MPLS - Accès Internet à partir d'un VPN MPLS d'une table de Routage globale ccnp_cch ccnp_cch

Sommaire • Introduction • Vérification - Prérequis - Composants utilisés - Rappel de théorie • Configuration - Schéma du réseau - Configurations • Vérification - Connectivité VPN entre CE1 et CE2 - Connectivité Internet à partir de CE1 ccnp_cch

Introduction ccnp_cch Le but de ce document est de montrer une configuration utilisée pour accéder à Internet à partir d'un VPN MPLS en utilisant une table de routage globale. Dans certains scénarios de réseau, il est requis d'accéder à Internet à partir du VPN MPLS tout en continuant à maintenir la connectivité VPN entre les sites de l'entreprise. Cet exemple de configuration est focalisé sur la fourniture de l'accès Internet depuis le VRF (VPN Routing and Forwarding) qui contient la route par défaut vers la passerelle Internet. Les abréviations suivantes sont utilisées dans ce document; ● CE - Routeur Custumor Edge ● PE - Routeur Provider Edge ● P - Routeur de cœur de réseau de l'opérateur Prérequis Une connaissance de base de l'acheminement MPLS VPN est requise pour bien com- prendre le contenu de ce document. Composants utilisés Ce document est basé sur les versions logicielles et matérielles suivantes: ● Cisco IOS Release 12.1(3)T. La release 12.0(5)T contient la fonctionnalité VPN MPLS. ● Tout routeur de la série 3600 (3660 par exemple) ou supérieur tel Cisco 7206. Rappel de théorie Dans cet exemple de configuration, les politiques suivantes ont été mises en place. ● Un routeur avec une connectivité Internet est attaché à un réseau MPLS. Il peut in- jecter ou non des routes BGP (Border Gateway Protocol) dans la table de routage globale. Note: Les routeurs PE comprennent BGP. Les routeurs tels que les GSR (Giga-Switch Router) opérant comme des routeurs de cœur de réseau de l'opérateur n'utilisent pas BGP. ● Il n'y a aucune exigence pour un VRF d'avoir une table de routage complète d'Inter- net (Table BGP globale). ● Un client VPN utilise un espace d'adresse unique enregistré qui est routable dans la table de routage globale d'Internet. La méthode d'accès utilisée dans ce document n'est pas recommandée car les clients ont uniquement des adresses privées. ccnp_cch

Configuration ccnp_cch Vous pouvez vous référer au schéma du réseau pour une illustration de cette configura- tion. Dans cet exemple, CE1 et CE2 sont dans le même VPN. ils sont configurés sous le VRF "Customer1" car il n'y aucune exigence pour que le VRF ait la table de routage complète d'Internet. Une route statique par défaut est configurée dans le VRF "Custo- mer1" sur PE1 pointant vers la passerelle Internet. En plaçant une route statique par défaut dans le VRF "Customer1", les paquets qui ne correspondent à aucune des rou- tes contenues dans le VRF "Customer1" seront transmis vers la passerelle Internet. Note: Comme l'adresse de la passerelle Internet 192.168.67.1 ne fait pas partie du VRF "Customer1", une route par défaut est configurée, dans le VRF "Customer1", pointant vers l'interface s8/0 avec l'adresse IP 192.168.67.1 de la passerelle Internet. La route 192.168.67.1 ne fait pas partie du VRF "Customer1" aussi vous devez utiliser le mot-clé global dans la route statique par défaut configurée sous le VRF "Customer1". Le mot-clé global signifie que l'adresse du prochain saut de la route statique doit être résolue dans la table de routage globale et non dans le VRF "Customer1" Exemple de route statique: ip route vrf customer1 0.0.0.0 0.0.0.0 192.168.67.1 global Avoir une route statique avec le mot-clé global dans le VRF "Customer1" assure que tous les paquets destinés à Internet sont routés vers la passerelle et par conséquent vers Internet. Note: La route par défaut dans PE1 est configurée pour pointer vers l'adresse IP de l'interface serial de la passerelle Internet (192.168.67.1) et non vers l'adresse de l'inter- face loopback (10.1.1.6). Ceci évite d'avoir des routes "trou noir" dans le cas d'une dé- faillance de la connectivité entre la passerelle Internet et Internet (Routeur R7). Si la route par défaut pointait vers l'adresse de l'interface loopback de la passerelle Internet, et que la connectivité entre la passerelle Internet et R7 est rompue, tous les paquets continueraient à être routés vers la passerelle Internet. Ceci se produit car l'interface loopback reste en service (au contraire de 192.168.67.1 qui serait retiré de la table de routage) quand l'interface S8/0 passerait hors service) et la route par défaut existe tou- jours dans la table de routage. L'étape suivante est de s'assurer que les paquets venant d'Internet à destination du ré- seau de CE1 11.11.11.0/24 sont routés de la passerelle Internet vers PE1 puis vers CE1 au travers du cœur de réseau MPLS. Ceci est réalisé en configurant une route statique pour le réseau CE1 pointant vers l'interface serial s8/0 dans la table de routa- ge globale de PE1. Redistribuez cette route dans OSPF (Open Shortest Path First) ainsi la passerelle Internet vers PE1 et vers la destination finale au-delà de CE1. Exemple de route statique configurée dans PE1: ip route 11.11.11.0 255.255.255.0 Serial8/0 192.168.10.1 ccnp_cch

