Configurazione della VPN MPLS di base

Introduzione

In questo documento viene descritto come configurare una rete core VPN MPLS (Multiprotocol Label Switching) di base. 

Prerequisiti

Requisiti

Cisco raccomanda la conoscenza dei seguenti argomenti:

• Conoscenza del routing IP di base
• Conoscenza di Cisco IOS® Command Line Interface (CLI)

Componenti usati

Le informazioni fornite in questo documento si basano sulle seguenti versioni software e hardware:

Router P e PE

• Tutti i router Cisco delle serie Aggregation Services Router (ASR) e Integrated Services Router (ISR) o altri router di fascia superiore supportano le funzionalità IP e PE.

Router C e CE

• È possibile utilizzare qualsiasi router in grado di scambiare informazioni di routing con il relativo router PE.

Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.

Convenzioni

Per ulteriori informazioni sulle convenzioni usate, consultare il documento Cisco sulle convenzioni nei suggerimenti tecnici.

Queste lettere rappresentano i diversi tipi di router e switch utilizzati:

• P  — Router provider

• PE  — Provider Edge Router

• CE  — Customer Edge Router

• C  —router Customer 

Nota: i router PE sono l'ultimo hop nella rete del provider. Questi dispositivi si connettono direttamente ai router CE, ovvero dispositivi di proprietà del cliente che si interfacciano con la rete del provider di servizi ma non partecipano alle operazioni MPLS.

Premesse

MPLS è una tecnologia di rete ad alte prestazioni che indirizza i dati da un nodo all'altro utilizzando etichette di percorso brevi anziché indirizzi di rete lunghi. Questo approccio accelera e forma i flussi di traffico attraverso le reti aziendali e di provider di servizi. MPLS assegna etichette ai pacchetti, che vengono utilizzati dai router LSR (Label Switching Router) o dai router IP per prendere decisioni relative all'inoltro. I router LRE (Label Edge Router), o router PE, nel perimetro della rete aggiungono e rimuovono queste etichette.

MPLS utilizza le classi FEC (Forwarding Equivalence Classes) per raggruppare i pacchetti inoltrati nello stesso modo e il protocollo LDP (Label Distribution Protocol) per distribuire le mappature delle etichette tra i router. Ciò garantisce una visualizzazione coerente delle associazioni di etichette in tutta la rete.

I vantaggi di MPLS includono prestazioni migliorate, scalabilità, funzionalità di progettazione del traffico e supporto per QoS (Quality of Service). Indipendente dal protocollo, rappresenta una soluzione versatile per diversi ambienti di rete. MPLS è ampiamente utilizzato per creare reti VPN (Virtual Private Network) scalabili e sicure, gestire e ottimizzare i flussi di traffico e supportare la convergenza di diversi tipi di traffico (ad esempio dati, voce e video) su un'unica infrastruttura di rete.

In questo documento viene fornita una configurazione di esempio di una rete VPN MPLS in cui viene utilizzato il protocollo BGP (Border Gateway Protocol) tra router PE (Provider Edge) e CE (Customer Edge). Se utilizzata con MPLS, la funzionalità VPN consente a più siti di interconnettersi in modo trasparente tramite una rete di provider di servizi. Una rete di provider di servizi può supportare diverse VPN IP, ognuna delle quali appare agli utenti come una rete privata, distinta da tutte le altre reti. All'interno di una VPN, ogni sito può inviare pacchetti IP a qualsiasi altro sito della stessa VPN.

Ogni VPN è associata a una o più istanze VRF (Virtual Routing and Forwarding). Un VRF è costituito da una tabella di routing IP, una tabella CEF (Cisco Express Forwarding) derivata e un set di interfacce che utilizzano questa tabella di inoltro. Il router gestisce una tabella RIB (Routing Information Base) e CEF separata per ciascun VRF. Ciò garantisce che le informazioni non vengano inviate all'esterno della VPN, consentendo l'utilizzo della stessa subnet in più VPN senza causare problemi di indirizzi IP duplicati. Il router che usa il protocollo multiprotocollo BGP (MP-BGP) distribuisce le informazioni di routing della VPN alle community estese MP-BGP.

