Многопротокольная коммутация по меткам (MPLS) : MPLS

Доступ в интернет из MPLS VPN с использованием таблицы глобальной маршрутизации

20 октября 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Английский (22 августа 2015) | Отзыв


Содержание


Введение

Целью этого документа является демонстрация примера конфигурации, используемого для доступа к Интернету из сети VPN с коммутацией MPLS с помощью глобальной таблицы маршрутизации.

В определенных сетевых сценариях это требуется, чтобы обращаться к Интернету от основанной на MPLS VPN в дополнение к продолжению поддержать возможность VPN - подключения среди корпоративных узлов. Этот пример конфигурации фокусируется на обеспечении доступа в Интернет от VPN Routing и Forwarding (VRF), который содержит маршрут по умолчанию к Маршрутизатору интернет-шлюза (IGW).

Предварительные условия

Требования

Основное понимание передачи MPLS и MPLS VPN требуется, чтобы полностью понимать содержание этого документа.

Используемые компоненты

Сведения в этом документе основаны на версиях оборудования и программного обеспечения, указанных ниже.

  • Cisco Выпуск ПО IOS� 12.1 (3) T. Релиз 12.0 (5) T включает функцию MPLS VPN

  • Любой маршрутизатор Cisco , начиная с серии 3600 (например, Cisco 3660 или 7206)

Сведения, содержащиеся в данном документе, были получены с устройств в специальной лабораторной среде. Все устройства, описанные в данном документе, были запущены с конфигурацией по умолчанию. При работе с реальной сетью необходимо полностью осознавать возможные результаты использования всех команд.

Теоретические сведения

В конфигурации данного примера существовала эта политика:

  • Маршрутизатор с подключением к Интернету присоединен к сети MPLS. Он может или не может внедрить маршруты пограничного шлюзового протокола (BGP) в таблицу глобальной маршрутизации.

    Примечание: Периферийные маршрутизаторы понимают BGP. Маршрутизаторы, такие как гигабитный коммутационный маршрутизатор (GSR) (который выполняет как Центральный маршрутизатор Поставщика) не выполняют BGP вообще.

  • От VRF не требуется обладать полной таблицей маршрутизации из Интернета (глобальной таблицей BGP), поэтому статический маршрут по умолчанию размещается в VRF, указывая на глобальный адрес следующего узла IGW.

  • Клиент VPN использует зарегистрированный уникальный диапазон адресов, который входит в глобальную таблицу Интернет-маршрутизации. Метод доступа, обсужденного в этом документе, не рекомендуется, где у клиентов есть только частные адреса в их сети.

Условные обозначения

Эти акронимы используются в этом документе:

  • CE – маршрутизатор на границе клиента

  • PE - маршрутизатор на стороне поставщика

  • P - Центральный маршрутизатор поставщика

Дополнительные сведения об условных обозначениях в документах см. Cisco Technical Tips Conventions.

Настройка

  • Вы можете посмотреть на диаграмму сети, иллюстрирующую эту конфигурацию. В данном примере CE 1 и CE 2 находятся в той же VPN. Они настроены под VRF customer1, так как нет никакого требования для VRF для имения полной таблицы маршрутизации из Интернета (согласно политике в фоновом режиме раздел Теории этого документа).

  • Статический маршрут по умолчанию настроен в VRF customer1 на CE 1, указывающем на IGW. После помещения статического маршрута по умолчанию в VRF заказчика1 пакеты, не соответствующие ни одному из маршрутов, содержащихся в VRF заказчика1, отправляются на маршрутизатор IGW.

Примечание: Так как следующий переход интернет-шлюза 192.168.67.1� не является частью the�customer1 VRF, маршрут по умолчанию настроен под VRF customer1, указывающим на s8/0 IP 192.168.67.1 интерфейса интернет-шлюза. Маршрут к узлу 192.168.67.1 не лежит внутри VRF customer1, поэтому необходимо задать глобальный ключ в статическом маршруте по умолчанию, настроенном под VRF customer1. Глобальное ключевое слово указывает на то, что адрес следующего перехода на статическом маршруте преобразуется в рамках глобальной таблицы маршрутизации, а не VRF клиента 1.

