La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

Implémentation MPLS VPN

Présentations similaires


Présentation au sujet: "Implémentation MPLS VPN"— Transcription de la présentation:

1 Implémentation MPLS VPN
sur des Tunnels TE ccnp_cch ccnp_cch

2 Sommaire • Introduction • Rappel Tunnel TE - Topologie PE1 à PE2
- Prérequis • Rappel ● Etablissement initial de VPN entre CE1 et CE2 sans Tunnel TE Topologie - Configuration - Vérification ● Cas 1: VPN sur un Tunnel TE quand le tunnel va de PE1 à PE2 - Topologie ● Cas 2: VPN sur un Tunnel TE quand le tunnel va de PE1 à P Topologie - Explication Solution ● Cas 3: VPN entre CE1 et CE2 sur un Tunnel TE qui va de P1 à P2 quand TDP/LDP n'est pas validé - Vérification Solution ● Cas 4: VPN sur un Tunnel TE entre P1 et P2 quand TDP est validé ccnp_cch

3 - Vérification ● Conclusion
● Cas 5: VPN MPLS sur un sur un Tunnel TE entre P1 et PE2 - Topologie - Configuration - Vérification ● Conclusion ccnp_cch

4 Introduction Rappel ccnp_cch
Ce document fournit des exemples de configuration pour implémenter des VPN MPLS (Multiprotocol Label Switching) sur des tunnels TE (Traffic Engineering) dans un réseau MPLS. Pour obtenir des avantages d'un VPN MPLS sur des tunnels TE, les deux doivent coexister dans le réseau. Ce document illustre plusieurs scénarios qui expliquent pour- quoi l'acheminement des paquets da ns un VPN MPLS sur des tunnels TE peut échouer. Ce document fournit également la solution possible. Prérequis Les lecteurs de ce document doivent avoir connaissance de ces thèmes : ● MPLS Traffic Engineering and Enhancements. ● Configuration de base d'un VPN MPLS Rappel CE1 CE2 PE1 PE2 P1 P2 Lo: Lo: Lo: Lo: Comme cela est montré dans cette topologie, dans une configuration simple VPN MPLS, le PE1 (Provider Edge 1) apprend le label VPN (Label 1 [L1]) pour le préfixe de VPN /24 via MP-BGP ( Multiprotocol Border Gateway Protocol) directement du PE2 avec comme prochain saut l'adresses loopback de PE2. PE1 apprend également le label (L2) pour l'adresse de loopback de PE2 via LDP (Label Distribution Protocol) de son prochain saut P1. Quand les données sont acheminées vers le préfixe VPN , PE1 utilise une pile de labels (L2L1) avec L2 comme label de sortie. L2 va être échangé avec le label de transit du routeur LSR P1. P2 retire le Label L2 et achemine le paquet vers PE2 avec uniquement le Label L1. Pour mieux comprendre pourquoi P2 retire L2, référez-vous à la section 3.16 sur le PHP (Penultimate Hop Popping) dans le RFC Ainsi les pa- quets VPN IP version 4 (IPv4) de préfixe /24 sont commutés par Label dans le réseau MPLS. L'opération d'acheminement VPN MPLS échoue si un routeur P reçoit le paquet avec L1 (Label VPN) comme le seul Label dans la pile (au lieu de la pile L2L1). cet échec est du au fait qu'aucun des routeurs P n'a L1 dans sa table LFIB (Label Forwarding Informa- tion Base) pour commuter ce paquet. Un TE MPLS utilise RSVP (Resource Reservation Protocol) pour échanger des labels. Quand un routeur est configuré pour TE et TDP (Tag distribution protocol)/LDP, le rou- teur reçoit des labels différents de LDP et de RSVP pour un préfixe donné. Les Labels de LDP et de RSVP n'ont pas besoin d'être les mêmes dans toutes les situations. Le rou- teur installe le Label LDP dans la table d'acheminement si le préfixe est appris sur une interface LDP et il installe le Label RSVP dans la table d'acheminement si le préfixe est appris via une interface Tunnel. ccnp_cch

