Software Cisco IOS y NX-OS : VPN de capa 3 (L3VPN)

Capa dinámica 3 VPN con el ejemplo de configuración de múltiples puntos de los túneles GRE

17 Octubre 2016 - Traducción Automática
Otras Versiones: PDFpdf | Inglés (22 Agosto 2015) | Comentarios

Introducción

Este documento describe cómo configurar la capa dinámica 3 (L3) VPN con la característica de múltiples puntos de los túneles del Generic Routing Encapsulation (mGRE).

Contribuido por Vinod Sharma, ingeniero de Cisco TAC.

Prerrequisitos

Requisitos

Antes de que usted configure L3 dinámico VPN con el mGRE haga un túnel la característica, se asegure de que su Multiprotocol Label Switching (MPLS) VPN está configurado y trabaja correctamente, y de que la conectividad de extremo a extremo está establecida para la red del IPV4.

Componentes Utilizados

La información que contiene este documento se basa en las siguientes versiones de software y hardware.

  • Router de la serie del Cisco 7206VXR (NPE-G1) con la versión 15.2(4)S3 del Cisco IOS ® Software
  • Cisco 7609-S Series Router con el Cisco IOS Software Release 12.2(33)SRE4

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando.

Antecedentes

El L3 dinámico VPN con la característica de los túneles del mGRE proporciona un mecanismo de transporte L3 basado en una tecnología de tunelización aumentada del mGRE para el uso en las redes del IP. El transporte dinámico del Tunelización L3 se puede también utilizar dentro de las redes del IP para transportar el tráfico VPN a través del proveedor de servicio y de las redes para empresas, y proporcionar la Interoperabilidad para el transporte del paquete entre el IP y el MPLS VPNs. Esta característica proporciona el soporte para el RFC 2547, que define la externalización de los servicios de la estructura básica IP para las redes para empresas.

Las restricciones para L3 dinámico VPN con el mGRE hacen un túnel

Aquí está una lista de restricciones que soliciten L3 dinámico VPN con los túneles del mGRE:

  • El despliegue de un MPLS VPN con la encapsulación IP/GRE y MPLS dentro de una red única no se soporta.
  • Soportes para router de cada borde del proveedor (PE) una configuración del túnel solamente.
  • La interfaz VLAN en el Cisco 7600 Series Router que las caras hacia la base donde el tráfico hecho un túnel de la etiqueta debe ingresar no están soportadas. Debe ser la interfaz principal o una subinterfaz.
  • El MPLS VPN sobre el mGRE se soporta en los Cisco 7600 Series Router que utilizan el linecard ES-40 y el linecard del Session Initiation Protocol (SIP) 400 como indicadores luminosos LED amarillo de la placa muestra gravedad menor del memoria-revestimiento.

Configurar

Esta sección describe dos configuraciones:

  • El L3 dinámico VPN con el mGRE hace un túnel en el ip-only network
  • El L3 dinámico VPN con el mGRE hace un túnel en la red MPLS IP+

El L3 dinámico VPN con el mGRE hace un túnel en la red IP solamente (NON-MPLS)

Diagrama de la red

Configuraciones

Éstas son las configuraciones necesarias en el router3 (R3) y el router2 (r2).

Aquí está la configuración para el R3:

l3vpn encapsulation ip MGRE
transport ipv4 source Loopback0

route-map MGRE-NEXT-HOP permit 10
set ip next-hop encapsulate l3vpn MGRE

router bgp 65534
 !
address-family vpnv4
neighbor 192.168.2.2 route-map MGRE-NEXT-HOP in

Aquí está la configuración para el r2:

l3vpn encapsulation ip MGRE
transport ipv4 source Loopback0

route-map MGRE-NEXT-HOP permit 10
set ip next-hop encapsulate l3vpn MGRE

router bgp 65534
 !
address-family vpnv4
neighbor 192.168.3.3 route-map MGRE-NEXT-HOP in

Verificación

Utilize esta sección para confirmar que su configuración funcione correctamente.

R2#show tunnel endpoints 
 
 Tunnel0 running in multi-GRE/IP mode

 Endpoint transport 192.168.3.3 Refcount 3 Base 0x1E8E1B74 Create Time 00:47:53
   overlay 192.168.3.3 Refcount 2 Parent 0x1E8E1B74 Create Time 00:47:53


R2#show l3vpn encapsulation ip MGRE

 Profile: MGRE
    transport ipv4 source Loopback0
    protocol gre
    payload mpls
    mtu default
  Tunnel Tunnel0 Created [OK]
  Tunnel Linestate [OK]
  Tunnel Transport Source Loopback0 [OK]


