MPLS VPN sobre ATM: with BGP or RIP on the Customer Site
Contents
Introduction
Este documento fornece uma configuração de exemplo de VPN MPLS (Multiprotocol Label Switching) sobre ATM quando o BGP (Border Gateway Protocol) ou RIP (Routing Information Protocol) está presente nos sites dos clientes.
O recurso VPN (Virtual Private Network), quando usado com MPLS, permite que vários sites se interconectem de forma transparente através de uma rede de provedor de serviços. Uma rede de provedor de serviços pode suportar várias VPNs de IPs diferentes. Cada uma delas aparece para seus usuários como uma rede privada, separada de todas as outras redes. Na VPN, cada site pode enviar pacotes IP para qualquer outro site na mesma VPN.
Cada VPN está associada com um ou mais instâncias de VPN Routing ou de encaminhamento (VRFs) Um VRF consiste em uma tabela de roteamento IP, uma tabela derivada de encaminhamento expresso da Cisco (CEF - Cisco Express Forwarding) e um conjunto de interfaces que usa essa tabela de encaminhamento.
O roteador mantém um roteamento separado e tabela de CEF para cada VRF. Isso não permite que as informações sejam enviadas para fora da VPN, mas permite que a mesma sub-rede seja usada em várias VPNs sem problemas de endereço IP duplicado.
O roteador que usa o BGP distribui as informações de roteamento da VPN com as comunidades estendidas do BGP.
Para obter mais informações sobre a propagação de atualizações através de uma VPN, consulte estes links:
Prerequisites
Versões de hardware e software
Essas letras representam os diferentes tipos de roteadores e switches usados:
-
P: Roteador central do provedor
-
PE: Roteador de borda do provedor
-
CE: Roteador de borda do cliente
-
C : Roteador do cliente
Desenvolvemos e testamos a configuração com estas versões de software e hardware:
-
Roteadores PE:
-
Software: Software Cisco IOS® versão 12.1(3)T. A versão 12.0(5)T inclui a VPN MPLS.
-
Hardware: Qualquer roteador Cisco da série 3600 ou superior, como o Cisco 3660 ou 7206.
-
-
Roteadores CE: Use qualquer roteador que possa trocar informações de roteamento com seu roteador PE.
-
Switches e roteadores P: A função de integração VPN MPLS reside somente na borda da rede MPLS, portanto, use qualquer switch compatível com MPLS. Na configuração de exemplo, a nuvem MPLS é composta de um 8540 MSR e um LightStream 1010. Se você usa o LightStream 1010, recomendamos que você use a versão do software WA4.8d ou superior. Você também pode usar outros switches ATM, como o Cisco BPX 8650 ou MGX 8850 na rede central ATM.
Conventions
Este diagrama mostra uma configuração típica que ilustra estas convenções:
Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.
Informações de Apoio
Descrição
Configuramos um backbone ATM MPLS padrão com a área 0 do OSPF (Open Shortest Path First) como o IGP (Interior Gateway Protocol). Configuramos duas VPNs diferentes com esse backbone. O primeiro usa o RIP como protocolo de roteamento de borda do cliente para borda do provedor (CE-PE) e o outro usa o BGP como protocolo de roteamento PE-CE.
Configuramos vários circuitos de retorno e rotas estáticas nos roteadores CE para simular a presença de outros roteadores e redes.
Configurar procedimento
Observação: é obrigatório usar o BGP como o VPN IGP entre roteadores PE. Isso porque o uso de comunidades estendidas de BGP é a única maneira de transportar informações de roteamento para a VPN entre os roteadores PE.
Diagrama de Rede
Procedimento de configuração Parte I
A documentação do IOS da Cisco (redes privadas virtuais de MPLS) também descreve esse procedimento de configuração.