5 Dans les cas d'un Tunnel classique ( sans LDP/TDP validé sur le Tunnel), le LSR d'en-
trée (le LSR sur l'entrée du Tunnel) utilise le même Label qu'il utilise pour joindre la sortie du Tunnel TE pour toutes les routes qui ont été apprises via un Tunnel TE. Par exemple, il y a un tunnel TE de PE à P2 apprenant le préfixe /32 sur le tunnel. La sortie du tunnel sur P2 est et le label pour atteindre dans PE1 est L3. PE1 utilise ensuite L3 pour atteindre la destination /32 apprise sur le tunnel TE. Dans le scénario ci-dessus, quand il y a un Tunnel TE entre PE1 et PE2 considérez que PE1 achemine les données vers CE2 (Customer Edge 2). si L4 est le Label VPN, PE1 achemine les données avec la pile de Labels (L3 L4). P1 retire L3 et P2 reçoit le paquet avec L4. PE2 est le seul LSR qui peut acheminer correctement le paquet avec le Label P4. P2 n'a pas de session MP-BGP avec PE2 aussi il ne reçoit pas le Label L4 de PE2. Par conséquent P2 n'a aucune connaissance de L2 et il élimine le paquet. Les configurations et les sorties show qui suivent démontrent cela et illustrent une so- lution possible à ce problème. Etablissement initial de VPN entre CE1 et CE2 sans Tunnel TE Topologie CE1 CE2 PE1 PE2 P1 P2 Lo: Lo: Lo: Lo: .13 Configuration PE1 hostname PE1 ip cef ! ip vrf aqua rd 100:1 route−target export 1:1 route−target import 1:1 mpls traffic−eng tunnels interface Loopback0 ip address no ip directed−broadcast interface Ethernet2/0/1 ip vrf forwarding aqua ip address ccnp_cch

6 ccnp_cch ! interface Ethernet2/0/2 ip address 10.7.7.2 255.255.255.0
ip router isis mpls traffic−eng tunnels tag−switching ip router isis passive−interface Loopback0 net is−type level−1 metric−style wide mpls traffic−eng router−id Loopback0 mpls traffic−eng level−1 router bgp 1 bgp log−neighbor−changes neighbor remote−as 1 neighbor update−source Loopback0 address−family vpnv4 neighbor activate neighbor send−community extended exit−address−family address−family ipv4 no auto−summary no synchronization address−family ipv4 vrf aqua redistribute connected ccnp_cch

7 ccnp_cch PE2 hostname PE2 ! ip vrf aqua rd 100:1
route−target export 1:1 route−target import 1:1 mpls traffic−eng tunnels interface Loopback0 ip address interface POS0/1 ip address ip router isis tag−switching ip crc 16 clock source internal interface POS5/1 ip vrf forwarding aqua ip address crc 32 router isis passive−interface Loopback0 mpls traffic−eng router−id Loopback0 mpls traffic−eng level−1 net is−type level−1 metric−style wide router bgp 1 bgp log−neighbor−changes neighbor remote−as 1 neighbor update−source Loopback0 no auto−summary address−family vpnv4 neighbor activate neighbor send−community extended exit−address−family address−family ipv4 vrf aqua redistribute connected no synchronization ccnp_cch

8 Vérification ccnp_cch
PE2 apprend le préfixe PE1 VPN IPv /24 par voisinage MP-BGP entre PE1 et PE2. Ceci est montré ci-dessous: PE2# show ip route vrf aqua Codes: C − connected, S − static, I − IGRP, R − RIP, M − mobile, B − BGP D − EIGRP, EX − EIGRP external, O − OSPF, IA − OSPF inter area N1 − OSPF NSSA external type 1, N2 − OSPF NSSA external type 2 E1 − OSPF external type 1, E2 − OSPF external type 2, E − EGP i − IS−IS, L1 − IS−IS level−1, L2 − IS−IS level−2, ia − IS−IS inter area * − candidate default, U − per−user static route, o − ODR Gateway of last resort is not set /24 is subnetted, 2 subnets B [200/0] via , 16:09:10 C is directly connected, POS5/1 De manière similaire, PE1 apprend le préfixe PE2 VPN IPv /24 par voisi- nage MP-BGP entre PE1 et PE2. Ceci est montré ci-dessous: PE1# show ip route vrf aqua B [200/0] via , 16:09:49 C is directly connected, Ethernet2/0/1 PE1# show ip route vrf aqua Routing entry for /24 Known via "bgp 1", distance 200, metric 0, type internal Last update from :13:19 ago Routing Descriptor Blocks: * (Default−IP−Routing−Table), from , 16:13:19 ago Route metric is 0, traffic share count is 1 AS Hops 0, BGP network version 0 PE1# show ip cef vrf aqua /24, version 11, cached adjacency 0 packets, 0 bytes tag information set local tag: VPN route head fast tag rewrite with Et2/0/2, , tags imposed { } via , 0 dependencies, recursive next hop , Ethernet2/0/2 via /32 valid cached adjacency tag rewrite with Et2/0/2, , tags imposed { } !−−− La pile de Labels utilisée pour atteindre est !−−− { } dans laquelle 17 est le Label de sortie pour atteindre le !−−− prochain saut et est Label VPN IPv4 pour /24. ccnp_cch