Ниже приводится пример статического маршрута.

ip route vrf customer1 0.0.0.0 0.0.0.0 192.168.67.1 global

Статический маршрут с глобальным ключевым словом в VRF customer1 обеспечивает маршрутизацию до Интернет-шлюза всех пакетов, предназначенных для Интернет, и далее в Интернет.

Примечание: Маршрут по умолчанию в PE 1 настроен для обращения к IP-адресу последовательного интерфейса интернет-шлюза (192.168.67.1) а не к адресу обратной связи (10.1.1.6). Это избегает blackholing маршруты в случае ошибки соединения между шлюзом Internet и Internet (R7). Если маршрут по умолчанию ссылается на адрес обратной петли интернет-шлюза, и связь с интернет-шлюзом-R7 обрывается, все пакеты будут продолжать направляться к интернет-шлюзу. Это происходит, потому что адрес обратной связи остается (в отличие от этого, 192.168.67.1, который забран из таблицы глобальной маршрутизации, когда интерфейс s8/0 выключается), и маршрут по умолчанию продолжает существовать в таблице маршрутизации.

Следующий шаг должен гарантировать, что пакеты, возвращающиеся от Интернета до целевой сети CE 1 11.11.11.0/24, маршрутизируются от интернет-шлюза до PE 1 и к CE 1 через ядро MPLS. Это достигнуто путем настройки статического маршрута для сети CE 1, указывающей на Последовательный интерфейс 8/0 в таблице глобальной маршрутизации на PE 1. Перераспределите его в Протокол OSPF так, чтобы интернет-шлюз имел тот маршрут в своей таблице глобальной маршрутизации. Это позволяет Интернет-шлюзу направлять все пакеты, поступающие из Интернета, на РЕ 1 и конечному получателю за пределами СЕ 1.

Следующий пример является командой ip route, используемой в конфигурации на PE 1.

ip route 11.11.11.0 255.255.255.0 Serial8/0 192.168.10.1

Примечание: Вышеупомянутый статический маршрут, настроенный в таблице глобальной маршрутизации, в дополнение к статическому маршруту, настроенному в VRF customer1, который используется для Информации о доступности Уровня Сети VPN (NLRI). На PE 1 он настраивается, как указано ниже.

ip route vrf customer1 11.11.11.0 255.255.255.0 192.168.10.1

Примечание: Поиск дополнительной информации о командах в данном документе можно выполнить с помощью средства "Command Lookup" (Поиск команд) (только для зарегистрированных клиентов).

Схема сети

В данном документе используется сетевая установка, показанная на следующей схеме.

/image/gif/paws/24508/internet_access_mpls_vpn.gif

Конфигурации

В данном документе используются следующие конфигурации.

CE 1
version 12.2
!
hostname CE-1
!
ip subnet-zero
!
interface Loopback0
 ip address 10.1.1.1 255.255.255.255
!
interface Loopback2
�ip address 11.11.11.1 255.255.255.0
!
interface Serial8/0
�ip address 192.168.10.1 255.255.255.252 

 !--- The interface is connected to PE 1.

 !
ip classless
ip route 0.0.0.0 0.0.0.0 192.168.10.2

!--- This is the default route to route all packets to PE 1.

!

PE 1
version 12.2
!
hostname PE-1
!
ip subnet-zero
!
ip vrf customer1

!--- This configured VRF customer1.
 
�rd 100:1

!--- This configured the route distiguisher for VRF.
 
 route-target export 1:1
 route-target import 1:1

!--- This configured the export and import policies into VRF.
 
!
ip cef

!--- This enabled Cisco Express Forwarding (CEF) switching.

