La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

TP MPLS - Implémentation VPNs MPLS.

Présentations similaires


Présentation au sujet: "TP MPLS - Implémentation VPNs MPLS."— Transcription de la présentation:

1 TP MPLS - Implémentation VPNs MPLS

2 Objectifs  Partie 1: Configuration de base des équipements réseau
▪ Configuration des paramètres de base tels que le nom de host, les adresses IP.  Partie 2: Configuration de EIGRP dans le réseau du client ▪ Configurer les routeurs HQ et BRANCH ▪ Vérification du routage EIGRP  Partie 3: Configuration de OSPF dans le réseau opérateur ▪ Configuration des routeurs SP1, SP2 et SP3. ▪ Vérification du routage OSPF  Partie 4: Configuration de MPLS dans le domaine de l'opérateur ▪ Configuration de MPLS sur les routeurs P et PE ▪ Vérification de MPLS ▪ Configuration d'une une instance VRF (Virtual Routing/Forwarding) ▪ Configuration du routage EIGRP sur les routeurs PE ▪ Utilisation de MP-BGP pour échanger les mises à jour de routage VPN ▪ Vérification de l'activité du VPN

3 • Un commutateur Cisco Catalyst 2950 ou 2960.
Ressources requises • Cinq routeurs Cisco 2811 avec IOS ADVEnterprise12.4(20)T avec deux interfaces Serial. • Un commutateur Cisco Catalyst 2950 ou 2960. • Des câbles séries, des câbles Ethernet • Deux PC avec Hyperterminal et des câbles console. Equipement Interface Adresse IP Masque SP1 Fa0/ S0/0/ Lo SP2 S0/0/ (DCE) S0/0/ Lo SP3 Fa0/ S0/0/ Lo HQ Fa0/ Lo BRANCH S0/0/ Lo

4 Schéma du réseau Loopback 0: /32 SP2 Domaine MPLS AS100 OSPF Area 0 S0/0/1 DCE S0/0/0 DCE .2 .2 /24 /24 Loopback 0: /32 Loopback 0: /32 .3 .1 S0/0/0 S0/0/1 Session iBGP AS 100 SP3 SP1 .254 S0/1/0 DCE .254 Fa0/0 /24 /24 EIGRP AS 65400 .1 Fa0/0 S0/0/0 .1 HQ BRANCH Loopback 0: /24 Loopback 0: /24 Scénario Vous êtes ingénieur réseau dans une société d'opérateur et vous suggérez de déve- lopper MPLS comme nouvelle technologie de transport pour faciliter les VPNs entre les sites de clients qui se connectent à travers votre réseau. Votre DSI vous a de- mandé de monter une maquette avec un lab pour débuter par de petites implémen- tations de VPNs MPLS avant de passer à des études de cas plus importantes.

5 Partie 1: Configuration de base des équipements réseau
Etape 1: Connectez physiquement tous les équipements du réseau selon le schéma de celui-ci. Etape 2: Configurez la console sur les commutateurs et les routeurs pour un meilleur confort d'utilisation. Exemple pour SP1: SP1(config)# line cons 0 SP1(config-line)# exec-timeout 5 0 SP1(config-line)# logging synchronous La commande exec-timeout cause la déconnexion de la ligne au bout de 5 minutes d'inactivité. La commande logging synchronous évite que les messages de log sur la console perturbent l'entrée des commandes. Note: Pour éviter des logins répétitifs, la commande exec-timeout peut être entrée avec 0 0 ce qui empêche la déconnexion. Toutefois, ceci n'est pas une bonne pratique de sécurité. Entrez ces commandes sur les autres équipements de réseau. Etape 3: Pour éviter une recherche DNS si vous entrez un nom autre que celui d'une commande, entrez cette commande. SP1(config)# no ip domain-lookup Entrez cette commande sur les autres équipements de réseau. Etape 4: Configuration des adresses des interfaces pour SP2 SP2(config)# interface loopback 0 SP2(config-if)# ip address SP2(config-if)# interface serial 0/0/0 SP2(config-if)# ip address SP2(config-if)# clock rate SP2(config-if)# no shutdown SP2(config-if)# interface serial 0/0/1 SP2(config-if)# ip address

6 Etape 5: Configuration des adresses des interfaces pour le routeur SP1
a. Configuration des adresses des interfaces SP1(config)# interface loopback 0 SP1(config-if)# ip address SP1(config-if)# interface serial 0/0/0 SP1(config-if)# ip address SP1(config-if)# no shutdown SP1(config-if)# interface FastEthernet 0/0 SP1(config-if)# ip address b. Vérifiez la connectivité point à point avec SP2 en utilisant une commande ping. Etape 6: Configuration des adresses des interfaces pour le routeur SP3 SP3(config)# interface loopback 0 SP3(config-if)# ip address SP3(config-if)# interface serial 0/0/0 SP3(config-if)# ip address SP3(config-if)# no shutdown SP3(config-if)# interface fastethernet 0/0 SP3(config-if)# ip address Etape 7: Configuration des adresses des interfaces pour le routeur HQ HQ(config)# interface loopback 0 HQ(config-if)# ip address HQ(config-if)# interface fastethernet 0/0 HQ(config-if)# ip address HQ(config-if)# no shutdown b. Vérifiez la connectivité point à point avec SP1 en utilisant une commande