9 Cas 1: VPN sur un Tunnel TE quand le tunnel va de PE1 à PE2
PE1# show ip cef /32, version 31, cached adjacency 0 packets, 0 bytes tag information set local tag: 21 fast tag rewrite with Et2/0/2, , tags imposed {17} via , Ethernet2/0/2, 1 dependency next hop , Ethernet2/0/2 valid cached adjacency tag rewrite with Et2/0/2, , tags imposed {17} !−−− Le Label de sortie 17 est utilisé pour joindre le prochain saut Ainsi CE1 peut atteindre sur le réseau CE2 via l'interface VRF (VPN Rou- ting and Forwarding) "aqua" qui est configuré sur PE1 en utilisant la pile de Labels [ ] comme cela est montré ci-dessus: La sortie de la commande ping confirme la connectivité. CE1# ping Type escape sequence to abort. Sending 5, 100−byte ICMP Echos to , timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round−trip min/avg/max = 1/1/4 ms Cas 1: VPN sur un Tunnel TE quand le tunnel va de PE1 à PE2 Topologie CE1 CE2 PE1 PE2 P1 P2 Lo: Lo: Lo: Lo: .13 Tunnel TE Quand le Tunnel TE est construit entre les routeurs PE avec l'annonce autoroute utili- sée, le prochain saut de sortie PE BGP est accessible via l'interface Tunnel TE. Ainsi PE1 utilise le Label TE pour atteindre PE2. Note: MPLS TE est indépendant de LDP ce qui signifie que si vous voulez un maillage total de tunnels de PE vers PE, vous pouvez effectivement dévalider LDP sur les rou- teurs et vous n'avez pas besoin d'activer LDP sur les interfaces Tunnel TE. Toutefois vous devez construire tous les tunnels vers le prochain saut BGP des routes VPN ver- sion 4 (VPN v4). Dans cet exemple de configuration vous pouvez voir que ce prochain saut BGP est l'interface Loopback sur PE2. Cette même interface Loop- back est aussi le tunnel destination pour le tunnel de PE1 vers PE2. Ceci explique pourquoi dans cet exemple, s'il y a également un tunnel de PE2 vers PE1 pour le trafic retour vous pouvez dévalider LDP dans le cœur de réseau. Ensuite l'acheminement de CE à CE fonctionne avec tout le trafic VPNv4 transporté sur les Tunnels TE. Si le pro- chain saut BGP n'est pas le même que celui du Tunnel TE destination alors LDP doit être activé dans le cœur de réseau et sur le tunnel TE. ccnp_cch

10 ccnp_cch Configuration
La configuration additionnelle sur PE1 pour établir un Tunnel TE est la suivante: PE1 PE1# show run interface tunnel 0 ! interface Tunnel0 ip unnumbered Loopback0 no ip directed−broadcast no ip route−cache distributed tunnel destination tunnel mode mpls traffic−eng tunnel mpls traffic−eng autoroute announce tunnel mpls traffic−eng path−option 10 dynamic end Vérification PE1# show ip cef vrf aqua /24, version 11 0 packets, 0 bytes tag information set local tag: VPN route head fast tag rewrite with Tu0, point2point, tags imposed { } via , 0 dependencies, recursive next hop , Tunnel0 via /32 valid adjacency tag rewrite with Tu0, point2point, tags imposed { } !−−− La pile de labels pour atteindre est { }. !−−− le prochain saut BGP pour le préfixe VPNv4 est !−−− lequel est le même que le tunnel TE destination. PE1# show ip route Routing entry for /32 Known via "isis", distance 115, metric 40, type level−1 Redistributing via isis Last update from on Tunnel0, 00:02:09 ago Routing Descriptor Blocks: * , from , via Tunnel0 !−−− La route est via Tunnel0. Route metric is 40, traffic share count is 1 ccnp_cch

