11.0/24
      Known via "ospf 1", distance 110, metric 20, type extern 2, forward metric 20
      Last update from 10.10.36.3 on Ethernet2/0, 00:34:34 ago
      Routing Descriptor Blocks:
      * 10.10.36.3, from 10.1.1.2, 00:34:34 ago, via Ethernet2/0
          Route metric is 20, traffic share count is 1
    
    PE-1# show ip route 11.11.11.0
    Routing entry for 11.11.11.0/24
      Known via "static", distance 1, metric 0
      Redistributing via ospf 1
      Advertised by ospf 1 subnets
      Routing Descriptor Blocks:
      * 192.168.10.1, via Serial8/0
          Route metric is 0, traffic share count is 1
  6. Ahora verifique la conectividad con Internet desde CE 1 realizando un ping a la dirección IP R7 99.99.99.1 con la dirección de origen CE 1 de 11.11.11.1.

    CE-1# ping
    Protocol [ip]:
    Target IP address: 99.99.99.1
    Repeat count [5]:
    Datagram size [100]:
    Timeout in seconds [2]:
    Extended commands [n]: y
    Source address or interface: 11.11.11.1
    Type of service [0]:
    Set DF bit in IP header? [no]:
    Validate reply data? [no]:
    Data pattern [0xABCD]:
    Loose, Strict, Record, Timestamp, Verbose[none]:
    Sweep range of sizes [n]:
    Type escape sequence to abort.
    Sending 5, 100-byte ICMP Echos to 99.99.99.1, timeout is 2 seconds:
    !!!!!
    Success rate is 100 percent (5/5), round-trip min/avg/max = 20/24/32 ms
    CE-1#

Troubleshooting

Actualmente, no hay información específica de troubleshooting disponible para esta configuración.


Información Relacionada


Document ID: 24508