TP MPLS - Implémentation VPNs MPLS.

Slides:



Advertisements
Présentations similaires
MPLS - Configuration de VPN MPLS de couche 3
Advertisements

MPLS - Configuration d'un VPN MPLS basique
show dialer interface bri
OSPF - Comment OSPF génère les routes par défaut
QoS - Propagation de la Politique de QoS via BGP
Configuration MPLS mode Trame
Configuration OSPF Multi-Area
CCNP Routage Chapitre 8 - Questionnaire N°1
Configuration EIGRP et IGRP
Configuration Frame Relay "Hub-and-Spoke"
CCNP Routage Chapitre 4 - Questionnaire N°1
Comment les routeurs BGP utilisent l'attribut Multi-Exit-Discriminator
BGP - Configuration iBGP et eBGP avec ou sans adresse de Loopback
Configuration sessions IBGP et EBGP
Configuration BGP de base
Comprendre la politique
Station A Station B RNIS Fa0/0 BRI0/0 BRI0/0 Fa0/0 Rouen Le Havre S0/0
CCNP Routage Chapitre 7 - Questionnaire N°1
Implémentation MPLS VPN
Configuration BGP avec routage par défaut
OSPF - Configuration initiale sur Liaisons Non-Broadcast
Comportement de RIP & IGRP avec les mises à jour de Routage
show ip nat translations
Paris S0/0 500 Kb/s S0/0 Switch S0/2 S0/1 128 Kb/s 128 Kb/s S0/0 S0/0
OSPF Sham-link pour VPN MPLS
dans des environnements
MPLS - Accès Internet à partir d'un VPN MPLS
BGP - Support de Route-Map Policy list
Cairo – EGYPTE 10 au 22 Mai 2009 Routage Statique
Hot Standby Router Protocol standby preempt et standby track
Commande show ip route ccnp_cch ccnp_cch.
EIGRP - Créer une Route Préférée en Influençant la Métrique
Configuration d'une Passerelle par défaut avec les commandes IP
TP Sécurité Packet Tracer - Configuration d'un VPN d'accès distant et
Commande show ip eigrp topology
BGP - Algorithme de sélection du meilleur chemin
Configuration d'un - VPN MPLS de base.
Proxy ARP ccnp_cch ccnp_cch.
Comprendre l'Agrégation de routes dans BGP
Configuration de Voice VLAN
BGP - Filtrage de routes en sortie basé sur le préfixe
MPLS - Configuration d'un
RIP - Configuration des Extensions.
Spécifier une Adresse IP
TP - IS-IS Configuration sur Frame Relay avec Routeur FR-Switch
Configuration Frame Relay "Priority Queuing"
Configuration de routes Statiques Flottantes
Configuration OSPF Virtual Link
Routage S 2 - Questionnaire N°1 - Réponses
Commande show dialer ccnp_cch ccnp_cch.
Configuration Frame Relay "Full-Mesh" ou "Totalement maillé"
Sécurité - Configuration d'un
Comment Résoudre des Problèmes VPN MPLS
OSPF - Routage Inter-Area
MPLS - Multi-Protocol Label Switching
MPLS - Flux de Paquets dans un VPN MPLS
Configuration EIGRP - Agrégation de routes
OSPF - Configuration initiale sur des Sous-Interfaces Frame Relay
TP - IS-IS Configuration Multi-Area
TP - IPv6 Tunnels Manuels
Configuration "On Demand Routing"
QoS - Configuration de NBAR (Network-Based Application Recognition)
Configuration Frame Relay "Hub-and-Spoke"
Configuration BGP - Attribut AS_Path
Authentification CHAP PPP Utilisation des commandes ppp chap hostname
Configuration de base EIGRP
MPLS - Flux de Paquets dans un VPN MPLS
Quand les routes BGP ne sont pas annoncées
Configuration NAT Statique
Présentation du Multicast
Transcription de la présentation:

TP MPLS - Implémentation VPNs MPLS

Objectifs  Partie 1: Configuration de base des équipements réseau ▪ Configuration des paramètres de base tels que le nom de host, les adresses IP.  Partie 2: Configuration de EIGRP dans le réseau du client ▪ Configurer les routeurs HQ et BRANCH ▪ Vérification du routage EIGRP  Partie 3: Configuration de OSPF dans le réseau opérateur ▪ Configuration des routeurs SP1, SP2 et SP3. ▪ Vérification du routage OSPF  Partie 4: Configuration de MPLS dans le domaine de l'opérateur ▪ Configuration de MPLS sur les routeurs P et PE ▪ Vérification de MPLS ▪ Configuration d'une une instance VRF (Virtual Routing/Forwarding) ▪ Configuration du routage EIGRP sur les routeurs PE ▪ Utilisation de MP-BGP pour échanger les mises à jour de routage VPN ▪ Vérification de l'activité du VPN

• Un commutateur Cisco Catalyst 2950 ou 2960. Ressources requises • Cinq routeurs Cisco 2811 avec IOS ADVEnterprise12.4(20)T avec deux interfaces Serial. • Un commutateur Cisco Catalyst 2950 ou 2960. • Des câbles séries, des câbles Ethernet • Deux PC avec Hyperterminal et des câbles console. Equipement Interface Adresse IP Masque SP1 Fa0/0 172.16.100.254 255.255.255.0 S0/0/0 10.0.12.1 Lo0 10.0.1.1 255.255.255.255 SP2 S0/0/0 10.0.12.2 (DCE) S0/0/1 10.0.23.2 Lo0 10.0.2.1 SP3 Fa0/0 172.16.200.254 S0/0/0 10.0.23.3 Lo0 10.0.3.1 HQ Fa0/0 172.16. 100.1 Lo0 172.16.10.1 BRANCH S0/0/0 172.16.200.1 Lo49 172.16.20.1

Schéma du réseau Loopback 0: 10.0.2.1/32 SP2 Domaine MPLS AS100 OSPF Area 0 S0/0/1 DCE S0/0/0 DCE .2 .2 10.0.12.0/24 10.0.23.0/24 Loopback 0: 10.0.3.1/32 Loopback 0: 10.0.1.1/32 .3 .1 S0/0/0 S0/0/1 Session iBGP AS 100 SP3 SP1 .254 S0/1/0 DCE .254 Fa0/0 172.16.200.0/24 172.16.100.0/24 EIGRP AS 65400 .1 Fa0/0 S0/0/0 .1 HQ BRANCH Loopback 0: 172.16.10.1/24 Loopback 0: 172.16.20.1/24 Scénario Vous êtes ingénieur réseau dans une société d'opérateur et vous suggérez de déve- lopper MPLS comme nouvelle technologie de transport pour faciliter les VPNs entre les sites de clients qui se connectent à travers votre réseau. Votre DSI vous a de- mandé de monter une maquette avec un lab pour débuter par de petites implémen- tations de VPNs MPLS avant de passer à des études de cas plus importantes.