7 Partie 2: Configuration de EIGRP dans le réseau du client
Etape 7: Configuration des adresses des interfaces pour le routeur BRANCH a. Configuration des adresses des interfaces BRANCH(config)# interface loopback 0 BRANCH(config-if)# ip address BRANCH(config-if)# interface serial 0/0/0 BRANCH(config-if)# ip address BRANCH(config-if)# clock rate BRANCH(config-if)# no shutdown b. Vérifiez la connectivité point à point avec SP3 en utilisant une commande ping. Partie 2: Configuration de EIGRP dans le réseau du client Etape 1: Configuration des routeurs CE (Customer Egde) a. Configuration du routeur HQ HQ(config)# router eigrp 65400 HQ(config-router)# no auto-summary HQ(config-router)# network b. Configuration du routeur BRANCH BRANCH(config)# router eigrp 65400 BRANCH(config-router)# no auto-summary BRANCH(config-router)# network Note: A ce point la connectivité EIGRP n'est pas assurée car les routeurs SP1 et SP3 doivent être configurés avec MPLS. Partie 3: Configuration de OSPF dans le réseau opérateur Etape 1: Configuration des routeurs SP1, SP2 et SP3. SP1(config)# router ospf 1 SP1(config-router)# network area 0 SP2(config)# router ospf 1 SP2(config-router)# network area 0 SP3(config)# router ospf 1 SP3(config-router)# network area 0 Etape 2: Vérifiez que toutes les adjacences OSPF sont établies. Les adjacences OSPF doivent se former entre SP1 et SP2 et entre SP2 et SP3. Si les adjacences ne se forment pas, vérifiez votre configuration OSPF et les connexions physiques A quoi sert OSPF dans cette configuration?___________________________________ _____________________________________________________________________________

8 Partie 4: Configuration de MPLS dans le domaine de l'opérateur
Etape 1: Activation de MPLS sur les routeurs de l'opérateur Sur tous les routeurs de l'opérateur, forcez MPLS à utiliser l'interface loopback comme "router ID" pour les adjacences LDP. L'interface loopback serait automatique- ment choisie par chaque routeur mais il est préférable de forcer l'ID ainsi sa valeur restera inchangée au travers des changements de topologie et des redémarrages de routeurs. Pour forcer LDP à choisir l'interface loopback comme router ID, utilisez la commande mpls ldp router-id interface force en mode de configuration global. Validez également MPLS sur toutes les interfaces physiques dans le domaine MPLS avec le commande mpls ip. SP1(config)# mpls ldp router-id loopback0 force SP1(config)# interface serial0/0/0 SP1(config-if)# mpls ip SP2(config)# mpls ldp router-id loopback0 force SP2(config)# interface serial0/0/0 SP2(config-if)# mpls ip SP2(config-if)# interface serial0/0/1 SP3(config)# mpls ldp router-id loopback0 force SP3(config)# interface serial0/0/1 SP3(config-if)# mpls ip Vous devez voir s'afficher des messages sur la console notifiant que les routeurs MPLS sont devenus adjacents les uns avec les autres via LDP. Vérifiez que ces adjacences ont été formées en utilisant la commande show mpls ldp neighbor. SP1# show mpls ldp neighbor Peer LDP Ident: :0; Local LDP Ident :0 TCP connection: State: Oper; Msgs sent/rcvd: 9/9; Downstream Up time: 00:01:43 LDP discovery sources: Serial0/0/0, Src IP addr: Addresses bound to peer LDP Ident: SP2# show mpls ldp neighbor Peer LDP Ident: :0; Local LDP Ident :0 TCP connection: State: Oper; Msgs sent/rcvd: 10/10; Downstream Up time: 00:02:03 Serial0/0/0, Src IP addr:

9 Peer LDP Ident: 10.0.3.1:0; Local LDP Ident 10.0.
TCP connection: State: Oper; Msgs sent/rcvd: 10/10; Downstream Up time: 00:01:58 LDP discovery sources: Serial0/0/1, Src IP addr: Addresses bound to peer LDP Ident: SP3# show mpls ldp neighbor Peer LDP Ident: :0; Local LDP Ident :0 TCP connection: Up time: 00:02:08 Serial0/0/1, Src IP addr: Etape 2: Configuration d'une instance VRF Un VPN MPLS est un VPN de couche 3 qui permet le routage de paquets à travers un cœur de réseau MPLS. Ce type de VPN fournit au client des connexions à des sites multiples à travers un réseau d'opérateur. L'opérateur ne fournit pas uniquement la connexion physique mais également la capacité de router dynamiquement entre les extrémités VPN. Ceci est assez remarquable quand on considère que les clients ne sont pas obligés d'utiliser des adresses de couche 3 publiques. Le routeurs de périphérie de l'opérateur utilisent le même protocole de le réseau du client et permettent ainsi aux sites du client de s'interfacer avec l'opérateur. P Réseau MPLS de l'opérateur PE PE Session iBGP pour échanger les routes du client VRF VRF C Réseau client CE C Réseau client CE

