Acesso à Internet a partir de uma VPN MPLS usando uma tabela de roteamento global

Opções de download

  • PDF     (235.2 KB)
    Ver no Adobe Reader em vários dispositivos
  • ePub     (110.9 KB)
    Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
  • Mobi (Kindle)     (134.4 KB)
    Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos
Atualizado:10 de agosto de 2005
ID do documento:24508

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

Introduction

A finalidade deste documento é demonstrar a configuração de exemplo usada para acessar a Internet de uma VPN com base em Multiprotocol Label Switching (MPLS) usando uma tabela de roteamento global.

Em determinados cenários de rede, é necessário acessar a Internet de uma VPN baseada em MPLS, além de continuar mantendo a conectividade VPN entre os sites corporativos. Este exemplo de configuração se concentra em fornecer acesso à Internet a partir do VPN Routing and Forwarding (VRF) que contém a rota padrão para o Internet Gateway Router (IGW).

Prerequisites

Requirements

Uma compreensão básica do encaminhamento MPLS e VPN MPLS é necessária para entender totalmente o conteúdo deste documento.

Componentes Utilizados

As informações neste documento são baseadas nas versões de software e hardware abaixo.

  • Software Cisco IOS® versão 12.1(3)T. A versão 12.0(5)T inclui o recurso VPN MPLS

  • Qualquer Cisco 3600 Series Router ou mais recente, como o Cisco 3660 ou 7206

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. All of the devices used in this document started with a cleared (default) configuration. Se você estiver trabalhando em uma rede ativa, certifique-se de que entende o impacto potencial de qualquer comando antes de utilizá-lo.

Material de Suporte

Neste exemplo de configuração, essas políticas estavam em vigor:

  • Um roteador com conectividade com a Internet está conectado à rede MPLS. O roteador pode ou não introduzir rotas BGP na tabela de roteamento global.

    Observação: os roteadores PE entendem o BGP. Roteadores como o Roteador de Switch Gigabit (GSR - Gigabit Switch Router) (que funciona como um roteador de núcleo do provedor) não executam BGP.

  • Não há nenhuma exigência para que um VRF tenha uma tabela completa de roteamento na Internet (tabela BGP global), de modo que uma rota padrão estática é colocada em um VRF, apontando para o próximo endereço de nó global do IGW.

  • Um cliente VPN utiliza uma faixa registrada de endereço exclusivo que é roteável na tabela de roteamento de Internet global. O método de acesso discutido neste documento não é recomendado quando os clientes têm apenas endereços privados em sua rede.

Conventions

Estes acrônimos são usados neste documento:

  • CE - Roteador de ponta do Cliente.

  • PE - roteador de extremidade de provedor

  • P - Roteador central do provedor

Para obter mais informações sobre convenções de documento, consulte as Convenções de dicas técnicas Cisco.

Configurar

  • Você pode fazer referência ao Diagrama de Rede de uma ilustração dessa configuração. Nesse exemplo, CE 1 e CE 2 estão na mesma VPN. Eles são configurados no VRF customer1, pois não há necessidade de um VRF ter uma tabela de roteamento completa da Internet (de acordo com as políticas na seção Background Theory deste documento).

  • Uma rota padrão estática é configurada no VRF customer1 em CE 1 apontando para o IGW. Colocando uma rota padrão estática no VRF customer1, os pacotes que não corresponderem a nenhuma das rotas contidas em VRF customer1 serão enviadas ao IGW.

Observação: como o salto seguinte do gateway da Internet 192.168.67.1 não faz parte do VRF do cliente1, uma rota padrão é configurada no VRF do cliente1 apontando para a interface do gateway da Internet s8/0 IP 192.168.67.1. A rota para 192.168.67.1 não está dentro do VRF do customer1, portanto é necessário ter uma palavra-chave global dentro da rota padrão estática configurada em VRF do customer1. A palavra-chave global especifica que o endereço do Next Hop da rota estática é resolvido dentro da tabela de roteamento global, não dentro de customer1 VRF.

A seguir está um exemplo da rota estática.

ip route vrf customer1 0.0.0.0 0.0.0.0 192.168.67.1 global

Uma rota estática com uma palavra-chave global no VRF do cliente1 garante que todos os pacotes destinados à Internet sejam roteados para o gateway de Internet e, posteriormente, para a Internet.