Partie 1: Configuration de base des équipements réseau Etape 1: Connectez physiquement tous les équipements du réseau selon le schéma de celui-ci. Etape 2: Configurez la console sur les commutateurs et les routeurs pour un meilleur confort d'utilisation. Exemple pour SP1: SP1(config)# line cons 0 SP1(config-line)# exec-timeout 5 0 SP1(config-line)# logging synchronous La commande exec-timeout cause la déconnexion de la ligne au bout de 5 minutes d'inactivité. La commande logging synchronous évite que les messages de log sur la console perturbent l'entrée des commandes. Note: Pour éviter des logins répétitifs, la commande exec-timeout peut être entrée avec 0 0 ce qui empêche la déconnexion. Toutefois, ceci n'est pas une bonne pratique de sécurité. Entrez ces commandes sur les autres équipements de réseau. Etape 3: Pour éviter une recherche DNS si vous entrez un nom autre que celui d'une commande, entrez cette commande. SP1(config)# no ip domain-lookup Entrez cette commande sur les autres équipements de réseau. Etape 4: Configuration des adresses des interfaces pour SP2 SP2(config)# interface loopback 0 SP2(config-if)# ip address 10.0.2.1 255.255.255.255 SP2(config-if)# interface serial 0/0/0 SP2(config-if)# ip address 10.0.12.2 255.255.255.0 SP2(config-if)# clock rate 2000000 SP2(config-if)# no shutdown SP2(config-if)# interface serial 0/0/1 SP2(config-if)# ip address 10.0.23.2 255.255.255.0

Etape 5: Configuration des adresses des interfaces pour le routeur SP1 a. Configuration des adresses des interfaces SP1(config)# interface loopback 0 SP1(config-if)# ip address 10.0.1.1 255.255.255.255 SP1(config-if)# interface serial 0/0/0 SP1(config-if)# ip address 10.0.12.1 255.255.255.0 SP1(config-if)# no shutdown SP1(config-if)# interface FastEthernet 0/0 SP1(config-if)# ip address 172.16.100.254 255.255.255.0 b. Vérifiez la connectivité point à point avec SP2 en utilisant une commande ping. Etape 6: Configuration des adresses des interfaces pour le routeur SP3 SP3(config)# interface loopback 0 SP3(config-if)# ip address 10.0.3.3 255.255.255.255 SP3(config-if)# interface serial 0/0/0 SP3(config-if)# ip address 10.0.23.3 255.255.255.0 SP3(config-if)# no shutdown SP3(config-if)# interface fastethernet 0/0 SP3(config-if)# ip address 172.16.200.254 255.255.255.0 Etape 7: Configuration des adresses des interfaces pour le routeur HQ HQ(config)# interface loopback 0 HQ(config-if)# ip address 172.16.10.1 255.255.255.0 HQ(config-if)# interface fastethernet 0/0 HQ(config-if)# ip address 172.16.100.1 255.255.255.0 HQ(config-if)# no shutdown b. Vérifiez la connectivité point à point avec SP1 en utilisant une commande

Partie 2: Configuration de EIGRP dans le réseau du client Etape 7: Configuration des adresses des interfaces pour le routeur BRANCH a. Configuration des adresses des interfaces BRANCH(config)# interface loopback 0 BRANCH(config-if)# ip address 172.16.20.1 255.255.255.0 BRANCH(config-if)# interface serial 0/0/0 BRANCH(config-if)# ip address 172.16.200.1 255.255.255.0 BRANCH(config-if)# clock rate 2000000 BRANCH(config-if)# no shutdown b. Vérifiez la connectivité point à point avec SP3 en utilisant une commande ping. Partie 2: Configuration de EIGRP dans le réseau du client Etape 1: Configuration des routeurs CE (Customer Egde) a. Configuration du routeur HQ HQ(config)# router eigrp 65400 HQ(config-router)# no auto-summary HQ(config-router)# network 172.16.0.0 b. Configuration du routeur BRANCH BRANCH(config)# router eigrp 65400 BRANCH(config-router)# no auto-summary BRANCH(config-router)# network 172.16.0.0 Note: A ce point la connectivité EIGRP n'est pas assurée car les routeurs SP1 et SP3 doivent être configurés avec MPLS. Partie 3: Configuration de OSPF dans le réseau opérateur Etape 1: Configuration des routeurs SP1, SP2 et SP3. SP1(config)# router ospf 1 SP1(config-router)# network 10.0.0.0 0.255.255.255 area 0 SP2(config)# router ospf 1 SP2(config-router)# network 10.0.0.0 0.255.255.255 area 0 SP3(config)# router ospf 1 SP3(config-router)# network 10.0.0.0 0.255.255.255 area 0 Etape 2: Vérifiez que toutes les adjacences OSPF sont établies. Les adjacences OSPF doivent se former entre SP1 et SP2 et entre SP2 et SP3. Si les adjacences ne se forment pas, vérifiez votre configuration OSPF et les connexions physiques. A quoi sert OSPF dans cette configuration?___________________________________ _____________________________________________________________________________

Partie 4: Configuration de MPLS dans le domaine de l'opérateur Etape 1: Activation de MPLS sur les routeurs de l'opérateur Sur tous les routeurs de l'opérateur, forcez MPLS à utiliser l'interface loopback 0 comme "router ID" pour les adjacences LDP. L'interface loopback serait automatique- ment choisie par chaque routeur mais il est préférable de forcer l'ID ainsi sa valeur restera inchangée au travers des changements de topologie et des redémarrages de routeurs. Pour forcer LDP à choisir l'interface loopback comme router ID, utilisez la commande mpls ldp router-id interface force en mode de configuration global. Validez également MPLS sur toutes les interfaces physiques dans le domaine MPLS avec le commande mpls ip. SP1(config)# mpls ldp router-id loopback0 force SP1(config)# interface serial0/0/0 SP1(config-if)# mpls ip SP2(config)# mpls ldp router-id loopback0 force SP2(config)# interface serial0/0/0 SP2(config-if)# mpls ip SP2(config-if)# interface serial0/0/1 SP3(config)# mpls ldp router-id loopback0 force SP3(config)# interface serial0/0/1 SP3(config-if)# mpls ip Vous devez voir s'afficher des messages sur la console notifiant que les routeurs MPLS sont devenus adjacents les uns avec les autres via LDP. Vérifiez que ces adjacences ont été formées en utilisant la commande show mpls ldp neighbor. SP1# show mpls ldp neighbor Peer LDP Ident: 10.0.2.1:0; Local LDP Ident 10.0.1.1:0 TCP connection: 10.0.2.1.62676 - 10.0.1.1.646 State: Oper; Msgs sent/rcvd: 9/9; Downstream Up time: 00:01:43 LDP discovery sources: Serial0/0/0, Src IP addr: 10.0.12.2 Addresses bound to peer LDP Ident: 10.0.12.2 10.0.23.2 10.0.2.1 SP2# show mpls ldp neighbor Peer LDP Ident: 10.0.1.1:0; Local LDP Ident 10.0.2.1:0 TCP connection: 10.0.1.1.646 - 10.0.2.1.62676 State: Oper; Msgs sent/rcvd: 10/10; Downstream Up time: 00:02:03 Serial0/0/0, Src IP addr: 10.0.12.1 10.0.12.1 10.0.1.1