10 Le modèle standard pour les VPNs MPLS utilise les définitions suivantes:
 Provider (P) - Routeurs de l'opérateur qui agissent comme des LSRs (Label Switch router) pour fournir le transit dans le réseau de l'opérateur. Le routeurs P ne contiennent pas les routes des clients dans leurs tables de routage  Customer (C) - Routeurs du client qui fournit des fonctions de routage dans le réseau du client  Customer Edge (CE) - Le routeur CE est installé sur le site du client. Selon le type de contrat opérateur, ce routeur peut être administré par le client, l'opérateur ou les deux. Le routeur CE est connecté et communique avec les routeurs de l'opérateur et participe au routage du client  Provider Edge (PE) - Routeurs de l'opérateur qui participent activement au routage du client, garantissant le routage optimal entre les sites du client. Les routeurs PE utilisent une table de routage virtuel séparée pour chaque client ce qui donne un isolement parfait entre les clients Il est important de noter que les routeurs C et CE n'ont pas besoin de configuration particulière. les routeurs P ont simplement besoin d'un configuration MPLS LDP. Dans ce cas là, SP2 modélise le routeur P, SP1 et SP3 modélisent les routeurs PE. HQ et BRANCH sont tous les deux des routeurs CE avec des interfaces loopback pour simuler des connexions avec des routeurs C. Les routeurs PE annoncent les routes qui font partie de leurs VPNs en utilisant une nouvelle classe de trafic pour distinguer ces routes des routes internes dans le réseau de l'opérateur. BGP utilise une nouvelle famille d'adresse appelé VPNv4 pour transpor- ter les routes VPN-MPLS vers des réseaux IPv4. La famille d'adresse VPNv4 est codée sur 12 octets dont 8 octets pour le RD (Route Distinguisher) et 4 octets pour l'adresse IP. Le RD agit comme un préfixe unique quand il est associé à l'adresse IPv4 Chaque VRF doit avoir un RD pour une annonce unique. Les VRFs utilise l'attribut "Route Target" pour contrôler l'import et l'export de routes VPNv4 avec iBGP. L'attribut 'Route Target" est une communauté BGP étendue qui indique quelles routes doivent être importés de MP-BGP vers le VRF. Exporter une RT (Route Target) signifie que la route VPNv4 exportée reçoit une communauté BGP étendue additionnelle (c'est le route target) quand la route est redistribuée de la RIB VRF dans MP-BGP. Importer une RT signifie que la route VPNv4 reçue de MP-BGP est vérifiée pour qu'il y ait une correspondance avec une communauté étendue (route target) et une de celles configurées. Pour configurer une instance VRF sur les routeurs PE, utilisez la commande ip vrf en mode de configuration global sur SP1 et SP3. A l'invite de la configuration VRF, créez un VRF nommé "Client_A". Chaque instance VRF a besoin d'un "route distin- guisher" et d'un "route target". Le "route Distinguisher" et le "Route Target" ont chacun une taille de huit octets avec deux points pour les séparer des quatre octets suivants. Il y a plusieurs conventions pour allouer les "route distinguisher" pour les VPNs MPLS, la plus utile est ASN:nn. Une autre écriture très utilisée est Adresse_IP:nn. Dans ces deux cas nn représente une valeur arbitraire affectée par l'administrateur réseau. Dans ce lab, utilisez 100:1 comme route distinguisher. Le "route target" est également une valeur arbitraire qui sera utilisée plus tard avec BGP.

11 SP1(config)# ip vrf Client_A SP1(config-vrf)# rd 100:1
Configurez un RD ( Route Distinguisher) égal à 100:1 et un RT (Route Target) égal à 1:100 en utilisant les commande rd ASN:nn et route-target {import|export| both} nn:nn. Dans ce cas vous devez utiliser le mot-clé both car vous voulez que les PEs importent et exportent pour ce VRF. SP1(config)# ip vrf Client_A SP1(config-vrf)# rd 100:1 SP1(config-vrf)# route-target both 1:100 SP3(config)# ip vrf Client_A SP3(config-vrf)# rd 100:1 SP3(config-vrf)# route-target both 1:100 Imaginez que SP1 utilise MP-BGP et reçoive une route VPNv4 avec un attribut "route target" 100:100. D'après votre configuration, est-ce que BGP va importer la route dans la table de routage VRF du client?______________________________________ ___________________________________________________________________________________ Après la création des VRFs, ajoutez les interfaces au VRF en utilisant la commande ip vrf forwarding name au niveau interface dans laquelle name est le nom de l'instance VRF. Utilisez cette commande sur les interfaces de SP1 et SP3 (routeurs PE) qui font face aux routeurs CE. Ajoutez également les adresses IP données dans le schéma du réseau à ces interfaces SP1(config)# interface fastethernet 0/0 SP1(config-if)# ip vrf forwarding Client_A SP1(config-if)# ip address SP1(config-if)# no shut SP3(config)# interface serial 0/0/1 SP3(config-if)# ip vrf forwarding Client_A SP3(config-if)# ip address SP3(config-if)# no shutdown Maintenant vous devez pouvoir exécuter une commande ping à travers les PE-CE car vous avez configuré les extrémités de ces liaisons à l'étape 1. Comme ces routes ne sont pas dans la table de routage par défaut, vous devez utiliser la commande ping vrf name address. Comme le VRF est transparent pour les routeurs du client, vous pouvez utiliser une commande ping traditionnelle quand vous voulez tester la connec- tivité entre le routeurs C et CE. SP1# ping vrf Client_A Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to , timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/4 ms HQ# ping Sending 5, 100-byte ICMP Echos to , timeout is 2 seconds: Success rate is 100 percent (5/5), round-trip min/avg/max = 1/2/8 ms