Configurazione

In questa sezione vengono forniti gli esempi di configurazione e la relativa modalità di implementazione.

Esempio di rete

Questo documento utilizza questa impostazione di rete. Il diagramma mostra una configurazione tipica che illustra le convenzioni descritte in precedenza.

Topologia MPLS

Procedure di configurazione MPLS

Configurazione di MPLS nella rete principale

1. Verificare che ip cef sia abilitato sui router in cui è richiesto MPLS (il protocollo CEF è abilitato per impostazione predefinita sulle ultime versioni del software).

2. Configurare un IGP (Interior Gateway Protocol) nel core del provider di servizi, scegliendo tra i protocolli Open Shortest Path First (OSPF) o Intermediate System-to-Intermediate System (IS-IS), e annunciare il loopback0 da ogni router P e PE.

3. Dopo aver raggiunto completamente il layer 3 (L3) dei router principali del provider di servizi tra i rispettivi loopback, configurare il comando mpls ip su ciascuna interfaccia L3 tra i router P e PE o utilizzare il comando mpls ldp autoconfig per abilitare il protocollo LDP su ciascuna interfaccia che esegue il processo OSPF o IS-IS.

Nota: l'interfaccia del router PE che si connette direttamente al router CE non richiede la configurazione del comando mpls ip.

Dopo aver aggiunto la configurazione ip mpls alle interfacce, completare la procedura seguente sui router PE:

4. Creare un VRF per ciascuna VPN connessa con il vrf definition <VRF name> comando. Ulteriori operazioni:

Specificare il identificatore di route utilizzato per la VPN. Il comando rd <VPN route distinguisher> viene utilizzato per estendere l'indirizzo IP in modo da poter identificare la VPN a cui appartiene.

 vrf definition Client_A rd 100:110   

Impostare le proprietà di importazione ed esportazione per le community estese MP-BGP. Questi elementi vengono utilizzati per filtrare il processo di importazione ed esportazione con il comando route-target {import|export|both} <community estesa VPN di destinazione> come mostrato nell'output successivo:

vrf definition Client_A rd 100:110 route-target export 100:1000 route-target import 100:1000 ! address-family ipv4 exit-address-family 

5. Sul router PE, aggiungere le interfacce che collegano il CE al VRF corrispondente. Configurare i dettagli di inoltro per le rispettive interfacce con il comando vrf forwarding e impostare l'indirizzo IP.

PE-1#show run interface GigabitEthernet0/1 Building configuration... Current configuration : 138 bytes ! interface GigabitEthernet0/1 vrf forwarding Client_A ip address 10.0.4.2 255.255.255.0 duplex auto speed auto media-type rj45 end

Configurazione di MP-BGP

Esistono diversi modi per configurare BGP: ad esempio, è possibile configurare i router PE come router BGP adiacenti o utilizzare un router Route Reflector (RR) o metodi Confederation. Nell'esempio successivo viene utilizzato un riflettore di route, più scalabile rispetto all'utilizzo di router con rete completa adiacenti tra router PE:

1. Immettere il comando address-family ipv4 vrf <nome VRF> per ciascuna VPN presente sul router PE. Eseguire quindi una o più delle seguenti operazioni, se necessario:

• Se si utilizza BGP per scambiare informazioni di routing con CE, configurare e attivare i router BGP adiacenti con CE.

• Se si utilizza un protocollo di instradamento dinamico diverso per scambiare informazioni di instradamento con CE, ridistribuire i protocolli di instradamento.

Nota: in base al protocollo di routing PE-CE utilizzato, è possibile configurare qualsiasi protocollo di routing dinamico (EIGRP, OSPF o BGP) tra i dispositivi PE e CE. Se BGP è il protocollo utilizzato per lo scambio di informazioni di routing tra PE e CE, non è necessario configurare la ridistribuzione tra i protocolli.