Peer LDP Ident: 10.0.3.1:0; Local LDP Ident 10.0. TCP connection: 10.0.3.1.42919 - 10.0.2.1.646 State: Oper; Msgs sent/rcvd: 10/10; Downstream Up time: 00:01:58 LDP discovery sources: Serial0/0/1, Src IP addr: 10.0.23.3 Addresses bound to peer LDP Ident: 10.0.23.3 SP3# show mpls ldp neighbor Peer LDP Ident: 10.0.2.1:0; Local LDP Ident 10.0.3.1:0 TCP connection: 10.0.2.1.646 - 10.0.3.1.42919 Up time: 00:02:08 Serial0/0/1, Src IP addr: 10.0.23.2 10.0.12.2 10.0.23.2 10.0.2.1 Etape 2: Configuration d'une instance VRF Un VPN MPLS est un VPN de couche 3 qui permet le routage de paquets à travers un cœur de réseau MPLS. Ce type de VPN fournit au client des connexions à des sites multiples à travers un réseau d'opérateur. L'opérateur ne fournit pas uniquement la connexion physique mais également la capacité de router dynamiquement entre les extrémités VPN. Ceci est assez remarquable quand on considère que les clients ne sont pas obligés d'utiliser des adresses de couche 3 publiques. Le routeurs de périphérie de l'opérateur utilisent le même protocole de le réseau du client et permettent ainsi aux sites du client de s'interfacer avec l'opérateur. P Réseau MPLS de l'opérateur PE PE Session iBGP pour échanger les routes du client VRF VRF C Réseau client CE C Réseau client CE

Le modèle standard pour les VPNs MPLS utilise les définitions suivantes:  Provider (P) - Routeurs de l'opérateur qui agissent comme des LSRs (Label Switch router) pour fournir le transit dans le réseau de l'opérateur. Le routeurs P ne contiennent pas les routes des clients dans leurs tables de routage.  Customer (C) - Routeurs du client qui fournit des fonctions de routage dans le réseau du client.  Customer Edge (CE) - Le routeur CE est installé sur le site du client. Selon le type de contrat opérateur, ce routeur peut être administré par le client, l'opérateur ou les deux. Le routeur CE est connecté et communique avec les routeurs de l'opérateur et participe au routage du client.  Provider Edge (PE) - Routeurs de l'opérateur qui participent activement au routage du client, garantissant le routage optimal entre les sites du client. Les routeurs PE utilisent une table de routage virtuel séparée pour chaque client ce qui donne un isolement parfait entre les clients. Il est important de noter que les routeurs C et CE n'ont pas besoin de configuration particulière. les routeurs P ont simplement besoin d'un configuration MPLS LDP. Dans ce cas là, SP2 modélise le routeur P, SP1 et SP3 modélisent les routeurs PE. HQ et BRANCH sont tous les deux des routeurs CE avec des interfaces loopback pour simuler des connexions avec des routeurs C. Les routeurs PE annoncent les routes qui font partie de leurs VPNs en utilisant une nouvelle classe de trafic pour distinguer ces routes des routes internes dans le réseau de l'opérateur. BGP utilise une nouvelle famille d'adresse appelé VPNv4 pour transpor- ter les routes VPN-MPLS vers des réseaux IPv4. La famille d'adresse VPNv4 est codée sur 12 octets dont 8 octets pour le RD (Route Distinguisher) et 4 octets pour l'adresse IP. Le RD agit comme un préfixe unique quand il est associé à l'adresse IPv4 Chaque VRF doit avoir un RD pour une annonce unique. Les VRFs utilise l'attribut "Route Target" pour contrôler l'import et l'export de routes VPNv4 avec iBGP. L'attribut 'Route Target" est une communauté BGP étendue qui indique quelles routes doivent être importés de MP-BGP vers le VRF. Exporter une RT (Route Target) signifie que la route VPNv4 exportée reçoit une communauté BGP étendue additionnelle (c'est le route target) quand la route est redistribuée de la RIB VRF dans MP-BGP. Importer une RT signifie que la route VPNv4 reçue de MP-BGP est vérifiée pour qu'il y ait une correspondance avec une communauté étendue (route target) et une de celles configurées. Pour configurer une instance VRF sur les routeurs PE, utilisez la commande ip vrf en mode de configuration global sur SP1 et SP3. A l'invite de la configuration VRF, créez un VRF nommé "Client_A". Chaque instance VRF a besoin d'un "route distin- guisher" et d'un "route target". Le "route Distinguisher" et le "Route Target" ont chacun une taille de huit octets avec deux points pour les séparer des quatre octets suivants. Il y a plusieurs conventions pour allouer les "route distinguisher" pour les VPNs MPLS, la plus utile est ASN:nn. Une autre écriture très utilisée est Adresse_IP:nn. Dans ces deux cas nn représente une valeur arbitraire affectée par l'administrateur réseau. Dans ce lab, utilisez 100:1 comme route distinguisher. Le "route target" est également une valeur arbitraire qui sera utilisée plus tard avec BGP.

SP1(config)# ip vrf Client_A SP1(config-vrf)# rd 100:1 Configurez un RD ( Route Distinguisher) égal à 100:1 et un RT (Route Target) égal à 1:100 en utilisant les commande rd ASN:nn et route-target {import|export| both} nn:nn. Dans ce cas vous devez utiliser le mot-clé both car vous voulez que les PEs importent et exportent pour ce VRF. SP1(config)# ip vrf Client_A SP1(config-vrf)# rd 100:1 SP1(config-vrf)# route-target both 1:100 SP3(config)# ip vrf Client_A SP3(config-vrf)# rd 100:1 SP3(config-vrf)# route-target both 1:100 Imaginez que SP1 utilise MP-BGP et reçoive une route VPNv4 avec un attribut "route target" 100:100. D'après votre configuration, est-ce que BGP va importer la route dans la table de routage VRF du client?______________________________________ ___________________________________________________________________________________ Après la création des VRFs, ajoutez les interfaces au VRF en utilisant la commande ip vrf forwarding name au niveau interface dans laquelle name est le nom de l'instance VRF. Utilisez cette commande sur les interfaces de SP1 et SP3 (routeurs PE) qui font face aux routeurs CE. Ajoutez également les adresses IP données dans le schéma du réseau à ces interfaces. SP1(config)# interface fastethernet 0/0 SP1(config-if)# ip vrf forwarding Client_A SP1(config-if)# ip address 172.16.100.254 255.255.255.0 SP1(config-if)# no shut SP3(config)# interface serial 0/0/1 SP3(config-if)# ip vrf forwarding Client_A SP3(config-if)# ip address 172.16.200.254 255.255.255.0 SP3(config-if)# no shutdown Maintenant vous devez pouvoir exécuter une commande ping à travers les PE-CE car vous avez configuré les extrémités de ces liaisons à l'étape 1. Comme ces routes ne sont pas dans la table de routage par défaut, vous devez utiliser la commande ping vrf name address. Comme le VRF est transparent pour les routeurs du client, vous pouvez utiliser une commande ping traditionnelle quand vous voulez tester la connec- tivité entre le routeurs C et CE. SP1# ping vrf Client_A 172.16.100.1 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 172.16.100.1, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/4 ms HQ# ping 172.16.100.254 Sending 5, 100-byte ICMP Echos to 172.16.100.254, timeout is 2 seconds: Success rate is 100 percent (5/5), round-trip min/avg/max = 1/2/8 ms