Note: La route statique configurée ci-dessus dans la table de routage globale est en plus de la route statique configurée dans le VRF "Customer1" qui est utilisée pour le VPN NLRI (Network Layer Reachability Information). Sur PE1 cette route est configurée comme suit: ip route vrf customer1 11.11.11.0 255.255.255.0 192.168.10.1 Schéma du réseau VPN Lo2 – 11.11.11.1 CE1 .1 s8/0 192.168.10.x/30 .2 s8/0 e0/0 PE1 Lo0 – 10.1.1.2 Lo2 – 99.99.99.1 e0/0 e1/0 s8/0 e1/0 .1 R7 e2/0 s8/0 .2 .13 IGW 192.168.67.x/30 P Lo0 -10.1.1.3 .6 Lo0 -10.1.1.6 Internet PE2 e2/0 Backbone MPLS opérateur .1 Lo0 -10.1.1.4 192.168.20.x/30 s9/0 .2 s9/0 CE2 Lo0 – 22.22.22.22 VPN ccnp_cch

Configurations ccnp_cch CE1 PE1 version 12.2 ! hostname CE−1 ip subnet−zero interface Loopback0 ip address 10.1.1.1 255.255.255.255 interface Loopback2 ip address 11.11.11.1 255.255.255.0 interface Serial8/0 ip address 192.168.10.1 255.255.255.252 !−−− Interface connectée à PE 1. ip classless ip route 0.0.0.0 0.0.0.0 192.168.10.2 !−−− Route par défaut pour router tous les paquets vers !--- PE1. PE1 version 12.2 ! hostname PE−1 ip subnet−zero !−−− VRF customer1. ip vrf customer1 rd 100:1 !−−− route distiguisher pour le VRF. route−target export 1:1 route−target import 1:1 !−−− Politiques d'import et d'export dans le VRF. ip cef !−−− Valide Cisco Express Forwarding (CEF) switching. interface Loopback0 ip address 10.1.1.2 255.255.255.255 ccnp_cch

ccnp_cch ! interface Ethernet0/0 !−−− Interface connectée au routeur P . ip address 10.10.23.2 255.255.255.0 tag−switching ip !−−− MPLS switching validé. interface Serial8/0 ! Connecté à CE−1 ip vrf forwarding customer1 !−−− Acheminement de route basé sur le VRF customer !--- est validé. ip address 192.168.10.2 255.255.255.252 router ospf 1 log−adjacency−changes redistribute static subnets network 0.0.0.0 255.255.255.255 area 0 router bgp 100 no synchronization bgp log−neighbor−changes neighbor 10.1.1.4 remote−as 100 !−−− Relation de voisin avec PE 2 établie. neighbor 10.1.1.4 update−source Loopback0 neighbor 10.1.1.4 next−hop−self no auto−summary address−family ipv4 vrf customer1 !−−− Mode de configuration address−family spécifie !--- préfixes d'adresses IPv4 unicast pour le VRF !--- customer1 . network 11.11.11.0 mask 255.255.255.0 !−−− Le réseau 11.11.11.0/24 de CE 1 est annoncé à !--- PE2. network 192.168.10.0 mask 255.255.255.252 exit−address−family address−family vpnv4 !−−− C'est le mode de configuration address−family !--- VPNV4 pour configurer les sessions BGP. neighbor 10.1.1.4 activate neighbor 10.1.1.4 send−community extended ip classless ccnp_cch