Observação: a rota padrão no PE 1 é configurada para apontar para o endereço IP da interface serial do gateway de Internet (192.168.67.1) e não para o endereço de loopback (10.1.1.6). Isso evita buracos negros em rotas em caso de falha de conectividade entre o gateway de Internet e a Internet (R7). Se a rota padrão aponta para o endereço de circuito de retorno do gateway da Internet e a conectividade entre o gateway da Internet-R7 se perde, todos os pacotes continuam a rotear para o gateway da Internet. Isso acontece porque o endereço de loopback permanece ativo (ao contrário de 192.168.67.1, que é retirado da tabela de roteamento global quando a interface s8/0 é desativada) e a rota padrão continua a existir na tabela de roteamento.

A próxima etapa é garantir que os pacotes que voltam da Internet para a rede CE 1 de destino 11.11.11.0/24 sejam roteados do gateway da Internet para PE 1 e CE 1 através do núcleo MPLS. Isso é obtido configurando uma rota estática para a rede CE 1 que aponta para a interface Serial 8/0 na tabela de roteamento global no PE 1. Redistribua-o no OSPF (Open Shortest Path First) para que o gateway da Internet tenha essa rota em sua tabela de roteamento global. Isso permite que o gateway de Internet roteie todos os pacotes que chegam da Internet para PE 1 e para o destino final além de CE 1.

O exemplo a seguir é o comando ip route usado na configuração em PE 1.

ip route 11.11.11.0 255.255.255.0 Serial8/0 192.168.10.1

Observação: a rota estática acima configurada na tabela de roteamento global é adicional à rota estática configurada no VRF customer1, que é usada para Informações de Alcançabilidade da Camada de Rede VPN (NLRI - Network Layer Reachability Information). No PE 1 ele está configurado da maneira mostrada a seguir. 

ip route vrf customer1 11.11.11.0 255.255.255.0 192.168.10.1

Observação: para encontrar informações adicionais sobre os comandos usados neste documento, use a ferramenta Command Lookup Tool (somente clientes registrados).

Diagrama de Rede

Este documento utiliza a instalação de rede mostrada no diagrama abaixo.

internet_access_mpls_vpn.gif

Configurações

Este documento utiliza as configurações mostradas abaixo.

CE 1 
version 12.2
!
hostname CE-1
!
ip subnet-zero
!
interface Loopback0
 ip address 10.1.1.1 255.255.255.255
!
interface Loopback2
 ip address 11.11.11.1 255.255.255.0
!
interface Serial8/0
 ip address 192.168.10.1 255.255.255.252 

 !--- The interface is connected to PE 1.

 !
ip classless
ip route 0.0.0.0 0.0.0.0 192.168.10.2

!--- This is the default route to route all packets to PE 1.

!

PE 1 
version 12.2
!
hostname PE-1
!
ip subnet-zero
!
ip vrf customer1

!--- This configured VRF customer1.
 
 rd 100:1

!--- This configured the route distiguisher for VRF.
 
 route-target export 1:1
 route-target import 1:1

!--- This configured the export and import policies into VRF.
 
!
ip cef

!--- This enabled Cisco Express Forwarding (CEF) switching.

!
interface Loopback0
 ip address 10.1.1.2 255.255.255.255
!       
interface Ethernet0/0

!--- It is connected to P router.

 ip address 10.10.23.2 255.255.255.0
 tag-switching ip

!--- MPLS switching is enabled.
 
!
interface Serial8/0
! Connected to CE-1
 ip vrf forwarding customer1

!--- Route forwarding based on customer1 VRF is enabled.
 
 ip address 192.168.10.2 255.255.255.252
!
router ospf 1
 log-adjacency-changes
 redistribute static subnets
 network 0.0.0.0 255.255.255.255 area 0
!
router bgp 100
 no synchronization
 bgp log-neighbor-changes
 neighbor 10.1.1.4 remote-as 100

!--- Neighbor relationship with PE 2 is established.

 neighbor 10.1.1.4 update-source Loopback0
 neighbor 10.1.1.4 next-hop-self
 no auto-summary
!
 address-family ipv4 vrf customer1

!--- The address-family configuration mode specifies IPv4 unicast !---address prefixes for customer1 VRF.

 no auto-summary
 no synchronization
 network 11.11.11.0 mask 255.255.255.0

!--- CE 1 network 11.11.11.0/24 to PE 2 is announced.

network 192.168.10.0 mask 255.255.255.252
 exit-address-family
!
address-family vpnv4

!--- This is the address-family VPNV4 configuration mode for !--- configuring BGP sessions.

 neighbor 10.1.1.4 activate
 neighbor 10.1.1.4 send-community extended
 no auto-summary
 exit-address-family
!
ip classless
ip route 11.11.11.0 255.255.255.0 Serial8/0 192.168.10.1

!--- The static route in the global routing table is pointing to !--- the interface connected to CE 1.

ip route vrf customer1 0.0.0.0 0.0.0.0 192.168.67.1 global

!--- The static default route under customer1 VRF, routing packets !--- outside of VPN to the Internet gateway.

