Internet-toegang van een MPLS VPN met behulp van een wereldwijde routingtabel
Inhoud
Inleiding
Het doel van dit document is het demonstreren van de voorbeeldconfiguratie die wordt gebruikt om toegang tot het internet te krijgen van een op Multiprotocol Label Switching (MPLS) gebaseerd VPN met behulp van een globale routingtabel.
In bepaalde netwerkscenario's is het vereist om toegang tot het internet te hebben van een op MPLS gebaseerd VPN naast het blijven onderhouden van de VPN-connectiviteit tussen bedrijfssites. Deze voorbeeldconfiguratie concentreert zich op het voorzien van internettoegang van het VPN Routing en Forwarding (VRF) die de standaardroute naar de Internet Gateway router (IGW) bevat.
Voorwaarden
Vereisten
Een basisbegrip van het verzenden van MPLS en MPLS VPN is vereist om de inhoud van dit document volledig te begrijpen.
Gebruikte componenten
De informatie in dit document is gebaseerd op de onderstaande software- en hardwareversies.
-
Cisco IOS-softwarerelease 12.1(3)T. release 12.0(5)T bevat de MPLS VPN-functie
-
Elke Cisco-router van de 3600 Series of hoger, zoals Cisco 3660 of 7206
De informatie in dit document is gebaseerd op apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als u in een levend netwerk werkt, zorg er dan voor dat u de potentiële impact van om het even welke opdracht begrijpt alvorens het te gebruiken.
Achtergrondinformatie
In deze voorbeeldconfiguratie was dit beleid van kracht:
-
Een router met connectiviteit op het internet is aan het MPLS-netwerk bevestigd. Het kan of kan geen BGP-routes (Border Gateway Protocol) in de mondiale routingtabel injecteren.
Opmerking: PE-routers begrijpen BGP. Routers zoals Gigabit Switch Router (GSR) (die uitvoert als Core-router voor providers) werken BGP helemaal niet.
-
Er is geen vereiste voor een VRF om een volledige routingtabel van het internet (globale BGP-tabel) te hebben, zodat een statische standaardroute in een VRF wordt geplaatst dat naar het globale volgende hopadres van de IGW wijst.
-
Een klant van VPN gebruikt een geregistreerd uniek adresbereik dat in de mondiale routingtabel van Internet routeerbaar is. De in dit document besproken toegangsmethode wordt niet aanbevolen wanneer klanten alleen privéadressen in hun netwerk hebben.
Conventies
Deze acroniem worden in dit document gebruikt:
-
CE - router voor Customer Edge
-
PE - Edge-router voor providers
-
P - Core-router voor providers
Raadpleeg voor meer informatie over documentconventies de technische Tips van Cisco.
Configureren
-
U kunt het netwerkdiagram raadplegen voor een illustratie van deze configuratie. In dit voorbeeld zijn CE 1 en CE 2 in hetzelfde VPN. Ze zijn ingesteld onder Customer1 VRF, omdat een VRF niet verplicht is een volledige routingtabel vanaf het internet te hebben (volgens het beleid in het gedeelte Background Theory van dit document).
-
Een statische standaardroute wordt ingesteld in Customer1 VRF op CE 1 in de richting van IGW. Door een statische standaardroute binnen Customer1 VRF te plaatsen, zullen pakketten die geen van de routes binnen Customer1 VRF aanpassen aan IGW worden verzonden.
Opmerking: Aangezien de Internet gateway volgende hop 192.168.67.1 geen deel uitmaakt van Customer1 VRF, wordt een standaardroute gevormd onder klant1 VRF wijzend naar de Internet gateway interface s8/0 IP 192.168.67.1. De route naar 192.168.67.1 ligt niet binnen klant1 VRF, dus u moet een mondiaal sleutelwoord binnen de statische standaardroute hebben die onder klant1 VRF wordt gevormd. Het globale sleutelwoord specificeert dat het volgende hopadres van de statische route binnen de globale routingtabel, niet binnen klant1 VRF wordt opgelost.
Het volgende is een voorbeeld van de statische route.
ip route vrf customer1 0.0.0.0 0.0.0.0 192.168.67.1 global
Het hebben van een statische route met een mondiaal sleutelwoord in klant1 VRF waarborgt dat alle pakketten die aan het Internet bestemd zijn naar de gateway van Internet en nadien naar het Internet worden geleid.
