Ejemplo de Configuración de VPNs de Capa 3 Dinámica con Túneles GRE Multipunto

Opciones de descarga

  • PDF     (267.6 KB)
    Visualice con Adobe Reader en una variedad de dispositivos
  • ePub     (90.4 KB)
    Visualice en diferentes aplicaciones en iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (78.3 KB)
    Visualice en dispositivo Kindle o aplicación Kindle en múltiples dispositivos
Actualizado:4 de noviembre de 2013
ID del documento:116725

Lenguaje no discriminatorio

El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

Introducción

Este documento describe cómo configurar las VPNs de Capa Dinámica 3 (L3) con la función de túneles de encapsulación de ruteo genérico multipunto (mGRE).

Prerequisites

Requirements

Antes de configurar las VPN dinámicas de capa 3 con la función mGRE Tunnels, asegúrese de que la VPN de conmutación de etiquetas multiprotocolo (MPLS) esté configurada y funcione correctamente, y de que se haya establecido una conectividad de extremo a extremo para la red IPV4.

Componentes Utilizados

La información que contiene este documento se basa en las siguientes versiones de software y hardware.

  • Cisco 7206VXR (NPE-G1) Series Router con Cisco IOS® Software Release 15.2(4)S3
  • Cisco 7609-S Series Router con Cisco IOS Software Release 12.2(33)SRE4

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). If your network is live, make sure that you understand the potential impact of any command.

Antecedentes

La función Dynamic L3 VPNs with mGRE Tunnels proporciona un mecanismo de transporte L3 basado en una tecnología de tunelización mGRE mejorada para su uso en redes IP. El transporte de tunelización dinámica de L3 también se puede utilizar dentro de las redes IP para transportar el tráfico VPN a través de las redes del proveedor de servicios y de la empresa, y para proporcionar la interoperabilidad para el transporte de paquetes entre IP y VPNs MPLS. Esta función proporciona compatibilidad con RFC 2547, que define la subcontratación de servicios de red troncal IP para redes empresariales.

Restricciones de Dynamic L3 VPNs with mGRE Tunnels

Esta es una lista de restricciones que se aplican para las VPNs dinámicas de L3 con túneles mGRE:

  • No se admite la implementación de una VPN MPLS con encapsulación IP/GRE y MPLS en una única red.
  • Cada router de borde del proveedor (PE) admite sólo una configuración de túnel.
  • No se admite la interfaz VLAN en el Cisco 7600 Series Router que se dirige hacia el núcleo donde debe ingresar el tráfico de etiquetas tunelizadas. Debe ser la interfaz principal o una subinterfaz.
  • MPLS VPN sobre mGRE es compatible con los routers Cisco serie 7600 que utilizan la tarjeta de línea ES-40 y la tarjeta de línea de protocolo de inicio de sesión (SIP) 400 como tarjetas de interfaz de núcleo.

Configurar

En esta sección se describen dos configuraciones:

  • VPN L3 dinámica con túneles mGRE en una red solo IP
  • VPN L3 dinámica con túneles mGRE en redes IP + MPLS

VPN de nivel 3 dinámicas con túneles mGRE en una red solo IP (no MPLS)

Diagrama de la red

Configuraciones

Estas son las configuraciones requeridas en el Router 3 (R3) y el Router 2 (R2).

Esta es la configuración de R3:

l3vpn encapsulation ip MGRE
transport ipv4 source Loopback0

route-map MGRE-NEXT-HOP permit 10
set ip next-hop encapsulate l3vpn MGRE

router bgp 65534
 !
address-family vpnv4
neighbor 192.168.2.2 route-map MGRE-NEXT-HOP in

Esta es la configuración de R2:

l3vpn encapsulation ip MGRE
transport ipv4 source Loopback0

route-map MGRE-NEXT-HOP permit 10
set ip next-hop encapsulate l3vpn MGRE

router bgp 65534
 !
address-family vpnv4
neighbor 192.168.3.3 route-map MGRE-NEXT-HOP in

Verificación

Utilize esta sección para confirmar que su configuración funcione correctamente.

R2#show tunnel endpoints 
 
 Tunnel0 running in multi-GRE/IP mode

 Endpoint transport 192.168.3.3 Refcount 3 Base 0x1E8E1B74 Create Time 00:47:53
   overlay 192.168.3.3 Refcount 2 Parent 0x1E8E1B74 Create Time 00:47:53


R2#show l3vpn encapsulation ip MGRE 

 Profile: MGRE
    transport ipv4 source Loopback0
    protocol gre
    payload mpls
    mtu default
  Tunnel Tunnel0 Created [OK]
  Tunnel Linestate [OK]
  Tunnel Transport Source Loopback0 [OK]