11 Maintenant confirmons le Label de sortie utilisé pour atteindre le prochain saut
via Tunnel 0. PE1# show mpls traffic−eng tunnels tunnel 0 Name: PE1_t0 (Tunnel0) Destination: Status: Admin: up Oper: up Path: valid Signalling: connected path option 10, type dynamic (Basis for Setup, path weight 30) Config Parameters: Bandwidth: 0 kbps (Global) Priority: 7 7 Affinity: 0x0/0xFFFF Metric Type: TE (default) AutoRoute: enabled LockDown: disabled Loadshare: 0 bw−based auto−bw: disabled InLabel : − OutLabel : Ethernet2/0/2, 19 !−−− Le Label 19 de RSVP est utilisé pour atteindre la destination ! /32. RSVP Signalling Info: Src , Dst , Tun_Id 0, Tun_Instance 31 RSVP Path Info: My Address: Explicit Route: Record Route: NONE Tspec: ave rate=0 kbits, burst=1000 bytes, peak rate=0 kbits RSVP Resv Info: Fspec: ave rate=0 kbits, burst=1000 bytes, peak rate=Inf Shortest Unconstrained Path Info: Path Weight: 30 (TE) Explicit Route: History: Tunnel: Time since created: 17 hours, 17 minutes Time since path change: 32 minutes, 54 seconds Current LSP: Uptime: 32 minutes, 54 seconds Prior LSP: ID: path option 10 [14] Removal Trigger: tunnel shutdown ccnp_cch

12 Une autre manière de voir cette information rapidement est d'utiliser des filtres de sor-
tie dans les commandes show comme cela est montré ci-dessous: PE1# show mpls traffic−eng tunnels tunnel 0 | include Label InLabel : − OutLabel : Ethernet2/0/2, 19 !−−− Ceci est le Label pour atteindre Regardons la pile de Labels. Le Label 19, qui est le Label TE , est utilisé pour achemi- ner les paquets vers le prochain saut sur Tunnel 0. PE1# show tag forwarding−table detail Local Outgoing Prefix Bytes tag Outgoing Next Hop tag tag or VC or Tunnel Id switched interface 21 Pop tag /32 0 Tu0 point2point MAC/Encaps=14/18, MTU=1500, Tag Stack{19}, via Et2/0/2 00603E2B No output feature configured Per−packet load−sharing, slots: PE1# Ainsi PE1 transmet un paquet destiné à avec la pile de Label [ ]. P1 échange le Label 19. le paquet atteint P2 qui retire le Label de sortie 19. Ensuite le paquet est acheminé vers PE2 avec uniquement le Label Sur PE2 le paquet avec le Label est reçu et commuté d'après l'information de la table d'acheminement. ceci est montré ci-dessous. PE2# show tag for tags detail Local Outgoing Prefix Bytes tag Outgoing Next Hop tag tag or VC or Tunnel Id switched interface 12308 Aggregate /24[V] 12256 MAC/Encaps=0/0, MTU=0, Tag Stack{} VPN route: aqua PE2# ccnp_cch

13 Cas 2: VPN sur un Tunnel TE quand le tunnel va de PE1 à P2
Note: Aucune "Outgoing Interface" n'est affichée car le Label de sortie est "Aggregate". Ceci parce que le préfixe associé au Label est une route directement connectée. Les messages ping de CE1 vers un host sur CE2 confirmes la connectivité VPN sur le Tunnel TE. CE1# ping Type escape sequence to abort. Sending 5, 100−byte ICMP Echos to , timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round−trip min/avg/max = 4/13/36 ms CE1# Cas 2: VPN sur un Tunnel TE quand le tunnel va de PE1 à P2 Topologie CE1 CE2 PE1 PE2 P1 P2 Lo: Lo: Lo: Lo: .13 Tunnel TE Configuration La configuration TE additionnelle sur la configuration de base de PE1 est la suivante: PE1 PE1# show run interface tunnel 0 ! interface Tunnel0 ip unnumbered Loopback0 no ip directed−broadcast no ip route−cache distributed tunnel destination tunnel mode mpls traffic−eng tunnel mpls traffic−eng autoroute announce tunnel mpls traffic−eng path−option 10 dynamic end ccnp_cch

