Dynamic Layer 3 VPN’s met Multipoint GRE-tunnels - configuratievoorbeeld
Inhoud
Inleiding
Dit document beschrijft hoe u Dynamic Layer 3 (L3) VPN’s kunt configureren met de functie Generic Routing Encapsulation (mGRE)-tunnels.
Voorwaarden
Vereisten
Voordat u Dynamic L3 VPN’s met de functie mGRE Tunnels configureert, moet u ervoor zorgen dat uw Multiprotocol Label Switching (MPLS) VPN correct is geconfigureerd en werkt en dat end-to-end connectiviteit voor het IPV4-netwerk tot stand is gebracht.
Gebruikte componenten
De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:
- Cisco 7206VXR (NPE-G1) Series router met Cisco IOS®-softwarerelease 15.2(4)S3
- Cisco 7609-S Series router met Cisco IOS-softwarerelease 12.2(33)SRE4
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u de potentiële impact van elke opdracht begrijpen.
Achtergrondinformatie
De functie Dynamic L3 VPNs with mGRE Tunnels biedt een L3 transportmechanisme op basis van een verbeterde mGRE-tunneltechnologie voor gebruik in IP-netwerken. Het dynamische L3-tunneltransport kan ook worden gebruikt binnen IP-netwerken om VPN-verkeer te transporteren via serviceproviders en ondernemingsnetwerken en om interoperabiliteit te bieden voor pakkettransport tussen IP en MPLS VPN’s. Deze functie biedt ondersteuning voor RFC 2547, die de uitbesteding van IP-backboneservices voor ondernemingsnetwerken definieert.
Beperkingen voor Dynamische L3 VPN’s met mGRE-tunnels
Hier is een lijst met beperkingen die van toepassing zijn op Dynamische L3 VPN’s met mGRE-tunnels:
- De implementatie van een MPLS VPN met zowel IP/GRE als MPLS-insluiting binnen één netwerk wordt niet ondersteund.
- Elke Provider Edge (PE) router ondersteunt slechts één tunnelconfiguratie.
- De VLAN-interface op de Cisco 7600 Series-router die naar de kern gericht is waar getunneld tagverkeer moet worden ingevoerd, wordt niet ondersteund. Het zou de belangrijkste interface of een subinterface moeten zijn.
- MPLS VPN over mGRE wordt ondersteund op Cisco 7600 Series routers die de ES-40 lijnkaart en Session Initiation Protocol (SIP) 400 lijnkaart als naar de kern gerichte kaarten gebruiken.
Configureren
In dit deel worden twee configuraties beschreven:
- Dynamische L3 VPN met mGRE-tunnels op een netwerk met alleen IP
- Dynamisch L3 VPN met mGRE-tunnels op IP + MPLS-netwerk
Dynamische L3 VPN’s met mGRE-tunnels op IP-alleen (niet-MPLS) netwerk
Netwerkdiagram
Configuraties
Dit zijn de vereiste configuraties op router 3 (R3) en router 2 (R2).
Hier is de configuratie voor R3:
l3vpn encapsulation ip MGRE
transport ipv4 source Loopback0
route-map MGRE-NEXT-HOP permit 10
set ip next-hop encapsulate l3vpn MGRE
router bgp 65534
!
address-family vpnv4
neighbor 192.168.2.2 route-map MGRE-NEXT-HOP in
Hier is de configuratie voor R2:
l3vpn encapsulation ip MGRE
transport ipv4 source Loopback0
route-map MGRE-NEXT-HOP permit 10
set ip next-hop encapsulate l3vpn MGRE
router bgp 65534
!
address-family vpnv4
neighbor 192.168.3.3 route-map MGRE-NEXT-HOP in
Verifiëren
Gebruik deze sectie om te controleren of uw configuratie goed werkt.
R2#show tunnel endpoints
Tunnel0 running in multi-GRE/IP mode
Endpoint transport 192.168.3.3 Refcount 3 Base 0x1E8E1B74 Create Time 00:47:53
overlay 192.168.3.3 Refcount 2 Parent 0x1E8E1B74 Create Time 00:47:53
R2#show l3vpn encapsulation ip MGRE
Profile: MGRE
transport ipv4 source Loopback0
protocol gre
payload mpls
mtu default
Tunnel Tunnel0 Created [OK]
Tunnel Linestate [OK]
Tunnel Transport Source Loopback0 [OK]
R2#show ip route vrf MGRE 172.16.3.3
Routing Table: MGRE
Routing entry for 172.16.3.3
Known via "bgp 65534", distance 200, metric 0, type internal
Last update from 192.168.3.3 on Tunnel0, 01:03:25 ago
Routing Descriptor Blocks:
* 192.168.3.3 (default), from 172.16.112.1, 01:03:25 ago, via Tunnel0 <points to tunnel
Route metric is 0, traffic share count is 1
AS Hops 0
MPLS label: 17 <BGP vpnv4 label>
MPLS Flags: MPLS Required
Dynamische L3 VPN’s met mGRE-tunnels op IP + MPLS-netwerk
Netwerkdiagram
Als u een dubbel verbindingsscenario hebt waar één verbinding MPLS is en andere niet-MPLS is, moet u mGRE op alle PE routers in kwestie vormen. Met deze topologie, moet u mGRE op alle drie PE routers vormen.
