Dynamic Layer 3 VPN’s met Multipoint GRE-tunnels

Downloadopties

  • PDF     (259.7 KB)
    Met Adobe Reader op diverse apparaten bekijken
  • ePub     (137.0 KB)
    Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
  • Mobi (Kindle)     (130.6 KB)
    Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken
Bijgewerkt:4 november 2013
Document-id:116725

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

Inleiding

Dit document beschrijft hoe u Dynamische Layer 3 (L3) VPN’s kunt configureren met de functie Multipoint Generic Routing Encapsulation (mGRE) Tunnel.

Voorwaarden

Vereisten

Voordat u Dynamische L3 VPN’s configureren met de functie mGRE-tunnels, zorg er dan voor dat uw Multiprotocol Label Switching (MPLS) VPN wordt geconfigureerd en correct werkt, en dat end-to-end connectiviteit voor het IPV4-netwerk is gerealiseerd.

Gebruikte componenten

De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:

  • Cisco 7206VXR (NPP-G1) Series router met Cisco IOS-softwarerelease 15.2(4)S3
  • Cisco 7609-S Series router met Cisco IOS-softwarerelease 12.2(33)SRE4

De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u de potentiële impact van elke opdracht begrijpen.

Achtergrondinformatie

De dynamische L3 VPN's met mGRE-tunnels bieden een L3 transportmechanisme gebaseerd op een verbeterde mGRE-tunneling technologie voor gebruik in IP-netwerken. Het dynamische L3-tunneling-transport kan ook binnen IP-netwerken worden gebruikt om VPN-verkeer tussen serviceproviders en ondernemingsnetwerken te verzenden en interoperabiliteit te bieden voor pakkettransport tussen IP en MPLS VPN’s. Deze optie biedt ondersteuning voor RFC 2547, die het uitbesteden van IP-backbone-services voor ondernemingsnetwerken definieert.

Beperkingen voor Dynamic L3 VPN’s met mGRE-tunnels

Hier is een lijst van beperkingen die van toepassing zijn voor Dynamische L3 VPN's met tunnels mGRE:

  • De implementatie van een MPLS VPN met zowel IP/GRE als MPLS-insluiting binnen één netwerk wordt niet ondersteund.
  • Elke PE-router (Provider Edge) ondersteunt slechts één tunnelconfiguratie.
  • De interface van VLAN op de Cisco 7600 Series router die naar de kern loopt waar het getunneled tagverkeer moet binnengaan wordt niet ondersteund. Het moet de hoofdinterface of een subinterface zijn.
  • MPLS VPN via mGRE wordt ondersteund op Cisco 7600 Series routers die de ES-40-lijnkaart en de Session Initiation Protocol (SIP) 400 lijnkaart als core-face kaarten gebruiken.

Configureren

In dit deel worden twee configuraties beschreven:

  • Dynamic L3 VPN met mGRE-tunnels op IP-only netwerk
  • Dynamic L3 VPN met mGRE-tunnels op IP + MPLS-netwerk

Dynamische L3 VPN’s met mGRE-tunnels in IP-only (niet-MPLS) netwerk

Netwerkdiagram

Configuraties

Dit zijn de vereiste configuraties op router 3 (R3) en router 2 (R2).

Hier is de configuratie voor R3:

l3vpn encapsulation ip MGRE
transport ipv4 source Loopback0

route-map MGRE-NEXT-HOP permit 10
set ip next-hop encapsulate l3vpn MGRE

router bgp 65534
 !
address-family vpnv4
neighbor 192.168.2.2 route-map MGRE-NEXT-HOP in

Hier is de configuratie voor R2:

l3vpn encapsulation ip MGRE
transport ipv4 source Loopback0

route-map MGRE-NEXT-HOP permit 10
set ip next-hop encapsulate l3vpn MGRE

router bgp 65534
 !
address-family vpnv4
neighbor 192.168.3.3 route-map MGRE-NEXT-HOP in

Verifiëren

Gebruik dit gedeelte om te bevestigen dat de configuratie correct werkt.

R2#show tunnel endpoints 
 
 Tunnel0 running in multi-GRE/IP mode

 Endpoint transport 192.168.3.3 Refcount 3 Base 0x1E8E1B74 Create Time 00:47:53
   overlay 192.168.3.3 Refcount 2 Parent 0x1E8E1B74 Create Time 00:47:53


R2#show l3vpn encapsulation ip MGRE 

 Profile: MGRE
    transport ipv4 source Loopback0
    protocol gre
    payload mpls
    mtu default
  Tunnel Tunnel0 Created [OK]
  Tunnel Linestate [OK]
  Tunnel Transport Source Loopback0 [OK]