14 ccnp_cch Vérification
Vérifiez le préfixe de route sur le VRF aqua de PE1. Celui-ci pointe vers le prochain saut /32 (sur Tunnel 0) en utilisant la pile de labels { }. PE1# show ip cef vrf aqua /24, version 11 0 packets, 0 bytes tag information set local tag: VPN route head fast tag rewrite with Tu0, point2point, tags imposed { } via , 0 dependencies, recursive next hop , Tunnel0 via /32 valid adjacency tag rewrite with Tu0, point2point, tags imposed { } PE1# Le Label 19, le Label de sortie, est utilisé pour joindre le prochain saut /32 comme cela est montré ci-dessous: PE1# show ip cef /32, version 37 local tag: 21 fast tag rewrite with Tu0, point2point, tags imposed {19} via , Tunnel0, 1 dependency next hop , Tunnel0 tag rewrite with Tu0, point2point, tags imposed {19} PE1# show mpls traffic−eng tunnels tunnel 0 Name: PE1_t0 (Tunnel0) Destination: Status: Admin: up Oper: up Path: valid Signalling: connected path option 10, type dynamic (Basis for Setup, path weight 20) Config Parameters: Bandwidth: 0 kbps (Global) Priority: 7 7 Affinity: 0x0/0xFFFF Metric Type: TE (default) AutoRoute: enabled LockDown: disabled Loadshare: 0 bw−based auto−bw: disabled InLabel : − OutLabel : Ethernet2/0/2, 19 RSVP Signalling Info: Src , Dst , Tun_Id 0, Tun_Instance 33 RSVP Path Info: My Address: Explicit Route: Record Route: NONE Tspec: ave rate=0 kbits, burst=1000 bytes, peak rate=0 kbits ccnp_cch

15 ccnp_cch RSVP Resv Info: Record Route: NONE
Fspec: ave rate=0 kbits, burst=1000 bytes, peak rate=Inf Shortest Unconstrained Path Info: Path Weight: 20 (TE) Explicit Route: History: Tunnel: Time since created: 17 hours, 31 minutes Time since path change: 8 minutes, 49 seconds Current LSP: Uptime: 8 minutes, 49 seconds Selection: reoptimation Prior LSP: ID: path option 10 [31] Removal Trigger: path verification failed PE1# PE1# show mpls traffic−eng tunnels tunnel 0 | i Label InLabel : − OutLabel : Ethernet2/0/2, 19 Le paquet issu de PE1 est transmis sur le Tunnel TE avec la pile de Labels { }. Dès que P1 reçoit le paquet, il retire le label 19 (PHP) et transmet le paquet avec la pile de Labels {12308}. La commande show le confirme. P1# show tag for tag 19 Local Outgoing Prefix Bytes tag Outgoing Next Hop tag tag or VC or Tunnel Id switched interface Pop tag [33] Et2/ P1# P1# show tag for tag 19 detail Pop tag [33] Et2/ MAC/Encaps=14/14, MTU=1504, Tag Stack{} 006009E08B E2B No output feature configured Quand P2 reçoit le paquet avec la pile de Labels {12308}, il vérifie sa LFIB et élimine le paquet car il n'a aucune correspondance. Cela est montré par la sortie de la commande show sur P2. ccnp_cch