R2#show ip route vrf MGRE 172.16.3.3

Routing Table: MGRE
Routing entry for 172.16.3.3
  Known via "bgp 65534", distance 200, metric 0, type internal
  Last update from 192.168.3.3 on Tunnel0, 01:03:25 ago
  Routing Descriptor Blocks:
  * 192.168.3.3 (default), from 172.16.112.1, 01:03:25 ago, via Tunnel0 <points to tunnel
      Route metric is 0, traffic share count is 1
      AS Hops 0
     MPLS label: 17   <BGP vpnv4 label>
      MPLS Flags: MPLS Required

Nota: En el ejemplo anterior, hay solamente dos PE. Sin embargo, si usted tiene una Red grande con el Routers múltiple PE, este mGRE dinámico es muy fácil de configurar y scalable, porque usted debe tener la configuración similar en todos los PE, y los túneles se descubren automáticamente.

El L3 dinámico VPN con el mGRE hace un túnel en la red MPLS IP+

Diagrama de la red

Si usted tiene un escenario dual de la conexión donde está MPLS y el otro una conexión es NON-MPLS, usted debe configurar el mGRE en todo el Routers PE implicado. Con esta topología, usted debe configurar el mGRE en el tres Routers PE.

Si usted no ha configurado el mGRE en la conexión entre el link R3 y R1- MPLS, después las subredes detrás del R3 no pueden comunicar con las subredes detrás del r2.

El r1 y el r2 construyen los puntos finales del túnel con el R3 basado en el perfil L3 VPN. Refiera a la configuración en este documento donde el perfil L3 VPN no se configura, el route-map al par del Border Gateway Protocol (BGP) en el R3 no es aplicado, y el route-map para el L3 VPN para el R3 en el r1 no es aplicado.

Configuraciones

Éstas son las configuraciones necesarias en el r1, el r2, y el R3.

Aquí está la configuración para el r1:

l3vpn encapsulation ip MGRE
transport ipv4 source Loopback0

route-map MGRE-NEXT-HOP permit 10
set ip next-hop encapsulate l3vpn MGRE

router bgp 65534
address-family vpnv4
neighbor 192.168.2.2 send-community extended
neighbor 192.168.2.2 route-map MGRE-NEXT-HOP in
neighbor 192.168.3.3 activate

Aquí está la configuración para el r2:

l3vpn encapsulation ip MGRE
transport ipv4 source Loopback0

route-map MGRE-NEXT-HOP permit 10
set ip next-hop encapsulate l3vpn MGRE

router bgp 65534
address-family vpnv4
neighbor 192.168.1.1 route-map MGRE-NEXT-HOP in
neighbor 192.168.1.1 activate

Aquí está la configuración para el R3:

router bgp 65534
address-family vpnv4
neighbor 192.168.1.1 activate

Verificación

Ahora, usted puede hacer ping del r2 loopback1 al R3 loopback1:

R2#ping vrf  MGRE  172.16.3.3 source 172.16.2.2       

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.16.3.3, timeout is 2 seconds:
Packet sent with a source address of 172.16.2.2
.....
Success rate is 0 percent (0/5)


R2#show ip route vrf MGRE 172.16.3.3

Routing Table: MGRE
Routing entry for 172.16.3.3/32
  Known via "bgp 65534", distance 200, metric 0, type internal
  Last update from 192.168.3.3 on Tunnel0, 00:50:23 ago
  Routing Descriptor Blocks:
  * 192.168.3.3 (default), from 192.168.1.1, 00:50:23 ago, via Tunnel0  <it is
pointed towards a tunnel>

      Route metric is 0, traffic share count is 1
      AS Hops 0
      MPLS label: 19
      MPLS Flags: MPLS Required


R2#show tunnel endpoints
 Tunnel1 running in multi-GRE/IP mode

 Tunnel0 running in multi-GRE/IP mode

 Endpoint transport 192.168.1.1 Refcount 3 Base 0x507665E4 Create Time 01:24:25
   overlay 192.168.1.1 Refcount 2 Parent 0x507665E4 Create Time 01:24:25
 Endpoint transport 192.168.3.3 Refcount 3 Base 0x507664D4 Create Time 00:50:51
   overlay 192.168.3.3 Refcount 2 Parent 0x507664D4 Create Time 00:50:51

El r2 creó un túnel dinámico para 192.168.3.3 basó en el Next-Hop BGP para la ruta de 172.16.3.3.