R2#show ip route vrf MGRE 172.16.3.3

Routing Table: MGRE
Routing entry for 172.16.3.3
  Known via "bgp 65534", distance 200, metric 0, type internal
  Last update from 192.168.3.3 on Tunnel0, 01:03:25 ago
  Routing Descriptor Blocks:
  * 192.168.3.3 (default), from 172.16.112.1, 01:03:25 ago, via Tunnel0 <points to tunnel
      Route metric is 0, traffic share count is 1
      AS Hops 0
     MPLS label: 17   <BGP vpnv4 label>
      MPLS Flags: MPLS Required

Opmerking: In het vorige voorbeeld zijn er slechts twee PE's. Als u echter een groot netwerk met meerdere PE-routers hebt, is deze dynamische mGRE zeer gemakkelijk te configureren en schaalbaar, omdat u dezelfde configuratie moet hebben op alle PE's en tunnels automatisch worden ontdekt.

Dynamische L3 VPN’s met mGRE-tunnels in IP + MPLS-netwerk

Netwerkdiagram

Als u een dubbel verbindingsscenario hebt waarbij de ene verbinding MPLS is en de andere niet-MPLS, moet u mGRE op alle betrokken PE routers configureren. Met deze topologie moet u mGRE op alle drie PE routers configureren.

Als u mGRE niet hebt ingesteld op de verbinding tussen R3 en R1 - MPLS verbinding, dan kunnen de subnetten achter R3 niet communiceren met de subnetten achter R2.

R1 en R2 maken tunnelendpoints met R3 gebaseerd op het L3 VPN-profiel. Raadpleeg de configuratie in dit document wanneer het L3 VPN-profiel niet is geconfigureerd, wordt de routekaart naar de BGP-peer (Border Gateway Protocol) op R3 niet toegepast en wordt de routekaart voor L3 VPN voor R3 op R1 niet toegepast.

Configuraties

Dit zijn de vereiste configuraties op R1, R2 en R3.

Dit is de configuratie voor R1:

l3vpn encapsulation ip MGRE
transport ipv4 source Loopback0

route-map MGRE-NEXT-HOP permit 10
set ip next-hop encapsulate l3vpn MGRE

router bgp 65534
address-family vpnv4
neighbor 192.168.2.2 send-community extended
neighbor 192.168.2.2 route-map MGRE-NEXT-HOP in
neighbor 192.168.3.3 activate

Hier is de configuratie voor R2:

l3vpn encapsulation ip MGRE
transport ipv4 source Loopback0

route-map MGRE-NEXT-HOP permit 10
set ip next-hop encapsulate l3vpn MGRE

router bgp 65534
address-family vpnv4
neighbor 192.168.1.1 route-map MGRE-NEXT-HOP in
neighbor 192.168.1.1 activate

Hier is de configuratie voor R3:

router bgp 65534
address-family vpnv4
neighbor 192.168.1.1 activate

Verifiëren

U kunt nu van de R2 loopback1 naar de R3 loopback1 pingen:

R2#ping vrf  MGRE  172.16.3.3 source 172.16.2.2       

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.16.3.3, timeout is 2 seconds:
Packet sent with a source address of 172.16.2.2
.....
Success rate is 0 percent (0/5)


R2#show ip route vrf MGRE 172.16.3.3

Routing Table: MGRE
Routing entry for 172.16.3.3/32
  Known via "bgp 65534", distance 200, metric 0, type internal
  Last update from 192.168.3.3 on Tunnel0, 00:50:23 ago
  Routing Descriptor Blocks:
  * 192.168.3.3 (default), from 192.168.1.1, 00:50:23 ago, via Tunnel0  
     
         pointed towards a tunnel>
      Route metric is 0, traffic share count is 1
      AS Hops 0
      MPLS label: 19
      MPLS Flags: MPLS Required


R2#show tunnel endpoints 
 Tunnel1 running in multi-GRE/IP mode

 Tunnel0 running in multi-GRE/IP mode

 Endpoint transport 192.168.1.1 Refcount 3 Base 0x507665E4 Create Time 01:24:25
   overlay 192.168.1.1 Refcount 2 Parent 0x507665E4 Create Time 01:24:25
 Endpoint transport 192.168.3.3 Refcount 3 Base 0x507664D4 Create Time 00:50:51
   overlay 192.168.3.3 Refcount 2 Parent 0x507664D4 Create Time 00:50:51

R2 creëerde een dynamische tunnel voor 192.168.3.3 gebaseerd op de BGP next-hop voor de route 172.16.3.3.