! routes
ip route vrf customer1 11.11.11.0 255.255.255.0 192.168.10.1

!--- The static route for network 11.11.11.0/24 (CE-1 Network) under !---customer1 VRF ensures the reachability of CE 1 network from the !--- other VPN sites.

P 
version 12.2
!
hostname P
!
ip subnet-zero
!
ip cef

!--- CEF switching is enabled.

!
interface Loopback0
 ip address 10.1.1.3 255.255.255.255
!
interface Ethernet0/0

!--- This is connected to PE 1.

 ip address 10.10.23.3 255.255.255.0
 tag-switching ip

!--- MPLS switching is enabled.

!
interface Ethernet1/0

!--- This is connected to PE 2.

 ip address 10.10.34.3 255.255.255.0
 tag-switching ip
!
interface Ethernet2/0

!--- This is connected to the Internet gateway.

 ip address 10.10.36.3 255.255.255.0
 tag-switching ip
!
router ospf 1 
 log-adjacency-changes 
network 0.0.0.0 255.255.255.255 area 0

IGW 
version 12.2
!
hostname IGW
!
ip subnet-zero
!
ip cef

!--- This enabled CEF switching.

!
interface Loopback0
 ip address 10.1.1.6 255.255.255.255
!
interface Ethernet2/0

!--- This is connected to P router.

 ip address 10.10.36.6 255.255.255.0
tag-switching ip
!
interface Serial8/0

!--- This is connected to Internet R7.

 ip address 192.168.67.1 255.255.255.252
!
router ospf 1
 log-adjacency-changes
 network 0.0.0.0 255.255.255.255 area 0
 !
 router bgp 100
 no synchronization
 bgp log-neighbor-changes
 network 11.11.11.0 mask 255.255.255.0
 network 22.22.22.0 mask 255.255.255.0
 neighbor 192.168.67.2 remote-as 200
 no auto-summary

PE 2 
version 12.2
!
hostname PE-2
!
ip subnet-zero
!
ip vrf customer1

!--- Customer1 VRF is configured.

 rd 100:1 

!--- Route Distinguisher for VRF is configured.
 
 route-target export 1:1 
 route-target import 1:1 

!--- This configured the import and export policies for customer1 !--- VRF.

!
ip cef 

!--- This enabled CEF switching.
 
! 
interface Loopback0 
 ip address 10.1.1.4 255.255.255.255
interface Ethernet1/0

!--- Connected to P router.

 ip address 10.10.34.4 255.255.255.0
 tag-switching ip

!--- MPLS switching is enabled.

!
interface Serial9/0

!--- Connected to CE 2 router.

ip vrf forwarding customer1

!--- This enables VRF forwarding on the interface.

 ip address 192.168.20.1 255.255.255.252
!
router ospf 1
 log-adjacency-changes
 redistribute static subnets
 network 0.0.0.0 255.255.255.255 area 0
!
router bgp 100
 no synchronization
 bgp log-neighbor-changes
 neighbor 10.1.1.2 remote-as 100
 neighbor 10.1.1.2 update-source Loopback0
 neighbor 10.1.1.2 next-hop-self 
no auto-summary 
!
 address-family ipv4 vrf customer1

!--- This is the address-family IPv4 configuration of customer1 VRF.

 no auto-summary
 no synchronization
 network 22.22.22.0 mask 255.255.255.0

!--- This announces the CE 2 network to PE 1.

 exit-address-family
!
 address-family vpnv4

!--- This is the address-family VPNV4 configuration for BGP Sessions !--- with PE 1.

 neighbor 10.1.1.2 activate
 neighbor 10.1.1.2 send-community extended
 no auto-summary
 exit-address-family
!
ip classless
ip route 22.22.22.0 255.255.255.0 Serial9/0 192.168.20.2

!--- This is the static route for network 22.22.22.0/24 in the global !--- routing table pointing to the interface connected to CE 2.

ip route vrf customer1 0.0.0.0 0.0.0.0 192.168.67.1 global

!--- This is the static default route for customer VRF !--- for destinations outside the VPN.

ip route vrf customer1 22.22.22.0 255.255.255.0 192.168.20.2 

!--- This is the static route within customer1 VRF for CE 2 !--- network for VPN connectivity.