Als u mGRE niet hebt geconfigureerd op de verbinding tussen R3 en R1 - MPLS link, dan kunnen de subnetten achter R3 niet communiceren met de subnetten achter R2.
R1 en R2 bouwen tunnelendpoints met R3 op basis van het L3 VPN profiel. Raadpleeg de configuratie in dit document waarin het L3 VPN-profiel niet is geconfigureerd, de routekaart naar de BGP-peer (BGP) op R3 niet is toegepast en de routekaart voor de L3 VPN voor R3 op R1 niet is toegepast.
Configuraties
Dit zijn de vereiste configuraties op R1, R2 en R3.
Hier is de configuratie voor R1:
l3vpn encapsulation ip MGRE
transport ipv4 source Loopback0
route-map MGRE-NEXT-HOP permit 10
set ip next-hop encapsulate l3vpn MGRE
router bgp 65534
address-family vpnv4
neighbor 192.168.2.2 send-community extended
neighbor 192.168.2.2 route-map MGRE-NEXT-HOP in
neighbor 192.168.3.3 activate
Hier is de configuratie voor R2:
l3vpn encapsulation ip MGRE
transport ipv4 source Loopback0
route-map MGRE-NEXT-HOP permit 10
set ip next-hop encapsulate l3vpn MGRE
router bgp 65534
address-family vpnv4
neighbor 192.168.1.1 route-map MGRE-NEXT-HOP in
neighbor 192.168.1.1 activate
Hier is de configuratie voor R3:
router bgp 65534
address-family vpnv4
neighbor 192.168.1.1 activate
Verifiëren
Nu kunt u van de R2 loopback1 naar de R3 loopback1 pingen:
R2#ping vrf MGRE 172.16.3.3 source 172.16.2.2
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.16.3.3, timeout is 2 seconds:
Packet sent with a source address of 172.16.2.2
.....
Success rate is 0 percent (0/5)
R2#show ip route vrf MGRE 172.16.3.3
Routing Table: MGRE
Routing entry for 172.16.3.3/32
Known via "bgp 65534", distance 200, metric 0, type internal
Last update from 192.168.3.3 on Tunnel0, 00:50:23 ago
Routing Descriptor Blocks:
* 192.168.3.3 (default), from 192.168.1.1, 00:50:23 ago, via Tunnel0pointed towards a tunnel>
Route metric is 0, traffic share count is 1
AS Hops 0
MPLS label: 19
MPLS Flags: MPLS Required
R2#show tunnel endpoints
Tunnel1 running in multi-GRE/IP mode
Tunnel0 running in multi-GRE/IP mode
Endpoint transport 192.168.1.1 Refcount 3 Base 0x507665E4 Create Time 01:24:25
overlay 192.168.1.1 Refcount 2 Parent 0x507665E4 Create Time 01:24:25
Endpoint transport 192.168.3.3 Refcount 3 Base 0x507664D4 Create Time 00:50:51
overlay 192.168.3.3 Refcount 2 Parent 0x507664D4 Create Time 00:50:51
R2 creëerde een dynamische tunnel voor 192.168.3.3 gebaseerd op de BGP next-hop voor de 172.16.3.3 route.