Certifique-se de que o ip cef esteja habilitado. Se você usa um roteador Cisco 7500, certifique-se de que o ip cef distribuído esteja ativado. Nos PEs, depois que o MPLS tiver sido configurado, siga estas etapas:
-
Crie um VRF para cada VPN conectada com o comando ip vrf <VPN routing/forwarding instance name>:
-
Especifique o distinguidor de rota correto utilizado para aquele VPN. Isso é usado para estender o endereço IP para que você possa identificar a VPN à qual ele pertence.
rd -
Configure as propriedades de importação e exportação para as comunidades estendidas de BGP. Eles são usados para filtrar o processo de importação e exportação.
route-target [export|import|both]
-
-
Configure os detalhes de encaminhamento para as respectivas interfaces com este comando:
ip vrf forwarding
Observação: lembre-se de configurar o endereço IP depois de fazer isso.
Dependendo do protocolo de roteamento PE-CE que você usa, agora você deve fazer um ou mais destes:
-
Configure as rotas estáticas:
ip route vrf vrf-name prefix mask [next-hop-address] [interface {interface-number}] -
Configure o RIP com este comando:
address-family ipv4 vrfQuando você tiver concluído essa parte, digite os comandos normais da configuração de RIP.
Observação: isso é aplicado somente às interfaces de encaminhamento para o VRF atual.
Observação: você precisa redistribuir o BGP correto no RIP. Ao fazer isso, lembre-se de especificar também a métrica usada.
-
Declare as informações de vizinho BGP
-
Configure o OSPF com o novo comando IOS:
router ospfvrf . Observação: isso é aplicado somente às interfaces de encaminhamento para o VRF atual.
Observação: você precisa redistribuir o BGP correto no OSPF. Ao fazer isso, lembre-se de especificar também a métrica usada.
Observação: depois de atribuir o processo OSPF a um VRF, esse número de processo é sempre usado para esse VRF específico. Isso se aplica até se você não especificá-lo na linha de comando.
Procedimento de configuração Parte II
Configure o BGP entre os roteadores PE. Há várias maneiras de configurar o BGP; uma maneira é usar o refletor de rota ou os métodos de confederação. O método usado aqui - configuração de vizinho direto - é o mais simples e menos escalável.
-
Declare os vizinhos diferentes.
-
Insira o endereço-família ipv4 vrf <nome da instância de roteamento/encaminhamento de VPN> para cada VPN presente neste roteador PE. Execute uma ou mais destas etapas, conforme necessário:
-
Redistribua as informações de roteamento estático.
-
Redistribuir as informações de RIP Routing
-
Redistribua as informações de OSPF Routing
-
Ative o BGP próximo aos roteadores CE.
-
-
Entre no modo address-family vpnv4 e execute um destes procedimentos:
-
Ative os vizinhos
-
Especifique se uma comunidade estendida deve ser utilizada. Isso é obrigatório.
-
Configurações
Na configuração de Alcalzaba, as linhas específicas da VPN 101 são mostradas em negrito, as específicas da VPN 102 estão em itálico e as específicas de ambas são mostradas em negrito e itálico.
Alcazaba ! ip vrf vrf101 rd 1:101 route-target export 1:101 route-target import 1:101 ! ip vrf vrf102 rd 1:102 route-target export 1:102 route-target import 1:102 ! ip cef ! interface Loopback0 ip address 223.0.0.3 255.255.255.255 ! interface Ethernet1/0 ip vrf forwarding vrf102 ip address 10.200.10.3 255.255.252.0 ! interface Ethernet1/1 ip vrf forwarding vrf101 ip address 150.150.0.1 255.255.255.0 ! interface ATM3/0 no ip address no ip mroute-cache no atm ilmi-keepalive pvc qsaal 0/5 qsaal pvc ilmi 0/16 ilmi ! ! interface ATM3/0.1 tag-switching ip address 10.0.0.17 255.255.255.252 tag-switching atm vpi 2-4 tag-switching ip ! interface ATM4/0 no ip address no atm ilmi-keepalive ! interface ATM4/0.1 tag-switching ip address 10.0.0.13 255.255.255.252 tag-switching atm vpi 2-4 tag-switching ip ! router ospf 1 network 10.0.0.0 0.0.0.255 area 0 network 223.0.0.3 0.0.0.0 area 0 ! router rip version 2 ! address-family ipv4 vrf vrf101 version 2 redistribute bgp 1 metric 0 network 150.150.0.0 no auto-summary exit-address-family ! router bgp 1 no synchronization neighbor 125.2.2.2 remote-as 1 neighbor 125.2.2.2 update-source Loopback0 neighbor 223.0.0.21 remote-as 1 neighbor 223.0.0.21 update-source Loopback0 no auto-summary ! address-family ipv4 vrf vrf102 redistribute connected neighbor 10.200.10.14 remote-as 158 neighbor 10.200.10.14 activate no auto-summary no synchronization exit-address-family ! address-family ipv4 vrf vrf101 redistribute rip no auto-summary no synchronization exit-address-family ! address-family vpnv4 neighbor 125.2.2.2 activate neighbor 125.2.2.2 send-community extended neighbor 223.0.0.21 activate neighbor 223.0.0.21 send-community extended no auto-summary exit-address-family !