12 SP3# ping vrf Client_A Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to , timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 28/28/32 ms BRANCH# ping Sending 5, 100-byte ICMP Echos to , timeout is 2 seconds: Success rate is 100 percent (5/5), round-trip min/avg/max = 28/28/28 ms Etape 3: Configurer EIGRP dans l'AS 100 L'opérateur utilise BGP et l'AS100. Votre client ITA utilise EIGRP AS Pour que la configuration soit localement cohérente, utilisez l'AS numéro 100 pour EIGRP et BGP dans le réseau de l'opérateur et l'AS numéro pour EIGRP dans le réseau du client La configuration de EIGRP sur les routeurs du client a déjà été faite dans la partie Sur les routeurs PE la configuration est plus complexe. Chaque IGP a une méthode différente pour configurer un VRF. Pour implémenter EIGRP avec des VRFs, démarrez le processus EIGRP en configurant EIGRP AS 100. Rappelez-vous que cet AS appartient à l'opérateur et n'a pas de signification pour le client. Maintenant pour configurer EIGRP pour une instance VRF individuelle, utilisez la commande address-family ipv4 vrf name dans laquelle name est le nom de l'instance VRF. Bien que chaque VPN doit être logiquement séparé des autres espaces d'adresse utilisant le VRF, cette séparation ne s'arrête pas uniquement à la table de routage mais s'étend aux protocoles de routage. La commande address-family crée un segment logique pour un protocole de routage, ses routes et ses adjacences pour le séparer des autres ensembles de routes et d'adjacences. Dans ce cas nous allons séparer un système autonome EIGRP de l'instance EIGRP initiée avec la commande EIGRP 100. Les réseaux appris via ce nouveau système autonome seront injec- tés dans la table de routage VRF associée avec l'AS EIGRP isolé. Il est également important de notez que ces réseaux ne seront annoncés à aucun voisin de EIGRP AS 100. Il est complète- ment séparé du reste du domaine EIGRP. SP1(config)# router eigrp SP1(config-router)# address-family ipv4 vrf Client_A SP1(config-router-af)# autonomous-system 65400 SP1(config-router-af)# no auto-summary SP1(config-router-af)# network SP3(config)# router eigrp 100 SP3(config-router)# address-family ipv4 vrf Client_A SP3(config-router-af)# autonomous-system 65400 SP3(config-router-af)# no auto-summary SP3(config-router-af)# network

13 Sur les routeurs PE, afficher la table de routage classique avec la commande show ip route. Notez que les routeurs PE ne possèdent aucune route pour le réseau princi- pal /16 dans cette table de routage. Affichez la table de routage VRF avec la commande show ip route vrf name dans laquelle name est le nom de l'instance VRF. SP1# show ip route Codes: C - connected, S - static, R - RIP, M - mobile, B- BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2 i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2 ia - IS-IS inter area, * - candidate default, U - per-user static route o - ODR, P - periodic downloaded static route Gateway of last resort is not set /8 is variably subnetted, 5 subnets, 2 masks C /24 is directly connected, Serial0/0/0 O /32 [110/129] via , 05:29:59, Serial0/0/0 O /32 [110/65] via , 05:29:59, Serial0/0/0 C /32 is directly connected, Loopback0 O /24 [110/128] via , 05:29:59, Serial0/0/0 SP1# show ip route vrf Client_A Routing Table: Client_A Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP /24 is subnetted, 2 subnets D [90/156160] via , 00:03:29, FastEthernet0/0 C is directly connected, FastEthernet0/0

14 SP3# show ip route Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2 i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2 ia - IS-IS inter area, * - candidate default, U - per-user static route o - ODR, P - periodic downloaded static route Gateway of last resort is not set /8 is variably subnetted, 5 subnets, 2 masks O /24 [110/128] via , 05:30:42, Serial0/0/1 C /32 is directly connected, Loopback0 O /32 [110/65] via , 05:30:42, Serial0/0/1 O /32 [110/129] via , 05:30:42, Serial0/0/1 C /24 is directly connected, Serial0/0/1 SP3# show ip route vrf Client_A Routing Table: Client_A /24 is subnetted, 2 subnets C is directly connected, Serial0/1/0 D [90/ ] via , 00:02:06, Serial0/1/0 Les routeurs HQ et SP1 n'ont pas les routes des réseaux du client sur SP3 et BRANCH et inversement. Expliquez pourquoi cela se produit bien que les adjacences EIGRP soient formées. _____________________________________________________________________________________

15 Etape 4: Configuration de BGP pour le VPN a. Configuration de BGP
Maintenant que les routeurs PE routent vers les routeurs CE avec les tables VRF, vous pouvez configurer les routeurs PE pour échanger des routes au moyen de BGP. D'abord configurez BGP entre SP1 et SP3 pour qu'ils soient voisins par leurs adresses de loopback. La synchronisation doit être dévali- dée. Si cela n'est pas le cas, faites le explicitement avec la commande no synchronization. SP1(config)# router bgp 100 SP1(config-router)# no synchronization SP1(config-router)# neighbor remote-as SP1(config-router)# neighbor update-source loopback SP3(config)# router bgp 100 SP3(config-router)# no synchronization SP3(config-router)# neighbor remote-as 100 SP3(config-router)# neighbor update-source loopback0 Pour configurer l'échange de routes VPNv4 avec BGP, utilisez la commande address-family vpnv4. Au prompt activez le voisin BGP pour cette famille d'adresse avec la commande neighbor address activate. Activer un voisin pour une famille d'adresse permet à BGP de transmettre et recevoir des routes du voisin désigné utilisant la famille d'adresse spécifiée. Par défaut les voisins sont activés uniquement pour IPv Les RTs (Route Target) sont traduites comme communautés BGP étendues aussi vous devez autoriser SP1 à transmettre les communautés standard et étendues avec MP-BGP en utilisant la commande neighbor address send-community both. Les adjacences peuvent varier ( passer down puis up) quand vous activez la famille d'adresses. SP1(config)# router bgp SP1(config-router)# address-family vpnv4 SP1(config-router-af)# neighbor activate SP1(config-router-af)# neighbor send-community both SP1(config-router-af)# exit SP3(config)# router bgp 100 SP3(config-router)# address-family vpnv4 SP3(config-router-af)# neighbor activate SP3(config-router-af)# neighbor send-community both SP3(config-router-af)# exit Finalement vous devez configurer BGP pour redistribuer les routes EIGRP dans la RIB VRF dans le protocole BGP ainsi celles-ci seront annoncées au PE distant Sous le prompt BGP de configuration globale, entrez une autre famille d'adresse associée uniquement avec la table de routage pour le VRF customer. Redistri- buez les routes EIGRP qui sont associées avec ce VRF dans BGP.