2. In router bgp hierarchy, immettere la modalità vpnv4 famiglia di indirizzi, e completare i passi successivi:

• Per attivare i router adiacenti, è necessario stabilire una sessione VPNv4 adiacenti tra ogni router PE e il router di routing.

• Specificare che deve essere utilizzata la community estesa. Questa operazione è obbligatoria.

Configurazioni

In questo documento vengono usate queste configurazioni per configurare l'esempio di rete VPN MPLS:

• PE-1 (PE)

• PE-2 (PE)

• P-2 (P)

• RR (RR)

• P-1 (P)

hostname PE-1
!
ip cef
!

!--- VPN Client_A commands.

vrf definition Client_A
 rd 100:110
 route-target export 100:1000
 route-target import 100:1000  
 !
 address-family ipv4
 exit-address-family

!--- Enables the VPN routing and forwarding (VRF) routing table.  
!--- Route distinguisher creates routing and forwarding tables for a VRF. 
!--- Route targets creates lists of import and export extended communities for the specified VRF. 
    

!--- VPN Client_B commands.  

vrf definition Client_B
 rd 100:120
 route-target export 100:2000
 route-target import 100:2000
 !
 address-family ipv4
 exit-address-family  
! 
interface Loopback0
 ip address 10.10.10.4 255.255.255.255
 ip router isis  
!
interface GigabitEthernet0/1
 vrf forwarding Client_A
 ip address 10.0.4.2 255.255.255.0
 duplex auto
 speed auto
 media-type rj45
!
interface GigabitEthernet0/2
 vrf forwarding Client_B
 ip address 10.0.4.2 255.255.255.0
 duplex auto
 speed auto
 media-type rj45  

!--- Associates a VRF instance with an interface or subinterface. 
!--- GigabitEthernet0/1 and 0/2 use the same IP address, 10.0.4.2. 
!--- This is allowed because they belong to two different customer VRFs. 

!
interface GigabitEthernet0/0
 description link to P-1
 ip address 10.1.1.14 255.255.255.252
 ip router isis 
 duplex auto
 speed auto
 media-type rj45
 mpls ip

!--- Enables MPLS on the L3 interface connecting to the P router

!  
router isis
 net 49.0001.0000.0000.0004.00
 is-type level-2-only
 metric-style wide
 passive-interface Loopback0

!--- Enables IS-IS as the IGP in the provider core network 

!
router bgp 65000
 bgp log-neighbor-changes  
 neighbor 10.10.10.2 remote-as 65000  
 neighbor 10.10.10.2 update-source Loopback0

!--- Adds an entry to the BGP or MP-BGP neighbor table. 
!--- And enables BGP sessions to use a specific operational interface for TCP connections.  

!
 address-family vpnv4
  neighbor 10.10.10.2 activate
  neighbor 10.10.10.2 send-community both
 exit-address-family
  
!--- To enter address family configuration mode that use standard VPN version 4 address prefixes.
!--- Creates the VPNv4 neighbor session to the Route Reflector. 
!--- And to send the community attribute to the BGP neighbor. 
 
!
 address-family ipv4 vrf Client_A
  neighbor 10.0.4.1 remote-as 65002
  neighbor 10.0.4.1 activate
 exit-address-family
 !
 address-family ipv4 vrf Client_B
  neighbor 10.0.4.1 remote-as 65001
  neighbor 10.0.4.1 activate
 exit-address-family

!--- These are the eBGP sessions to each CE router belonging to different customers.
!--- The eBGP sessions are configured within the VRF address family

