Accesso a Internet da una VPN MPLS tramite una tabella di routing globale

Introduzione

Lo scopo di questo documento è dimostrare la configurazione di esempio utilizzata per accedere a Internet da una VPN basata su MPLS (Multiprotocol Label Switching) utilizzando una tabella di routing globale.

In alcuni scenari di rete, è necessario accedere a Internet da una VPN basata su MPLS, oltre a continuare a mantenere la connettività VPN tra i siti aziendali. In questa configurazione di esempio l'obiettivo è fornire l'accesso a Internet dal VRF (VPN routing and forwarding) che contiene il percorso predefinito al router gateway Internet (IGW).

Prerequisiti

Requisiti

Per comprendere appieno il contenuto di questo documento, è necessaria una conoscenza di base dell'inoltro MPLS e della VPN MPLS.

Componenti usati

Le informazioni fornite in questo documento si basano sulle versioni software e hardware riportate di seguito.

• Software Cisco IOS^® versione 12.1(3)T. La release 12.0(5)T include la funzionalità VPN di MPLS

• Qualsiasi router Cisco della serie 3600 o successive, come Cisco 3660 o 7206

Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.

Nozioni di base

Nella configurazione di esempio, erano in vigore i seguenti criteri:

• Alla rete MPLS è collegato un router con connettività a Internet. Può inserire o meno le route Border Gateway Protocol (BGP) nella tabella di routing globale.

  Nota: i router PE supportano il protocollo BGP. I router come il GSR (Gigabit Switch Router) (che funziona come router Provider Core) non eseguono BGP.

• Non è necessario che un VRF disponga di una tabella di routing completa da Internet (tabella BGP globale), quindi un percorso statico predefinito viene inserito in un VRF che punta all'indirizzo dell'hop successivo globale dell'IGW.

• Un cliente VPN utilizza un intervallo di indirizzi univoco registrato che può essere instradato nella tabella di routing Internet globale. Il metodo di accesso descritto in questo documento non è consigliato nei casi in cui i clienti abbiano solo indirizzi privati nella propria rete.

Convenzioni

Nel presente documento vengono usati i seguenti acronimi:

• CE - Customer Edge Router

• PE - Provider Edge Router

• P - Router di base del provider

Per ulteriori informazioni sulle convenzioni usate, consultare il documento Cisco sulle convenzioni nei suggerimenti tecnici.

Configurazione

• Per una descrizione di questa configurazione, è possibile fare riferimento al diagramma reticolare. In questo esempio, CE 1 e CE 2 sono nella stessa VPN. Sono configurati in base al VRF customer1, poiché non è necessario che un VRF disponga di una tabella di routing completa da Internet (in base alle policy indicate nella sezione Teoria di base di questo documento).

• Un percorso statico predefinito è configurato nel VRF customer1 su CE 1 che punta all'IGW. Inserendo un percorso statico predefinito nel VRF del cliente1, i pacchetti che non corrispondono ad alcuno dei percorsi contenuti nel VRF del cliente1 verranno inviati all'IGW.

Nota: poiché il gateway Internet next-hop 192.168.67.1 non fa parte del VRF del cliente1, viene configurato un percorso predefinito nel VRF del cliente1 che punta all'interfaccia del gateway Internet s8/0 IP 192.168.67.1. Il percorso verso 192.168.67.1 non si trova nel VRF del cliente1, quindi è necessario avere una parola chiave globale nel percorso predefinito statico configurato nel VRF del cliente1. La parola chiave global specifica che l'indirizzo dell'hop successivo della route statica viene risolto nella tabella di routing globale e non nel VRF customer1.

Di seguito è riportato un esempio della route statica.

ip route vrf customer1 0.0.0.0 0.0.0.0 192.168.67.1 global

La presenza di un percorso statico con una parola chiave globale nel file VRF del cliente1 assicura che tutti i pacchetti destinati a Internet vengano indirizzati al gateway Internet e quindi a Internet.