Kozel ! ip vrf vrf101 rd 1:101 route-target export 1:101 route-target import 1:101 ! ip vrf vrf102 rd 1:102 route-target export 1:102 route-target import 1:102 ! ip cef ! interface Loopback0 ip address 223.0.0.21 255.255.255.255 ! interface Ethernet1/1 ip vrf forwarding vrf101 ip address 200.200.0.1 255.255.255.0 ! interface Ethernet1/2 ip vrf forwarding vrf102 ip address 201.201.201.1 255.255.255.252 ! interface ATM4/0 no ip address no atm scrambling cell-payload no atm ilmi-keepalive pvc qsaal 0/5 qsaal pvc ilmi 0/16 ilmi ! interface ATM4/0.1 tag-switching ip address 10.0.0.6 255.255.255.252 tag-switching atm vpi 2-4 tag-switching ip ! router ospf 1 log-adjacency-changes network 10.0.0.0 0.0.0.255 area 0 network 223.0.0.21 0.0.0.0 area 0 ! router rip version 2 ! address-family ipv4 vrf vrf101 version 2 redistribute bgp 1 metric 1 network 200.200.0.0 no auto-summary exit-address-family ! router bgp 1 no synchronization neighbor 125.2.2.2 remote-as 1 neighbor 125.2.2.2 update-source Loopback0 neighbor 223.0.0.3 remote-as 1 neighbor 223.0.0.3 update-source Loopback0 no auto-summary ! address-family ipv4 vrf vrf102 redistribute connected redistribute static neighbor 201.201.201.2 remote-as 69 neighbor 201.201.201.2 activate no auto-summary no synchronization exit-address-family ! address-family ipv4 vrf vrf101 redistribute rip no auto-summary no synchronization exit-address-family ! address-family vpnv4 neighbor 125.2.2.2 activate neighbor 125.2.2.2 send-community extended neighbor 223.0.0.3 activate neighbor 223.0.0.3 send-community extended no auto-summary exit-address-family !
Medina Current configuration: ! ip vrf vrf101 rd 1:101 route-target export 1:101 route-target import 1:101 ip cef ! interface Loopback1 ip vrf forwarding vrf101 ip address 11.2.2.2 255.255.255.252 ! interface ATM2/0 no ip address no atm ilmi-keepalive ! interface ATM2/0.66 tag-switching ip address 125.1.4.2 255.255.255.252 tag-switching ip ! interface Ethernet1/1 ip vrf forwarding vrf101 ip address 11.3.3.1 255.255.255.252 ! router ospf 1 network 125.1.4.0 0.0.0.3 area 0 network 125.2.2.2 0.0.0.0 area 0 ! router rip version 2 network 11.0.0.0 ! address-family ipv4 vrf vrf101 version 2 redistribute bgp 1 metric 1 network 11.0.0.0 no auto-summary exit-address-family ! router bgp 1 no synchronization neighbor 223.0.0.3 remote-as 1 neighbor 223.0.0.3 update-source Loopback0 neighbor 223.0.0.21 remote-as 1 neighbor 223.0.0.21 update-source Loopback0 ! address-family ipv4 vrf vrf101 redistribute connected redistribute static redistribute rip default-information originate no auto-summary no synchronization exit-address-family ! address-family vpnv4 neighbor 223.0.0.3 activate neighbor 223.0.0.3 send-community extended neighbor 223.0.0.21 activate neighbor 223.0.0.21 send-community extended exit-address-family !
