Программное обеспечение Cisco IOS и NX-OS : VPN-сети уровня 3 (L3VPN)

Динамические VPN уровня 3 с многоточечным примером конфигурации туннелей GRE

20 октября 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Английский (22 августа 2015) | Отзыв

Введение

Этот документ описывает, как настроить Динамический Уровень 3 (L3) VPN с Туннельной функцией Многоточечной универсальной инкапсуляции маршрутизации (mGRE).

Внесенный Винодом Шармой, специалистом службы технической поддержки Cisco.

Предварительные условия

Требования

Прежде чем вы настроите Динамические VPN L3 с Туннельной функцией mGRE, гарантируете, что ваша VPN Многопротокольной коммутации по меткам (MPLS) настроена и работает должным образом, и что сквозное подключение установлено для сети IPV4.

Используемые компоненты

Сведения, содержащиеся в данном документе, касаются следующих версий программного обеспечения и оборудования:

  • Cisco 7206VXR (NPE-G1) series маршрутизатор с  выпуском 15.2 (4) S3 программного обеспечения Cisco IOS
  • Маршрутизатор Cisco 7609-S Series с программным обеспечением Cisco IOS версии 12.2 (33) SRE4

Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в этом документе, были запущены с чистой (стандартной) конфигурацией. В рабочей сети необходимо изучить потенциальное воздействие всех команд до их использования.

Общие сведения

Динамические VPN L3 с Туннельной функцией mGRE предоставляют механизм переноса L3 на основе расширенной технологии туннелирования mGRE для использования в IP - сетях. Динамический L3, туннелирующий, транспорт может также использоваться в IP - сетях для переноса трафика VPN через поставщика услуг и корпоративные сети, и предоставить совместимость для передачи пакета между IP и MPLS VPN. Эта функция оказывает поддержку для RFC 2547, который определяет аутсорсинг сервисов магистрали IP для корпоративных сетей.

Ограничения для Динамических VPN L3 с Туннелями mGRE

Вот список ограничений, которые просят Динамические VPN L3 с туннелями mGRE:

  • Развертывания MPLS VPN и с IP/GRE и с инкапсуляцией MPLS в одиночной сети не поддерживаются.
  • Каждая Граница провайдера (PE) поддержки маршрутизатора одна конфигурация туннеля только.
  • Интерфейс виртуальной локальной сети (VLAN) на маршрутизаторе Cisco серии 7600, который стоит к ядру, где туннелировал трафик метки, должен войти, не поддерживается. Это должен быть основной интерфейс или подинтерфейс.
  • MPLS VPN по mGRE поддерживается на маршрутизаторах Cisco серии 7600, которые используют линейную карту ES 40 и Протокол SIP 400 линейных карт как стоящие с ядром карты.

Настройка

В этом разделе описываются две конфигурации:

  • Динамическая VPN L3 с mGRE туннелирует на сети на базе только IP-протокола
  • Динамическая VPN L3 с mGRE туннелирует на IP + сеть MPLS

Динамические VPN L3 с Туннелями mGRE на Только IP (неMPLS) Сеть

Схема сети

Конфигурации

Это требуемые конфигурации на маршрутизаторе 3 (R3) и маршрутизаторе 2 (R2).

Вот конфигурация для R3:

l3vpn encapsulation ip MGRE
transport ipv4 source Loopback0

route-map MGRE-NEXT-HOP permit 10
set ip next-hop encapsulate l3vpn MGRE

router bgp 65534
 !
address-family vpnv4
neighbor 192.168.2.2 route-map MGRE-NEXT-HOP in

Вот конфигурация для R2:

l3vpn encapsulation ip MGRE
transport ipv4 source Loopback0

route-map MGRE-NEXT-HOP permit 10
set ip next-hop encapsulate l3vpn MGRE

router bgp 65534
 !
address-family vpnv4
neighbor 192.168.3.3 route-map MGRE-NEXT-HOP in

Проверка

Воспользуйтесь данным разделом для проверки правильности функционирования вашей конфигурации.

