شبكات VPN الديناميكية من الطبقة 3 مع مثال تكوين أنفاق GRE متعددة النقاط
المحتويات
المقدمة
يصف هذا المستند كيفية تكوين شبكات VPN الديناميكية من الطبقة 3 (L3) باستخدام ميزة أنفاق تضمين التوجيه العام متعدد النقاط (mGRE).
المتطلبات الأساسية
المتطلبات
قبل تكوين الشبكات الخاصة الظاهرية (VPN) الديناميكية من المستوى الثالث باستخدام ميزة أنفاق بروتوكول mGRE، تأكد من تكوين شبكة VPN الخاصة بتحويل التسمية متعدد البروتوكولات (MPLS) والعمل بشكل صحيح، ومن إنشاء الاتصال من نهاية إلى نهاية لشبكة IPv4.
المكونات المستخدمة
تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:
- cisco 7206VXR (NPE-G1) sery مسحاج تخديد مع cisco ios ® برمجية إطلاق 15.2(4)S3
- cisco 7609-S sery مسحاج تخديد مع cisco ios برمجية إطلاق 12.2(33)SRE4
تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك مباشرة، فتأكد من فهمك للتأثير المحتمل لأي أمر.
معلومات أساسية
توفر الشبكات الخاصة الظاهرية (VPN) الديناميكية من المستوى الثالث مع ميزة أنفاق بروتوكول mGRE آلية نقل من المستوى الثالث تستند إلى تقنية اتصال mGRE المحسنة للاستخدام في شبكات IP. كما يمكن إستخدام النقل النفقي الديناميكي L3 داخل شبكات IP لنقل حركة مرور VPN عبر مزود الخدمة وشبكات المؤسسة، ولتوفير قابلية التشغيل البيني لنقل الحزم بين IP و MPLS VPNs. توفر هذه الميزة الدعم ل RFC 2547، والذي يحدد إمكانية الاستعانة بمصادر خارجية لتوفير خدمات البنية الأساسية لبروتوكول الإنترنت (IP) لشبكات المؤسسات.
قيود الشبكات الخاصة الظاهرية (VPN) الديناميكية من المستوى الثالث باستخدام أنفاق بروتوكول mGRE
فيما يلي قائمة بالقيود التي تنطبق على شبكات VPN الديناميكية من المستوى الثالث باستخدام أنفاق mGRE:
- لا يتم دعم نشر شبكة VPN MPLS باستخدام تضمين IP/GRE و MPLS داخل شبكة واحدة.
- يدعم كل موجه من موفري Edge (PE) تكوين نفق واحد فقط.
- ال VLAN لا يساند قارن على ال cisco 7600 sery مسحاج تخديد أن يواجه تجاه اللب حيث tunneled بطاقة حركة مرور ينبغي دخلت. يجب أن تكون الواجهة الرئيسية أو واجهة فرعية.
- يتم دعم MPLS VPN عبر mGRE على موجهات سلسلة Cisco 7600 التي تستخدم بطاقة الخط ES-40 وبروتوكول بدء جلسة العمل (SIP) 400 كبطاقات أساسية.
التكوين
يصف هذا القسم تكوينين:
- شبكة خاصة ظاهرية (VPN) ديناميكية من المستوى الثالث مع أنفاق بروتوكول mGRE على الشبكة التي تقتصر على بروتوكول الإنترنت (IP)
- شبكة خاصة ظاهرية (VPN) ديناميكية من المستوى الثالث مع أنفاق بروتوكول mGRE على شبكة IP + MPLS
شبكات خاصة ظاهرية (VPN) ديناميكية من المستوى الثالث مع أنفاق بروتوكول mGRE على شبكة IP فقط (بخلاف MPLS)
الرسم التخطيطي للشبكة
التكوينات
هذه هي التكوينات المطلوبة على الموجه 3 (R3) والموجه 2 (R2).
فيما يلي تكوين R3:
l3vpn encapsulation ip MGRE
transport ipv4 source Loopback0
route-map MGRE-NEXT-HOP permit 10
set ip next-hop encapsulate l3vpn MGRE
router bgp 65534
!
address-family vpnv4
neighbor 192.168.2.2 route-map MGRE-NEXT-HOP in
فيما يلي تكوين R2:
l3vpn encapsulation ip MGRE
transport ipv4 source Loopback0
route-map MGRE-NEXT-HOP permit 10
set ip next-hop encapsulate l3vpn MGRE
router bgp 65534
!
address-family vpnv4
neighbor 192.168.3.3 route-map MGRE-NEXT-HOP in
التحقق من الصحة
استخدم هذا القسم لتأكيد عمل التكوين بشكل صحيح.