SP3# ping vrf Client_A 172.16.200.1 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 172.16.200.1, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 28/28/32 ms BRANCH# ping 172.16.200.254 Sending 5, 100-byte ICMP Echos to 172.16.200.254, timeout is 2 seconds: Success rate is 100 percent (5/5), round-trip min/avg/max = 28/28/28 ms Etape 3: Configurer EIGRP dans l'AS 100 L'opérateur utilise BGP et l'AS100. Votre client ITA utilise EIGRP AS 65400. Pour que la configuration soit localement cohérente, utilisez l'AS numéro 100 pour EIGRP et BGP dans le réseau de l'opérateur et l'AS numéro 65400 pour EIGRP dans le réseau du client. La configuration de EIGRP sur les routeurs du client a déjà été faite dans la partie 2. Sur les routeurs PE la configuration est plus complexe. Chaque IGP a une méthode différente pour configurer un VRF. Pour implémenter EIGRP avec des VRFs, démarrez le processus EIGRP en configurant EIGRP AS 100. Rappelez-vous que cet AS appartient à l'opérateur et n'a pas de signification pour le client. Maintenant pour configurer EIGRP pour une instance VRF individuelle, utilisez la commande address-family ipv4 vrf name dans laquelle name est le nom de l'instance VRF. Bien que chaque VPN doit être logiquement séparé des autres espaces d'adresse utilisant le VRF, cette séparation ne s'arrête pas uniquement à la table de routage mais s'étend aux protocoles de routage. La commande address-family crée un segment logique pour un protocole de routage, ses routes et ses adjacences pour le séparer des autres ensembles de routes et d'adjacences. Dans ce cas nous allons séparer un système autonome EIGRP de l'instance EIGRP initiée avec la commande EIGRP 100. Les réseaux appris via ce nouveau système autonome seront injec- tés dans la table de routage VRF associée avec l'AS EIGRP isolé. Il est également important de notez que ces réseaux ne seront annoncés à aucun voisin de EIGRP AS 100. Il est complète- ment séparé du reste du domaine EIGRP. SP1(config)# router eigrp 100 SP1(config-router)# address-family ipv4 vrf Client_A SP1(config-router-af)# autonomous-system 65400 SP1(config-router-af)# no auto-summary SP1(config-router-af)# network 172.16.0.0 SP3(config)# router eigrp 100 SP3(config-router)# address-family ipv4 vrf Client_A SP3(config-router-af)# autonomous-system 65400 SP3(config-router-af)# no auto-summary SP3(config-router-af)# network 172.16.0.0

Sur les routeurs PE, afficher la table de routage classique avec la commande show ip route. Notez que les routeurs PE ne possèdent aucune route pour le réseau princi- pal 172.16.0.0/16 dans cette table de routage. Affichez la table de routage VRF avec la commande show ip route vrf name dans laquelle name est le nom de l'instance VRF. SP1# show ip route Codes: C - connected, S - static, R - RIP, M - mobile, B- BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2 i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2 ia - IS-IS inter area, * - candidate default, U - per-user static route o - ODR, P - periodic downloaded static route Gateway of last resort is not set 10.0.0.0/8 is variably subnetted, 5 subnets, 2 masks C 10.0.12.0/24 is directly connected, Serial0/0/0 O 10.0.3.1/32 [110/129] via 10.0.12.2, 05:29:59, Serial0/0/0 O 10.0.2.1/32 [110/65] via 10.0.12.2, 05:29:59, Serial0/0/0 C 10.0.1.1/32 is directly connected, Loopback0 O 10.0.23.0/24 [110/128] via 10.0.12.2, 05:29:59, Serial0/0/0 SP1# show ip route vrf Client_A Routing Table: Client_A Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP 172.16.0.0/24 is subnetted, 2 subnets D 172.16.10.0 [90/156160] via 172.16.100.1, 00:03:29, FastEthernet0/0 C 172.16.100.0 is directly connected, FastEthernet0/0

SP3# show ip route Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2 i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2 ia - IS-IS inter area, * - candidate default, U - per-user static route o - ODR, P - periodic downloaded static route Gateway of last resort is not set 10.0.0.0/8 is variably subnetted, 5 subnets, 2 masks O 10.0.12.0/24 [110/128] via 10.0.23.2, 05:30:42, Serial0/0/1 C 10.0.3.1/32 is directly connected, Loopback0 O 10.0.2.1/32 [110/65] via 10.0.23.2, 05:30:42, Serial0/0/1 O 10.0.1.1/32 [110/129] via 10.0.23.2, 05:30:42, Serial0/0/1 C 10.0.23.0/24 is directly connected, Serial0/0/1 SP3# show ip route vrf Client_A Routing Table: Client_A 172.16.0.0/24 is subnetted, 2 subnets C 172.16.200.0 is directly connected, Serial0/1/0 D 172.16.20.0 [90/2297856] via 172.16.200.1, 00:02:06, Serial0/1/0 Les routeurs HQ et SP1 n'ont pas les routes des réseaux du client sur SP3 et BRANCH et inversement. Expliquez pourquoi cela se produit bien que les adjacences EIGRP soient formées. _____________________________________________________________________________________