R2#show ip route vrf MGRE 172.16.3.3

Routing Table: MGRE
Routing entry for 172.16.3.3
  Known via "bgp 65534", distance 200, metric 0, type internal
  Last update from 192.168.3.3 on Tunnel0, 01:03:25 ago
  Routing Descriptor Blocks:
  * 192.168.3.3 (default), from 172.16.112.1, 01:03:25 ago, via Tunnel0 <points to tunnel
      Route metric is 0, traffic share count is 1
      AS Hops 0
     MPLS label: 17   <BGP vpnv4 label>
      MPLS Flags: MPLS Required

Nota: En el ejemplo anterior, sólo hay dos PE. Sin embargo, si tiene una red grande con varios routers PE, este mGRE dinámico es muy fácil de configurar y escalable, porque debe tener una configuración similar en todos los PE y los túneles se detectan automáticamente.

VPN de nivel 3 dinámicas con túneles mGRE en redes IP + MPLS

Diagrama de la red

Si tiene un escenario de conexión dual en el que una conexión es MPLS y la otra no es MPLS, debe configurar mGRE en todos los routers PE involucrados. Con esta topología, debe configurar mGRE en los tres routers PE.

Si no ha configurado mGRE en la conexión entre R3 y R1 - enlace MPLS, las subredes detrás de R3 no pueden comunicarse con las subredes detrás de R2.

R1 y R2 construyen los extremos del túnel con R3 basado en el perfil VPN L3. Consulte la configuración en este documento donde el perfil VPN L3 no está configurado, el route-map al peer BGP (Border Gateway Protocol) en R3 no está aplicado y el route-map para L3 VPN para R3 en R1 no está aplicado.

Configuraciones

Estas son las configuraciones requeridas en R1, R2 y R3.

Esta es la configuración para R1:

l3vpn encapsulation ip MGRE
transport ipv4 source Loopback0

route-map MGRE-NEXT-HOP permit 10
set ip next-hop encapsulate l3vpn MGRE

router bgp 65534
address-family vpnv4
neighbor 192.168.2.2 send-community extended
neighbor 192.168.2.2 route-map MGRE-NEXT-HOP in
neighbor 192.168.3.3 activate

Esta es la configuración de R2:

l3vpn encapsulation ip MGRE
transport ipv4 source Loopback0

route-map MGRE-NEXT-HOP permit 10
set ip next-hop encapsulate l3vpn MGRE

router bgp 65534
address-family vpnv4
neighbor 192.168.1.1 route-map MGRE-NEXT-HOP in
neighbor 192.168.1.1 activate

Esta es la configuración de R3:

router bgp 65534
address-family vpnv4
neighbor 192.168.1.1 activate

Verificación

Ahora, puede hacer ping desde el loopback1 R2 al loopback1 R3:

R2#ping vrf  MGRE  172.16.3.3 source 172.16.2.2       

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.16.3.3, timeout is 2 seconds:
Packet sent with a source address of 172.16.2.2
.....
Success rate is 0 percent (0/5)


R2#show ip route vrf MGRE 172.16.3.3

Routing Table: MGRE
Routing entry for 172.16.3.3/32
  Known via "bgp 65534", distance 200, metric 0, type internal
  Last update from 192.168.3.3 on Tunnel0, 00:50:23 ago
  Routing Descriptor Blocks:
  * 192.168.3.3 (default), from 192.168.1.1, 00:50:23 ago, via Tunnel0  
     
         pointed towards a tunnel>
      Route metric is 0, traffic share count is 1
      AS Hops 0
      MPLS label: 19
      MPLS Flags: MPLS Required


R2#show tunnel endpoints 
 Tunnel1 running in multi-GRE/IP mode

 Tunnel0 running in multi-GRE/IP mode

 Endpoint transport 192.168.1.1 Refcount 3 Base 0x507665E4 Create Time 01:24:25
   overlay 192.168.1.1 Refcount 2 Parent 0x507665E4 Create Time 01:24:25
 Endpoint transport 192.168.3.3 Refcount 3 Base 0x507664D4 Create Time 00:50:51
   overlay 192.168.3.3 Refcount 2 Parent 0x507664D4 Create Time 00:50:51

R2 creó un túnel dinámico para 192.168.3.3 basado en el siguiente salto BGP para la ruta 172.16.3.3.