Opmerking: De standaardroute in PE 1 is ingesteld om naar het seriële interface-IP-adres van de Internet-gateway (192.168.67.1) te wijzen en niet naar het achteruitadres (10.1.1.6). Dit voorkomt het blokkeren van de routes in het geval van een aansluitingsstoring tussen de internetgateway en het internet (R7). Als de standaardroute op het loopback adres van de gateway van Internet en de connectiviteit tussen de gateway-R7 van Internet wordt gericht, zouden alle pakketten naar de gateway van Internet verder gaan. Dit gebeurt omdat het loopback-adres omhoog blijft (in tegenstelling tot 192.168.67.1 wat uit de globale routingtabel wordt getrokken wanneer de interface s8/0 daalt) en de standaardroute blijft bestaan in de routingtabel.
De volgende stap is te verzekeren dat pakketten die van het Internet aan bestemming CE 1 netwerk 11.11.11.0/24 terugkomen, van de gateway van Internet naar PE 1 en aan CE 1 door de kern van MPLS worden geleid. Dit wordt bereikt door een statische route voor het CE 1 netwerk te configureren, wijzend naar de seriële 8/0 interface in de globale routingtabel op PE 1. Verdeel deze opnieuw in het Open Kortste Pad Eerste (OSPF) zodat de Internet gateway die route in zijn globale routingtabel heeft. Dit staat de gateway van Internet toe om alle pakketten die van Internet naar PE 1 komen te leiden, en naar de eindbestemming voorbij CE 1.
Het volgende voorbeeld is de ip route opdracht gebruikt in configuratie op PE 1.
ip route 11.11.11.0 255.255.255.0 Serial8/0 192.168.10.1
Opmerking: de bovenstaande statische route die in de globale routingtabel is geconfigureerd is naast de statische route die binnen de Customer1 VRF is geconfigureerd, die wordt gebruikt voor informatie over de leesbaarheid van VPN-netwerklaag (NLRI). Op PE 1 is het zo ingesteld als hieronder wordt aangegeven.
ip route vrf customer1 11.11.11.0 255.255.255.0 192.168.10.1
N.B.: Als u aanvullende informatie wilt vinden over de opdrachten in dit document, gebruikt u het Opdrachtplanningprogramma (alleen geregistreerd klanten).
Netwerkdiagram
Dit document gebruikt de netwerkinstellingen die in het onderstaande schema zijn weergegeven.
Configuraties
Dit document maakt gebruik van de onderstaande configuraties.
| CE 1 |
|---|
version 12.2 ! hostname CE-1 ! ip subnet-zero ! interface Loopback0 ip address 10.1.1.1 255.255.255.255 ! interface Loopback2 ip address 11.11.11.1 255.255.255.0 ! interface Serial8/0 ip address 192.168.10.1 255.255.255.252 !--- The interface is connected to PE 1. ! ip classless ip route 0.0.0.0 0.0.0.0 192.168.10.2 !--- This is the default route to route all packets to PE 1. ! |
| PE 1 |
|---|
version 12.2 ! hostname PE-1 ! ip subnet-zero ! ip vrf customer1 !--- This configured VRF customer1. rd 100:1 !--- This configured the route distiguisher for VRF. route-target export 1:1 route-target import 1:1 !--- This configured the export and import policies into VRF. ! ip cef !--- This enabled Cisco Express Forwarding (CEF) switching. ! interface Loopback0 ip address 10.1.1.2 255.255.255.255 ! interface Ethernet0/0 !--- It is connected to P router. ip address 10.10.23.2 255.255.255.0 tag-switching ip !--- MPLS switching is enabled. ! interface Serial8/0 ! Connected to CE-1 ip vrf forwarding customer1 !--- Route forwarding based on customer1 VRF is enabled. ip address 192.168.10.2 255.255.255.252 ! router ospf 1 log-adjacency-changes redistribute static subnets network 0.0.0.0 255.255.255.255 area 0 ! router bgp 100 no synchronization bgp log-neighbor-changes neighbor 10.1.1.4 remote-as 100 !--- Neighbor relationship with PE 2 is established. neighbor 10.1.1.4 update-source Loopback0 neighbor 10.1.1.4 next-hop-self no auto-summary ! address-family ipv4 vrf customer1 !--- The address-family configuration mode specifies IPv4 unicast !---address prefixes for customer1 VRF. no auto-summary no synchronization network 11.11.11.0 mask 255.255.255.0 !--- CE 1 network 11.11.11.0/24 to PE 2 is announced. network 192.168.10.0 mask 255.255.255.252 exit-address-family ! address-family vpnv4 !--- This is the address-family VPNV4 configuration mode for !--- configuring BGP sessions. neighbor 10.1.1.4 activate neighbor 10.1.1.4 send-community extended no auto-summary exit-address-family ! ip classless ip route 11.11.11.0 255.255.255.0 Serial8/0 192.168.10.1 !--- The static route in the global routing table is pointing to !--- the interface connected to CE 1. ip route vrf customer1 0.0.0.0 0.0.0.0 192.168.67.1 global !--- The static default route under customer1 VRF, routing packets !--- outside of VPN to the Internet gateway. ! routes ip route vrf customer1 11.11.11.0 255.255.255.0 192.168.10.1 !--- The static route for network 11.11.11.0/24 (CE-1 Network) under !---customer1 VRF ensures the reachability of CE 1 network from the !--- other VPN sites. |