16 Explication ccnp_cch P2# show tag forwarding−table tags 12308 detail
Local Outgoing Prefix Bytes tag Outgoing Next Hop tag tag or VC or Tunnel Id switched interface P2# 7w4d: TAG: Et0/3: recvd: CoS=0, TTL=253, Tag(s)=12308 Explication La solution à ce problème est de valider TDP/LDP sur le Tunnel TE et de faire une in- terface mpls (tag-switched) de celui-ci. Dans l'exemple montré dans la solution, TDP est validé sur le Tunnel 0 de PE1. P2 est configuré pour accepter les hellos dirigés et former des voisins TDP. Ainsi PE1 reçoit le Label pour de P2 via TDP. Maintenant que ce Tunnel 0 est devenu une interface mpls et que TDP a été validé pour le trafic vers , PE1 utilise les deux Labels. Il utilise le Label RSVP pour joindre la fin du Tunnel et le Label TDP pour joindre Dans ce scénario PE1 utilise la pile de Labels {L2 L3 L1} pour acheminer les données vers CE2 si ces items sont vrais: ● L1 est le Label VPN ● L2 est le Label RSVP utilisé pour joindre la fin du Tunnel TE. ● L3 est le Label TDP pour joindre (reçu de P2) Solution La solution est de valider TDP à travers le Tunnel TE. Configuration Ici est montrée la configuration du Tunnel TE sur PE1 avec TDP validé. Les ajouts sont en caractères gras. PE1 PE1# show run interface tunnel 0 ! interface Tunnel0 ip unnumbered Loopback0 no ip directed−broadcast no ip route−cache distributed tag−switching ip !−−− Ceci valide TDP. tunnel destination tunnel mode mpls traffic−eng tunnel mpls traffic−eng autoroute announce tunnel mpls traffic−eng path−option 10 dynamic end ccnp_cch

17 Ceci est la configuration additionnelle à la fin du Tunnel TE pour accepter les Hellos
TDP dirigés. P2# show run | i directed−hello tag−switching tdp discovery directed−hello accept !−−− Ceci configure P2 pour qu'il accepte les hellos TDP dirigés. P2# Vérification PE1# show tag tdp neighbor | i Peer Peer TDP Ident: :0; Local TDP Ident :0 Peer TDP Ident: :0; Local TDP Ident :0 PE1# PE1# show ip cef vrf aqua /24, version 11 0 packets, 0 bytes tag information set local tag: VPN route head fast tag rewrite with Tu0, point2point, tags imposed { } via , 0 dependencies, recursive next hop , Tunnel0 via /32 valid adjacency tag rewrite with Tu0, point2point, tags imposed { } PE1# show mpls traffic−eng tunnels tunnel 0 | i Label InLabel : − OutLabel : Ethernet2/0/2, 19 !−−− C'est le Label TE appris via RSVP. PE1# show tag tdp bind tib entry: /32, rev 20 local binding: tag: 21 remote binding: tsr: :0, tag: 17 remote binding: tsr: :0, tag: 18 !−−− C'est le Label TDP appris de P2. Quand P1 reçoit le paquet avec la pile de Labels { }, il retire le Label 19 et transmet le paquet avec la pile de Labels { } vers P2. P2 vérifie sa LFIB pour le Label 18 puis retire le Label et transmet le paquet sur l'interface de sortie PO2/0/0 vers PE1. PE1 reçoit le paquet avec le Label et le commute avec succès vers CE2. P2# show tag for tag 18 Local Outgoing Prefix Bytes tag Outgoing Next Hop tag tag or VC or Tunnel Id switched interface Pop tag / POS2/0/0 point2point ccnp_cch

18 ccnp_cch P2# show tag tdp discovery Local TDP Identifier: 10.5.5.5:0
Discovery Sources: Interfaces: Ethernet0/3 (tdp): xmit/recv TDP Id: :0 POS2/0/0 (tdp): xmit/recv TDP Id: :0 Directed Hellos: −> (tdp): passive, xmit/recv TDP Id: :0 P2# show tag tdp neighbor Peer TDP Ident: :0; Local TDP Ident :0 TCP connection: − State: Oper; PIEs sent/rcvd: 469/465; Downstream Up time: 01:41:08 TDP discovery sources: Directed Hello −> , passive Addresses bound to peer TDP Ident: PE1# show tag tdp neighbor Peer TDP Ident: :0; Local TDP Ident :0 TCP connection: − State: Oper; PIEs sent/rcvd: 438/441; Downstream Up time: 01:35:08 Directed Hello −> , active !−−− Ceci indique le voisin. PE1# show ip route Routing entry for /32 Known via "isis", distance 115, metric 40, type level−1 Redistributing via isis Last update from on Tunnel0, 01:52:21 ago Routing Descriptor Blocks: * , from , via Tunnel0 Route metric is 40, traffic share count is 1 Une commande ping de CE1 vers un host de CE2 confirme la solution. CE1# ping Type escape sequence to abort. Sending 5, 100−byte ICMP Echos to , timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round−trip min/avg/max = 4/4/4 ms CE1# ccnp_cch