Etape 4: Configuration de BGP pour le VPN a. Configuration de BGP Maintenant que les routeurs PE routent vers les routeurs CE avec les tables VRF, vous pouvez configurer les routeurs PE pour échanger des routes au moyen de BGP. D'abord configurez BGP entre SP1 et SP3 pour qu'ils soient voisins par leurs adresses de loopback. La synchronisation doit être dévali- dée. Si cela n'est pas le cas, faites le explicitement avec la commande no synchronization. SP1(config)# router bgp 100 SP1(config-router)# no synchronization SP1(config-router)# neighbor 10.0.3.1 remote-as 100 SP1(config-router)# neighbor 10.0.3.1 update-source loopback0 SP3(config)# router bgp 100 SP3(config-router)# no synchronization SP3(config-router)# neighbor 10.0.1.1 remote-as 100 SP3(config-router)# neighbor 10.0.1.1 update-source loopback0 Pour configurer l'échange de routes VPNv4 avec BGP, utilisez la commande address-family vpnv4. Au prompt activez le voisin BGP pour cette famille d'adresse avec la commande neighbor address activate. Activer un voisin pour une famille d'adresse permet à BGP de transmettre et recevoir des routes du voisin désigné utilisant la famille d'adresse spécifiée. Par défaut les voisins sont activés uniquement pour IPv4. Les RTs (Route Target) sont traduites comme communautés BGP étendues aussi vous devez autoriser SP1 à transmettre les communautés standard et étendues avec MP-BGP en utilisant la commande neighbor address send-community both. Les adjacences peuvent varier ( passer down puis up) quand vous activez la famille d'adresses. SP1(config)# router bgp 100 SP1(config-router)# address-family vpnv4 SP1(config-router-af)# neighbor 10.0.3.1 activate SP1(config-router-af)# neighbor 10.0.3.1 send-community both SP1(config-router-af)# exit SP3(config)# router bgp 100 SP3(config-router)# address-family vpnv4 SP3(config-router-af)# neighbor 10.0.1.1 activate SP3(config-router-af)# neighbor 10.0.1.1 send-community both SP3(config-router-af)# exit Finalement vous devez configurer BGP pour redistribuer les routes EIGRP dans la RIB VRF dans le protocole BGP ainsi celles-ci seront annoncées au PE distant. Sous le prompt BGP de configuration globale, entrez une autre famille d'adresse associée uniquement avec la table de routage pour le VRF customer. Redistri- buez les routes EIGRP qui sont associées avec ce VRF dans BGP.

SP1(config)# router bgp 100 SP1(config-router)# address-family ipv4 vrf Client_A SP1(config-router-af)# redistribute eigrp 65400 SP1(config-router-af)# exit SP1(config-router)# exit SP3(config)# router bgp 100 SP3(config-router)# address-family ipv4 vrf Client_A SP3(config-router-af)# redistribute eigrp 65400 SP3(config-router-af)# exit SP3(config-router)# exit Sur la base de la configuration ci-dessus, est-ce que la RIB VRF de SP1 con- tiendra la route 172.16.20.0/24 qui a été annoncée avec EIGRP sur BRANCH? Expliquez.__________________________________________________________________ ____________________________________________________________________________ ____________________________________________________________________________ Est-ce que HQ apprendra les mêmes routes via EIGRP? Expliquez.___________ Est-ce que vous verrez les routes redistribuées comme des routes EIGRP internes ou externes sur les routeurs CE? Expliquez.________________________ Entrez dans l'instance EIGRP qui contient les configurations de VRF sur SP1 et SP3 et configurez-la pour qu'elle redistribue les routes BGP. Comme vous redistribuez dans EIGRP à partir de BGP, il faut adapter les métriques. Ajouter une métrique pour la redistribution avec une bande passante de 2000 Kbit/s, un délai de 100 microsecondes, une fiabilité de 255/255, une charge de 1/255 et un MTU de 1500. SP1(config)# router eigrp 100 SP1(config-router-af)# redistribute bgp 100 metric 2000 1000 255 1 1500 SP3(config)# router eigrp 100 SP3(config-router-af)# redistribute bgp 100 metric 2000 1000

ment. Le plan contrôle représenté par la table de routage (RIB) et les Etape 6: Etude du fonctionnement du Plan Contrôle a. Rappelez-vous que MPLS différencie le plan contrôle du plan achemine- ment. Le plan contrôle représenté par la table de routage (RIB) et les protocoles de routage doit opérer pour que les routes VRF atteignent les PEs distants et soient installées si nécessaire dans les tables de routage VRF. Pas uniquement les préfixes mais également les métriques et les tags les accompagnant sont importants pour la reconstruction de la route au niveau du PE distant. Heureusement MP-BGP vous permet de transmettre ces métriques dans le NLRI (Network Layer Reachability Information). Au travers des étapes 6 et 7 nous allons étudier les informations de routage et d'acheminement associées avec la route 172.16.20.0/24. Vérifiez que les routes ont été propagées vers les routeurs PE distants. Entrez la commande show ip route vrf name pour afficher la RIB VRF. Notez la source des routes sur les routeurs PE. SP1# show ip route vrf Client_A Routing Table: Client_A Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2 i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2 ia - IS-IS inter area, * - candidate default, U - per-user static route o - ODR, P - periodic downloaded static route Gateway of last resort is not set 172.16.0.0/24 is subnetted, 4 subnets B 172.16.200.0 [200/0] via 10.0.3.1, 00:06:44 B 172.16.20.0 [200/2297856] via 10.0.3.1, 00:06:44 D 172.16.10.0 [90/156160] via 172.16.100.1, 00:17:34, FastEthernet0/0 C 172.16.100.0 is directly connected, FastEthernet0/0 SP3# show ip route vrf Client_A C 172.16.200.0 is directly connected, Serial0/1/0 D 172.16.20.0 [90/2297856] via 172.16.200.1, 16:47:37, Serial0/1/0 B 172.16.10.0 [200/156160] via 10.0.1.1, 00:17:28 B 172.16.100.0 [200/0] via 10.0.1.1, 00:17:28

l'attribut NEXT-HOP comme étant le routeur annonceur. Dans ce cas, SP3 Vous vous posez peut-être la question "Pourquoi la source de la route vers 172.16.20.0/24 sur SP1 pointe vers 10.0.3.1 alors que cette adresse devrait être routée avec la table de routage standard. Il faut considérer que lorsqu'une route générée de manière interne est transmise vers un voisin iBGP, BGP fixe l'attribut NEXT-HOP comme étant le routeur annonceur. Dans ce cas, SP3 génère la route dans BGP par redistribution. Les voisins BGP communiquent avec leurs interfaces loopback. C'est pourquoi l'attribut NEXT-HOP est configuré avec l'adresse IP de l'interface source BGP. Ainsi la RIB VRF pointe vers une interface qui doit être atteinte au travers de la table routage standard. Nous allons étudier l'acheminement pour des paquets destinés à ces réseaux à la prochaine étape. Sur les routeurs CE, entrez la commande show ip route pour voir la table de routage complète: HQ# show ip route Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area, * - candidate default, U - per-user static route o - ODR, P - periodic downloaded static route Gateway of last resort is not set 172.16.0.0/24 is subnetted, 4 subnets D 172.16.200.0 [90/2172416] via 172.16.100.254, 00:05:17, FastEthernet0/0 D 172.16.20.0 [90/2300416] via 172.16.100.254, 00:05:17, FastEthernet0/0 C 172.16.10.0 is directly connected, Loopback0 C 172.16.100.0 is directly connected, FastEthernet0/0 BRANCH# show ip route E1 - OSPF external type 1, E2 - OSPF external type 2 C 172.16.200.0 is directly connected, Serial0/0/0 C 172.16.20.0 is directly connected, Loopback0 D 172.16.10.0 [90/2300416] via 172.16.200.254, 00:02:02, Serial0/0/0 D 172.16.100.0 [90/2172416] via 172.16.200.254, 00:02:02, Serial0/0/0