ccnp_cch P ip route 11.11.11.0 255.255.255.0 Serial8/0 192.168.10.1 !−−− La route statique dans la table de routage globale !--- pointe vers l'interface connectée à CE 1. ! ip route vrf customer1 0.0.0.0 0.0.0.0 192.168.67.1 global !−−− La route statique par défaut sous le VRF customer1 !--- route les paquets hors du VPN vers la passerelle !--- Internet. ip route vrf customer1 11.11.11.0 255.255.255.0 192.168.10.1 !−−− La route statique pour le réseau 11.11.11.0/24 !--- (réseau CE-1) sous le VRF customer1 assure !--- l'accessibilité du réseau de CE 1 à parir des autres !−−− sites du VPN. P version 12.2 ! hostname P ip subnet−zero ip cef !−−− CEF switching validé. interface Loopback0 ip address 10.1.1.3 255.255.255.255 interface Ethernet0/0 !−−− Interface connectée à PE 1. ip address 10.10.23.3 255.255.255.0 tag−switching ip !−−− MPLS switching validé. interface Ethernet1/0 !−−− Interface connectée à PE 2. ip address 10.10.34.3 255.255.255.0 interface Ethernet2/0 !−−− Interface connectée à la passerelle Internet. ip address 10.10.36.3 255.255.255.0 router ospf 1 log−adjacency−changes network 0.0.0.0 255.255.255.255 area 0 ccnp_cch

ccnp_cch IGW version 12.2 ! hostname IGW ip subnet−zero ip cef !−−− Valide CEF switching. interface Loopback0 ip address 10.1.1.6 255.255.255.255 interface Ethernet2/0 !−−− Interface connectée au routeur P. ip address 10.10.36.6 255.255.255.0 tag−switching ip interface Serial8/0 ip address 192.168.67.1 255.255.255.252 router ospf 1 log−adjacency−changes network 0.0.0.0 255.255.255.255 area 0 router bgp 100 no synchronization bgp log−neighbor−changes network 11.11.11.0 mask 255.255.255.0 network 22.22.22.0 mask 255.255.255.0 neighbor 192.168.67.2 remote−as 200 no auto−summary ccnp_cch

ccnp_cch PE2 version 12.2 ! hostname PE−2 ip subnet−zero ip vrf customer1 !−−− VRF Customer1 configuré. rd 100:1 !−−− Route Distinguisher pour le VRF. route−target export 1:1 route−target import 1:1 !−−− Politiques d'import et d'export dans le VRF. ip cef !−−− Valide Cisco Express Forwarding (CEF) switching. interface Loopback0 ip address 10.1.1.4 255.255.255.255 interface Ethernet1/0 !−−− Interface connectée au routeur P. ip address 10.10.34.4 255.255.255.0 tag−switching ip !−−− MPLS switching validé. interface Serial9/0 !−−− Interface connectée au routeur CE 2. ip vrf forwarding customer1 !−−− Valide l'acheminement VRF sur l'interface. ip address 192.168.20.1 255.255.255.252 router ospf 1 log−adjacency−changes redistribute static subnets network 0.0.0.0 255.255.255.255 area 0 router bgp 100 no synchronization bgp log−neighbor−changes neighbor 10.1.1.2 remote−as 100 neighbor 10.1.1.2 update−source Loopback0 neighbor 10.1.1.2 next−hop−self no auto−summary ccnp_cch

ccnp_cch ! address−family ipv4 vrf customer1 !−−− This is the address−family IPv4 configuration of customer1 VRF. no auto−summary no synchronization network 22.22.22.0 mask 255.255.255.0 !−−− Annonce le réseau de CE 2 à PE 1. exit−address−family address−family vpnv4 !−−− C'est le mode de configuration address−family !--- VPNV4 pour configurer les sessions BGP avec PE1. neighbor 10.1.1.2 activate neighbor 10.1.1.2 send−community extended ip classless ip route 22.22.22.0 255.255.255.0 Serial9/0 192.168.20.2 !−−− Route statique pour le réseau 22.22.22.0/24 dans la !--- table de routage globale pointant sur l'interface !−−− connectée à CE 2. ip route vrf customer1 0.0.0.0 0.0.0.0 192.168.67.1 global !−−− Route statique par défaut pour le client VRF pour des !−−− destinations hors du VPN. ip route vrf customer1 22.22.22.0 255.255.255.0 192.168.20.2 !−−− Route statique dans le VRF customer1 pour le réseau CE2 !−−− pour la connectivité VPN. ccnp_cch