19 Cas 3: VPN entre CE1 et CE2 sur un Tunnel TE qui va de P1 à
P2 quand TDP/LDP n'est pas validé Topologie CE1 CE2 PE1 PE2 P1 P2 Lo: Lo: Lo: Lo: .13 Tunnel TE Configuration La configuration du tunnel sur PE1 est la suivante: PE1 P1# show run interface tunnel 0 Building configuration... Current configuration : 255 bytes ! interface Tunnel0 ip unnumbered Loopback0 no ip directed−broadcast ip route−cache distributed tunnel destination tunnel mode mpls traffic−eng tunnel mpls traffic−eng autoroute announce tunnel mpls traffic−eng path−option 10 dynamic end ccnp_cch

20 ccnp_cch Vérification
Vérifiez comment les paquets destinés à CE sont commutés. La sortie de la commande show ip cef montre que les paquets vers la destination sont commutés avec la pile de Labels { }. PE1# show ip cef vrf aqua /24, version 18, cached adjacency 0 packets, 0 bytes tag information set local tag: VPN route head fast tag rewrite with Et2/0/2, , tags imposed { } via , 0 dependencies, recursive next hop , Ethernet2/0/2 via /32 valid cached adjacency tag rewrite with Et2/0/2, , tags imposed { } Quand P1 reçoit ce paquet, il retire le Label de sortie 17 et commute le paquet, après avoir recherché dans la table de routage IP vers Tunnel0. Notez le champ implicit−null OutLabel dans cette sortie; il signifie que l'interface de sortie n'utilise pas de commuta- tion de Labels. P1# show ip cef detail /32, version 52 local tag: 17 fast tag rewrite with Tu0, point2point, tags imposed {} via , Tunnel0, 0 dependencies next hop , Tunnel0 valid adjacency tag rewrite with Tu0, point2point, tags imposed {} P1# show mpls traffic−eng tunnel tunnel 0 | i Label InLabel : − OutLabel : Ethernet2/0, implicit−null P1# show tag for detail Local Outgoing Prefix Bytes tag Outgoing Next Hop tag tag or VC or Tunnel Id switched interface Untagged / Tu point2point MAC/Encaps=14/14, MTU=1500, Tag Stack{}, via Et2/0 006009E08B E2B No output feature configured Per−packet load−sharing, slots: P1# ccnp_cch

21 Cas 4: VPN sur un Tunnel TE entre P1 et P2 quand TDP est validé
P1# show ip route Routing entry for /32 Known via "isis", distance 115, metric 30, type level−1 Redistributing via isis Last update from on Tunnel0, 00:03:20 ago Routing Descriptor Blocks: * , from , via Tunnel0 Route metric is 30, traffic share count is 1 Dès que P2 reçoit le paquet avec le Label il regarde sa table d'acheminement. Comme il n'y a aucun moyen pour que P2 connaisse le Label VPN de CE2, il élimine le paquet. P2# show tag for tag detail Local Outgoing Prefix Bytes tag Outgoing Next Hop tag tag or VC or Tunnel Id switched interface Cela interrompt le chemin des paquets VPN destinés à CE2. Ceci est confirmé par la commande ping vers CE /32. CE1# ping Type escape sequence to abort. Sending 5, 100−byte ICMP Echos to , timeout is 2 seconds: ..... Success rate is 0 percent (0/5) CE1# Solution La solution est de valider LDP/TDP sur le tunnel. Cas 4: VPN sur un Tunnel TE entre P1 et P2 quand TDP est validé Topologie CE1 CE2 PE1 PE2 P1 P2 Lo: Lo: Lo: Lo: .13 Tunnel TE ccnp_cch