16 SP1(config)# router bgp 100
SP1(config-router)# address-family ipv4 vrf Client_A SP1(config-router-af)# redistribute eigrp 65400 SP1(config-router-af)# exit SP1(config-router)# exit SP3(config)# router bgp 100 SP3(config-router)# address-family ipv4 vrf Client_A SP3(config-router-af)# redistribute eigrp 65400 SP3(config-router-af)# exit SP3(config-router)# exit Sur la base de la configuration ci-dessus, est-ce que la RIB VRF de SP1 con- tiendra la route /24 qui a été annoncée avec EIGRP sur BRANCH? Expliquez.__________________________________________________________________ ____________________________________________________________________________ ____________________________________________________________________________ Est-ce que HQ apprendra les mêmes routes via EIGRP? Expliquez.___________ Est-ce que vous verrez les routes redistribuées comme des routes EIGRP internes ou externes sur les routeurs CE? Expliquez.________________________ Entrez dans l'instance EIGRP qui contient les configurations de VRF sur SP1 et SP3 et configurez-la pour qu'elle redistribue les routes BGP. Comme vous redistribuez dans EIGRP à partir de BGP, il faut adapter les métriques. Ajouter une métrique pour la redistribution avec une bande passante de 2000 Kbit/s, un délai de 100 microsecondes, une fiabilité de 255/255, une charge de 1/255 et un MTU de SP1(config)# router eigrp 100 SP1(config-router-af)# redistribute bgp 100 metric SP3(config)# router eigrp 100 SP3(config-router-af)# redistribute bgp 100 metric

17 ment. Le plan contrôle représenté par la table de routage (RIB) et les
Etape 6: Etude du fonctionnement du Plan Contrôle a. Rappelez-vous que MPLS différencie le plan contrôle du plan achemine- ment. Le plan contrôle représenté par la table de routage (RIB) et les protocoles de routage doit opérer pour que les routes VRF atteignent les PEs distants et soient installées si nécessaire dans les tables de routage VRF. Pas uniquement les préfixes mais également les métriques et les tags les accompagnant sont importants pour la reconstruction de la route au niveau du PE distant. Heureusement MP-BGP vous permet de transmettre ces métriques dans le NLRI (Network Layer Reachability Information) Au travers des étapes 6 et 7 nous allons étudier les informations de routage et d'acheminement associées avec la route / Vérifiez que les routes ont été propagées vers les routeurs PE distants. Entrez la commande show ip route vrf name pour afficher la RIB VRF. Notez la source des routes sur les routeurs PE. SP1# show ip route vrf Client_A Routing Table: Client_A Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2 i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2 ia - IS-IS inter area, * - candidate default, U - per-user static route o - ODR, P - periodic downloaded static route Gateway of last resort is not set /24 is subnetted, 4 subnets B [200/0] via , 00:06:44 B [200/ ] via , 00:06:44 D [90/156160] via , 00:17:34, FastEthernet0/0 C is directly connected, FastEthernet0/0 SP3# show ip route vrf Client_A C is directly connected, Serial0/1/0 D [90/ ] via , 16:47:37, Serial0/1/0 B [200/156160] via , 00:17:28 B [200/0] via , 00:17:28

18 l'attribut NEXT-HOP comme étant le routeur annonceur. Dans ce cas, SP3
Vous vous posez peut-être la question "Pourquoi la source de la route vers /24 sur SP1 pointe vers alors que cette adresse devrait être routée avec la table de routage standard. Il faut considérer que lorsqu'une route générée de manière interne est transmise vers un voisin iBGP, BGP fixe l'attribut NEXT-HOP comme étant le routeur annonceur. Dans ce cas, SP3 génère la route dans BGP par redistribution. Les voisins BGP communiquent avec leurs interfaces loopback. C'est pourquoi l'attribut NEXT-HOP est configuré avec l'adresse IP de l'interface source BGP. Ainsi la RIB VRF pointe vers une interface qui doit être atteinte au travers de la table routage standard. Nous allons étudier l'acheminement pour des paquets destinés à ces réseaux à la prochaine étape. Sur les routeurs CE, entrez la commande show ip route pour voir la table de routage complète: HQ# show ip route Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area, * - candidate default, U - per-user static route o - ODR, P - periodic downloaded static route Gateway of last resort is not set /24 is subnetted, 4 subnets D [90/ ] via , 00:05:17, FastEthernet0/0 D [90/ ] via , 00:05:17, FastEthernet0/0 C is directly connected, Loopback0 C is directly connected, FastEthernet0/0 BRANCH# show ip route E1 - OSPF external type 1, E2 - OSPF external type 2 C is directly connected, Serial0/0/0 C is directly connected, Loopback0 D [90/ ] via , 00:02:02, Serial0/0/0 D [90/ ] via , 00:02:02, Serial0/0/0