R2#show tunnel endpoints 
 
 Tunnel0 running in multi-GRE/IP mode

 Endpoint transport 192.168.3.3 Refcount 3 Base 0x1E8E1B74 Create Time 00:47:53
  overlay 192.168.3.3 Refcount 2 Parent 0x1E8E1B74 Create Time 00:47:53


R2#show l3vpn encapsulation ip MGRE

 Profile: MGRE
   transport ipv4 source Loopback0
   protocol gre
   payload mpls
   mtu default
 Tunnel Tunnel0 Created [OK]
 Tunnel Linestate [OK]
 Tunnel Transport Source Loopback0 [OK]


R2#show ip route vrf MGRE 172.16.3.3

Routing Table: MGRE
Routing entry for 172.16.3.3
 Known via "bgp 65534", distance 200, metric 0, type internal
 Last update from 192.168.3.3 on Tunnel0, 01:03:25 ago
 Routing Descriptor Blocks:
 * 192.168.3.3 (default), from 172.16.112.1, 01:03:25 ago, via Tunnel0 <points to tunnel
     Route metric is 0, traffic share count is 1
     AS Hops 0
     MPLS label: 17  <BGP vpnv4 label>
     MPLS Flags: MPLS Required

Примечание: В предыдущем примере существует только два PE. Однако, если у вас есть большая сеть со множественными Периферийными маршрутизаторами, этот динамический mGRE очень легко настроить и масштабируемый, потому что у вас должна быть подобная конфигурация на всех PE, и туннели обнаружены автоматически.

Динамические VPN L3 с Туннелями mGRE на IP + Сеть MPLS

Схема сети

Если у вас есть двойной сценарий соединения, где одно соединение является MPLS, и другой не-MPLS, необходимо настроить mGRE на всех включенных Периферийных маршрутизаторах. С этой топологией необходимо настроить mGRE на всех трех Периферийных маршрутизаторах.

Если вы не настроили mGRE на соединении между R3 и R1 - ссылка MPLS, то подсети позади R3 не в состоянии связаться с подсетями позади R2.

R1 и R2 создают оконечные точки туннеля с R3 на основе профиля VPN L3. См. конфигурацию в этом документе, где профиль VPN L3 не настроен, не применен route-map к узлу Протокола BGP на R3, и route-map для VPN L3 для R3 на R1 не применен.

Конфигурации

Это требуемые конфигурации на R1, R2 и R3.

Вот конфигурация для R1:

l3vpn encapsulation ip MGRE
transport ipv4 source Loopback0

route-map MGRE-NEXT-HOP permit 10
set ip next-hop encapsulate l3vpn MGRE

router bgp 65534
address-family vpnv4
neighbor 192.168.2.2 send-community extended
neighbor 192.168.2.2 route-map MGRE-NEXT-HOP in
neighbor 192.168.3.3 activate

Вот конфигурация для R2:

l3vpn encapsulation ip MGRE
transport ipv4 source Loopback0

route-map MGRE-NEXT-HOP permit 10
set ip next-hop encapsulate l3vpn MGRE

router bgp 65534
address-family vpnv4
neighbor 192.168.1.1 route-map MGRE-NEXT-HOP in
neighbor 192.168.1.1 activate

Вот конфигурация для R3:

router bgp 65534
address-family vpnv4
neighbor 192.168.1.1 activate

Проверка

Теперь, можно пропинговать от R2 loopback1 до R3 loopback1:

R2#ping vrf MGRE 172.16.3.3 source 172.16.2.2      

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.16.3.3, timeout is 2 seconds:
Packet sent with a source address of 172.16.2.2
.....
Success rate is 0 percent (0/5)


R2#show ip route vrf MGRE 172.16.3.3

Routing Table: MGRE
Routing entry for 172.16.3.3/32
 Known via "bgp 65534", distance 200, metric 0, type internal
 Last update from 192.168.3.3 on Tunnel0, 00:50:23 ago
 Routing Descriptor Blocks:
 * 192.168.3.3 (default), from 192.168.1.1, 00:50:23 ago, via Tunnel0 <it is
pointed towards a tunnel>

     Route metric is 0, traffic share count is 1
     AS Hops 0
     MPLS label: 19
     MPLS Flags: MPLS Required


R2#show tunnel endpoints
 Tunnel1 running in multi-GRE/IP mode

 Tunnel0 running in multi-GRE/IP mode

 Endpoint transport 192.168.1.1 Refcount 3 Base 0x507665E4 Create Time 01:24:25
  overlay 192.168.1.1 Refcount 2 Parent 0x507665E4 Create Time 01:24:25
 Endpoint transport 192.168.3.3 Refcount 3 Base 0x507664D4 Create Time 00:50:51
  overlay 192.168.3.3 Refcount 2 Parent 0x507664D4 Create Time 00:50:51

R2 создал динамический туннель для 192.168.3.3 на основе следующего перехода BGP для этих 172.16.3.3 маршрутов.