R2#show ip bgp vpnv4 vrf MGRE 172.16.3.3
BGP routing table entry for 43984:300:172.16.3.3/32, version 29
Paths: (1 available, best #1, table MGRE)
Advertised to update-groups:
1
Local, imported path from 300:300:172.16.3.3/32
192.168.3.3 (metric 3) (via Tunnel0) from 192.168.1.1 (192.168.1.1)
Origin incomplete, metric 0, localpref 100, valid, internal, best
Extended Community: RT:43984:300
Originator: 192.168.3.3, Cluster list: 192.168.1.1
mpls labels in/out nolabel/19
Het wordt geverifieerd op R1, en het creëerde ook tunnelendpoints voor beide PE routers:
R1#show tunnel endpoints
Tunnel1 running in multi-GRE/IP mode
Tunnel0 running in multi-GRE/IP mode
Endpoint transport 192.168.2.2 Refcount 3 Base 0x1E8EE7B0 Create Time 01:36:41
overlay 192.168.2.2 Refcount 2 Parent 0x1E8EE7B0 Create Time 01:36:41
Endpoint transport 192.168.3.3 Refcount 3 Base 0x1E8EE590 Create Time 00:59:34
overlay 192.168.3.3 Refcount 2 Parent 0x1E8EE590 Create Time 00:59:34
Op R3 worden geen tunneleindpunten gecreëerd:
R3#show tunnel endpoints
Hier is de route voor R2-subnetverbinding, die is voortgekomen uit de ping:
R3#show ip route vrf MGRE 172.16.2.2
Routing Table: MGRE
Routing entry for 172.16.2.2/32
Known via "bgp 65534", distance 200, metric 0, type internal
Last update from 192.168.2.2 01:01:57 ago
Routing Descriptor Blocks:
* 192.168.2.2 (default), from 192.168.1.1, 01:01:57 ago
Route metric is 0, traffic share count is 1
AS Hops 0
MPLS label: 17
MPLS Flags: MPLS Required
Daarom wordt het pakket ingekapseld in GRE naar R3 gestuurd. Aangezien R3 geen tunnel heeft, accepteert het niet het GRE-pakket en laat het vallen.
Daarom moet u mGRE van begin tot eind op een weg vormen om het te maken werken. Hier is de configuratie voor mGRE op R3, die noodzakelijk is:
l3vpn encapsulation ip MGRE
transport ipv4 source Loopback0
route-map MGRE-NEXT-HOP permit 10
set ip next-hop encapsulate l3vpn MGRE
Zodra u het L3 VPN-profiel maakt, worden tunnelendpoints gemaakt en ontvangt u het verkeer dat eerder is verwijderd. Het retourverkeer is echter MPLS en niet GRE totdat u het profiel toepast op de BGP-peer. Dat verkeer wordt gelaten vallen op R1, omdat R1 geen etiketinformatie voor R2 heeft, die slechts IP in werking stelt.
R3#show tunnel endpoints
Tunnel0 running in multi-GRE/IP mode
Endpoint transport 192.168.1.1 Refcount 3 Base 0x2B79FBD4 Create Time 00:00:02
overlay 192.168.1.1 Refcount 2 Parent 0x2B79FBD4 Create Time 00:00:02
Endpoint transport 192.168.2.2 Refcount 3 Base 0x2B79FAC4 Create Time 00:00:02
overlay 192.168.2.2 Refcount 2 Parent 0x2B79FAC4 Create Time 00:00:02
R3#show ip cef vrf MGRE 172.16.2.2
172.16.2.2/32
nexthop 192.168.13.1 GigabitEthernet0/0.1503 label 21 17
router bgp 65534
address-family vpnv4
neighbor 192.168.1.1 route-map MGRE-NEXT-HOP in
R3#show ip cef vrf MGRE 172.16.2.2
172.16.2.2/32
nexthop 192.168.2.2 Tunnel0 label 17
R2#ping vrf MGRE 172.16.3.3 source 172.16.2.2
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.16.3.3, timeout is 2 seconds:
Packet sent with a source address of 172.16.2.2
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/4 ms
Scenario 3
Stel dat subnetten achter R5, die moeten communiceren met R3, geen mGRE willen gebruiken. Vervolgens kunt u de routekaart gebruiken die werd gebruikt voor het L3 VPN-profiel om de volgende hop in te stellen en een prefixlijst aan te roepen, en alleen de prefixes toe te staan die de mGRE-tunnel nodig hebben.
Hier is de configuratie voor R1:
route-map MGRE-NEXT-HOP permit 10
match ip address prefix-list test
set ip next-hop encapsulate l3vpn MGRE
route-map MGRE-NEXT-HOP permit 20
U kunt prefixes toestaan in de prefix-lijst test die de mGRE tunnel nodig hebben, en al het andere heeft geen tunnel als exit interface en volgt normale routing. Deze configuratie werkt omdat R3 en R5 MPLS connectiviteit van begin tot eind hebben.
Problemen oplossen
Er is momenteel geen specifieke troubleshooting-informatie beschikbaar voor deze configuratie.
Gerelateerde informatie
Revisiegeschiedenis
| Revisie | Publicatiedatum | Opmerkingen |
|---|---|---|
1.0 |
29-Oct-2013 |
Eerste vrijgave |
Feedback