Nota: il percorso predefinito in PE 1 è configurato in modo da puntare all'indirizzo IP dell'interfaccia seriale del gateway Internet (192.168.67.1) e non all'indirizzo di loopback (10.1.1.6). In questo modo si evita di nascondere i percorsi in caso di problemi di connettività tra il gateway Internet e Internet (R7). Se il percorso predefinito è indirizzato all'indirizzo di loopback del gateway Internet e la connettività tra il gateway Internet e R7 si interrompe, tutti i pacchetti continueranno a essere indirizzati al gateway Internet. Questo problema si verifica perché l'indirizzo di loopback rimane attivo (a differenza di 192.168.67.1, che viene ritirato dalla tabella di routing globale quando l'interfaccia s8/0 diventa inattiva) e il percorso predefinito continua a esistere nella tabella di routing.

Il passaggio successivo consiste nel garantire che i pacchetti provenienti da Internet e diretti alla rete CE 1 di destinazione 11.11.11.0/24, vengano instradati dal gateway Internet a PE 1 e a CE 1 attraverso il core MPLS. A tale scopo, è necessario configurare una route statica per la rete CE 1 che punti all'interfaccia seriale 8/0 nella tabella di routing globale in PE 1. Ridistribuirla nella Open Shortest Path First (OSPF) in modo che il gateway Internet includa tale route nella relativa tabella di routing globale. Questo consente al gateway Internet di indirizzare tutti i pacchetti provenienti da Internet verso PE 1 e verso la destinazione finale oltre CE 1.

Nell'esempio seguente viene illustrato il comando ip route utilizzato nella configurazione di PE 1.

ip route 11.11.11.0 255.255.255.0 Serial8/0 192.168.10.1

Nota: la route statica sopra configurata nella tabella di routing globale si aggiunge alla route statica configurata nel VRF del cliente 1, utilizzata per le informazioni NLRI (VPN Network Layer Reachability Information). In PE 1 è configurato come illustrato di seguito.

ip route vrf customer1 11.11.11.0 255.255.255.0 192.168.10.1

Nota: per ulteriori informazioni sui comandi menzionati in questo documento, usare lo strumento di ricerca dei comandi (solo utenti registrati).

Esempio di rete

Questo documento utilizza le impostazioni di rete mostrate nel diagramma sottostante.

Configurazioni

Questo documento utilizza le configurazioni mostrate di seguito.

• CE 1

• PE 1

• P

• IGW

• PE 2

• CE 2

version 12.2
!
hostname CE-1
!
ip subnet-zero
!
interface Loopback0
 ip address 10.1.1.1 255.255.255.255
!
interface Loopback2
 ip address 11.11.11.1 255.255.255.0
!
interface Serial8/0
 ip address 192.168.10.1 255.255.255.252 

 !--- The interface is connected to PE 1.

 !
ip classless
ip route 0.0.0.0 0.0.0.0 192.168.10.2

!--- This is the default route to route all packets to PE 1.

!

version 12.2
!
hostname PE-1
!
ip subnet-zero
!
ip vrf customer1

!--- This configured VRF customer1.
 
 rd 100:1

!--- This configured the route distiguisher for VRF.
 
 route-target export 1:1
 route-target import 1:1

!--- This configured the export and import policies into VRF.
 
!
ip cef

!--- This enabled Cisco Express Forwarding (CEF) switching.

!
interface Loopback0
 ip address 10.1.1.2 255.255.255.255
!       
interface Ethernet0/0

!--- It is connected to P router.

 ip address 10.10.23.2 255.255.255.0
 tag-switching ip

!--- MPLS switching is enabled.
 