!
interface Loopback0
 ip address 10.1.1.2 255.255.255.255
!       
interface Ethernet0/0

!--- It is connected to P router.

 ip address 10.10.23.2 255.255.255.0
 tag-switching ip

!--- MPLS switching is enabled.
 
!
interface Serial8/0
! Connected to CE-1
�ip vrf forwarding customer1

!--- Route forwarding based on customer1 VRF is enabled.
 
 ip address 192.168.10.2 255.255.255.252
!
router ospf 1
 log-adjacency-changes
 redistribute static subnets
 network 0.0.0.0 255.255.255.255 area 0
!
router bgp 100
 no synchronization
 bgp log-neighbor-changes
 neighbor 10.1.1.4 remote-as 100

!--- Neighbor relationship with PE 2 is established.

 neighbor 10.1.1.4 update-source Loopback0
 neighbor 10.1.1.4 next-hop-self
 no auto-summary
!
 address-family ipv4 vrf customer1

!--- The address-family configuration mode specifies IPv4 unicast 
!---address prefixes for customer1 VRF.

 no auto-summary
 no synchronization
 network 11.11.11.0 mask 255.255.255.0

!--- CE 1 network 11.11.11.0/24 to PE 2 is announced.

network 192.168.10.0 mask 255.255.255.252
 exit-address-family
!
address-family vpnv4

!--- This is the address-family VPNV4 configuration mode for 
!--- configuring BGP sessions.

�neighbor 10.1.1.4 activate
 neighbor 10.1.1.4 send-community extended
 no auto-summary
 exit-address-family
!
ip classless
ip route 11.11.11.0 255.255.255.0 Serial8/0 192.168.10.1

!--- The static route in the global routing table is pointing to 
!--- the interface connected to CE 1.

ip route vrf customer1 0.0.0.0 0.0.0.0 192.168.67.1 global

!--- The static default route under customer1 VRF, routing packets  
!--- outside of�VPN to the Internet gateway.

! routes
ip route vrf customer1 11.11.11.0 255.255.255.0 192.168.10.1

!--- The static route for network 11.11.11.0/24 (CE-1 Network) under 
!---customer1 VRF ensures the reachability of CE 1 network from the 
!--- other VPN sites.

P
version 12.2
!
hostname P
!
ip subnet-zero
!
ip cef

!--- CEF switching is enabled.

!
interface Loopback0
 ip address 10.1.1.3 255.255.255.255
!
interface Ethernet0/0

!--- This is connected to PE 1.

 ip address 10.10.23.3 255.255.255.0
 tag-switching ip

!--- MPLS switching is enabled.

!
interface Ethernet1/0

!--- This is connected to PE 2.

 ip address 10.10.34.3 255.255.255.0
 tag-switching ip
!
interface Ethernet2/0

!--- This is connected to the Internet gateway.

 ip address 10.10.36.3 255.255.255.0
 tag-switching ip
!
router ospf 1 
 log-adjacency-changes 
network 0.0.0.0 255.255.255.255 area 0

IGW
version 12.2
!
hostname IGW
!
ip subnet-zero
!
ip cef

!--- This enabled CEF switching.

!
interface Loopback0
 ip address 10.1.1.6 255.255.255.255
!
interface Ethernet2/0

!--- This is connected to P router.

 ip address 10.10.36.6 255.255.255.0
tag-switching ip
!
interface Serial8/0

!--- This is connected to Internet R7.

 ip address 192.168.67.1 255.255.255.252
!
router ospf 1
 log-adjacency-changes
 network 0.0.0.0 255.255.255.255 area 0
 !
 router bgp 100
 no synchronization
 bgp log-neighbor-changes
 network 11.11.11.0 mask 255.255.255.0
 network 22.22.22.0 mask 255.255.255.0
 neighbor 192.168.67.2 remote-as 200
 no auto-summary

PE 2
version 12.2
!
hostname PE-2
!
ip subnet-zero
!
ip vrf customer1

!--- Customer1 VRF is configured.

