Exemplo de Configuração de OSPF como Protocolo PE-CE e Técnicas de Prevenção de Loop em VPN MPLS L3

Introduction

Este documento descreve os recursos de prevenção de loop e as etapas mínimas de configuração quando você executa o Open Shortest Path First (OSPF) Routing Protocol entre os roteadores Provider Edge (PE) e Customer Edge (CE). Apresenta um cenário de rede que descreve o uso do DN (Bit para baixo), que é uma opção no LSA (Link State Advertisement, anúncio de estado de link) e na etiqueta de domínio.

Prerequisites

Requirements

A Cisco recomenda que você tenha conhecimento de VPN de Camada 3 do OSPF e Multiprotocol Label Switching (MPLS).

Componentes Utilizados

Este documento não se restringe a versões de software e hardware específicas.

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.

Informações de Apoio

O provedor de serviços (SP) e o roteador CE trocam rotas com um protocolo de roteamento com o qual o provedor de serviços e o cliente concordam em conjunto. O escopo deste documento é descrever o mecanismo de prevenção de loop quando OSPFv2 é usado.

Quando o OSPFv2 é usado em um link PE-CE que pertence a um VRF (Virtual Routing and Forwarding) ou VPN específico, o roteador PE:

• Redistribui as rotas recebidas via OSPF para aquela VPN no Multiprotocol-Border Gateway Protocol (MP-BGP) e a anuncia aos outros roteadores PE.
• Redistribui as rotas BGP instaladas na VPN via MP-BGP na Instância OSPF para essa VPN e a anuncia aos Roteadores CE.

Configurar

Diagrama de Rede

Considere essa topologia de rede para entender as técnicas de prevenção de loop.

Nessa configuração, há uma possibilidade de um loop. Por exemplo, se CE1 anunciar o LSA Tipo 1 do OSPF para PE1, que redistribui a rota para VPNv4 e a anuncia para PE2, PE2, por sua vez, anuncia o LSA de resumo para CE2. Essa rota recebida pelo CE2 pode ser anunciada de volta ao PE3. O terceiro roteador PE aprende a rota OSPF, que é melhor que a rota BGP, e anuncia novamente a rota no BGP como local para o Local do Cliente 2. O PE3 nunca aprende que a rota anunciada não foi originada do Site do Cliente 2.

Para superar essa situação, quando as rotas são redistribuídas de MP-BGP para OSPF, elas são marcadas com um Bit DN no LSA Tipo 3, 5 ou 7 e têm a marca de domínio para LSA Tipo 5 e 7.

Configurações

Aqui está o exemplo de configuração em roteadores PE. Essa configuração inclui a configuração de VRF, o processo 2 do OSPF executado entre os roteadores PE-CE, o processo 1 do OSPF executado como Interior Gateway Protocol (IGP) no núcleo do MPLS e a configuração de MP-BGP.

Bit DN

O bit não utilizado anteriormente no campo Opções LSA do OSPF é conhecido como Bit DN. Esse bit é definido no LSA tipo 3, 5 e 7 quando as rotas MP-BGP são redistribuídas no OSPF. Quando o outro roteador PE recebe o LSA de um roteador CE tipo 3, 5 ou 7 LSA com o conjunto de bits DN, as informações desse LSA não são usadas no cálculo da rota OSPF.

Com base na topologia de rede, o PE2 define o Bit DN para o LSA redistribuído e esse LSA nunca é considerado para cálculo de rota no Processo 2 do OSPF em PE3. O PE3 nunca redistribui essa rota de volta para MP-BGP.

Aqui está um exemplo do cabeçalho OSPF que mostra o conjunto de bits DN, quando a rota foi anunciada pelo roteador PE para LSA tipo 3:

Open Shortest Path First
    OSPF Header
        Version: 2
        Message Type: LS Update (4)
        Packet Length: 56
        Source OSPF Router: 10.10.23.3 (10.10.23.3)
        Area ID: 0.0.0.0 (0.0.0.0) (Backbone)
        Checksum: 0x4034 [correct]
        Auth Type: Null (0)
        Auth Data (none): 0000000000000000
    LS Update Packet
        Number of LSAs: 1
        Summary-LSA (IP network)
            .000 1110 0001 0000 = LS Age (seconds): 3600
            0... .... .... .... = Do Not Age Flag: 0
            Options: 0xa2 (DN, DC, E)
                1... .... = DN: Set
                .0.. .... = O: Not set
                ..1. .... = DC: Demand Circuits are supported
                ...0 .... = L: The packet does NOT contain LLS data block
                .... 0... = NP: NSSA is NOT supported
                .... .0.. = MC: NOT Multicast Capable
                .... ..1. = E: External Routing Capability
                .... ...0 = MT: NO Multi-Topology Routing