!
interface Serial8/0
! Connected to CE-1
 ip vrf forwarding customer1

!--- Route forwarding based on customer1 VRF is enabled.
 
 ip address 192.168.10.2 255.255.255.252
!
router ospf 1
 log-adjacency-changes
 redistribute static subnets
 network 0.0.0.0 255.255.255.255 area 0
!
router bgp 100
 no synchronization
 bgp log-neighbor-changes
 neighbor 10.1.1.4 remote-as 100

!--- Neighbor relationship with PE 2 is established.

 neighbor 10.1.1.4 update-source Loopback0
 neighbor 10.1.1.4 next-hop-self
 no auto-summary
!
 address-family ipv4 vrf customer1

!--- The address-family configuration mode specifies IPv4 unicast !---address prefixes for customer1 VRF.

 no auto-summary
 no synchronization
 network 11.11.11.0 mask 255.255.255.0

!--- CE 1 network 11.11.11.0/24 to PE 2 is announced.

network 192.168.10.0 mask 255.255.255.252
 exit-address-family
!
address-family vpnv4

!--- This is the address-family VPNV4 configuration mode for !--- configuring BGP sessions.

 neighbor 10.1.1.4 activate
 neighbor 10.1.1.4 send-community extended
 no auto-summary
 exit-address-family
!
ip classless
ip route 11.11.11.0 255.255.255.0 Serial8/0 192.168.10.1

!--- The static route in the global routing table is pointing to !--- the interface connected to CE 1.

ip route vrf customer1 0.0.0.0 0.0.0.0 192.168.67.1 global

!--- The static default route under customer1 VRF, routing packets !--- outside of VPN to the Internet gateway.

! routes
ip route vrf customer1 11.11.11.0 255.255.255.0 192.168.10.1

!--- The static route for network 11.11.11.0/24 (CE-1 Network) under !---customer1 VRF ensures the reachability of CE 1 network from the !--- other VPN sites.

version 12.2
!
hostname P
!
ip subnet-zero
!
ip cef

!--- CEF switching is enabled.

!
interface Loopback0
 ip address 10.1.1.3 255.255.255.255
!
interface Ethernet0/0

!--- This is connected to PE 1.

 ip address 10.10.23.3 255.255.255.0
 tag-switching ip

!--- MPLS switching is enabled.

!
interface Ethernet1/0

!--- This is connected to PE 2.

 ip address 10.10.34.3 255.255.255.0
 tag-switching ip
!
interface Ethernet2/0

!--- This is connected to the Internet gateway.

 ip address 10.10.36.3 255.255.255.0
 tag-switching ip
!
router ospf 1 
 log-adjacency-changes 
network 0.0.0.0 255.255.255.255 area 0

version 12.2
!
hostname IGW
!
ip subnet-zero
!
ip cef

!--- This enabled CEF switching.

!
interface Loopback0
 ip address 10.1.1.6 255.255.255.255
!
interface Ethernet2/0

!--- This is connected to P router.

 ip address 10.10.36.6 255.255.255.0
tag-switching ip
!
interface Serial8/0

!--- This is connected to Internet R7.

 ip address 192.168.67.1 255.255.255.252
!
router ospf 1
 log-adjacency-changes
 network 0.0.0.0 255.255.255.255 area 0
 !
 router bgp 100
 no synchronization
 bgp log-neighbor-changes
 network 11.11.11.0 mask 255.255.255.0
 network 22.22.22.0 mask 255.255.255.0
 neighbor 192.168.67.2 remote-as 200
 no auto-summary

version 12.2
!
hostname PE-2
!
ip subnet-zero
!
ip vrf customer1

!--- Customer1 VRF is configured.

 rd 100:1 

!--- Route Distinguisher for VRF is configured.
 
 route-target export 1:1 
 route-target import 1:1 

!--- This configured the import and export policies for customer1 !--- VRF.

!
ip cef 

!--- This enabled CEF switching.
 
! 
interface Loopback0 
 ip address 10.1.1.4 255.255.255.255
interface Ethernet1/0

!--- Connected to P router.

 ip address 10.10.34.4 255.255.255.0
 tag-switching ip

!--- MPLS switching is enabled.