R2#show ip bgp vpnv4 vrf  MGRE 172.16.3.3
BGP routing table entry for 43984:300:172.16.3.3/32, version 29
Paths: (1 available, best #1, table MGRE)
  Advertised to update-groups:
     1         
  Local, imported path from 300:300:172.16.3.3/32
    192.168.3.3 (metric 3) (via Tunnel0) from 192.168.1.1 (192.168.1.1)
      Origin incomplete, metric 0, localpref 100, valid, internal, best
      Extended Community: RT:43984:300
      Originator: 192.168.3.3, Cluster list: 192.168.1.1
      mpls labels in/out nolabel/19

Het wordt geverifieerd op R1 en het creëerde ook tunnelendpoints voor beide PE routers:

R1#show tunnel endpoints 
 Tunnel1 running in multi-GRE/IP mode

 Tunnel0 running in multi-GRE/IP mode

 Endpoint transport 192.168.2.2 Refcount 3 Base 0x1E8EE7B0 Create Time 01:36:41
   overlay 192.168.2.2 Refcount 2 Parent 0x1E8EE7B0 Create Time 01:36:41
 Endpoint transport 192.168.3.3 Refcount 3 Base 0x1E8EE590 Create Time 00:59:34
   overlay 192.168.3.3 Refcount 2 Parent 0x1E8EE590 Create Time 00:59:34

Op R3 worden er geen tunneleindpunten gecreëerd:

R3#show tunnel endpoints

Hier is de route voor R2 Subnet, die van het ping kwam:

R3#show ip route vrf  MGRE  172.16.2.2

Routing Table: MGRE
Routing entry for 172.16.2.2/32
  Known via "bgp 65534", distance 200, metric 0, type internal
  Last update from 192.168.2.2 01:01:57 ago
  Routing Descriptor Blocks:
  * 192.168.2.2 (default), from 192.168.1.1, 01:01:57 ago
      Route metric is 0, traffic share count is 1
      AS Hops 0
      MPLS label: 17
      MPLS Flags: MPLS Required

Daarom wordt het pakket in GRE ingekapseld naar R3. Aangezien R3 geen tunnel heeft, accepteert het het GRE-pakket niet en laat het vallen.

Daarom moet u mGRE end-to-end op een pad configureren om het te laten werken. Hier is de configuratie voor mGRE op R3, die nodig is:

l3vpn encapsulation ip MGRE
transport ipv4 source Loopback0

route-map MGRE-NEXT-HOP permit 10
set ip next-hop encapsulate l3vpn MGRE

Zodra u het L3 VPN-profiel maakt, worden er tunneleindpunten gecreëerd en ontvangt u het verkeer dat eerder werd ingetrokken. Terugkeerverkeer is echter MPLS en niet GRE totdat u het profiel op de BGP-peer toepast. Dat verkeer valt op R1, omdat R1 geen etiketinformatie voor R2 heeft, die slechts IP draait.

R3#show tunnel endpoints 
 Tunnel0 running in multi-GRE/IP mode

 Endpoint transport 192.168.1.1 Refcount 3 Base 0x2B79FBD4 Create Time 00:00:02
   overlay 192.168.1.1 Refcount 2 Parent 0x2B79FBD4 Create Time 00:00:02
 Endpoint transport 192.168.2.2 Refcount 3 Base 0x2B79FAC4 Create Time 00:00:02
   overlay 192.168.2.2 Refcount 2 Parent 0x2B79FAC4 Create Time 00:00:02


R3#show ip cef vrf  MGRE  172.16.2.2
172.16.2.2/32
  nexthop 192.168.13.1 GigabitEthernet0/0.1503 label 21 17

  router bgp 65534
address-family vpnv4
neighbor 192.168.1.1 route-map MGRE-NEXT-HOP in


R3#show ip cef vrf  MGRE  172.16.2.2
172.16.2.2/32
  nexthop 192.168.2.2 Tunnel0 label 17 
     
     


R2#ping vrf  MGRE 172.16.3.3 source  172.16.2.2

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.16.3.3, timeout is 2 seconds:
Packet sent with a source address of 172.16.2.2 
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/4 ms

Scenario 3

Stel dat subnetten achter R5, die met R3 moeten communiceren, geen mGRE willen gebruiken. Vervolgens kunt u de route-map gebruiken die voor het L3 VPN-profiel is gebruikt om de volgende hop in te stellen en een voorvoegsellijst te bellen, en alleen de voorvoegsels toe te staan die de mGRE-tunnel nodig hebben.

Dit is de configuratie voor R1:

route-map MGRE-NEXT-HOP permit 10
 match ip address prefix-list test
 set ip next-hop encapsulate l3vpn MGRE
route-map MGRE-NEXT-HOP permit 20

U kunt prefixes in de prefix-lijst test toestaan die de mGRE tunnel nodig hebben, en al het andere heeft geen tunnel als exit interface en volgt de normale routing. Deze configuratie werkt omdat R3 en R5 MPLS connectiviteit end-to-end hebben.

Problemen oplossen

Er is momenteel geen specifieke troubleshooting-informatie beschikbaar voor deze configuratie.

Gerelateerde informatie

TAC Authored

Bijgedragen door Cisco-engineers

  • Vinod Sharma
    Cisco TAC Engineer.

Was dit document nuttig?

FeedbackFeedback

Contact Cisco