CE 2 
version 12.2
!
hostname CE-2
!
ip subnet-zero
!
interface Loopback0
 ip address 22.22.22.22 255.255.255.0
!
interface Serial9/0

!--- This is connected to PE 2.

 ip address 192.168.20.2 255.255.255.252
!
ip classless
ip route 0.0.0.0 0.0.0.0 192.168.20.1

!--- This is the default route pointing to PE 2.

Verificar

Esta seção fornece informações que você pode usar para confirmar se sua configuração está funcionando adequadamente.

Conectividade VPN entre CE 1 e CE 2

Para verificar a conectividade do VPN entre o CE 1 e o CE 2, o CE 1 deve poder alcançar a rede de CE, 22.22.22.0/24, e vice-versa. Para averiguar isso, verifique a rota para a rede 22.22.22.0/24 no customer1 VRF em PE 1.

A Output Interpreter Tool (somente clientes registrados) oferece suporte a determinados comandos show, o que permite exibir uma análise da saída do comando show.

  1. O comando show ip route vrf customer1 confirma a rota para a rede 22.22.22.0/24 aprendida a partir de 10.1.1.4 (endereço de loopback do PE 2) mostrada realçada na saída abaixo.

    PE-1# show ip route vrf customer1
Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area 
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
       i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area
       * - candidate default, U - per-user static route, o - ODR
       P - periodic downloaded static route

Gateway of last resort is 192.168.67.1 to network 0.0.0.0

192.168.10.0/30 is subnetted, 1 subnets
C       192.168.10.0 is directly connected, Serial8/0
       22.0.0.0/24 is subnetted, 1 subnets
B       22.22.22.0 [200/0] via 10.1.1.4, 01:00:50
       11.0.0.0/24 is subnetted, 1 subnets
S      11.11.11.0 [1/0] via 192.168.10.1
S*   0.0.0.0/0 [1/0] via 192.168.67.1

  2. Da mesma forma, no PE 2, a rota para a rede 11.11.11.0/24 no Customer1 VRF é mostrada no exemplo abaixo.

    PE-2# show ip route vrf customer1
Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area 
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
       i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area
       * - candidate default, U - per-user static route, o - ODR
       P - periodic downloaded static route 

Gateway of last resort is 192.168.67.1 to network 0.0.0.0

192.168.10.0/30 is subnetted, 1 subnets
B       192.168.10.0 [200/0] via 10.1.1.2, 01:00:09
     22.0.0.0/24 is subnetted, 1 subnets
S       22.22.22.0 [1/0] via 192.168.20.2
     192.168.20.0/30 is subnetted, 1 subnets
C       192.168.20.0 is directly connected, Serial9/0
     11.0.0.0/24 is subnetted, 1 subnets
B       11.11.11.0 [200/0] via 10.1.1.2, 01:00:09
S*   0.0.0.0/0 [1/0] via 192.168.67.1

  3. Agora, verifique a conectividade entre CE 1 e CE 2 fazendo ping em um host 22.22.22.22 no CE 2 usando o endereço IP origem 11.11.11.1 do CE 1.

    CE-1# ping
Protocol [ip]:
Target IP address: 22.22.22.22
Repeat count [5]:
Datagram size [100]:
Timeout in seconds [2]:
Extended commands [n]: y
Source address or interface: 11.11.11.1
Type of service [0]:
Set DF bit in IP header? [no]:
Validate reply data? [no]:
Data pattern [0xABCD]:
Loose, Strict, Record, Timestamp, Verbose[none]:
Sweep range of sizes [n]:
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 22.22.22.22, timeout is 2 seconds:
!!!!!

Success rate is 100 percent (5/5), round-trip min/avg/max = 20/20/20 ms

Conectividade com a Internet a partir do CE 1

Siga as etapas abaixo para verificar a conectividade com a Internet a partir do CE1.

  1. Todos os pacotes destinados a Internet ou VPN a partir do CE 1 serão roteados utilizando uma rota padrão configurada no CE 1 apontando para o PE 1, conforme mostrado abaixo.

    CE-1# show ip route 0.0.0.0
Routing entry for 0.0.0.0/0, supernet
  Known via "static", distance 1, metric 0, candidate default path
  Routing Descriptor Blocks:
  * 192.168.10.2
Route metric is 0, traffic share count is 1

  2. Os pacotes que chegam na interface PE 1 s8/0 são roteados usando o customer1 VRF Routing Table. O PE 1 possui uma rota padrão no apontamento de customer1 VRF para o endereço de IP IGW 192.168.67.1, como mostrado abaixo na saída do show ip route vrf customer1 em PE 1. 