R2#show tunnel endpoints
Tunnel0 running in multi-GRE/IP mode
Endpoint transport 192.168.3.3 Refcount 3 Base 0x1E8E1B74 Create Time 00:47:53
overlay 192.168.3.3 Refcount 2 Parent 0x1E8E1B74 Create Time 00:47:53
R2#show l3vpn encapsulation ip MGRE
Profile: MGRE
transport ipv4 source Loopback0
protocol gre
payload mpls
mtu default
Tunnel Tunnel0 Created [OK]
Tunnel Linestate [OK]
Tunnel Transport Source Loopback0 [OK]
R2#show ip route vrf MGRE 172.16.3.3
Routing Table: MGRE
Routing entry for 172.16.3.3
Known via "bgp 65534", distance 200, metric 0, type internal
Last update from 192.168.3.3 on Tunnel0, 01:03:25 ago
Routing Descriptor Blocks:
* 192.168.3.3 (default), from 172.16.112.1, 01:03:25 ago, via Tunnel0 <points to tunnel
Route metric is 0, traffic share count is 1
AS Hops 0
MPLS label: 17 <BGP vpnv4 label>
MPLS Flags: MPLS Required
الشبكات الخاصة الظاهرية (VPN) الديناميكية من المستوى الثالث مع أنفاق بروتوكول mGRE على شبكة IP + MPLS
الرسم التخطيطي للشبكة
إذا كان لديك سيناريو اتصال مزدوج حيث يكون أحد الاتصالات MPLS والآخر غير MPLS، فيجب تكوين mGRE على جميع موجهات PE المعنية. باستخدام هذا المخطط، يجب تكوين mGRE على موجهات PE الثلاثة جميعها.
إذا لم تقم بتكوين mGRE على الاتصال بين R3 و R1 - الارتباط MPLS، فلن تتمكن الشبكات الفرعية الموجودة خلف R3 من الاتصال بالشبكات الفرعية الموجودة خلف R2.
يبني R1 و R2 نقاط النهاية للنفق مع R3 استنادا إلى ملف تعريف VPN L3. ارجع إلى التكوين في هذا المستند الذي لم يتم فيه تكوين ملف تعريف L3 VPN، ولا يتم تطبيق خريطة المسار إلى نظير بروتوكول العبارة الحدودية (BGP) على R3، ولا يتم تطبيق خريطة المسار الخاصة ب L3 VPN ل R3 على R1.
التكوينات
هذه هي التكوينات المطلوبة في R1 و R2 و R3.
فيما يلي تكوين R1:
l3vpn encapsulation ip MGRE
transport ipv4 source Loopback0
route-map MGRE-NEXT-HOP permit 10
set ip next-hop encapsulate l3vpn MGRE
router bgp 65534
address-family vpnv4
neighbor 192.168.2.2 send-community extended
neighbor 192.168.2.2 route-map MGRE-NEXT-HOP in
neighbor 192.168.3.3 activate
فيما يلي تكوين R2:
l3vpn encapsulation ip MGRE
transport ipv4 source Loopback0
route-map MGRE-NEXT-HOP permit 10
set ip next-hop encapsulate l3vpn MGRE
router bgp 65534
address-family vpnv4
neighbor 192.168.1.1 route-map MGRE-NEXT-HOP in
neighbor 192.168.1.1 activate
فيما يلي تكوين R3:
router bgp 65534
address-family vpnv4
neighbor 192.168.1.1 activate
التحقق من الصحة
الآن، يمكنك إختبار الاتصال من الاسترجاع R21 إلى الاسترجاع R31:
R2#ping vrf MGRE 172.16.3.3 source 172.16.2.2
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.16.3.3, timeout is 2 seconds:
Packet sent with a source address of 172.16.2.2
.....
Success rate is 0 percent (0/5)
R2#show ip route vrf MGRE 172.16.3.3
Routing Table: MGRE
Routing entry for 172.16.3.3/32
Known via "bgp 65534", distance 200, metric 0, type internal
Last update from 192.168.3.3 on Tunnel0, 00:50:23 ago
Routing Descriptor Blocks:
* 192.168.3.3 (default), from 192.168.1.1, 00:50:23 ago, via Tunnel0pointed towards a tunnel>
Route metric is 0, traffic share count is 1
AS Hops 0
MPLS label: 19
MPLS Flags: MPLS Required
R2#show tunnel endpoints
Tunnel1 running in multi-GRE/IP mode
Tunnel0 running in multi-GRE/IP mode
Endpoint transport 192.168.1.1 Refcount 3 Base 0x507665E4 Create Time 01:24:25
overlay 192.168.1.1 Refcount 2 Parent 0x507665E4 Create Time 01:24:25
Endpoint transport 192.168.3.3 Refcount 3 Base 0x507664D4 Create Time 00:50:51
overlay 192.168.3.3 Refcount 2 Parent 0x507664D4 Create Time 00:50:51
قام R2 بإنشاء نفق ديناميكي ل 192.168.3.3 استنادا إلى الخطوة التالية BGP للمسار 172.16.3.3.