BGP. SP1# show bgp vpnv4 unicast all Sur les routeurs PE et CE, notez que les routes redistribuées à partir de BGP dans EIGRP sont des routes EIGRP internes (internal) car BGP conserve les caractéristiques de la route EIGRP pendant l'annonce de cette route aux autres PEs. Le PE transmet autant d'informations EIGRP que possible dans les champs TLV pour conserver les caractéristiques à travers le VPN. Ceci permet au routeur PE distant de reconstituer la route EIGRP avec toutes ses caractéristiques y compris les composantes de la métrique, l'AS, le TAG, et pour les routes exter- nes le numéro d'AS distant, l'ID distant, le protocole distant et la métrique dis- tante. Ce sont là les caractéristiques EIGRP d'un préfixe que vous pouvez trou- ver dans la table de topologie. Si la route annoncée par EIGRP est interne, la route est annoncée comme route interne sur le site distant si l'AS destination correspond à l'AS source transporté par les attributs de communauté étendue BGP. SP1# show bgp vpnv4 unicast all BGP table version is 9, local router ID is 10.0.1.1 Status codes: s suppressed, d damped, h history, * valid, > best, i - internal, r RIB-failure, S Stale Origin codes: i - IGP, e - EGP, ? - incomplete Network Next Hop Metric LocPrf Weight Path Route Distinguisher: 100:1 (default for vrf Client_A) *> 172.16.10.0/24 172.16.100.1 156160 32768 ? *>i172.16.20.0/24 10.0.3.1 2297856 100 0 ? *> 172.16.100.0/24 0.0.0.0 0 32768 ? *>i172.16.200.0/24 10.0.3.1 0 100 0 ? SP3# show bgp vpnv4 unicast all BGP table version is 9, local router ID is 10.0.3.1 *>i172.16.10.0/24 10.0.1.1 156160 100 0 ? *> 172.16.20.0/24 172.16.200.1 2297856 32768 ? *>i172.16.100.0/24 10.0.1.1 0 100 0 ? *> 172.16.200.0/24 0.0.0.0 0 32768 ? Notez que la métrique (valeur MED) dans BGP est la métrique annoncée par EIGRP pour cette route. Qu'indique la valeur de l'attribut NEXT-HOP pour le réseau 172.16.200.0/24 sur SP3?___________________________________________________________________ Quelle est la valeur de l'attribut BGP NEXT-HOP pour la route 172.16.20.0/24 sur SP1?___________________________________________________________________ Par quel protocole de routage et à partir de quel routeur la route vers le réseau 10.0.3.1/32 a-t-elle été installée dans la table de routage standard sur SP1? _____________________________________________________________________________

reçoit la route par le NLRI BGP. Pour voir des détails spécifiques pour un préfixe particulier, utilisez la comman- de show bgp vpnv4 unicast all ip-address. Notez que l'information de label MPLS est incluse. Exécutez cette commande sur les deux routeurs PE. Rappe- lez-vous que SP3 annonce le préfixe 172.16.20.0/24 avec BGP tandis que SP1 reçoit la route par le NLRI BGP. SP1# show bgp vpnv4 unicast all 172.16.20.0/24 BGP routing table entry for 100:1:172.16.20.0/24, version 15 Paths: (1 available, best #1, table Client_A) Flag: 0x820 Not advertised to any peer Local 10.0.3.1 (metric 129) from 10.0.3.1 (10.0.3.1) Origin incomplete, metric 2297856, localpref 100, valid, internal, best Extended Community: RT:1:100 Cost:pre-bestpath:128:2297856 (default-2145185791) 0x8800:32768:0 0x8801:1:640000 0x8802:65281:1657856 0x8803:65281:1500 mpls labels in/out nolabel/20 SP3# show bgp vpnv4 unicast all 172.16.20.1 Advertised to update-groups:1 172.16.200.1 from 0.0.0.0 (10.0.3.1) Origin incomplete, metric 2297856, localpref 100, weight 32768, valid, sourced, best Cost:pre-bestpath:128:2297856 (default-2145185791) 0x8800:32768:0 0x8801:1:640000 0x8802:65281:1657856 0x8803:65281:1500 mpls labels in/out 20/nolabel Notez qu'il y a plusieurs valeurs dans les communautés BGP étendues. Rappelez-vous que BGP transmet l'information de route dans le NLRI comme des communautés étendues. Ces valeurs sont des TLVs indiquant des attributs EIGRP tels que le TAG, le numéro d'AS, la bande passante, le délai, la fiabilité, la charge, le MTU et le nombre de saut. Pourquoi le code origin est "incomplete"?______________________________________ ______________________________________________________________________________ Quel type d'attribut transporte l'information route target dans le NLRI MP-BGP? _____________________________________________________________________________ Notez que les labels MPLS indiqués pour la route BGP. Le in-label de "nolabel" sur SP1 indique que SP1 n'annonce pas de label pour le préfixe 172.16.20.0/24. Le out-label 20 est annoncé par SP3 et reçu par SP1. Ce label est significatif uniquement sur le chemin entre SP1 et SP3. Ce label a été alloué par BGP sur SP3.

mande show bgp vpnv4 unicast all labels. Affichez la liste des labels MPLS qui sont utilisés avec BGP en utilisant la com- mande show bgp vpnv4 unicast all labels. SP1# show bgp vpnv4 unicast all labels Network Next Hop In label/Out label Route Distinguisher: 100:1 (Client_A) 172.16.10.0/24 172.16.100.1 19/nolabel 172.16.20.0/24 10.0.3.1 nolabel/20 172.16.100.0/24 0.0.0.0 20/nolabel(Client_A) 172.16.200.0/24 10.0.3.1 nolabel/19 SP3# show bgp vpnv4 unicast all labels 172.16.10.0/24 10.0.1.1 nolabel/19 172.16.20.0/24 172.16.200.1 20/nolabel 172.16.100.0/24 10.0.1.1 nolabel/20 172.16.200.0/24 0.0.0.0 19/nolabel(Client_A) Comment SP1 a-t-il appris le label VPN 20?___________________________________ Est-ce que SP1 ou SP3 apprennent le label via LDP?___________________________ Est-ce que le router P SP2 a appris le label 20 de SP3? Expliquez._____________ ______________________________________________________________________________ Finalement affichez les attributs de route pour le même préfixe 172.16.20.0/24 dans la table de topologie EIGRP sur SP1 avec la commande show ip eigrp vrf customer topology ip-prefix/mask. Vérifiez cela en comparant avec le généra- teur de la route EIGRP dans BGP de SP3. SP1# show ip eigrp vrf Client_A topology 172.16.20.0/24 IP-EIGRP (AS 65400): Topology entry for 172.16.20.0/24 State is Passive, Query origin flag is 1, 1 Successor(s), FD is 2297856 Routing Descriptor Blocks: 10.0.3.1, from VPNv4 Sourced, Send flag is 0x0 Composite metric is (2297856/0), Route is Internal (VPNv4 Sourced) Vector metric: Minimum bandwidth is 1544 Kbit Total delay is 25000 microseconds Reliability is 255/255 Load is 1/255 Minimum MTU is 1500 Hop count is 1