19 BGP. SP1# show bgp vpnv4 unicast all
Sur les routeurs PE et CE, notez que les routes redistribuées à partir de BGP dans EIGRP sont des routes EIGRP internes (internal) car BGP conserve les caractéristiques de la route EIGRP pendant l'annonce de cette route aux autres PEs. Le PE transmet autant d'informations EIGRP que possible dans les champs TLV pour conserver les caractéristiques à travers le VPN. Ceci permet au routeur PE distant de reconstituer la route EIGRP avec toutes ses caractéristiques y compris les composantes de la métrique, l'AS, le TAG, et pour les routes exter- nes le numéro d'AS distant, l'ID distant, le protocole distant et la métrique dis- tante. Ce sont là les caractéristiques EIGRP d'un préfixe que vous pouvez trou- ver dans la table de topologie. Si la route annoncée par EIGRP est interne, la route est annoncée comme route interne sur le site distant si l'AS destination correspond à l'AS source transporté par les attributs de communauté étendue BGP SP1# show bgp vpnv4 unicast all BGP table version is 9, local router ID is Status codes: s suppressed, d damped, h history, * valid, > best, i - internal, r RIB-failure, S Stale Origin codes: i - IGP, e - EGP, ? - incomplete Network Next Hop Metric LocPrf Weight Path Route Distinguisher: 100:1 (default for vrf Client_A) *> / ? *>i / ? *> / ? *>i / ? SP3# show bgp vpnv4 unicast all BGP table version is 9, local router ID is *>i / ? *> / ? *>i / ? *> / ? Notez que la métrique (valeur MED) dans BGP est la métrique annoncée par EIGRP pour cette route Qu'indique la valeur de l'attribut NEXT-HOP pour le réseau /24 sur SP3?___________________________________________________________________ Quelle est la valeur de l'attribut BGP NEXT-HOP pour la route /24 sur SP1?___________________________________________________________________ Par quel protocole de routage et à partir de quel routeur la route vers le réseau /32 a-t-elle été installée dans la table de routage standard sur SP1? _____________________________________________________________________________

20 reçoit la route par le NLRI BGP.
Pour voir des détails spécifiques pour un préfixe particulier, utilisez la comman- de show bgp vpnv4 unicast all ip-address. Notez que l'information de label MPLS est incluse. Exécutez cette commande sur les deux routeurs PE. Rappe- lez-vous que SP3 annonce le préfixe /24 avec BGP tandis que SP1 reçoit la route par le NLRI BGP. SP1# show bgp vpnv4 unicast all /24 BGP routing table entry for 100:1: /24, version 15 Paths: (1 available, best #1, table Client_A) Flag: 0x820 Not advertised to any peer Local (metric 129) from ( ) Origin incomplete, metric , localpref 100, valid, internal, best Extended Community: RT:1:100 Cost:pre-bestpath:128: (default ) 0x8800:32768: x8801:1: x8802:65281: x8803:65281:1500 mpls labels in/out nolabel/20 SP3# show bgp vpnv4 unicast all Advertised to update-groups:1 from ( ) Origin incomplete, metric , localpref 100, weight 32768, valid, sourced, best Cost:pre-bestpath:128: (default ) 0x8800:32768:0 0x8801:1: x8802:65281: x8803:65281:1500 mpls labels in/out 20/nolabel Notez qu'il y a plusieurs valeurs dans les communautés BGP étendues. Rappelez-vous que BGP transmet l'information de route dans le NLRI comme des communautés étendues. Ces valeurs sont des TLVs indiquant des attributs EIGRP tels que le TAG, le numéro d'AS, la bande passante, le délai, la fiabilité, la charge, le MTU et le nombre de saut Pourquoi le code origin est "incomplete"?______________________________________ ______________________________________________________________________________ Quel type d'attribut transporte l'information route target dans le NLRI MP-BGP? _____________________________________________________________________________ Notez que les labels MPLS indiqués pour la route BGP. Le in-label de "nolabel" sur SP1 indique que SP1 n'annonce pas de label pour le préfixe /24. Le out-label 20 est annoncé par SP3 et reçu par SP1. Ce label est significatif uniquement sur le chemin entre SP1 et SP3. Ce label a été alloué par BGP sur SP3.

21 mande show bgp vpnv4 unicast all labels.
Affichez la liste des labels MPLS qui sont utilisés avec BGP en utilisant la com- mande show bgp vpnv4 unicast all labels. SP1# show bgp vpnv4 unicast all labels Network Next Hop In label/Out label Route Distinguisher: 100:1 (Client_A) / /nolabel / nolabel/20 / /nolabel(Client_A) / nolabel/19 SP3# show bgp vpnv4 unicast all labels / nolabel/19 / /nolabel / nolabel/20 / /nolabel(Client_A) Comment SP1 a-t-il appris le label VPN 20?___________________________________ Est-ce que SP1 ou SP3 apprennent le label via LDP?___________________________ Est-ce que le router P SP2 a appris le label 20 de SP3? Expliquez._____________ ______________________________________________________________________________ Finalement affichez les attributs de route pour le même préfixe / dans la table de topologie EIGRP sur SP1 avec la commande show ip eigrp vrf customer topology ip-prefix/mask. Vérifiez cela en comparant avec le généra- teur de la route EIGRP dans BGP de SP SP1# show ip eigrp vrf Client_A topology /24 IP-EIGRP (AS 65400): Topology entry for /24 State is Passive, Query origin flag is 1, 1 Successor(s), FD is Routing Descriptor Blocks: , from VPNv4 Sourced, Send flag is 0x0 Composite metric is ( /0), Route is Internal (VPNv4 Sourced) Vector metric: Minimum bandwidth is 1544 Kbit Total delay is microseconds Reliability is 255/255 Load is 1/255 Minimum MTU is 1500 Hop count is 1