!
interface Serial9/0

!--- Connected to CE 2 router.

ip vrf forwarding customer1

!--- This enables VRF forwarding on the interface.

 ip address 192.168.20.1 255.255.255.252
!
router ospf 1
 log-adjacency-changes
 redistribute static subnets
 network 0.0.0.0 255.255.255.255 area 0
!
router bgp 100
 no synchronization
 bgp log-neighbor-changes
 neighbor 10.1.1.2 remote-as 100
 neighbor 10.1.1.2 update-source Loopback0
 neighbor 10.1.1.2 next-hop-self 
no auto-summary 
!
 address-family ipv4 vrf customer1

!--- This is the address-family IPv4 configuration of customer1 VRF.

 no auto-summary
 no synchronization
 network 22.22.22.0 mask 255.255.255.0

!--- This announces the CE 2 network to PE 1.

 exit-address-family
!
 address-family vpnv4

!--- This is the address-family VPNV4 configuration for BGP Sessions !--- with PE 1.

 neighbor 10.1.1.2 activate
 neighbor 10.1.1.2 send-community extended
 no auto-summary
 exit-address-family
!
ip classless
ip route 22.22.22.0 255.255.255.0 Serial9/0 192.168.20.2

!--- This is the static route for network 22.22.22.0/24 in the global !--- routing table pointing to the interface connected to CE 2.

ip route vrf customer1 0.0.0.0 0.0.0.0 192.168.67.1 global

!--- This is the static default route for customer VRF !--- for destinations outside the VPN.

ip route vrf customer1 22.22.22.0 255.255.255.0 192.168.20.2 

!--- This is the static route within customer1 VRF for CE 2 !--- network for VPN connectivity.

version 12.2
!
hostname CE-2
!
ip subnet-zero
!
interface Loopback0
 ip address 22.22.22.22 255.255.255.0
!
interface Serial9/0

!--- This is connected to PE 2.

 ip address 192.168.20.2 255.255.255.252
!
ip classless
ip route 0.0.0.0 0.0.0.0 192.168.20.1

!--- This is the default route pointing to PE 2.

Verifica

Le informazioni contenute in questa sezione permettono di verificare che la configurazione funzioni correttamente.

Connettività VPN tra CE 1 e CE 2

Per verificare la connettività VPN tra CE 1 e CE 2, CE 1 dovrebbe essere in grado di raggiungere la rete 22.22.22.0/24 di CE 2 e viceversa. Per verificare questa condizione, verificare il percorso alla rete 2.22.22.0/24 nel file customer1 VRF in PE 1.

Alcuni comandi show sono supportati dallo strumento Output Interpreter (solo utenti registrati); lo strumento permette di visualizzare un'analisi dell'output del comando show.

1. Il comando show ip route vrf customer1 conferma l'indirizzamento alla rete 2.22.22.0/24 appreso dalla versione 10.1.1.4 (indirizzo di loopback di PE 2), come mostrato di seguito.

   PE-1# show ip route vrf customer1
   Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
          D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area 
          N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
          E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
          i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area
          * - candidate default, U - per-user static route, o - ODR
          P - periodic downloaded static route
   
   Gateway of last resort is 192.168.67.1 to network 0.0.0.0
   
   192.168.10.0/30 is subnetted, 1 subnets
   C       192.168.10.0 is directly connected, Serial8/0
          22.0.0.0/24 is subnetted, 1 subnets
   B       22.22.22.0 [200/0] via 10.1.1.4, 01:00:50
          11.0.0.0/24 is subnetted, 1 subnets
   S      11.11.11.0 [1/0] via 192.168.10.1
   S*   0.0.0.0/0 [1/0] via 192.168.67.1

2. Analogamente, in PE 2, il percorso alla rete 11.11.11.0/24 nel VRF del cliente1 è mostrato nell'esempio seguente.

   PE-2# show ip route vrf customer1
   Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
          D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area 
          N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
          E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
          i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area
          * - candidate default, U - per-user static route, o - ODR
          P - periodic downloaded static route 
   