    PE-1# show ip route vrf customer1
Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area 
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
       i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area
       * - candidate default, U - per-user static route, o - ODR
       P - periodic downloaded static route

Gateway of last resort is 192.168.67.1 to network 0.0.0.0

     192.168.10.0/30 is subnetted, 1 subnets
C       192.168.10.0 is directly connected, Serial8/0
     22.0.0.0/24 is subnetted, 1 subnets
B       22.22.22.0 [200/0] via 10.1.1.4, 01:21:11
     11.0.0.0/24 is subnetted, 1 subnets
S       11.11.11.0 [1/0] via 192.168.10.1
S*   0.0.0.0/0 [1/0] via 192.168.67.1

  3. Como a rota padrão no PE 1 está configurada com uma palavra-chave global, ele procura o próximo salto 192.168.67.1 em sua tabela de roteamento global e rotas para o IGW, como mostrado abaixo. 

    PE-1# show ip route 192.168.67.1
Routing entry for 192.168.67.0/30
  Known via "ospf 1", distance 110, metric 84, type intra area
  Last update from 10.10.23.3 on Ethernet0/0, 00:21:54 ago
  Routing Descriptor Blocks:
  * 10.10.23.3, from 10.1.1.6, 00:21:54 ago, via Ethernet0/0
 Route metric is 84, traffic share count is 1

  4. Os pacotes que chegam ao IGW são roteados para a Internet, com base nas rotas BGP obtidas em R7. Nesse caso, você pode consultar a rota BGP obtida no R7 para demonstrar a conectividade à Internet. Encontra-se abaixo a rota BGP (rede 99.99.99.0/24) aprendida de R7 na tabela de roteamento de IGW. 

    IGW# show ip route 99.99.99.0
Routing entry for 99.99.99.0/24
  Known via "bgp 100", distance 20, metric 0
  Tag 200, type external
  Last update from 192.168.67.2 01:37:25 ago
  Routing Descriptor Blocks:
  * 192.168.67.2, from 192.168.67.2, 01:37:25 ago
      Route metric is 0, traffic share count is 1
      AS Hops 1

    Os pacotes que tiveram origem no CE-1 são roteados para a Internet.

  5. Para pacotes que voltam da Internet destinados à rede CE 1 11.11.11.0/24, o IGW deve ter um direcionamento de rota para PE 1 na sua tabela de roteamento global. Uma rota estática na tabela de roteamento global da PE 1, direcionada para a interface s8/0 na PE 1, com conexão para a CE 1 e redistribuída no OSPF foi configurada. Isso garante que o IGW tenha uma rota em sua tabela de roteamento global apontando para PE 1. A rota estática em PE 1 e a rota aprendida OSPF em IGW é mostrada a seguir. 

    IGW# show ip route 11.11.11.0
Routing entry for 11.11.11.0/24
  Known via "ospf 1", distance 110, metric 20, type extern 2, forward metric 20
  Last update from 10.10.36.3 on Ethernet2/0, 00:34:34 ago
  Routing Descriptor Blocks:
  * 10.10.36.3, from 10.1.1.2, 00:34:34 ago, via Ethernet2/0
      Route metric is 20, traffic share count is 1

PE-1# show ip route 11.11.11.0
Routing entry for 11.11.11.0/24
  Known via "static", distance 1, metric 0
  Redistributing via ospf 1
  Advertised by ospf 1 subnets
  Routing Descriptor Blocks:
  * 192.168.10.1, via Serial8/0
      Route metric is 0, traffic share count is 1

  6. Agora, verifique a conectividade com a Internet a partir do CE 1 efetuando ping do endereço IP de R7 99.99.99.1 com o endereço de origem CE 1 de 11.11.11.1. 

    CE-1# ping
Protocol [ip]:
Target IP address: 99.99.99.1
Repeat count [5]:
Datagram size [100]:
Timeout in seconds [2]:
Extended commands [n]: y
Source address or interface: 11.11.11.1
Type of service [0]:
Set DF bit in IP header? [no]:
Validate reply data? [no]:
Data pattern [0xABCD]:
Loose, Strict, Record, Timestamp, Verbose[none]:
Sweep range of sizes [n]:
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 99.99.99.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 20/24/32 ms
CE-1#

Troubleshoot

Atualmente, não existem informações disponíveis específicas sobre Troubleshooting para esta configuração.

Informações Relacionadas

Histórico de revisões

Revisão Data de publicação Comentários
1.0
10-Aug-2005
Versão inicial

Este documento lhe foi útil?

FeedbackFeedback

Contate a Cisco