Dit document beschrijft hoe u Dynamische Layer 3 (L3) VPN’s kunt configureren met de functie Multipoint Generic Routing Encapsulation (mGRE) Tunnel.
Voordat u Dynamische L3 VPN’s configureren met de functie mGRE-tunnels, zorg er dan voor dat uw Multiprotocol Label Switching (MPLS) VPN wordt geconfigureerd en correct werkt, en dat end-to-end connectiviteit voor het IPV4-netwerk is gerealiseerd.
De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u de potentiële impact van elke opdracht begrijpen.
De dynamische L3 VPN's met mGRE-tunnels bieden een L3 transportmechanisme gebaseerd op een verbeterde mGRE-tunneling technologie voor gebruik in IP-netwerken. Het dynamische L3-tunneling-transport kan ook binnen IP-netwerken worden gebruikt om VPN-verkeer tussen serviceproviders en ondernemingsnetwerken te verzenden en interoperabiliteit te bieden voor pakkettransport tussen IP en MPLS VPN’s. Deze optie biedt ondersteuning voor RFC 2547, die het uitbesteden van IP-backbone-services voor ondernemingsnetwerken definieert.
Hier is een lijst van beperkingen die van toepassing zijn voor Dynamische L3 VPN's met tunnels mGRE:
In dit deel worden twee configuraties beschreven:
Dit zijn de vereiste configuraties op router 3 (R3) en router 2 (R2).
Hier is de configuratie voor R3:
l3vpn encapsulation ip MGRE
transport ipv4 source Loopback0
route-map MGRE-NEXT-HOP permit 10
set ip next-hop encapsulate l3vpn MGRE
router bgp 65534
!
address-family vpnv4
neighbor 192.168.2.2 route-map MGRE-NEXT-HOP in
Hier is de configuratie voor R2:
l3vpn encapsulation ip MGRE
transport ipv4 source Loopback0
route-map MGRE-NEXT-HOP permit 10
set ip next-hop encapsulate l3vpn MGRE
router bgp 65534
!
address-family vpnv4
neighbor 192.168.3.3 route-map MGRE-NEXT-HOP in
Gebruik dit gedeelte om te bevestigen dat de configuratie correct werkt.
R2#show tunnel endpoints
Tunnel0 running in multi-GRE/IP mode
Endpoint transport 192.168.3.3 Refcount 3 Base 0x1E8E1B74 Create Time 00:47:53
overlay 192.168.3.3 Refcount 2 Parent 0x1E8E1B74 Create Time 00:47:53
R2#show l3vpn encapsulation ip MGRE
Profile: MGRE
transport ipv4 source Loopback0
protocol gre
payload mpls
mtu default
Tunnel Tunnel0 Created [OK]
Tunnel Linestate [OK]
Tunnel Transport Source Loopback0 [OK]
R2#show ip route vrf MGRE 172.16.3.3
Routing Table: MGRE
Routing entry for 172.16.3.3
Known via "bgp 65534", distance 200, metric 0, type internal
Last update from 192.168.3.3 on Tunnel0, 01:03:25 ago
Routing Descriptor Blocks:
* 192.168.3.3 (default), from 172.16.112.1, 01:03:25 ago, via Tunnel0 <points to tunnel
Route metric is 0, traffic share count is 1
AS Hops 0
MPLS label: 17 <BGP vpnv4 label>
MPLS Flags: MPLS Required
Als u een dubbel verbindingsscenario hebt waarbij de ene verbinding MPLS is en de andere niet-MPLS, moet u mGRE op alle betrokken PE routers configureren. Met deze topologie moet u mGRE op alle drie PE routers configureren.
Als u mGRE niet hebt ingesteld op de verbinding tussen R3 en R1 - MPLS verbinding, dan kunnen de subnetten achter R3 niet communiceren met de subnetten achter R2.