| P |
|---|
version 12.2 ! hostname P ! ip subnet-zero ! ip cef !--- CEF switching is enabled. ! interface Loopback0 ip address 10.1.1.3 255.255.255.255 ! interface Ethernet0/0 !--- This is connected to PE 1. ip address 10.10.23.3 255.255.255.0 tag-switching ip !--- MPLS switching is enabled. ! interface Ethernet1/0 !--- This is connected to PE 2. ip address 10.10.34.3 255.255.255.0 tag-switching ip ! interface Ethernet2/0 !--- This is connected to the Internet gateway. ip address 10.10.36.3 255.255.255.0 tag-switching ip ! router ospf 1 log-adjacency-changes network 0.0.0.0 255.255.255.255 area 0 |
| IGW |
|---|
version 12.2 ! hostname IGW ! ip subnet-zero ! ip cef !--- This enabled CEF switching. ! interface Loopback0 ip address 10.1.1.6 255.255.255.255 ! interface Ethernet2/0 !--- This is connected to P router. ip address 10.10.36.6 255.255.255.0 tag-switching ip ! interface Serial8/0 !--- This is connected to Internet R7. ip address 192.168.67.1 255.255.255.252 ! router ospf 1 log-adjacency-changes network 0.0.0.0 255.255.255.255 area 0 ! router bgp 100 no synchronization bgp log-neighbor-changes network 11.11.11.0 mask 255.255.255.0 network 22.22.22.0 mask 255.255.255.0 neighbor 192.168.67.2 remote-as 200 no auto-summary |
| PE 2 |
|---|
version 12.2 ! hostname PE-2 ! ip subnet-zero ! ip vrf customer1 !--- Customer1 VRF is configured. rd 100:1 !--- Route Distinguisher for VRF is configured. route-target export 1:1 route-target import 1:1 !--- This configured the import and export policies for customer1 !--- VRF. ! ip cef !--- This enabled CEF switching. ! interface Loopback0 ip address 10.1.1.4 255.255.255.255 interface Ethernet1/0 !--- Connected to P router. ip address 10.10.34.4 255.255.255.0 tag-switching ip !--- MPLS switching is enabled. ! interface Serial9/0 !--- Connected to CE 2 router. ip vrf forwarding customer1 !--- This enables VRF forwarding on the interface. ip address 192.168.20.1 255.255.255.252 ! router ospf 1 log-adjacency-changes redistribute static subnets network 0.0.0.0 255.255.255.255 area 0 ! router bgp 100 no synchronization bgp log-neighbor-changes neighbor 10.1.1.2 remote-as 100 neighbor 10.1.1.2 update-source Loopback0 neighbor 10.1.1.2 next-hop-self no auto-summary ! address-family ipv4 vrf customer1 !--- This is the address-family IPv4 configuration of customer1 VRF. no auto-summary no synchronization network 22.22.22.0 mask 255.255.255.0 !--- This announces the CE 2 network to PE 1. exit-address-family ! address-family vpnv4 !--- This is the address-family VPNV4 configuration for BGP Sessions !--- with PE 1. neighbor 10.1.1.2 activate neighbor 10.1.1.2 send-community extended no auto-summary exit-address-family ! ip classless ip route 22.22.22.0 255.255.255.0 Serial9/0 192.168.20.2 !--- This is the static route for network 22.22.22.0/24 in the global !--- routing table pointing to the interface connected to CE 2. ip route vrf customer1 0.0.0.0 0.0.0.0 192.168.67.1 global !--- This is the static default route for customer VRF !--- for destinations outside the VPN. ip route vrf customer1 22.22.22.0 255.255.255.0 192.168.20.2 !--- This is the static route within customer1 VRF for CE 2 !--- network for VPN connectivity. |
| CE 2 |
|---|
version 12.2 ! hostname CE-2 ! ip subnet-zero ! interface Loopback0 ip address 22.22.22.22 255.255.255.0 ! interface Serial9/0 !--- This is connected to PE 2. ip address 192.168.20.2 255.255.255.252 ! ip classless ip route 0.0.0.0 0.0.0.0 192.168.20.1 !--- This is the default route pointing to PE 2. |
Verifiëren
Deze sectie verschaft informatie die u kunt gebruiken om te bevestigen dat uw configuratie correct werkt.