mandes show utilisées précédemment. SP2# show ip route SP3# show ip eigrp vrf Client_A topology 172.16.20.0/24 IP-EIGRP (AS 65400): Topology entry for 172.16.20.0/24 State is Passive, Query origin flag is 1, 1 Successor(s), FD is 2297856 Routing Descriptor Blocks: 172.16.200.1 (Serial0/1/0), from 172.16.200.1, Send flag is 0x0 Composite metric is (2297856/128256), Route is Internal Vector metric: Minimum bandwidth is 1544 Kbit Total delay is 25000 microseconds Reliability is 255/255 Load is 1/255 Minimum MTU is 1500 Hop count is 1 Notez qu'il n'y a absolument aucune différence dans les paramètres de route EIGRP entre SP1 et SP3. BGP code et décode l'information sur les routeurs PE sans modification. Rappelez-vous que SP2 (routeur P) n'a aucune connaissance des routes dans les tables VRF des routeurs PE. Vous pouvez vérifier cela avec les différentes com- mandes show utilisées précédemment. SP2# show ip route Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2 i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2,ia - IS-IS inter area, * - candidate default, U - per-user static route o - ODR, P - periodic downloaded static route Gateway of last resort is not set 10.0.0.0/8 is variably subnetted, 5 subnets, 2 masks C 10.0.12.0/24 is directly connected, Serial0/0/0 O 10.0.3.1/32 [110/65] via 10.0.23.3, 1d00h, Serial0/0/1 C 10.0.2.1/32 is directly connected, Loopback0 O 10.0.1.1/32 [110/65] via 10.0.12.1, 1d00h, Serial0/0/0 C 10.0.23.0/24 is directly connected, Serial0/0/1 SP2# show ip route vrf Client_A % IP routing table Client_A does not exist Faites une commande ping entre les routeurs CE pour vérifier la connectivité à travers le VPN MPLS. HQ# ping 172.16.20.1 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 172.16.20.1, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 84/89/93 ms BRANCH# ping 172.16.10.1 Sending 5, 100-byte ICMP Echos to 172.16.10.1, timeout is 2 seconds: Success rate is 100 percent (5/5), round-trip min/avg/max = 84/86/88 ms

Etape 7: Etude du plan acheminement Rappelez-vous que MPLS a deux tables, la LIB (Label Information Base) et la LFIB (Label Forwarding Information Base). Normalement les labels alloués par LDP sont annoncés aux voisins LDP. Les labels alloués par BGP sont annoncés aux voisins BGP. Les labels alloués par BGP seront utilisés par les voisins BGP comme label MPLS pour des paquets destinés pour ce réseau à travers le VPN. Les labels alloués par BGP sont significatifs uniquement pour les routeurs en- trants et sortants. Les routeurs P qui ne sont pas des voisins BGP avec les rou- teurs PE ne verront pas le label de VPN pour les réseaux connus de BGP. Pour traverser le nuage MPLS, les paquets ont besoin d'être commutés avec un label à chaque saut sur la base des labels annoncés. Pour assurer que les pa- quets VPN qui atteignent le PE de sortie a le label MPLS nécessaire pour com- muter les paquets lorsqu'ils arrivent, les labels sont empilés par le routeur PE entrant. Toutefois les paquets sont toujours transmis sur le chemin de labels commutés. Rappelez-vous que le prochain saut de la RIB VRF pour les réseaux connus via le VPN pointe sur la loopback du routeur de sortie. CEF utilise le label "inuse" pour le prochain saut BGP comme le label de haut de pile pour les paquets passant par le VPN MPLS. D'abord CEF doit empiler le label VPN qui sera utilisé au PE de sortie. Pour cela CEF empile le label d'une manière séquentielle pour le label VPN soit disponible au PE de sortie. Le label pour traverser le chemin de labels commutés à travers les routeurs P est empilé en haut de pile. BGP, LDP, la LFIB CEF et l'IGP de l'opérateur sont concernés par l'utilisation des labels comme une technologie VPN. Une fois que BGP a appris le label MPLS à utiliser comme label VPN, cette infor- mation est entrée dans la table d'acheminement CEF sur le routeur PE d'entrée. Affichez l'entrée d'acheminement CEF pour 172.16.20.0/24 sur SP1 avec la commande show ip cef vrf name ip-address. SP1# show ip cef vrf Client_A 172.16.20.0 172.16.20.0/24, version 12, epoch 0, cached adjacency to Serial0/0/0 0 packets, 0 bytes tag information set local tag: VPN-route-head fast tag rewrite with Se0/0/0, point2point, tags imposed: {16 20} via 10.0.3.1, 0 dependencies, recursive next hop 10.0.12.2, Serial0/0/0 via 10.0.3.1/32 valid cached adjacency tag rewrite with Se0/0/0, point2point, tags imposed: {16 20}