�rd 100:1 

!--- Route Distinguisher for VRF is configured.
 
 route-target export 1:1 
 route-target import 1:1 

!--- This configured the import and export policies for customer1 
!--- VRF.

!
ip cef 

!--- This enabled CEF switching.
 
! 
interface Loopback0 
 ip address 10.1.1.4 255.255.255.255
interface Ethernet1/0

!--- Connected to P router.

 ip address 10.10.34.4 255.255.255.0
 tag-switching ip

!--- MPLS switching is enabled.

!
interface Serial9/0

!--- Connected to CE 2 router.

ip vrf forwarding customer1

!--- This enables VRF forwarding on the interface.

 ip address 192.168.20.1 255.255.255.252
!
router ospf 1
 log-adjacency-changes
 redistribute static subnets
 network 0.0.0.0 255.255.255.255 area 0
!
router bgp 100
 no synchronization
 bgp log-neighbor-changes
 neighbor 10.1.1.2 remote-as 100
 neighbor 10.1.1.2 update-source Loopback0
 neighbor 10.1.1.2 next-hop-self 
no auto-summary 
!
 address-family ipv4 vrf customer1

!--- This is the address-family IPv4 configuration of customer1 VRF.

 no auto-summary
 no synchronization
 network 22.22.22.0 mask 255.255.255.0

!--- This announces the CE 2 network to PE 1.

 exit-address-family
!
 address-family vpnv4

!--- This is the address-family VPNV4 configuration for BGP Sessions 
!--- with PE 1.

 neighbor 10.1.1.2 activate
 neighbor 10.1.1.2 send-community extended
 no auto-summary
 exit-address-family
!
ip classless
ip route 22.22.22.0 255.255.255.0 Serial9/0 192.168.20.2

!--- This is the static route for�network�22.22.22.0/24 in the global 
!--- routing table pointing to the interface connected to CE 2.

ip route vrf customer1 0.0.0.0 0.0.0.0 192.168.67.1 global

!--- This is the static default route�for customer VRF 
!--- for destinations outside the VPN.

ip route vrf customer1 22.22.22.0 255.255.255.0 192.168.20.2 

!--- This is the static route within customer1 VRF for CE 2 
!--- network for VPN connectivity.

CE 2
version 12.2
!
hostname CE-2
!
ip subnet-zero
!
interface Loopback0
 ip address 22.22.22.22 255.255.255.0
!
interface Serial9/0

!--- This is connected to PE 2.

 ip address 192.168.20.2 255.255.255.252
!
ip classless
ip route 0.0.0.0 0.0.0.0 192.168.20.1

!--- This is the default route pointing to PE 2.

Проверка

В этом разделе содержатся сведения, которые помогают убедиться в надлежащей работе конфигурации.

VPN�Connectivity между CE 1 и CE 2

Для проверки VPN-соединения между CE 1 и CE 2, сигнал от CE 1 должен дойти до сети 22.22.22.0/24 CE 2 и обратно. Для этого проверьте маршрут к сети 22.22.22.0/24 для VRF клиента 1 на стороне поставщика услуг 1.

Некоторые команды show поддерживаются Средством интерпретации выходных данных(только зарегистрированные клиенты), которое позволяет просматривать аналитику выходных данных команды show.

  1. Команда show ip route vrf customer1 подтверждает маршрут к сети 22.22.22.0/24 изученный от 10.1.1.4 (PE 2 адрес обратной связи) shown� выделенный в выходных данных ниже.

    PE-1# show ip route vrf customer1
    Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
           D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area�
           N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
           E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
           i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area
           * - candidate default, U - per-user static route, o - ODR
           P - periodic downloaded static route
    
    Gateway of last resort is 192.168.67.1 to network 0.0.0.0
    
    192.168.10.0/30 is subnetted, 1 subnets
    C       192.168.10.0 is directly connected, Serial8/0
           22.0.0.0/24 is subnetted, 1 subnets
    B       22.22.22.0 [200/0] via 10.1.1.4, 01:00:50
           11.0.0.0/24 is subnetted, 1 subnets
    S      11.11.11.0 [1/0] via 192.168.10.1
    S*   0.0.0.0/0 [1/0] via 192.168.67.1
  2. Так же, в PE 2, маршрут к сети 11.11.11.0/24 в VRF customer1 показывают в примере ниже.