R2#show ip bgp vpnv4 vrf MGRE 172.16.3.3
BGP routing table entry for 43984:300:172.16.3.3/32, version 29
Paths: (1 available, best #1, table MGRE)
Advertised to update-groups:
1
Local, imported path from 300:300:172.16.3.3/32
192.168.3.3 (metric 3) (via Tunnel0) from 192.168.1.1 (192.168.1.1)
Origin incomplete, metric 0, localpref 100, valid, internal, best
Extended Community: RT:43984:300
Originator: 192.168.3.3, Cluster list: 192.168.1.1
mpls labels in/out nolabel/19
يتم التحقق من صحته على R1، كما قام بإنشاء نقاط نهاية النفق لكل من موجهات PE:
R1#show tunnel endpoints
Tunnel1 running in multi-GRE/IP mode
Tunnel0 running in multi-GRE/IP mode
Endpoint transport 192.168.2.2 Refcount 3 Base 0x1E8EE7B0 Create Time 01:36:41
overlay 192.168.2.2 Refcount 2 Parent 0x1E8EE7B0 Create Time 01:36:41
Endpoint transport 192.168.3.3 Refcount 3 Base 0x1E8EE590 Create Time 00:59:34
overlay 192.168.3.3 Refcount 2 Parent 0x1E8EE590 Create Time 00:59:34
في R3، لا يتم إنشاء نقاط نهاية للنفق:
R3#show tunnel endpoints
وفيما يلي مسار الشبكة الفرعية R2، التي أنشأت إختبار الاتصال:
R3#show ip route vrf MGRE 172.16.2.2
Routing Table: MGRE
Routing entry for 172.16.2.2/32
Known via "bgp 65534", distance 200, metric 0, type internal
Last update from 192.168.2.2 01:01:57 ago
Routing Descriptor Blocks:
* 192.168.2.2 (default), from 192.168.1.1, 01:01:57 ago
Route metric is 0, traffic share count is 1
AS Hops 0
MPLS label: 17
MPLS Flags: MPLS Required
وبالتالي، يتم إرسال الحزمة مضمنة في GRE تجاه R3. ونظرا لأن R3 لا يحتوي على نفق، فإنه لا يقبل حزمة GRE، ويقوم بإسقاطها.
لذلك، يجب تكوين mGRE من نهاية إلى نهاية على مسار لجعله يعمل. فيما يلي تكوين mGRE على R3، وهو أمر ضروري:
l3vpn encapsulation ip MGRE
transport ipv4 source Loopback0
route-map MGRE-NEXT-HOP permit 10
set ip next-hop encapsulate l3vpn MGRE
بمجرد إنشاء ملف تعريف L3 VPN، يتم إنشاء نقاط نهاية النفق، وتستلم حركة مرور البيانات التي تم إسقاطها سابقا. ومع ذلك، فإن حركة مرور الإرجاع هي MPLS وليست GRE حتى تقوم بتطبيق ملف التعريف على نظير BGP. يتم إسقاط حركة المرور هذه على R1، نظرا لأن R1 ليس لديه أي معلومات تسمية ل R2، والتي تشغل IP فقط.
R3#show tunnel endpoints
Tunnel0 running in multi-GRE/IP mode
Endpoint transport 192.168.1.1 Refcount 3 Base 0x2B79FBD4 Create Time 00:00:02
overlay 192.168.1.1 Refcount 2 Parent 0x2B79FBD4 Create Time 00:00:02
Endpoint transport 192.168.2.2 Refcount 3 Base 0x2B79FAC4 Create Time 00:00:02
overlay 192.168.2.2 Refcount 2 Parent 0x2B79FAC4 Create Time 00:00:02
R3#show ip cef vrf MGRE 172.16.2.2
172.16.2.2/32
nexthop 192.168.13.1 GigabitEthernet0/0.1503 label 21 17
router bgp 65534
address-family vpnv4
neighbor 192.168.1.1 route-map MGRE-NEXT-HOP in
R3#show ip cef vrf MGRE 172.16.2.2
172.16.2.2/32
nexthop 192.168.2.2 Tunnel0 label 17
R2#ping vrf MGRE 172.16.3.3 source 172.16.2.2
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.16.3.3, timeout is 2 seconds:
Packet sent with a source address of 172.16.2.2
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/4 ms
السيناريو 3
لنفترض أن الشبكات الفرعية الموجودة خلف R5، والتي تحتاج إلى الاتصال ب R3، لا ترغب في إستخدام mGRE. بعد ذلك، يمكنك إستخدام خريطة المسار التي تم إستخدامها لملف تعريف VPN L3 لتعيين الخطوة التالية واستدعاء قائمة البادئات، والسماح فقط بالبادئات التي تحتاج إلى نفق mGRE.
فيما يلي تكوين R1:
route-map MGRE-NEXT-HOP permit 10
match ip address prefix-list test
set ip next-hop encapsulate l3vpn MGRE
route-map MGRE-NEXT-HOP permit 20
يمكنك السماح بالبادئات في إختبار قائمة البادئات التي تحتاج إلى نفق mGRE، ولا يحتوي أي شيء آخر على نفق كواجهة خروج ويتبع التوجيه العادي. يعمل هذا التكوين لأن R3 و R5 يتميزان باتصال MPLS من نهاية إلى نهاية.
استكشاف الأخطاء وإصلاحها
لا تتوفر حاليًا معلومات محددة لاستكشاف الأخطاء وإصلاحها لهذا التكوين.
معلومات ذات صلة
محفوظات المراجعة
| المراجعة | تاريخ النشر | التعليقات |
|---|---|---|
1.0 |
04-Nov-2013 |
الإصدار الأولي |
التعليقات