22 mandes show utilisées précédemment. SP2# show ip route
SP3# show ip eigrp vrf Client_A topology /24 IP-EIGRP (AS 65400): Topology entry for /24 State is Passive, Query origin flag is 1, 1 Successor(s), FD is Routing Descriptor Blocks: (Serial0/1/0), from , Send flag is 0x0 Composite metric is ( /128256), Route is Internal Vector metric: Minimum bandwidth is 1544 Kbit Total delay is microseconds Reliability is 255/255 Load is 1/255 Minimum MTU is 1500 Hop count is 1 Notez qu'il n'y a absolument aucune différence dans les paramètres de route EIGRP entre SP1 et SP3. BGP code et décode l'information sur les routeurs PE sans modification Rappelez-vous que SP2 (routeur P) n'a aucune connaissance des routes dans les tables VRF des routeurs PE. Vous pouvez vérifier cela avec les différentes com- mandes show utilisées précédemment SP2# show ip route Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2 i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2,ia - IS-IS inter area, * - candidate default, U - per-user static route o - ODR, P - periodic downloaded static route Gateway of last resort is not set /8 is variably subnetted, 5 subnets, 2 masks C /24 is directly connected, Serial0/0/0 O /32 [110/65] via , 1d00h, Serial0/0/1 C /32 is directly connected, Loopback0 O /32 [110/65] via , 1d00h, Serial0/0/0 C /24 is directly connected, Serial0/0/1 SP2# show ip route vrf Client_A % IP routing table Client_A does not exist Faites une commande ping entre les routeurs CE pour vérifier la connectivité à travers le VPN MPLS HQ# ping Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to , timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 84/89/93 ms BRANCH# ping Sending 5, 100-byte ICMP Echos to , timeout is 2 seconds: Success rate is 100 percent (5/5), round-trip min/avg/max = 84/86/88 ms

23 Etape 7: Etude du plan acheminement
Rappelez-vous que MPLS a deux tables, la LIB (Label Information Base) et la LFIB (Label Forwarding Information Base). Normalement les labels alloués par LDP sont annoncés aux voisins LDP. Les labels alloués par BGP sont annoncés aux voisins BGP. Les labels alloués par BGP seront utilisés par les voisins BGP comme label MPLS pour des paquets destinés pour ce réseau à travers le VPN. Les labels alloués par BGP sont significatifs uniquement pour les routeurs en- trants et sortants. Les routeurs P qui ne sont pas des voisins BGP avec les rou- teurs PE ne verront pas le label de VPN pour les réseaux connus de BGP Pour traverser le nuage MPLS, les paquets ont besoin d'être commutés avec un label à chaque saut sur la base des labels annoncés. Pour assurer que les pa- quets VPN qui atteignent le PE de sortie a le label MPLS nécessaire pour com- muter les paquets lorsqu'ils arrivent, les labels sont empilés par le routeur PE entrant. Toutefois les paquets sont toujours transmis sur le chemin de labels commutés. Rappelez-vous que le prochain saut de la RIB VRF pour les réseaux connus via le VPN pointe sur la loopback du routeur de sortie. CEF utilise le label "inuse" pour le prochain saut BGP comme le label de haut de pile pour les paquets passant par le VPN MPLS. D'abord CEF doit empiler le label VPN qui sera utilisé au PE de sortie. Pour cela CEF empile le label d'une manière séquentielle pour le label VPN soit disponible au PE de sortie. Le label pour traverser le chemin de labels commutés à travers les routeurs P est empilé en haut de pile BGP, LDP, la LFIB CEF et l'IGP de l'opérateur sont concernés par l'utilisation des labels comme une technologie VPN Une fois que BGP a appris le label MPLS à utiliser comme label VPN, cette infor- mation est entrée dans la table d'acheminement CEF sur le routeur PE d'entrée Affichez l'entrée d'acheminement CEF pour /24 sur SP1 avec la commande show ip cef vrf name ip-address. SP1# show ip cef vrf Client_A /24, version 12, epoch 0, cached adjacency to Serial0/0/0 0 packets, 0 bytes tag information set local tag: VPN-route-head fast tag rewrite with Se0/0/0, point2point, tags imposed: {16 20} via , 0 dependencies, recursive next hop , Serial0/0/0 via /32 valid cached adjacency tag rewrite with Se0/0/0, point2point, tags imposed: {16 20}