    PE-2# show ip route vrf customer1
    Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
           D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area�
           N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
           E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
           i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area
           * - candidate default, U - per-user static route, o - ODR
           P - periodic downloaded static route 
    
    Gateway of last resort is 192.168.67.1 to network 0.0.0.0
    
    192.168.10.0/30 is subnetted, 1 subnets
    B       192.168.10.0 [200/0] via 10.1.1.2, 01:00:09
         22.0.0.0/24 is subnetted, 1 subnets
    S       22.22.22.0 [1/0] via 192.168.20.2
         192.168.20.0/30 is subnetted, 1 subnets
    C       192.168.20.0 is directly connected, Serial9/0
         11.0.0.0/24 is subnetted, 1 subnets
    B       11.11.11.0 [200/0] via 10.1.1.2, 01:00:09
    S*   0.0.0.0/0 [1/0] via 192.168.67.1
  3. Теперь проверьте подключение между CE 1 и CE 2 путем прозванивания хоста 22.22.22.22 на CE 2 с помощью IP - адреса источника 11.11.11.1 от CE 1.

    CE-1# ping
    Protocol [ip]:
    Target IP address: 22.22.22.22
    Repeat count [5]:
    Datagram size [100]:
    Timeout in seconds [2]:
    Extended commands [n]: y
    Source address or interface: 11.11.11.1
    Type of service [0]:
    Set DF bit in IP header? [no]:
    Validate reply data? [no]:
    Data pattern [0xABCD]:
    Loose, Strict, Record, Timestamp, Verbose[none]:
    Sweep range of sizes [n]:
    Type escape sequence to abort.
    Sending 5, 100-byte ICMP Echos to 22.22.22.22, timeout is 2 seconds:
    !!!!!
    
    Success rate is 100 percent (5/5), round-trip min/avg/max = 20/20/20 ms

Подключение к Интернету из CE 1

Выполните действия ниже для проверки подключения к Интернету от CE1.

  1. Все пакеты, предназначенные для Интернета или VPN из CE 1, будут направлены по маршруту, по умолчанию настроенному в CE 1 и ведущему к PE 1, как показано ниже.

    CE-1# show ip route 0.0.0.0
    Routing entry for 0.0.0.0/0, supernet
      Known via "static", distance 1, metric 0, candidate default path
      Routing Descriptor Blocks:
      * 192.168.10.2
    Route metric is 0, traffic share count is 1
  2. Пакеты, приходящие на интерфейс s8/0 PE 1 маршрутизируются с помощью таблицы маршрутизации VRF customer1. У поставщика услуг 1 существует стандартный маршрут в VRF клиента 1, указывающий на IP-адрес IGW 192.168.67.1, как показано ниже в выходных данных команды show ip route vrf customer1 on PE 1.

    PE-1# show ip route vrf customer1
    Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
           D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area�
           N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
           E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
           i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area
           * - candidate default, U - per-user static route, o - ODR
           P - periodic downloaded static route
    
    Gateway of last resort is 192.168.67.1 to network 0.0.0.0
    
         192.168.10.0/30 is subnetted, 1 subnets
    C       192.168.10.0 is directly connected, Serial8/0
         22.0.0.0/24 is subnetted, 1 subnets
    B       22.22.22.0 [200/0] via 10.1.1.4, 01:21:11
         11.0.0.0/24 is subnetted, 1 subnets
    S       11.11.11.0 [1/0] via 192.168.10.1
    S*   0.0.0.0/0 [1/0] via 192.168.67.1
    
  3. Поскольку маршрут по умолчанию на PE 1 настроен с глобальным ключевым словом, это ищет следующий переход 192.168.67.1 в его таблице глобальной маршрутизации и маршрутах к IGW, как показано ниже.