Etiqueta de domínio

A etiqueta de domínio é aplicável somente para o OSPF Tipo 5 e LSA Tipo 7. Quando as rotas VPNv4 são redistribuídas de MP-BGP para OSPF no roteador PE, a tag de domínio é definida para rotas externas de OSPF. A marca pode ser configurada manualmente com o comando domain-tag em Processo OSPF ou um valor de 32 bits pode ser gerado automaticamente:

Com base na topologia de rede, o PE2 define a Etiqueta de Domínio para LSA Tipo 5 e Tipo 7 quando redistribui a rota VPNv4 para OSPF. Esse LSA nunca é considerado para cálculo de rota porque o Bit DN já está definido, mas também tem a Etiqueta de domínio definida, portanto, o LSA é ignorado porque a Etiqueta de domínio corresponde à Tag VPN/VRF. Portanto, a rota nunca é redistribuída no OSPF.

Este exemplo mostra o LSA Tipo 5 ignorado quando é recebido com o Conjunto de marcas de domínio igual à etiqueta de domínio VRF local em PE3 do CE3:

*Jan 31 00:29:23.947: OSPF-2 EXTER:  adv_rtr 10.10.57.5, age 3, seq 0x80000001, 
metric 10, metric-type 2, fw-addr 0.0.0.0
*Jan 31 00:29:23.947: OSPF-2 EXTER: Tag equals to VPN Tag, ignoring the LSA
*Jan 31 00:29:23.947: OSPF-2 EXTER: Process partial nssa spf queue

PE3#show ip ospf database external 192.168.5.5

            OSPF Router with ID (10.3.3.3) (Process ID 1)

            OSPF Router with ID (10.10.68.6) (Process ID 2)

                Type-5 AS External Link States

  LS age: 38
  Options: (No TOS-capability, DC)
  LS Type: AS External Link
  Link State ID: 192.168.5.5 (External Network Number )
  Advertising Router: 10.10.57.5
  LS Seq Number: 80000001
  Checksum: 0x89A3
  Length: 36
  Network Mask: /32
        Metric Type: 2 (Larger than any link state path)
        MTID: 0
        Metric: 10
        Forward Address: 0.0.0.0
        External Route Tag: 3489725928

Verificar

Os comandos para descobrir se o bit DN está definido para o LSA e a etiqueta de domínio aplicada são os mesmos usados para verificar o banco de dados LSA.

Esta saída mostra o exemplo para o LSA tipo 3 e tipo 5 do OSPF e destaca o bit DN e o conjunto de tags quando as rotas VPNv4 são redistribuídas no OSPF em PE2:

 Note: O MPLS VPN OSPF PE-CE sempre inclui o mecanismo de prevenção de loop para lidar com problemas. No Cisco IOS^® mais antigo^, os LSAs do tipo 3 de rascunho IETF original usam o Bit DN no LSA e os LSAs tipo 5 usam uma tag. O RFC 4576 mais recente exige o uso de Bit DN para LSAs tipo 3 e tipo 5.

Isso foi confirmado por meio do bug da Cisco ID CSCtw79182.

Os roteadores PE com imagens do Cisco IOS com a correção desse defeito originarão LSAs externos tipo 5 com Bit DN e uma tag como mecanismos de prevenção de loop. As versões anteriores do Cisco IOS anunciavam a única marca para essa finalidade para rotas externas.

A alteração no comportamento foi feita porque é possível regravar uma marca (alterando o ID de domínio da VPN ou via mapa de rota), mas o Bit de DN não é controlável pelo usuário. Em alguns projetos em casos específicos, alguns clientes podem ter desativado deliberadamente o mecanismo de prevenção de loop com uma substituição de tags de LSAs externos para que o roteador PE prefira a rota OSPF sobre a rota BGP.

Em versões mais recentes do Cisco IOS, isso não é possível. A grande maioria dos clientes que usam o PE-CE OSPF em uma configuração de livro didático não será afetada. Clientes que substituem marcas PODEM ver uma mudança no comportamento.

Troubleshoot

Atualmente, não existem informações disponíveis específicas sobre Troubleshooting para esta configuração.