Vérification ccnp_cch CE2 version 12.2 ! hostname CE−2 ip subnet−zero interface Loopback0 ip address 22.22.22.22 255.255.255.0 interface Serial9/0 !−−− Interface connectée à PE 2. ip address 192.168.20.2 255.255.255.252 ip classless ip route 0.0.0.0 0.0.0.0 192.168.20.1 !−−− Route par défaut pointant vers PE 2. Vérification Cette section fournit des informations que vous pouvez utiliser pour confirmer que votre configuration fonctionne correctement. Connectivité VPN entre CE 1 et CE 2 Pour vérifier la connectivité VPN entre CE 1 et CE 2, CE 1 doit être capable d'atteindre le réseau de CE 2 22.22.22.0/24 et inversement. Pour vérifier cela, vérifiez la route vers le réseau 22.22.22.0/24 dans le VRF "customer1" sur PE 1. 1. La commande show ip route vrf customer1 confirme que la route vers le réseau 22. 22.22.0/24 est apprise de 10.1.1.4 (adresse loopback de PE2). PE−1#show ip route vrf customer1 Codes: C − connected, S − static, I − IGRP, R − RIP, M − mobile, B − BGP D − EIGRP, EX − EIGRP external, O − OSPF, IA − OSPF inter area N1 − OSPF NSSA external type 1, N2 − OSPF NSSA external type 2 E1 − OSPF external type 1, E2 − OSPF external type 2, E − EGP i − IS−IS, L1 − IS−IS level−1, L2 − IS−IS level−2, ia − IS−IS inter area * − candidate default, U − per−user static route, o − ODR P − periodic downloaded static route Gateway of last resort is 192.168.67.1 to network 0.0.0.0 192.168.10.0/30 is subnetted, 1 subnets C 192.168.10.0 is directly connected, Serial8/0 22.0.0.0/24 is subnetted, 1 subnets B 22.22.22.0 [200/0] via 10.1.1.4, 01:00:50 11.0.0.0/24 is subnetted, 1 subnets S 11.11.11.0 [1/0] via 192.168.10.1 S* 0.0.0.0/0 [1/0] via 192.168.67.1 ccnp_cch

2. De manière similaire sur PE 2, la route vers le réseau 11. 11. 11 2. De manière similaire sur PE 2, la route vers le réseau 11.11.11.0/24 dans le VRF customer1 est visible dans la sortie suivante: PE−2#show ip route vrf customer1 Codes: C − connected, S − static, I − IGRP, R − RIP, M − mobile, B − BGP D − EIGRP, EX − EIGRP external, O − OSPF, IA − OSPF inter area N1 − OSPF NSSA external type 1, N2 − OSPF NSSA external type 2 E1 − OSPF external type 1, E2 − OSPF external type 2, E − EGP i − IS−IS, L1 − IS−IS level−1, L2 − IS−IS level−2, ia − IS−IS inter area * − candidate default, U − per−user static route, o − ODR P − periodic downloaded static route Gateway of last resort is 192.168.67.1 to network 0.0.0.0 192.168.10.0/30 is subnetted, 1 subnets B 192.168.10.0 [200/0] via 10.1.1.2, 01:00:09 22.0.0.0/24 is subnetted, 1 subnets S 22.22.22.0 [1/0] via 192.168.20.2 192.168.20.0/30 is subnetted, 1 subnets C 192.168.20.0 is directly connected, Serial9/0 11.0.0.0/24 is subnetted, 1 subnets B 11.11.11.0 [200/0] via 10.1.1.2, 01:00:09 S* 0.0.0.0/0 [1/0] via 192.168.67.1 3. Maintenant vérifiez la connectivité entre CE1 et CE2 en "pinguant" le host 22.22.22. 22 sur CE2 en utilisant l'adresse source 11.11.11.11 de CE1. CE−1#ping Protocol [ip]: Target IP address: 22.22.22.22 Repeat count [5]: Datagram size [100]: Timeout in seconds [2]: Extended commands [n]: y Source address or interface: 11.11.11.1 Type of service [0]: Set DF bit in IP header? [no]: Validate reply data? [no]: Data pattern [0xABCD]: Loose, Strict, Record, Timestamp, Verbose[none]: Sweep range of sizes [n]: Type escape sequence to abort. Sending 5, 100−byte ICMP Echos to 22.22.22.22, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round−trip min/avg/max = 20/20/20 ms ccnp_cch