Rápida Current configuration: ! interface Loopback0 ip address 223.0.0.12 255.255.255.255 ! interface Loopback2 ip address 7.7.7.7 255.255.255.0 ! interface FastEthernet0/1 ip address 150.150.0.2 255.255.255.0 duplex auto speed auto ! router rip version 2 redistribute static network 7.0.0.0 network 10.0.0.0 network 150.150.0.0 no auto-summary ! ip route 158.0.0.0 255.0.0.0 Null !
Damme ! interface Loopback1 ip address 6.6.6.6 255.0.0.0 ! interface FastEthernet0/0 ip address 10.200.10.14 255.255.252.0 duplex auto speed autoa ! router bgp 158 no synchronization network 6.0.0.0 network 10.200.0.0 mask 255.255.252.0 neighbor 10.200.10.3 remote-as 1 no auto-summary !
Pivrnec Current configuration: ! interface Loopback0 ip address 223.0.0.22 255.255.255.255 ! interface Loopback1 ip address 6.6.6.6 255.255.255.255 ! interface FastEthernet0/1 ip address 200.200.0.2 255.255.255.0 duplex auto speed auto ! router rip version 2 redistribute static network 6.0.0.0 network 200.200.0.0 no auto-summary ! ip route 69.0.0.0 255.0.0.0 Null0 !
Guilder ! interface Loopback2 ip address 150.150.0.1 255.255.0.0 ! interface Ethernet0/2 ip address 201.201.201.2 255.255.255.252 ! router bgp 69 no synchronization network 7.7.7.0 mask 255.255.0.0 network 150.150.0.0 network 201.201.201.0 mask 255.255.255.252 redistribute connected neighbor 201.201.201.1 remote-as 1 no auto-summary !
Purkmister Current configuration: ! interface Loopback0 ip address 11.5.5.5 255.255.255.252 ! interface FastEthernet0/1 ip address 11.3.3.2 255.255.255.252 duplex auto speed auto ! router rip version 2 network 11.0.0.0 !
comandos show
Comandos Específicos do Roteamento
A Output Interpreter Tool ( somente clientes registrados) (OIT) oferece suporte a determinados comandos show. Use a OIT para exibir uma análise da saída do comando show.
-
show ip rip database vrf
-
show ip bgp vpnv4 vrf
-
show ip route vrf
-
show ip route
Em um roteador PE, o método de roteamento PE-CE (como RIP, BGP ou estático) e as atualizações de BGP PE-PE indicam a tabela de roteamento usada para um VRF específico. Você pode exibir as informações do RIP para um VRF específico:
Alcazaba#show ip rip database vrf vrf101 0.0.0.0/0 auto-summary 0.0.0.0/0 [2] via 150.150.0.2, 00:00:12, Ethernet1/1 6.0.0.0/8 auto-summary 6.6.6.6/32 redistributed [1] via 223.0.0.21, 7.0.0.0/8 auto-summary 7.7.7.0/24 [1] via 150.150.0.2, 00:00:12, Ethernet1/1 10.0.0.0/8 auto-summary 10.0.0.0/8 redistributed [1] via 125.2.2.2, 10.0.0.0/16 [1] via 150.150.0.2, 00:00:12, Ethernet1/1 10.200.8.0/22 [1] via 150.150.0.2, 00:00:12, Ethernet1/1 11.0.0.0/8 auto-summary 11.0.0.4/30 redistributed [1] via 125.2.2.2, 11.1.1.0/30 redistributed [1] via 125.2.2.2, 11.3.3.0/30 redistributed [1] via 125.2.2.2, 11.5.5.4/30 redistributed [1] via 125.2.2.2, 69.0.0.0/8 auto-summary 69.0.0.0/8 redistributed [1] via 223.0.0.21, 150.150.0.0/16 auto-summary 150.150.0.0/24 directly connected, Ethernet1/1 158.0.0.0/8 [1] via 150.150.0.2, 00:00:17, Ethernet1/1 200.200.0.0/24 auto-summary 200.200.0.0/24 redistributed [1] via 223.0.0.21,
Você também pode exibir as informações de BGP para um VRF específico com o comando show ip bgp vpnv4 vrf. Os resultados de PE-PE do BGP interno (IBGP) são indicados por um i.