R1 en R2 maken tunnelendpoints met R3 gebaseerd op het L3 VPN-profiel. Raadpleeg de configuratie in dit document wanneer het L3 VPN-profiel niet is geconfigureerd, wordt de routekaart naar de BGP-peer (Border Gateway Protocol) op R3 niet toegepast en wordt de routekaart voor L3 VPN voor R3 op R1 niet toegepast.
Dit zijn de vereiste configuraties op R1, R2 en R3.
Dit is de configuratie voor R1:
l3vpn encapsulation ip MGRE
transport ipv4 source Loopback0
route-map MGRE-NEXT-HOP permit 10
set ip next-hop encapsulate l3vpn MGRE
router bgp 65534
address-family vpnv4
neighbor 192.168.2.2 send-community extended
neighbor 192.168.2.2 route-map MGRE-NEXT-HOP in
neighbor 192.168.3.3 activate
Hier is de configuratie voor R2:
l3vpn encapsulation ip MGRE
transport ipv4 source Loopback0
route-map MGRE-NEXT-HOP permit 10
set ip next-hop encapsulate l3vpn MGRE
router bgp 65534
address-family vpnv4
neighbor 192.168.1.1 route-map MGRE-NEXT-HOP in
neighbor 192.168.1.1 activate
Hier is de configuratie voor R3:
router bgp 65534
address-family vpnv4
neighbor 192.168.1.1 activate
U kunt nu van de R2 loopback1 naar de R3 loopback1 pingen:
R2#ping vrf MGRE 172.16.3.3 source 172.16.2.2
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.16.3.3, timeout is 2 seconds:
Packet sent with a source address of 172.16.2.2
.....
Success rate is 0 percent (0/5)
R2#show ip route vrf MGRE 172.16.3.3
Routing Table: MGRE
Routing entry for 172.16.3.3/32
Known via "bgp 65534", distance 200, metric 0, type internal
Last update from 192.168.3.3 on Tunnel0, 00:50:23 ago
Routing Descriptor Blocks:
* 192.168.3.3 (default), from 192.168.1.1, 00:50:23 ago, via Tunnel0pointed towards a tunnel>
Route metric is 0, traffic share count is 1
AS Hops 0
MPLS label: 19
MPLS Flags: MPLS Required
R2#show tunnel endpoints
Tunnel1 running in multi-GRE/IP mode
Tunnel0 running in multi-GRE/IP mode
Endpoint transport 192.168.1.1 Refcount 3 Base 0x507665E4 Create Time 01:24:25
overlay 192.168.1.1 Refcount 2 Parent 0x507665E4 Create Time 01:24:25
Endpoint transport 192.168.3.3 Refcount 3 Base 0x507664D4 Create Time 00:50:51
overlay 192.168.3.3 Refcount 2 Parent 0x507664D4 Create Time 00:50:51
R2 creëerde een dynamische tunnel voor 192.168.3.3 gebaseerd op de BGP next-hop voor de route 172.16.3.3.
R2#show ip bgp vpnv4 vrf MGRE 172.16.3.3
BGP routing table entry for 43984:300:172.16.3.3/32, version 29
Paths: (1 available, best #1, table MGRE)
Advertised to update-groups:
1
Local, imported path from 300:300:172.16.3.3/32
192.168.3.3 (metric 3) (via Tunnel0) from 192.168.1.1 (192.168.1.1)
Origin incomplete, metric 0, localpref 100, valid, internal, best
Extended Community: RT:43984:300
Originator: 192.168.3.3, Cluster list: 192.168.1.1
mpls labels in/out nolabel/19
Het wordt geverifieerd op R1 en het creëerde ook tunnelendpoints voor beide PE routers:
R1#show tunnel endpoints
Tunnel1 running in multi-GRE/IP mode
Tunnel0 running in multi-GRE/IP mode
Endpoint transport 192.168.2.2 Refcount 3 Base 0x1E8EE7B0 Create Time 01:36:41
overlay 192.168.2.2 Refcount 2 Parent 0x1E8EE7B0 Create Time 01:36:41
Endpoint transport 192.168.3.3 Refcount 3 Base 0x1E8EE590 Create Time 00:59:34
overlay 192.168.3.3 Refcount 2 Parent 0x1E8EE590 Create Time 00:59:34
Op R3 worden er geen tunneleindpunten gecreëerd:
R3#show tunnel endpoints
Hier is de route voor R2 Subnet, die van het ping kwam:
R3#show ip route vrf MGRE 172.16.2.2
Routing Table: MGRE
Routing entry for 172.16.2.2/32
Known via "bgp 65534", distance 200, metric 0, type internal
Last update from 192.168.2.2 01:01:57 ago
Routing Descriptor Blocks:
* 192.168.2.2 (default), from 192.168.1.1, 01:01:57 ago
Route metric is 0, traffic share count is 1
AS Hops 0
MPLS label: 17
MPLS Flags: MPLS Required
Daarom wordt het pakket in GRE ingekapseld naar R3. Aangezien R3 geen tunnel heeft, accepteert het het GRE-pakket niet en laat het vallen.