!  
end 

hostname PE-2
!
ip cef
!
vrf definition Client_A
 rd 100:110
 route-target export 100:1000
 route-target import 100:1000
 !
 address-family ipv4
 exit-address-family
!     
vrf definition Client_B
 rd 100:120
 route-target export 100:2000
 route-target import 100:2000
 !
 address-family ipv4
 exit-address-family
!
ip cef
!
interface Loopback0
 ip address 10.10.10.6 255.255.255.255  
 ip router isis 
!
interface GigabitEthernet0/0
 description link to P-2
 ip address 10.1.1.22 255.255.255.252
 ip router isis 
 duplex auto
 speed auto
 media-type rj45
 mpls ip
!
interface GigabitEthernet0/1
 vrf forwarding Client_B
 ip address 10.0.6.2 255.255.255.0
 duplex auto
 speed auto
 media-type rj45
!
interface GigabitEthernet0/2
 vrf forwarding Client_A
 ip address 10.1.6.2 255.255.255.0
 duplex auto
 speed auto
 media-type rj45
!
interface GigabitEthernet0/3
 vrf forwarding Client_A
 ip address 10.0.6.2 255.255.255.0
 duplex auto
 speed auto
 media-type rj45
!
router isis
 net 49.0001.0000.0000.0006.00
 is-type level-2-only
 metric-style wide
 passive-interface Loopback0
!         
router bgp 65000
 bgp log-neighbor-changes
 neighbor 10.10.10.2 remote-as 65000
 neighbor 10.10.10.2 update-source Loopback0
 !
 address-family vpnv4
  neighbor 10.10.10.2 activate
  neighbor 10.10.10.2 send-community both
 exit-address-family
 !
 address-family ipv4 vrf Client_A
  neighbor 10.0.6.1 remote-as 65004
  neighbor 10.0.6.1 activate
  neighbor 10.1.6.1 remote-as 65004
  neighbor 10.1.6.1 activate
 exit-address-family
 !
 address-family ipv4 vrf Client_B
  neighbor 10.0.6.1 remote-as 65003
  neighbor 10.0.6.1 activate
 exit-address-family
!         
!         
end 

hostname P-2
!
ip cef
!
interface Loopback0
 ip address 10.10.10.3 255.255.255.255
 ip router isis
!
interface GigabitEthernet0/0
 description link to PE-2
 ip address 10.1.1.21 255.255.255.252
 ip router isis 
 duplex auto
 speed auto
 media-type rj45
 mpls ip
!
interface GigabitEthernet0/1
 description link to P-1
 ip address 10.1.1.6 255.255.255.252
 ip router isis 
 duplex auto
 speed auto
 media-type rj45
 mpls ip
!
interface GigabitEthernet0/2
 description link to RR
 ip address 10.1.1.9 255.255.255.252
 ip router isis 
 duplex auto
 speed auto
 media-type rj45
 mpls ip
!
router isis
 net 49.0001.0000.0000.0003.00
 is-type level-2-only
 metric-style wide
 passive-interface Loopback0
!
end 

hostname RR
!
ip cef
!
interface Loopback0
 ip address 10.10.10.2 255.255.255.255
 ip router isis
!
interface GigabitEthernet0/0
 description link to P-1
 ip address 10.1.1.2 255.255.255.252ip router isis 
 duplex auto
 speed auto
 media-type rj45
 mpls ip
!
interface GigabitEthernet0/1
 description link to P-2
 ip address 10.1.1.10 255.255.255.252ip router isis 
 duplex auto
 speed auto
 media-type rj45
 mpls ip
!
interface GigabitEthernet0/3
 no ip address
 shutdown
 duplex auto
 speed auto
 media-type rj45
!
router isis
 net 49.0001.0000.0000.0002.00
 is-type level-2-only
 metric-style wide
 passive-interface Loopback0
!
router bgp 65000
 bgp log-neighbor-changes
 neighbor 10.10.10.4 remote-as 65000
 neighbor 10.10.10.4 update-source Loopback0
 neighbor 10.10.10.6 remote-as 65000
 neighbor 10.10.10.6 update-source Loopback0
 !
 address-family vpnv4
  neighbor 10.10.10.4 activate
  neighbor 10.10.10.4 send-community both
  neighbor 10.10.10.4 route-reflector-client
  neighbor 10.10.10.6 activate
  neighbor 10.10.10.6 send-community both
  neighbor 10.10.10.6 route-reflector-client
 exit-address-family
!
!
end
 