Alcazaba#show ip bgp vpnv4 vrf vrf101 BGP table version is 46, local router ID is 223.0.0.3 Status codes: s suppressed, d damped, h history, * valid, best, i - internal Origin codes: i - IGP, e - EGP, ? - incomplete Network Next Hop Metric LocPrf Weight Path Route Distinguisher: 1:101 (default for vrf vrf101) *i6.6.6.6/32 223.0.0.21 1 100 0 ? * 7.7.7.0/24 150.150.0.2 1 32768 ? * 10.0.0.0/16 150.150.0.2 1 32768 ? * 10.200.8.0/22 150.150.0.2 1 32768 ? *i11.2.2.0/30 125.2.2.2 0 100 0 ? *i11.3.3.0/30 125.2.2.2 0 100 0 ? *i11.5.5.4/30 125.2.2.2 1 100 0 ? *i69.0.0.0 223.0.0.21 1 100 0 ? * 150.150.0.0/24 0.0.0.0 0 32768 ? * 158.0.0.0/8 150.150.0.2 1 32768 ? *i200.200.0.0 223.0.0.21 0 100 0 ? Kozel#show ip bgp vpnv4 vrf vrf102 BGP table version is 48, local router ID is 223.0.0.21 Status codes: s suppressed, d damped, h history, * valid, > best, i - internal Origin codes: i - IGP, e - EGP, ? - incomplete Network Next Hop Metric LocPrf Weight Path Route Distinguisher: 1:102 (default for vrf vrf102) * i6.0.0.0 223.0.0.3 0 100 0 158 i *>i 223.0.0.3 0 100 0 158 i *> 7.7.0.0/16 201.201.201.2 0 0 69 ? * 10.200.8.0/22 201.201.201.2 0 0 69 ? * i 223.0.0.3 0 100 0 ? *>i 223.0.0.3 0 100 0 ? *> 102.102.0.0/16 201.201.201.2 0 0 69 ? *> 150.150.0.0 201.201.201.2 0 0 69 i * 201.201.201.0/30 201.201.201.2 0 0 69 i *> 0.0.0.0 0 32768 ?
Você pode verificar a tabela de roteamento global de um VRF nos PE e CE Routers. Estes combinam. Para o roteador PE, você precisa especificar o VRF com o comando show ip route vrf .