Daarom moet u mGRE end-to-end op een pad configureren om het te laten werken. Hier is de configuratie voor mGRE op R3, die nodig is:
l3vpn encapsulation ip MGRE
transport ipv4 source Loopback0
route-map MGRE-NEXT-HOP permit 10
set ip next-hop encapsulate l3vpn MGRE
Zodra u het L3 VPN-profiel maakt, worden er tunneleindpunten gecreëerd en ontvangt u het verkeer dat eerder werd ingetrokken. Terugkeerverkeer is echter MPLS en niet GRE totdat u het profiel op de BGP-peer toepast. Dat verkeer valt op R1, omdat R1 geen etiketinformatie voor R2 heeft, die slechts IP draait.
R3#show tunnel endpoints
Tunnel0 running in multi-GRE/IP mode
Endpoint transport 192.168.1.1 Refcount 3 Base 0x2B79FBD4 Create Time 00:00:02
overlay 192.168.1.1 Refcount 2 Parent 0x2B79FBD4 Create Time 00:00:02
Endpoint transport 192.168.2.2 Refcount 3 Base 0x2B79FAC4 Create Time 00:00:02
overlay 192.168.2.2 Refcount 2 Parent 0x2B79FAC4 Create Time 00:00:02
R3#show ip cef vrf MGRE 172.16.2.2
172.16.2.2/32
nexthop 192.168.13.1 GigabitEthernet0/0.1503 label 21 17
router bgp 65534
address-family vpnv4
neighbor 192.168.1.1 route-map MGRE-NEXT-HOP in
R3#show ip cef vrf MGRE 172.16.2.2
172.16.2.2/32
nexthop 192.168.2.2 Tunnel0 label 17
R2#ping vrf MGRE 172.16.3.3 source 172.16.2.2
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.16.3.3, timeout is 2 seconds:
Packet sent with a source address of 172.16.2.2
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/4 ms
Scenario 3
Stel dat subnetten achter R5, die met R3 moeten communiceren, geen mGRE willen gebruiken. Vervolgens kunt u de route-map gebruiken die voor het L3 VPN-profiel is gebruikt om de volgende hop in te stellen en een voorvoegsellijst te bellen, en alleen de voorvoegsels toe te staan die de mGRE-tunnel nodig hebben.
Dit is de configuratie voor R1:
route-map MGRE-NEXT-HOP permit 10
match ip address prefix-list test
set ip next-hop encapsulate l3vpn MGRE
route-map MGRE-NEXT-HOP permit 20
U kunt prefixes in de prefix-lijst test toestaan die de mGRE tunnel nodig hebben, en al het andere heeft geen tunnel als exit interface en volgt de normale routing. Deze configuratie werkt omdat R3 en R5 MPLS connectiviteit end-to-end hebben.
Er is momenteel geen specifieke troubleshooting-informatie beschikbaar voor deze configuratie.