utilisant la commande show ip mpls binding. SP1# show mpls ip binding CEF résout la recherche récursive pour le prochain saut BGP. Sur la base des labels appris avec LDP, CEF applique ou n'applique pas le label d'achemine- ment pour atteindre 10.0.3.1/32. Dans ce cas LDP sur SP2 a annoncé un label d'acheminement vers SP1. Affichez les labels annoncés vers SP1 via LDP en utilisant la commande show ip mpls binding. SP1# show mpls ip binding 10.0.1.1/32 in label: imp-null out label: 16 lsr: 10.0.2.1:0 10.0.2.1/32 in label: 16 out label: imp-null lsr: 10.0.2.1:0 inuse 10.0.3.1/32 in label: 17 out label: 17 lsr: 10.0.2.1:0 inuse 10.0.12.0/24 out label: imp-null lsr: 10.0.2.1:0 10.0.23.0/24 in label: 18 CEF empile en premier le label 20 sur le paquet puis empile le label de sortie 16. La table d'acheminement CEF décide quel chemin utiliser sur la base de la RIB standard. La route a été installée dans la RIB par OSPF. Donc le routeur PE en- trant impose deux labels en séquence {16, 20} comme la table d'acheminement CEF ci-dessus. Comme les paquets entrants venant de SP1 sont encapsulés dans des trames MPLS, SP2 agit selon les directives de sa LFIB. SP2 est également l'avant-dernier saut dans le chemin de labels commutés de SP1 vers l'interface loopback de SP3 et par conséquent SP2 retire le label de haut de pile de la trame MPLS. Affichez la LFIB avec la commande show mpls forwarding-table. SP2# show mpls forwarding-table Local Outgoing Prefix Bytes tag Outgoing Next Hop tag tag or VC or Tunnel Id switched interface 16 Pop tag 10.0.1.1/32 5175 Se0/0/0 point2point 17 Pop tag 10.0.3.1/32 8079 Se0/0/1 point2point Notez que la LFIB ne tient pas compte s'il y a un label interne ou pas, elle exé- cute simplement l'opération spécifiée dans la colonne "Outgoing tag or VC". Validez le debugging de paquets MPLS sur SP2 en utilisant la commande debug mpls packets et ensuite exécutez une commande ping d'un CE vers l'autre. Vous pouvez voir les paquets commutés avec le label. Les paquets ICMP sont acheminés dans des trames MPLS à travers SP2. Notez dans la sortie de debug que chaque ICMP echo request reçoit une réponse avec un label commuté sur le chemin de retour à travers le réseau MPLS. Quand cela est fait, arrêtez le debugging.

Note: Les messages suivants sont identiques et n'ont pa été affichés. SP2# debug mpls packets MPLS packet debugging is on HQ# ping 172.16.20.1 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 172.16.20.1, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 84/87/92 ms SP2# *Dec 16 13:08:27.863: MPLS les: Se0/0/0: rx: Len 112 Stack {17 0 254} {20 0 254} - ipv4 data *Dec 16 13:08:27.863: MPLS les: Se0/0/1: tx: Len 108 Stack {20 0 253} - ipv4 data ! Ces 2 messages montrent la commutation de labels du ICMP echo request *Dec 16 13:08:27.863: MPLS les: Se0/0/1: rx: Len 112 Stack {16 0 254} *Dec 16 13:08:27.863: MPLS les: Se0/0/0: tx: Len 108 Stack {20 0 253} ! Ces 2 messages montrent la commutation de labels du ICMP echo reply Note: Les messages suivants sont identiques et n'ont pa été affichés. SP2# undebug all All possible debugging has been turned off Continuons à tracer le chemin de labels commutés à travers le réseau de l'opé- rateur vers le PE de sortie SP3. Sur la base de quelle table d'acheminement le paquet VPN sera-t-il commuté sur SP3?___________________________________________________________________ ____________________________________________________________________________

Commuté par (CEF/LFIB) Affichez la LFIB MPLS sur SP3 en utilisant la commande show mpls forwarding-table. SP3# show mpls forwarding-table Local Outgoing Prefix Bytes tag Outgoing Next Hop tag tag or VC or Tunnel Id switched interface 16 16 10.0.1.0/24 0 Se0/0/0 point2point 17 Pop Label 10.0.2.1/32 0 Se0/0/0 point2point 18 Pop Label 10.0.12.1/32 0 Se0/0/0 point2point 19 No Label 172.16.200.0/24[V] 520\ aggregate/Client_A 20 No Label 172.16.20.0/24[V] 4888 Se0/0/1 point2point Notez que SP3 achemine le paquet IP désencapsulé sans label vers l'interface de sortie Serial 0/1/0 car il a été reçu avec le label 20. C'est le label que BGP an- nonce vers SP1. La table d'acheminement CEF de SP1 encapsule les paquets IP avec deux labels MPLS {16,20} et ensuite achemine les paquets vers SP2. Etape 8: Vérification de l'activité du VPN Entrez la commande traceroute d'un CE vers un autre pour trouver ce qui se passe à travers les différents sauts de couche 3. C'est un outil de debugging très important car cette commande peut être entrée à partir d'un routeur PE avec une référence vers un VRF. HQ# traceroute 172.16.20.1 Type escape sequence to abort. Tracing the route to 172.16.20.1 1 172.16.100.254 0 msec 0 msec 0 msec 2 10.0.12.2 [MPLS: Labels 17/20 Exp 0] 4 msec 0 msec 4 msec 3 172.16.200.254 [MPLS: Label 20 Exp 0] 0 msec 0 msec 4 msec 4 172.16.200.1 0 msec 0 msec * Remplissez le tableau suivant traçant le chemin de 172.16.100.1 vers 172.16.20.1. Routeur Entrant (MPLS/IP Sortant (MPLS/IP Commuté par (CEF/LFIB) Label(s) entrant Label(s) sortant HQ SP1 SP2 SP3 BRANCH

Commuté par (CEF/LFIB) En vous aidant de la sortie sur chacun des routeurs ci-dessous, tracez le chemin de retour de 172.16.20.1 vers 172.16.100.1 en remplissant le tableau qui suit. BRANCH# show ip cef 172.16.100.1 172.16.100.0/24, version 22, epoch 0, cached adjacency to Serial0/0/0 0 packets, 0 bytes via 172.16.200.254, Serial0/0/0, 0 dependencies next hop 172.16.200.254, Serial0/0/0 valid cached adjacency SP3# show ip cef vrf Client_A 172.16.100.1 172.16.100.0/24, version 6, epoch 0, cached adjacency to Serial0/0/1 tag information set local tag: VPN-route-head fast tag rewrite with Se0/0/1, point2point, tags imposed: {17 20} via 10.0.1.1, 0 dependencies, recursive next hop 10.0.23.2, Serial0/0/1 via 10.0.1.1/32 tag rewrite with Se0/0/1, point2point, tags imposed: {17 20} SP2# show mpls forwarding-table Local Outgoing Prefix Bytes tag Outgoing Next Hop tag tag or VC or Tunnel Id switched interface 16 Pop tag 10.0.3.1/32 15601 Se0/0/1 point2point 17 Pop tag 10.0.1.1/32 25413 Se0/0/0 point2point SP1# show mpls forwarding-table 16 Pop tag 10.0.2.1/32 0 Se0/0/0 point2point 17 16 10.0.3.1/32 0 Se0/0/0 point2point 18 Pop tag 10.0.23.0/24 0 Se0/0/0 point2point 19 Untagged 172.16.10.0/24[V] 0 Fa0/0 172.16.100.1 20 Aggregate 172.16.100.0/24[V] \0 Routeur Entrant (MPLS/IP Sortant (MPLS/IP Commuté par (CEF/LFIB) Label(s) entrant Label(s) sortant BRANCH SP3 SP2 SP1 HQ