VPN-connectiviteit tussen CE 1 en CE 2
Om de VPN connectiviteit tussen CE 1 en CE 2 te verifiëren, zou CE 1 het netwerk van CE 2 2.22.22.0/24 en de andere weg moeten kunnen bereiken. Om dit te controleren, verifieer de route naar netwerk 22.22.22.0/24 in klant1 VRF op PE 1.
Bepaalde opdrachten met show worden ondersteund door de tool Output Interpreter (alleen voor geregistreerde klanten). Hiermee kunt u een analyse van de output van opdrachten met show genereren.
-
De show ip route vrf customer1 opdracht bevestigt de route naar netwerk 22.22.22.0/24 geleerd van 10.1.1.4 (PE 2's loopback address) die in de output hieronder wordt weergegeven.
PE-1# show ip route vrf customer1 Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area * - candidate default, U - per-user static route, o - ODR P - periodic downloaded static route Gateway of last resort is 192.168.67.1 to network 0.0.0.0 192.168.10.0/30 is subnetted, 1 subnets C 192.168.10.0 is directly connected, Serial8/0 22.0.0.0/24 is subnetted, 1 subnets B 22.22.22.0 [200/0] via 10.1.1.4, 01:00:50 11.0.0.0/24 is subnetted, 1 subnets S 11.11.11.0 [1/0] via 192.168.10.1 S* 0.0.0.0/0 [1/0] via 192.168.67.1 -
Evenzo wordt in PE 2 de route naar netwerk 11.11.11.0/24 in de customer1 VRF in het onderstaande voorbeeld getoond.
PE-2# show ip route vrf customer1 Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area * - candidate default, U - per-user static route, o - ODR P - periodic downloaded static route Gateway of last resort is 192.168.67.1 to network 0.0.0.0 192.168.10.0/30 is subnetted, 1 subnets B 192.168.10.0 [200/0] via 10.1.1.2, 01:00:09 22.0.0.0/24 is subnetted, 1 subnets S 22.22.22.0 [1/0] via 192.168.20.2 192.168.20.0/30 is subnetted, 1 subnets C 192.168.20.0 is directly connected, Serial9/0 11.0.0.0/24 is subnetted, 1 subnets B 11.11.11.0 [200/0] via 10.1.1.2, 01:00:09 S* 0.0.0.0/0 [1/0] via 192.168.67.1 -
Controleer nu de connectiviteit tussen CE 1 en CE 2 door een host 22.22.22.22 op CE 2 te pellen met behulp van het IP-adres van de bron van 11.11.11.1 vanaf CE 1.
CE-1# ping Protocol [ip]: Target IP address: 22.22.22.22 Repeat count [5]: Datagram size [100]: Timeout in seconds [2]: Extended commands [n]: y Source address or interface: 11.11.11.1 Type of service [0]: Set DF bit in IP header? [no]: Validate reply data? [no]: Data pattern [0xABCD]: Loose, Strict, Record, Timestamp, Verbose[none]: Sweep range of sizes [n]: Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 22.22.22.22, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 20/20/20 ms
Connectiviteit met internet vanaf CE 1
Volg de onderstaande stappen om de connectiviteit met het internet vanaf CE1 te verifiëren.
-
Alle pakketten die van CE 1 aan Internet of VPN bestemd zijn zullen leiden met een standaardroute die in CE 1 is geconfigureerd naar PE 1, zoals hieronder wordt getoond.
CE-1# show ip route 0.0.0.0 Routing entry for 0.0.0.0/0, supernet Known via "static", distance 1, metric 0, candidate default path Routing Descriptor Blocks: * 192.168.10.2 Route metric is 0, traffic share count is 1
-
Packets die in PE 1 interface s8/0 komen worden routeerd met de klant1 VRF-routingtabel. PE 1 heeft een standaardroute in Customer1 VRF gericht aan het IGW IP adres 192.168.67.1, zoals hieronder in de output voor de show ip route vrf customer1 op PE 1 wordt getoond.