   Gateway of last resort is 192.168.67.1 to network 0.0.0.0
   
   192.168.10.0/30 is subnetted, 1 subnets
   B       192.168.10.0 [200/0] via 10.1.1.2, 01:00:09
        22.0.0.0/24 is subnetted, 1 subnets
   S       22.22.22.0 [1/0] via 192.168.20.2
        192.168.20.0/30 is subnetted, 1 subnets
   C       192.168.20.0 is directly connected, Serial9/0
        11.0.0.0/24 is subnetted, 1 subnets
   B       11.11.11.0 [200/0] via 10.1.1.2, 01:00:09
   S*   0.0.0.0/0 [1/0] via 192.168.67.1

3. Verificare ora la connettività tra CE 1 e CE 2 eseguendo il ping di un host 22.22.22.22 su CE 2 utilizzando l'indirizzo IP di origine 11.11.11.1 da CE 1.

   CE-1# ping
   Protocol [ip]:
   Target IP address: 22.22.22.22
   Repeat count [5]:
   Datagram size [100]:
   Timeout in seconds [2]:
   Extended commands [n]: y
   Source address or interface: 11.11.11.1
   Type of service [0]:
   Set DF bit in IP header? [no]:
   Validate reply data? [no]:
   Data pattern [0xABCD]:
   Loose, Strict, Record, Timestamp, Verbose[none]:
   Sweep range of sizes [n]:
   Type escape sequence to abort.
   Sending 5, 100-byte ICMP Echos to 22.22.22.22, timeout is 2 seconds:
   !!!!!
   
   Success rate is 100 percent (5/5), round-trip min/avg/max = 20/20/20 ms

Connettività a Internet da CE 1

Per verificare la connettività a Internet da CE1, procedere come segue.

1. Tutti i pacchetti destinati a Internet o VPN da CE 1 verranno indirizzati utilizzando un percorso predefinito configurato in CE 1 che punta a PE 1, come mostrato di seguito.

   CE-1# show ip route 0.0.0.0
   Routing entry for 0.0.0.0/0, supernet
     Known via "static", distance 1, metric 0, candidate default path
     Routing Descriptor Blocks:
     * 192.168.10.2
   Route metric is 0, traffic share count is 1

2. I pacchetti in entrata nell'interfaccia PE 1 s8/0 vengono instradati utilizzando la tabella di routing VRF customer1. PE 1 ha un percorso predefinito nel cliente1 VRF che punta all'indirizzo IP IGW 192.168.67.1, come mostrato di seguito nell'output per il show ip route vrf cliente1 su PE 1.

   PE-1# show ip route vrf customer1
   Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
          D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area 
          N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
          E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
          i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area
          * - candidate default, U - per-user static route, o - ODR
          P - periodic downloaded static route
   
   Gateway of last resort is 192.168.67.1 to network 0.0.0.0
   
        192.168.10.0/30 is subnetted, 1 subnets
   C       192.168.10.0 is directly connected, Serial8/0
        22.0.0.0/24 is subnetted, 1 subnets
   B       22.22.22.0 [200/0] via 10.1.1.4, 01:21:11
        11.0.0.0/24 is subnetted, 1 subnets
   S       11.11.11.0 [1/0] via 192.168.10.1
   S*   0.0.0.0/0 [1/0] via 192.168.67.1
   

3. Poiché il percorso predefinito in PE 1 è configurato con una parola chiave globale, cerca l'hop successivo 192.168.67.1 nella relativa tabella di routing globale e lo instrada verso l'IGW, come mostrato di seguito.