hostname P-1
!
ip cef
!
interface Loopback0
 ip address 10.10.10.1 255.255.255.255
 ip router isis 
!
interface GigabitEthernet0/0
 description link to PE-1
 ip address 10.1.1.13 255.255.255.252
 ip router isis 
 duplex auto
 speed auto
 media-type rj45
 mpls ip
!
interface GigabitEthernet0/1
 description link to RR 
 ip address 10.1.1.5 255.255.255.252
 ip router isis 
 duplex auto
 speed auto
 media-type rj45
 mpls ip
!
interface GigabitEthernet0/2
 description link to P-2
 ip address 10.1.1.1 255.255.255.252
 ip router isis 
 duplex auto
 speed auto
 media-type rj45
 mpls ip
!
router isis
 net 49.0001.0000.0000.0001.00
 is-type level-2-only
 metric-style wide
 passive-interface Loopback0
!
end 

hostname CE-A1
!
ip cef
!
interface GigabitEthernet0/0
 ip address 10.0.4.1 255.255.255.0
 duplex auto
 speed auto
 media-type rj45
!
router bgp 65002
 bgp log-neighbor-changes
 redistribute connected
 neighbor 10.0.4.2 remote-as 65000
!
end 

hostname CE-A3
!
ip cef
!
interface GigabitEthernet0/0
 ip address 10.0.6.1 255.255.255.0
 duplex auto
 speed auto
 media-type rj45
!
router bgp 65004
 bgp log-neighbor-changes
 redistribute connected
 neighbor 10.0.6.2 remote-as 65000
!         
end 

Verifica

Le informazioni contenute in questa sezione permettono di verificare che la configurazione funzioni correttamente:

Comandi di verifica da PE a CE

• show ip vrf: verifica che esista il VRF corretto.
• show ip vrf interfaces: verifica le interfacce attivate.
• show ip route vrf <nome VRF>: verifica le informazioni di routing sui router PE.
• traceroute vrf <nome VRF> <indirizzo IP> : verifica le informazioni di routing sui router PE.
• show ip cef vrf <nome VRF> <indirizzo IP>: verifica le informazioni di routing sui router PE.

Comandi di verifica LDP MPLS

• mostra interfacce mpls
• show mpls forwarding-table
• mostra associazioni ldp mpls
• mostra router adiacente mpls ldp  

Comandi di verifica da PE a PE/RR

• mostra riepilogo tutto bgp vpnv4 unicast 
• show bgp vpnv4 unicast all neighbors <indirizzo IP router adiacente> route annunciate - Verifica i prefissi VPNv4 inviati
• show bgp vpnv4 unicast all neighbors <indirizzo IP router adiacente>route - Verifica i prefissi VPNv4 ricevuti

Di seguito viene riportato un esempio di output del comando show ip vrf.

PE-1#show ip vrf
  Name                             Default RD            Interfaces
  Client_A                         100:110               Gi0/1
  Client_B                         100:120               Gi0/2

di seguito viene riportato un esempio di output del comando show ip vrf interfaces.

PE-2#show ip vrf interfaces 
Interface              IP-Address      VRF                              Protocol
Gi0/2                  10.1.6.2        Client_A                         up      
Gi0/3                  10.0.6.2        Client_A                         up      
Gi0/1                  10.0.6.2        Client_B                         up    

Nell'esempio successivo, i comandi show ip route vrf mostrano lo stesso prefisso 10.0.6.0/24 in entrambi gli output. Ciò è dovuto al fatto che il PE remoto ha la stessa rete per due client Cisco, CE_B2 e CE_A3, che è consentita in una tipica soluzione VPN MPLS.