24 utilisant la commande show ip mpls binding. SP1# show mpls ip binding
CEF résout la recherche récursive pour le prochain saut BGP. Sur la base des labels appris avec LDP, CEF applique ou n'applique pas le label d'achemine- ment pour atteindre /32. Dans ce cas LDP sur SP2 a annoncé un label d'acheminement vers SP1. Affichez les labels annoncés vers SP1 via LDP en utilisant la commande show ip mpls binding. SP1# show mpls ip binding /32 in label: imp-null out label: lsr: :0 /32 in label: out label: imp-null lsr: :0 inuse /32 in label: out label: lsr: :0 inuse /24 out label: imp-null lsr: :0 /24 in label: CEF empile en premier le label 20 sur le paquet puis empile le label de sortie La table d'acheminement CEF décide quel chemin utiliser sur la base de la RIB standard. La route a été installée dans la RIB par OSPF. Donc le routeur PE en- trant impose deux labels en séquence {16, 20} comme la table d'acheminement CEF ci-dessus. Comme les paquets entrants venant de SP1 sont encapsulés dans des trames MPLS, SP2 agit selon les directives de sa LFIB. SP2 est également l'avant-dernier saut dans le chemin de labels commutés de SP1 vers l'interface loopback de SP3 et par conséquent SP2 retire le label de haut de pile de la trame MPLS. Affichez la LFIB avec la commande show mpls forwarding-table SP2# show mpls forwarding-table Local Outgoing Prefix Bytes tag Outgoing Next Hop tag tag or VC or Tunnel Id switched interface Pop tag / Se0/0/ point2point Pop tag / Se0/0/ point2point Notez que la LFIB ne tient pas compte s'il y a un label interne ou pas, elle exé- cute simplement l'opération spécifiée dans la colonne "Outgoing tag or VC" Validez le debugging de paquets MPLS sur SP2 en utilisant la commande debug mpls packets et ensuite exécutez une commande ping d'un CE vers l'autre. Vous pouvez voir les paquets commutés avec le label. Les paquets ICMP sont acheminés dans des trames MPLS à travers SP2. Notez dans la sortie de debug que chaque ICMP echo request reçoit une réponse avec un label commuté sur le chemin de retour à travers le réseau MPLS. Quand cela est fait, arrêtez le debugging.

25 Note: Les messages suivants sont identiques et n'ont pa été affichés.
SP2# debug mpls packets MPLS packet debugging is on HQ# ping Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to , timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 84/87/92 ms SP2# *Dec 16 13:08:27.863: MPLS les: Se0/0/0: rx: Len 112 Stack { } { } - ipv4 data *Dec 16 13:08:27.863: MPLS les: Se0/0/1: tx: Len 108 Stack { } - ipv4 data ! Ces 2 messages montrent la commutation de labels du ICMP echo request *Dec 16 13:08:27.863: MPLS les: Se0/0/1: rx: Len 112 Stack { } *Dec 16 13:08:27.863: MPLS les: Se0/0/0: tx: Len 108 Stack { } ! Ces 2 messages montrent la commutation de labels du ICMP echo reply Note: Les messages suivants sont identiques et n'ont pa été affichés. SP2# undebug all All possible debugging has been turned off Continuons à tracer le chemin de labels commutés à travers le réseau de l'opé- rateur vers le PE de sortie SP Sur la base de quelle table d'acheminement le paquet VPN sera-t-il commuté sur SP3?___________________________________________________________________ ____________________________________________________________________________

26 Commuté par (CEF/LFIB)
Affichez la LFIB MPLS sur SP3 en utilisant la commande show mpls forwarding-table. SP3# show mpls forwarding-table Local Outgoing Prefix Bytes tag Outgoing Next Hop tag tag or VC or Tunnel Id switched interface / Se0/0/0 point2point Pop Label / Se0/0/0 point2point Pop Label / Se0/0/0 point2point No Label /24[V] 520\ aggregate/Client_A No Label /24[V] Se0/0/1 point2point Notez que SP3 achemine le paquet IP désencapsulé sans label vers l'interface de sortie Serial 0/1/0 car il a été reçu avec le label 20. C'est le label que BGP an- nonce vers SP1. La table d'acheminement CEF de SP1 encapsule les paquets IP avec deux labels MPLS {16,20} et ensuite achemine les paquets vers SP2. Etape 8: Vérification de l'activité du VPN Entrez la commande traceroute d'un CE vers un autre pour trouver ce qui se passe à travers les différents sauts de couche 3. C'est un outil de debugging très important car cette commande peut être entrée à partir d'un routeur PE avec une référence vers un VRF HQ# traceroute Type escape sequence to abort. Tracing the route to msec 0 msec 0 msec [MPLS: Labels 17/20 Exp 0] 4 msec 0 msec 4 msec [MPLS: Label 20 Exp 0] 0 msec 0 msec 4 msec msec 0 msec * Remplissez le tableau suivant traçant le chemin de vers Routeur Entrant (MPLS/IP Sortant (MPLS/IP Commuté par (CEF/LFIB) Label(s) entrant Label(s) sortant HQ SP1 SP2 SP3 BRANCH

27 Commuté par (CEF/LFIB)
En vous aidant de la sortie sur chacun des routeurs ci-dessous, tracez le chemin de retour de vers en remplissant le tableau qui suit BRANCH# show ip cef /24, version 22, epoch 0, cached adjacency to Serial0/0/0 0 packets, 0 bytes via , Serial0/0/0, 0 dependencies next hop , Serial0/0/0 valid cached adjacency SP3# show ip cef vrf Client_A /24, version 6, epoch 0, cached adjacency to Serial0/0/1 tag information set local tag: VPN-route-head fast tag rewrite with Se0/0/1, point2point, tags imposed: {17 20} via , 0 dependencies, recursive next hop , Serial0/0/1 via /32 tag rewrite with Se0/0/1, point2point, tags imposed: {17 20} SP2# show mpls forwarding-table Local Outgoing Prefix Bytes tag Outgoing Next Hop tag tag or VC or Tunnel Id switched interface Pop tag / Se0/0/1 point2point Pop tag / Se0/0/0 point2point SP1# show mpls forwarding-table Pop tag / Se0/0/0 point2point / Se0/0/0 point2point Pop tag / Se0/0/0 point2point Untagged /24[V] Fa0/ Aggregate /24[V] \0 Routeur Entrant (MPLS/IP Sortant (MPLS/IP Commuté par (CEF/LFIB) Label(s) entrant Label(s) sortant BRANCH SP3 SP2 SP1 HQ


Télécharger ppt "TP MPLS - Implémentation VPNs MPLS."

Présentations similaires


Annonces Google