   PE-1# show ip route 192.168.67.1
   Routing entry for 192.168.67.0/30
     Known via "ospf 1", distance 110, metric 84, type intra area
     Last update from 10.10.23.3 on Ethernet0/0, 00:21:54 ago
     Routing Descriptor Blocks:
     * 10.10.23.3, from 10.1.1.6, 00:21:54 ago, via Ethernet0/0
    Route metric is 84, traffic share count is 1

4. I pacchetti che raggiungono IGW vengono indirizzati su Internet in base alle route BGP apprese da R7. In questo caso, è possibile esaminare la route BGP appresa da R7 per dimostrare la connettività a Internet. Di seguito è riportata la route BGP (rete 99.99.99.0/24) appresa da R7 nella tabella di routing IGW.

   IGW# show ip route 99.99.99.0
   Routing entry for 99.99.99.0/24
     Known via "bgp 100", distance 20, metric 0
     Tag 200, type external
     Last update from 192.168.67.2 01:37:25 ago
     Routing Descriptor Blocks:
     * 192.168.67.2, from 192.168.67.2, 01:37:25 ago
         Route metric is 0, traffic share count is 1
         AS Hops 1

   I pacchetti provenienti da CE-1 vengono instradati a Internet.

5. Per i pacchetti provenienti da Internet e destinati alla rete CE 1 11.11.11.0/24, nella tabella di routing globale di IGW deve essere presente un percorso che punta a PE 1. È configurata una route statica nella tabella di routing globale di PE 1 che punta all'interfaccia s8/0 su PE 1 in connessione a CE 1 e ridistribuita in OSPF. Ciò garantisce che l'IGW abbia una route nella sua tabella di routing globale che punta a PE 1. La route statica su PE 1 e la route appresa OSPF su IGW sono mostrate di seguito.

   IGW# show ip route 11.11.11.0
   Routing entry for 11.11.11.0/24
     Known via "ospf 1", distance 110, metric 20, type extern 2, forward metric 20
     Last update from 10.10.36.3 on Ethernet2/0, 00:34:34 ago
     Routing Descriptor Blocks:
     * 10.10.36.3, from 10.1.1.2, 00:34:34 ago, via Ethernet2/0
         Route metric is 20, traffic share count is 1
   
   PE-1# show ip route 11.11.11.0
   Routing entry for 11.11.11.0/24
     Known via "static", distance 1, metric 0
     Redistributing via ospf 1
     Advertised by ospf 1 subnets
     Routing Descriptor Blocks:
     * 192.168.10.1, via Serial8/0
         Route metric is 0, traffic share count is 1

6. Verificare ora la connettività a Internet da CE 1 eseguendo il ping dell'indirizzo IP R7 99.99.99.1 con l'indirizzo di origine CE 1 11.11.11.1.

   CE-1# ping
   Protocol [ip]:
   Target IP address: 99.99.99.1
   Repeat count [5]:
   Datagram size [100]:
   Timeout in seconds [2]:
   Extended commands [n]: y
   Source address or interface: 11.11.11.1
   Type of service [0]:
   Set DF bit in IP header? [no]:
   Validate reply data? [no]:
   Data pattern [0xABCD]:
   Loose, Strict, Record, Timestamp, Verbose[none]:
   Sweep range of sizes [n]:
   Type escape sequence to abort.
   Sending 5, 100-byte ICMP Echos to 99.99.99.1, timeout is 2 seconds:
   !!!!!
   Success rate is 100 percent (5/5), round-trip min/avg/max = 20/24/32 ms
   CE-1#

Risoluzione dei problemi

Al momento non sono disponibili informazioni specifiche per la risoluzione dei problemi di questa configurazione.

Informazioni correlate

• Configurazione di una VPN MPLS di base
• Configurazione di MPLS di base tramite OSPF
• Come risolvere i problemi della VPN MPLS
• Risoluzione dei problemi MPLS
• Domande frequenti su MPLS per principianti
• Pagina di supporto per MPLS (Multiprotocol Label Switching)
• Pagina di supporto per MPLS per VPN (Multiprotocol Label Switching per VPN)
• Supporto tecnico – Cisco Systems