PE-1#show ip route vrf Client_A

Routing Table: Client_A
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area 
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2
       i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
       ia - IS-IS inter area, * - candidate default, U - per-user static route
       o - ODR, P - periodic downloaded static route, H - NHRP, l - LISP
       a - application route
       + - replicated route, % - next hop override, p - overrides from PfR

Gateway of last resort is not set

      10.0.0.0/8 is variably subnetted, 4 subnets, 2 masks
C        10.0.4.0/24 is directly connected, GigabitEthernet0/1
L        10.0.4.2/32 is directly connected, GigabitEthernet0/1
B        10.0.6.0/24 [200/0] via 10.10.10.6, 11:11:11
B        10.1.6.0/24 [200/0] via 10.10.10.6, 11:24:16
PE-1#

PE-1#show ip route vrf Client_B

Routing Table: Client_B
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area 
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2
       i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
       ia - IS-IS inter area, * - candidate default, U - per-user static route
       o - ODR, P - periodic downloaded static route, H - NHRP, l - LISP
       a - application route
       + - replicated route, % - next hop override, p - overrides from PfR

Gateway of last resort is not set

      10.0.0.0/8 is variably subnetted, 3 subnets, 2 masks
C        10.0.4.0/24 is directly connected, GigabitEthernet0/2
L        10.0.4.2/32 is directly connected, GigabitEthernet0/2
B        10.0.6.0/24 [200/0] via 10.10.10.6, 11:26:05 

Quando si esegue un traceroute tra due siti, in questo esempio due siti di Client_A (da CE-A1 a CE-A3), è possibile vedere lo stack di etichette utilizzato dalla rete MPLS (se configurata in modo da farlo da mpls ip propagate-ttl ).

CE-A1#show ip route 10.0.6.1
Routing entry for 10.0.6.0/24
  Known via "bgp 65002", distance 20, metric 0
  Tag 65000, type external
  Last update from 10.0.4.2 11:16:14 ago
  Routing Descriptor Blocks:
  * 10.0.4.2, from 10.0.4.2, 11:16:14 ago
      Route metric is 0, traffic share count is 1
      AS Hops 2
      Route tag 65000
      MPLS label: none
CE-A1#

CE-A1#ping 10.0.6.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.0.6.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 7/8/9 ms
CE-A1#

CE-A1#traceroute 10.0.6.1 probe 1 numeric
Type escape sequence to abort.
Tracing the route to 10.0.6.1
VRF info: (vrf in name/id, vrf out name/id)
  1 10.0.4.2 2 msec
  2 10.1.1.13 [MPLS: Labels 20/26 Exp 0] 8 msec
  3 10.1.1.6 [MPLS: Labels 21/26 Exp 0] 17 msec
  4 10.0.6.2 [AS 65004] 11 msec
  5 10.0.6.1 [AS 65004] 8 msec 

Nota: Exp 0 è un campo sperimentale utilizzato per Quality of Service (QoS).

L'output successivo mostra l'adiacenza IS-IS e LDP stabilita tra l'RR e alcuni router IP nella rete principale del provider di servizi:

RR#show isis neighbors 

Tag null:
System Id       Type Interface     IP Address      State Holdtime Circuit Id
P-1        L2   Gi0/0         10.1.1.1        UP    25       RR.01        
P-2         L2   Gi0/1         10.1.1.9        UP    23       RR.02        
RR#

RR#show mpls ldp neighbor 
    Peer LDP Ident: 10.10.10.1:0; Local LDP Ident 10.10.10.2:0
        TCP connection: 10.10.10.1.646 - 10.10.10.2.46298
        State: Oper; Msgs sent/rcvd: 924/921; Downstream
        Up time: 13:16:03
        LDP discovery sources:
          GigabitEthernet0/0, Src IP addr: 10.1.1.1
        Addresses bound to peer LDP Ident:
          10.1.1.13       10.1.1.5        10.1.1.1        10.10.10.1      
    Peer LDP Ident: 10.10.10.3:0; Local LDP Ident 10.10.10.2:0
        TCP connection: 10.10.10.3.14116 - 10.10.10.2.646
        State: Oper; Msgs sent/rcvd: 920/916; Downstream
        Up time: 13:13:09
        LDP discovery sources:
          GigabitEthernet0/1, Src IP addr: 10.1.1.9
        Addresses bound to peer LDP Ident:
          10.1.1.6        10.1.1.9        10.10.10.3      10.1.1.21        

Informazioni correlate

• Guida di riferimento ai comandi di MPLS
• Documentazione e supporto tecnico – Cisco Systems
• Verifica dell'inoltro VPN per il layer 3 MPLS