Alcazaba#show ip route vrf vrf101 Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area * - candidate default, U - per-user static route, o - ODR P - periodic downloaded static route Gateway of last resort is not set B 69.0.0.0/8 [200/1] via 223.0.0.21, 00:11:03 B 200.200.0.0/24 [200/0] via 223.0.0.21, 00:11:03 6.0.0.0/32 is subnetted, 1 subnets B 6.6.6.6 [200/1] via 223.0.0.21, 00:11:03 7.0.0.0/24 is subnetted, 1 subnets R 7.7.7.0 [120/1] via 150.150.0.2, 00:00:05, Ethernet1/1 10.0.0.0/8 is variably subnetted, 2 subnets, 2 masks R 10.0.0.0/16 [120/1] via 150.150.0.2, 00:00:05, Ethernet1/1 R 10.200.8.0/22 [120/1] via 150.150.0.2, 00:00:05, Ethernet1/1 11.0.0.0/30 is subnetted, 3 subnets B 11.3.3.0 [200/0] via 125.2.2.2, 00:07:05 B 11.2.2.0 [200/0] via 125.2.2.2, 00:07:05 B 11.5.5.4 [200/1] via 125.2.2.2, 00:07:05 150.150.0.0/24 is subnetted, 1 subnets C 150.150.0.0 is directly connected, Ethernet1/1 R 158.0.0.0/8 [120/1] via 150.150.0.2, 00:00:06, Ethernet1/1Para Pivrnec, esta é a tabela de roteamento padrão, portanto, use o comando show ip route:
Pivrnec#show ip route Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area * - candidate default, U - per-user static route, o - ODR P - periodic downloaded static route Gateway of last resort is not set S 69.0.0.0/8 is directly connected, Null0 223.0.0.0/32 is subnetted, 1 subnets C 223.0.0.22 is directly connected, Loopback0 C 200.200.0.0/24 is directly connected, FastEthernet0/1 6.0.0.0/32 is subnetted, 1 subnets C 6.6.6.6 is directly connected, Loopback1 7.0.0.0/24 is subnetted, 1 subnets R 7.7.7.0 [120/1] via 200.200.0.1, 00:00:23, FastEthernet0/1 10.0.0.0/8 is variably subnetted, 2 subnets, 2 masks R 10.0.0.0/16 [120/1] via 200.200.0.1, 00:00:23, FastEthernet0/1 R 10.200.8.0/22 [120/1] via 200.200.0.1, 00:00:24, FastEthernet0/1 11.0.0.0/30 is subnetted, 3 subnets R 11.3.3.0 [120/1] via 200.200.0.1, 00:00:24, FastEthernet0/1 R 11.2.2.0 [120/1] via 200.200.0.1, 00:00:25, FastEthernet0/1 R 11.5.5.4 [120/1] via 200.200.0.1, 00:00:25, FastEthernet0/1 150.150.0.0/24 is subnetted, 1 subnets R 150.150.0.0 [120/1] via 200.200.0.1, 00:00:25, FastEthernet0/1 R 158.0.0.0/8 [120/1] via 200.200.0.1, 00:00:25, FastEthernet0/1
Rótulos de MPLS
Verifique a pilha de rótulos usada para qualquer rota específica:
Alcazaba#show tag-switching forwarding-table vrf vrf101 11.5.5.5 detail Local Outgoing Prefix Bytes tag Outgoing Next Hop tag tag or VC or Tunnel Id switched interface None 2/91 11.5.5.4/30 0 AT4/0.1 point2point MAC/Encaps=4/12, MTU=4466, Tag Stack{2/91(vcd=69) 37} 00458847 0004500000025000Você também pode usar os comandos normais para exibir as alocações de marcas e as relações VPI/VCI aqui.
Sobreposição de endereço
O mesmo endereço pode ser usado em diferentes VPNs sem interferência com os outros. Neste exemplo, o endereço 6.6.6.6 está conectado duas vezes, ao Pivrnec na VPN 101 e ao Damme, na VPN 102. Podemos verificar isso com ping em um site e debug ip icmp no outro site.
Guilder#ping 6.6.6.6 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 6.6.6.6, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 4/4/4 ms Damme#debug ip icmp ICMP packet debugging is on 6d22h: ICMP: echo reply sent, src 6.6.6.6, dst 201.201.201.2 6d22h: ICMP: echo reply sent, src 6.6.6.6, dst 201.201.201.2 6d22h: ICMP: echo reply sent, src 6.6.6.6, dst 201.201.201.2 6d22h: ICMP: echo reply sent, src 6.6.6.6, dst 201.201.201.2 6d22h: ICMP: echo reply sent, src 6.6.6.6, dst 201.201.201.2
Exemplo de saída de depuração
Um exemplo de saída que usa a mesma configuração está disponível aqui.
Informações Relacionadas
Histórico de revisões
| Revisão | Data de publicação | Comentários |
|---|---|---|
1.0 |
16-Nov-2005 |
Versão inicial |
FeedbackContate a Cisco
- Abrir um caso de suporte
- (É necessário um Contrato de Serviço da Cisco)