ccnp_cch Connectivité vers Internet à partir de CE1 1. Tout les paquets destinés à Internet ou au VPN à partir de CE1 seront routés en uti- lisant une route par défaut configurée dans CE1 et pointant vers PE1 comme cela est montré ci-dessous: CE−1#show ip route 0.0.0.0 Routing entry for 0.0.0.0/0, supernet Known via "static", distance 1, metric 0, candidate default path Routing Descriptor Blocks: * 192.168.10.2 Route metric is 0, traffic share count is 1 2. Les paquets entrant dans PE1 sur l'interface S8/0 seront routés en utilisant la table de routage VRF customer1. PE1 a une route par défaut dans le VRF customer1 poin- tant vers la passerelle Internet 192.168.67.1 comme cela est montré ci-dessous dans la sortie de la commande show ip route vrf customer1 sur PE1. PE−1#show ip route vrf customer1 Codes: C − connected, S − static, I − IGRP, R − RIP, M − mobile, B − BGP D − EIGRP, EX − EIGRP external, O − OSPF, IA − OSPF inter area N1 − OSPF NSSA external type 1, N2 − OSPF NSSA external type 2 E1 − OSPF external type 1, E2 − OSPF external type 2, E − EGP i − IS−IS, L1 − IS−IS level−1, L2 − IS−IS level−2, ia − IS−IS inter area * − candidate default, U − per−user static route, o − ODR P − periodic downloaded static route Gateway of last resort is 192.168.67.1 to network 0.0.0.0 192.168.10.0/30 is subnetted, 1 subnets C 192.168.10.0 is directly connected, Serial8/0 22.0.0.0/24 is subnetted, 1 subnets B 22.22.22.0 [200/0] via 10.1.1.4, 01:21:11 11.0.0.0/24 is subnetted, 1 subnets S 11.11.11.0 [1/0] via 192.168.10.1 S* 0.0.0.0/0 [1/0] via 192.168.67.1 3. Comme la route par défaut sur PE1 est configurée avec le mot-clé global, la recher- che du prochain saut 192.168.67.1 est effectuée dans la table de routage globale et cette route point vers la passerelle Internet comme cela est montré ci-dessous: PE−1#show ip route 192.168.67.1 Routing entry for 192.168.67.0/30 Known via "ospf 1", distance 110, metric 84, type intra area Last update from 10.10.23.3 on Ethernet0/0, 00:21:54 ago * 10.10.23.3, from 10.1.1.6, 00:21:54 ago, via Ethernet0/0 Route metric is 84, traffic share count is 1 4. Les paquets qui atteignent la passerelle Internet seront routés sur Internet sur la base ccnp_cch

4. Les paquets qui atteignent la passerelle Internet seront routés sur Internet sur la base des routes BGP apprises de R7. Dans ce cas, vous pouvez vérifier regarder les routes BGP apprises de R7 pour vérifier la connectivité Internet. Ci-dessous est af- fichée la route BGP (réseau 99.99.99.0/24) apprise de R7 dans la table de routage de la passerelle Internet. IGW#show ip route 99.99.99.0 Routing entry for 99.99.99.0/24 Known via "bgp 100", distance 20, metric 0 Tag 200, type external Last update from 192.168.67.2 01:37:25 ago Routing Descriptor Blocks: * 192.168.67.2, from 192.168.67.2, 01:37:25 ago Route metric is 0, traffic share count is 1 AS Hops 1 Les paquets qui sont issus de CE1 seront routés vers Internet. 5. Pour les paquets revenant d'Internet et destinés au réseau 11.11.11.0/24 de CE1, la passerelle Internet doit avoir une route pointant vers PE1 dans sa table de routage globale. Une route statique dans la table de routage globale pointe vers l'interface S8/0 sur PE1 connectant CE1 et redistribuée dans OSPF est configurée. Ceci assure que la passerelle Internet a une route dans sa table de routage globale pointant vers PE1. La route statique sur PE1 et la route OSPF apprise sur la passerelle Internet sont affichées ci-dessous: IGW#show ip route 11.11.11.0 Routing entry for 11.11.11.0/24 Known via "ospf 1", distance 110, metric 20, type extern 2, forward metric 20 Last update from 10.10.36.3 on Ethernet2/0, 00:34:34 ago * 10.10.36.3, from 10.1.1.2, 00:34:34 ago, via Ethernet2/0 Route metric is 20, traffic share count is 1 PE−1#show ip route 11.11.11.0 Known via "static", distance 1, metric 0 Redistributing via ospf 1 Advertised by ospf 1 subnets * 192.168.10.1, via Serial8/0 ccnp_cch

6. Maintenant vérifiez la connectivité vers Internet à partir de CE1 en "pinguant" R7 à l'adresse 99.99.99.1 avec l'adresse source 11.11.11.11 sur CE1. CE−1#ping Protocol [ip]: Target IP address: 99.99.99.1 Repeat count [5]: Datagram size [100]: Timeout in seconds [2]: Extended commands [n]: y Source address or interface: 11.11.11.1 Type of service [0]: Set DF bit in IP header? [no]: Validate reply data? [no]: Data pattern [0xABCD]: Loose, Strict, Record, Timestamp, Verbose[none]: Sweep range of sizes [n]: Type escape sequence to abort. Sending 5, 100−byte ICMP Echos to 99.99.99.1, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round−trip min/avg/max = 20/24/32 ms CE−1# ccnp_cch