R2#show ip bgp vpnv4 vrf  MGRE 172.16.3.3
BGP routing table entry for 43984:300:172.16.3.3/32, version 29
Paths: (1 available, best #1, table MGRE)
  Advertised to update-groups:
     1         
  Local, imported path from 300:300:172.16.3.3/32
    192.168.3.3 (metric 3) (via Tunnel0) from 192.168.1.1 (192.168.1.1)
      Origin incomplete, metric 0, localpref 100, valid, internal, best
      Extended Community: RT:43984:300
      Originator: 192.168.3.3, Cluster list: 192.168.1.1
      mpls labels in/out nolabel/19

Se verifica en R1 y también crea extremos de túnel para ambos routers PE:

R1#show tunnel endpoints 
 Tunnel1 running in multi-GRE/IP mode

 Tunnel0 running in multi-GRE/IP mode

 Endpoint transport 192.168.2.2 Refcount 3 Base 0x1E8EE7B0 Create Time 01:36:41
   overlay 192.168.2.2 Refcount 2 Parent 0x1E8EE7B0 Create Time 01:36:41
 Endpoint transport 192.168.3.3 Refcount 3 Base 0x1E8EE590 Create Time 00:59:34
   overlay 192.168.3.3 Refcount 2 Parent 0x1E8EE590 Create Time 00:59:34

En R3, no se crean extremos de túnel:

R3#show tunnel endpoints

Esta es la ruta para la subred R2, que originó el ping:

R3#show ip route vrf  MGRE  172.16.2.2

Routing Table: MGRE
Routing entry for 172.16.2.2/32
  Known via "bgp 65534", distance 200, metric 0, type internal
  Last update from 192.168.2.2 01:01:57 ago
  Routing Descriptor Blocks:
  * 192.168.2.2 (default), from 192.168.1.1, 01:01:57 ago
      Route metric is 0, traffic share count is 1
      AS Hops 0
      MPLS label: 17
      MPLS Flags: MPLS Required

Por lo tanto, el paquete se envía encapsulado en GRE hacia R3. Dado que R3 no tiene túnel, no acepta el paquete GRE y lo descarta.

Por lo tanto, debe configurar mGRE de extremo a extremo en una trayectoria para que funcione. Esta es la configuración para mGRE en R3, que es necesaria:

l3vpn encapsulation ip MGRE
transport ipv4 source Loopback0

route-map MGRE-NEXT-HOP permit 10
set ip next-hop encapsulate l3vpn MGRE

Tan pronto como cree el perfil VPN L3, se crean los extremos del túnel y recibe el tráfico que se descartó anteriormente. Sin embargo, el tráfico de retorno es MPLS y no GRE hasta que aplique el perfil en el peer BGP. Ese tráfico se descarta en R1, porque R1 no tiene ninguna información de etiqueta para R2, que sólo ejecuta IP.

R3#show tunnel endpoints 
 Tunnel0 running in multi-GRE/IP mode

 Endpoint transport 192.168.1.1 Refcount 3 Base 0x2B79FBD4 Create Time 00:00:02
   overlay 192.168.1.1 Refcount 2 Parent 0x2B79FBD4 Create Time 00:00:02
 Endpoint transport 192.168.2.2 Refcount 3 Base 0x2B79FAC4 Create Time 00:00:02
   overlay 192.168.2.2 Refcount 2 Parent 0x2B79FAC4 Create Time 00:00:02


R3#show ip cef vrf  MGRE  172.16.2.2
172.16.2.2/32
  nexthop 192.168.13.1 GigabitEthernet0/0.1503 label 21 17

  router bgp 65534
address-family vpnv4
neighbor 192.168.1.1 route-map MGRE-NEXT-HOP in


R3#show ip cef vrf  MGRE  172.16.2.2
172.16.2.2/32
  nexthop 192.168.2.2 Tunnel0 label 17 
     
     


R2#ping vrf  MGRE 172.16.3.3 source  172.16.2.2

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.16.3.3, timeout is 2 seconds:
Packet sent with a source address of 172.16.2.2 
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/4 ms

Escenario 3

Supongamos que las subredes detrás de R5, que necesitan comunicarse con R3, no desean utilizar mGRE. Luego, puede utilizar el route-map que se utilizó para el perfil VPN L3 para establecer el salto siguiente y llamar a una lista de prefijos, y permitir solamente los prefijos que necesitan el túnel mGRE.

Esta es la configuración para R1:

route-map MGRE-NEXT-HOP permit 10
 match ip address prefix-list test
 set ip next-hop encapsulate l3vpn MGRE
route-map MGRE-NEXT-HOP permit 20

Puede permitir prefijos en la prueba de lista de prefijos que necesiten el túnel mGRE, y todo lo demás no tiene un túnel como interfaz de salida y sigue el ruteo normal. Esta configuración funciona porque R3 y R5 tienen conectividad MPLS de extremo a extremo.

Troubleshoot

Actualmente, no hay información específica de troubleshooting disponible para esta configuración.

Información Relacionada

Historial de revisiones

Revisión Fecha de publicación Comentarios
1.0
29-Oct-2013
Versión inicial
TAC Authored

Con la colaboración de ingenieros de Cisco

  • Vinod Sharma
    Cisco TAC Engineer.

¿Resultó útil este documento?

FeedbackComentarios

Contacte a Cisco