R2#show ip bgp vpnv4 vrf MGRE 172.16.3.3
BGP routing table entry for 43984:300:172.16.3.3/32, version 29
Paths: (1 available, best #1, table MGRE)
 Advertised to update-groups:
    1        
 Local, imported path from 300:300:172.16.3.3/32
   192.168.3.3 (metric 3) (via Tunnel0) from 192.168.1.1 (192.168.1.1)
     Origin incomplete, metric 0, localpref 100, valid, internal, best
     Extended Community: RT:43984:300
     Originator: 192.168.3.3, Cluster list: 192.168.1.1
     mpls labels in/out nolabel/19

Это проверено на R1, и это также создало оконечные точки туннеля для обоих Периферийных маршрутизаторов:

R1#show tunnel endpoints 
 Tunnel1 running in multi-GRE/IP mode

 Tunnel0 running in multi-GRE/IP mode

 Endpoint transport 192.168.2.2 Refcount 3 Base 0x1E8EE7B0 Create Time 01:36:41
  overlay 192.168.2.2 Refcount 2 Parent 0x1E8EE7B0 Create Time 01:36:41
 Endpoint transport 192.168.3.3 Refcount 3 Base 0x1E8EE590 Create Time 00:59:34
  overlay 192.168.3.3 Refcount 2 Parent 0x1E8EE590 Create Time 00:59:34

На R3 не созданы никакие оконечные точки туннеля:

R3#show tunnel endpoints

Вот маршрут для подсети R2, которая инициировала эхо-запрос:

R3#show ip route vrf MGRE 172.16.2.2

Routing Table: MGRE
Routing entry for 172.16.2.2/32
 Known via "bgp 65534", distance 200, metric 0, type internal
 Last update from 192.168.2.2 01:01:57 ago
 Routing Descriptor Blocks:
 * 192.168.2.2 (default), from 192.168.1.1, 01:01:57 ago
     Route metric is 0, traffic share count is 1
     AS Hops 0
     MPLS label: 17
     MPLS Flags: MPLS Required

Следовательно, пакет передан инкапсулировавший в GRE к R3. Так как R3 не имеет никакого туннеля, он не принимает пакет GRE и отбрасывает его.

Поэтому необходимо настроить mGRE от начала до конца на пути, чтобы заставить его работать. Вот конфигурация для mGRE на R3, который необходим:

l3vpn encapsulation ip MGRE
transport ipv4 source Loopback0

route-map MGRE-NEXT-HOP permit 10
set ip next-hop encapsulate l3vpn MGRE

Как только вы создаете профиль VPN L3, оконечные точки туннеля созданы, и вы получаете трафик, который был отброшен ранее. Однако ответный трафик является MPLS и не GRE, непока вы не применяете профиль на Одноранговое соединение по протоколу BGP. Тот трафик отброшен на R1, потому что R1 не имеет никакой информации о метке для R2, который выполняет только IP.

R3#show tunnel endpoints 
 Tunnel0 running in multi-GRE/IP mode

 Endpoint transport 192.168.1.1 Refcount 3 Base 0x2B79FBD4 Create Time 00:00:02
  overlay 192.168.1.1 Refcount 2 Parent 0x2B79FBD4 Create Time 00:00:02
 Endpoint transport 192.168.2.2 Refcount 3 Base 0x2B79FAC4 Create Time 00:00:02
  overlay 192.168.2.2 Refcount 2 Parent 0x2B79FAC4 Create Time 00:00:02


R3#show ip cef vrf MGRE 172.16.2.2
172.16.2.2/32
 nexthop 192.168.13.1 GigabitEthernet0/0.1503 label 21 17

 router bgp 65534
address-family vpnv4
neighbor 192.168.1.1 route-map MGRE-NEXT-HOP in


R3#show ip cef vrf MGRE 172.16.2.2
172.16.2.2/32
 nexthop 192.168.2.2 Tunnel0 label 17 <exit interface is tunnel and only vpnv4 label is left>


R2#ping vrf MGRE 172.16.3.3 source 172.16.2.2

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.16.3.3, timeout is 2 seconds:
Packet sent with a source address of 172.16.2.2
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/4 ms

Ситуация 3

Предположим подсети позади R5, который должен связаться с R3, не хотят использовать mGRE. Затем можно использовать route-map, который использовался для профиля VPN L3, чтобы установить следующий переход и вызвать список префиксов, и только разрешает префиксы, которым нужен туннель mGRE.

Вот конфигурация для R1:

route-map MGRE-NEXT-HOP permit 10
 match ip address prefix-list test
 set ip next-hop encapsulate l3vpn MGRE
route-map MGRE-NEXT-HOP permit 20

Можно разрешить префиксы в тесте списка префиксов, которым нужен туннель mGRE, и все остальное не имеет туннеля, поскольку выход взаимодействует, и придерживается обычной маршрутизации. Эта конфигурация работает, потому что R3 и R5 имеют подключение MPLS от начала до конца.

Устранение неполадок

Для этой конфигурации в настоящее время нет сведений об устранении проблем.

Дополнительные сведения



Document ID: 116725