PE-1# show ip route vrf customer1 Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area * - candidate default, U - per-user static route, o - ODR P - periodic downloaded static route Gateway of last resort is 192.168.67.1 to network 0.0.0.0 192.168.10.0/30 is subnetted, 1 subnets C 192.168.10.0 is directly connected, Serial8/0 22.0.0.0/24 is subnetted, 1 subnets B 22.22.22.0 [200/0] via 10.1.1.4, 01:21:11 11.0.0.0/24 is subnetted, 1 subnets S 11.11.11.0 [1/0] via 192.168.10.1 S* 0.0.0.0/0 [1/0] via 192.168.67.1 -
Omdat de standaardroute op PE 1 met een mondiaal sleutelwoord wordt gevormd, zoekt het volgende hop 192.168.67.1 in zijn globale routingtabel en routes naar de IGW, zoals hieronder getoond.
PE-1# show ip route 192.168.67.1 Routing entry for 192.168.67.0/30 Known via "ospf 1", distance 110, metric 84, type intra area Last update from 10.10.23.3 on Ethernet0/0, 00:21:54 ago Routing Descriptor Blocks: * 10.10.23.3, from 10.1.1.6, 00:21:54 ago, via Ethernet0/0 Route metric is 84, traffic share count is 1
-
De pakketten die IGW bereiken worden over naar het internet geleid op basis van de BGP-routes die zij van R7 heeft geleerd. In dit geval kan je de BGP-route zien die van R7 geleerd is om de verbinding met het internet aan te tonen. Hieronder wordt de BGP-route (netwerk 99.99.99.0/24) getoond die van R7 is geleerd in de IGW-routingtabel.
IGW# show ip route 99.99.99.0 Routing entry for 99.99.99.0/24 Known via "bgp 100", distance 20, metric 0 Tag 200, type external Last update from 192.168.67.2 01:37:25 ago Routing Descriptor Blocks: * 192.168.67.2, from 192.168.67.2, 01:37:25 ago Route metric is 0, traffic share count is 1 AS Hops 1De pakketten die uit CE-1 voortkwamen worden naar het internet routeerd.
-
Voor pakketten die van het Internet komen dat aan CE 1 netwerk 11.11.11.0/24 is bestemd, zou IGW een route moeten hebben gericht naar PE 1 in zijn globale routingtabel. Een statische route in PE 1's globale routingtabel die naar s8/0 interface op PE 1 wijst die op CE 1 verbindt en in OSPF wordt herverdeeld is gevormd. Dit waarborgt dat IGW een route in zijn globale routingtabel heeft gericht op PE 1. De statische route op PE 1 en de OSPF leerde route op IGW wordt hieronder getoond.
IGW# show ip route 11.11.11.0 Routing entry for 11.11.11.0/24 Known via "ospf 1", distance 110, metric 20, type extern 2, forward metric 20 Last update from 10.10.36.3 on Ethernet2/0, 00:34:34 ago Routing Descriptor Blocks: * 10.10.36.3, from 10.1.1.2, 00:34:34 ago, via Ethernet2/0 Route metric is 20, traffic share count is 1 PE-1# show ip route 11.11.11.0 Routing entry for 11.11.11.0/24 Known via "static", distance 1, metric 0 Redistributing via ospf 1 Advertised by ospf 1 subnets Routing Descriptor Blocks: * 192.168.10.1, via Serial8/0 Route metric is 0, traffic share count is 1 -
Controleer nu de internetverbinding vanaf CE 1 door het R7 IP-adres 99.99.99.1 te drukken met het CE 1-bronadres van 11.11.11.1.
CE-1# ping Protocol [ip]: Target IP address: 99.99.99.1 Repeat count [5]: Datagram size [100]: Timeout in seconds [2]: Extended commands [n]: y Source address or interface: 11.11.11.1 Type of service [0]: Set DF bit in IP header? [no]: Validate reply data? [no]: Data pattern [0xABCD]: Loose, Strict, Record, Timestamp, Verbose[none]: Sweep range of sizes [n]: Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 99.99.99.1, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 20/24/32 ms CE-1#
Problemen oplossen
Er is momenteel geen specifieke troubleshooting-informatie beschikbaar voor deze configuratie.
Gerelateerde informatie
- Een basis-MPLS VPN configureren
- Basis MPLS configureren met OSPF-beperking
- Probleemoplossing voor MPLS VPN
- MPLS-probleemoplossing
- MPLS FAQ voor beginners
- Ondersteuning van MPLS (Multiprotocol Label Switching)
- Ondersteuning van MPLS voor VPN’s (Multiprotocol Label Switching voor VPN’s)
- Technische ondersteuning - Cisco-systemen
Revisiegeschiedenis
| Revisie | Publicatiedatum | Opmerkingen |
|---|---|---|
1.0 |
10-Aug-2005 |
Eerste vrijgave |
Feedback