    PE-1# show ip route 192.168.67.1
    Routing entry for 192.168.67.0/30
      Known via "ospf 1", distance 110, metric 84, type intra area
      Last update from 10.10.23.3 on Ethernet0/0, 00:21:54 ago
      Routing Descriptor Blocks:
      * 10.10.23.3, from 10.1.1.6, 00:21:54 ago, via Ethernet0/0
     Route metric is 84, traffic share count is 1
  4. Пакеты, достигающие IGW, направляются в Интернет на основе маршрутов BGP, полученных из R7. В этом случае, можно посмотреть на маршрут BGP полученный из R7 для демонстрации подключения к Интернет. Ниже показан маршрут BGP (сеть 99.99.99.0/24), полученный с R7 в таблице маршрутизации IGW.

    IGW# show ip route 99.99.99.0
    Routing entry for 99.99.99.0/24
      Known via "bgp 100", distance 20, metric 0
      Tag 200, type external
      Last update from 192.168.67.2 01:37:25 ago
      Routing Descriptor Blocks:
      * 192.168.67.2, from 192.168.67.2, 01:37:25 ago
          Route metric is 0, traffic share count is 1
          AS Hops 1

    Пакеты, полученные от СЕ-1, направляются в Интернет.

  5. Для пакетов, вернувшихся из Интернет, предназначенных для сети CE 1 11.11.11.0/24, IGW должен указать маршрут PE1 в глобальной таблице маршрутизации. Настроен статический маршрут в таблице глобальной маршрутизации РЕ 1, указывающий интерфейс s8/0 на РЕ 1, подключенный к СЕ 1 и заново распределенный в OSPF. Это гарантирует, что IGW имеет маршрут в своей таблице глобальной маршрутизации, указывающей на PE 1. Статический маршрут на PE 1 и полученный маршрут OSPF на IGW показаны ниже.

    IGW# show ip route 11.11.11.0
    Routing entry for 11.11.11.0/24
      Known via "ospf 1", distance 110, metric 20, type extern 2, forward metric 20
      Last update from 10.10.36.3 on Ethernet2/0, 00:34:34 ago
      Routing Descriptor Blocks:
      * 10.10.36.3, from 10.1.1.2, 00:34:34 ago, via Ethernet2/0
          Route metric is 20, traffic share count is 1
    
    PE-1# show ip route 11.11.11.0
    Routing entry for 11.11.11.0/24
      Known via "static", distance 1, metric 0
      Redistributing via ospf 1
      Advertised by ospf 1 subnets
      Routing Descriptor Blocks:
      * 192.168.10.1, via Serial8/0
          Route metric is 0, traffic share count is 1
  6. Теперь проверьте подключение к Интернету из CE 1 путем проверки доступности IP-адреса R7 99.99.99.1 с помощью исходного адреса CE 1 11.11.11.1.

    CE-1# ping
    Protocol [ip]:
    Target IP address: 99.99.99.1
    Repeat count [5]:
    Datagram size [100]:
    Timeout in seconds [2]:
    Extended commands [n]: y
    Source address or interface: 11.11.11.1
    Type of service [0]:
    Set DF bit in IP header? [no]:
    Validate reply data? [no]:
    Data pattern [0xABCD]:
    Loose, Strict, Record, Timestamp, Verbose[none]:
    Sweep range of sizes [n]:
    Type escape sequence to abort.
    Sending 5, 100-byte ICMP Echos to 99.99.99.1, timeout is 2 seconds:
    !!!!!
    Success rate is 100 percent (5/5), round-trip min/avg/max = 20/24/32 ms
    CE-1#

Устранение неполадок

Для этой конфигурации в настоящее время нет сведений об устранении проблем.


Дополнительные сведения


Document ID: 24508