R2#show ip bgp vpnv4 vrf  MGRE 172.16.3.3
BGP routing table entry for 43984:300:172.16.3.3/32, version 29
Paths: (1 available, best #1, table MGRE)
  Advertised to update-groups:
     1         
  Local, imported path from 300:300:172.16.3.3/32
    192.168.3.3 (metric 3) (via Tunnel0) from 192.168.1.1 (192.168.1.1)
      Origin incomplete, metric 0, localpref 100, valid, internal, best
      Extended Community: RT:43984:300
      Originator: 192.168.3.3, Cluster list: 192.168.1.1
      mpls labels in/out nolabel/19

Se verifica en el r1, y también creó los puntos finales del túnel para ambo Routers PE:

R1#show tunnel endpoints 
 Tunnel1 running in multi-GRE/IP mode

 Tunnel0 running in multi-GRE/IP mode

 Endpoint transport 192.168.2.2 Refcount 3 Base 0x1E8EE7B0 Create Time 01:36:41
   overlay 192.168.2.2 Refcount 2 Parent 0x1E8EE7B0 Create Time 01:36:41
 Endpoint transport 192.168.3.3 Refcount 3 Base 0x1E8EE590 Create Time 00:59:34
   overlay 192.168.3.3 Refcount 2 Parent 0x1E8EE590 Create Time 00:59:34

En el R3, no se crea ningunos puntos finales del túnel:

R3#show tunnel endpoints

Aquí está la ruta para la subred del r2, que originó el ping:

R3#show ip route vrf  MGRE  172.16.2.2

Routing Table: MGRE
Routing entry for 172.16.2.2/32
  Known via "bgp 65534", distance 200, metric 0, type internal
  Last update from 192.168.2.2 01:01:57 ago
  Routing Descriptor Blocks:
  * 192.168.2.2 (default), from 192.168.1.1, 01:01:57 ago
      Route metric is 0, traffic share count is 1
      AS Hops 0
      MPLS label: 17
      MPLS Flags: MPLS Required

Por lo tanto, el paquete se envía encapsulado en el GRE hacia el R3. Puesto que el R3 no tiene ningún túnel, no valida el Paquete GRE, y lo cae.

Por lo tanto, usted debe configurar el mGRE de punta a punta en una trayectoria para hacer que trabaja. Aquí está la configuración para el mGRE en el R3, que es necesario:

l3vpn encapsulation ip MGRE
transport ipv4 source Loopback0

route-map MGRE-NEXT-HOP permit 10
set ip next-hop encapsulate l3vpn MGRE

Tan pronto como usted cree el perfil L3 VPN, se crean los puntos finales del túnel, y usted recibe el tráfico que fue caído anterior. Sin embargo, el tráfico de retorno es MPLS y no GRE hasta que usted aplique el perfil en el peer BGP. Ese tráfico se cae en el r1, porque el r1 no tiene ninguna información de la escritura de la etiqueta para el r2, que ejecute solamente el IP.

R3#show tunnel endpoints 
 Tunnel0 running in multi-GRE/IP mode

 Endpoint transport 192.168.1.1 Refcount 3 Base 0x2B79FBD4 Create Time 00:00:02
   overlay 192.168.1.1 Refcount 2 Parent 0x2B79FBD4 Create Time 00:00:02
 Endpoint transport 192.168.2.2 Refcount 3 Base 0x2B79FAC4 Create Time 00:00:02
   overlay 192.168.2.2 Refcount 2 Parent 0x2B79FAC4 Create Time 00:00:02


R3#show ip cef vrf  MGRE  172.16.2.2
172.16.2.2/32
  nexthop 192.168.13.1 GigabitEthernet0/0.1503 label 21 17

  router bgp 65534
address-family vpnv4
neighbor 192.168.1.1 route-map MGRE-NEXT-HOP in


R3#show ip cef vrf  MGRE  172.16.2.2
172.16.2.2/32
  nexthop 192.168.2.2 Tunnel0 label 17 <exit interface is tunnel and only vpnv4 label is left>


R2#ping vrf  MGRE 172.16.3.3 source  172.16.2.2

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.16.3.3, timeout is 2 seconds:
Packet sent with a source address of 172.16.2.2
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/4 ms

Escenario 3

Suponga las subredes detrás del R5, que necesitan comunicar con el R3, no quieren utilizar el mGRE. Entonces, usted puede utilizar el route-map que fue utilizado para el perfil L3 VPN para fijar el Next-Hop y llamar una lista de prefijo, y permite solamente los prefijos que necesitan el túnel del mGRE.

Aquí está la configuración para el r1:

route-map MGRE-NEXT-HOP permit 10
 match ip address prefix-list test
 set ip next-hop encapsulate l3vpn MGRE
route-map MGRE-NEXT-HOP permit 20

Usted puede permitir los prefijos en la prueba de la lista de prefijo que necesitan el túnel del mGRE, y todo lo demás no tiene un túnel como interfaz de la salida y sigue la encaminamiento normal. Esta configuración trabaja porque el R3 y el R5 tienen Conectividad MPLS de punta a punta.

Troubleshooting

Actualmente, no hay información específica de troubleshooting disponible para esta configuración.

Información Relacionada



Document ID: 116725