22 ccnp_cch Configuration
Quand TDP est validé sur le tunnel, les configurations sur P1 sont celles-ci. Les ajouts sont en caractères gras. PE1 P1# show run interface tunnel 0 Building configuration... Current configuration : 273 bytes ! interface Tunnel0 ip unnumbered Loopback0 no ip directed−broadcast ip route−cache distributed tag−switching ip tunnel destination tunnel mode mpls traffic−eng tunnel mpls traffic−eng autoroute announce tunnel mpls traffic−eng path−option 10 dynamic end Vérification PE1 transmet des paquets vers le préfixe /32 avec la pile de labels { } . PE1# PE1# show tag for detail Local Outgoing Prefix Bytes tag Outgoing Next Hop tag tag or VC or Tunnel Id switched interface / Et2/0/ MAC/Encaps=14/18, MTU=1500, Tag Stack{17} 00603E2B No output feature configured Per−packet load−sharing, slots: ccnp_cch

23 ccnp_cch PE1# show ip cef 10.11.11.11 detail
/32, version 60, cached adjacency 0 packets, 0 bytes tag information set local tag: 21 fast tag rewrite with Et2/0/2, , tags imposed {17} via , Ethernet2/0/2, 1 dependency next hop , Ethernet2/0/2 valid cached adjacency tag rewrite with Et2/0/2, , tags imposed {17} PE1# show ip cef vrf aqua /24, version 18, cached adjacency local tag: VPN route head fast tag rewrite with Et2/0/2, , tags imposed { } via , 0 dependencies, recursive next hop , Ethernet2/0/2 via /32 tag rewrite with Et2/0/2, , tags imposed { } P1 reçoit le paquet avec la pile de Labels { } et regarde sa LFIB pour le Label 17. P1# show tag for tag 17 detail Local Outgoing Prefix Bytes tag Outgoing Next Hop tag tag or VC or Tunnel Id switched interface / Tu point2point MAC/Encaps=14/18, MTU=1496, Tag Stack{18}, via Et2/0 006009E08B E2B No output feature configured Per−packet load−sharing, slots: P1# P1# show ip cef detail /32, version 52 local tag: 17 fast tag rewrite with Tu0, point2point, tags imposed {18} via , Tunnel0, 0 dependencies next hop , Tunnel0 valid adjacency tag rewrite with Tu0, point2point, tags imposed {18} Cela montre que le Label 17 doit être échangé avec le Label 18. Par conséquent le pa- quet est commuté sur l'interface tunnel avec la pile de Labels { }. ccnp_cch

24 Cas 5: VPN MPLS sur un sur un Tunnel TE entre P1 et PE2
P2 reçoit le paquet sur l'interface tunnel avec la pile de Labels { }. Il retire le Label 18 (car c'est l'avant dernier routeur) et commute le paquet vers PE2 avec le Label 12308. P2# show tag for tag 18 detail Local Outgoing Prefix Bytes tag Outgoing Next Hop tag tag or VC or Tunnel Id switched interface Pop tag / PO2/0/0 point2point MAC/Encaps=4/4, MTU=4474, Tag Stack{} 0F008847 No output feature configured Per−packet load−sharing, slots: P2# PE2 reçoit le paquet avec le Label et le commute vers CE2 avec succès. PE2# show tag forwarding tags detail Local Outgoing Prefix Bytes tag Outgoing Next Hop tag tag or VC or Tunnel Id switched interface Aggregate /24[V] 12256 MAC/Encaps=0/0, MTU=0, Tag Stack{} VPN route: aqua PE2# CE1# ping Type escape sequence to abort. Sending 5, 100−byte ICMP Echos to , timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round−trip min/avg/max = 1/2/4 ms CE1# Cas 5: VPN MPLS sur un sur un Tunnel TE entre P1 et PE2 Topologie CE1 CE2 PE1 PE2 P1 P2 Lo: Lo: Lo: Lo: .13 Tunnel TE ccnp_cch

25 Configuration Vérification ccnp_cch PE1
PE1# show run interface tunnel 0 Building configuration... Current configuration : 258 bytes ! interface Tunnel0 ip unnumbered Loopback0 no ip directed−broadcast ip route−cache distributed tunnel destination tunnel mode mpls traffic−eng tunnel mpls traffic−eng autoroute announce tunnel mpls traffic−eng path−option 10 dynamic end Vérification PE1 transmet un paquet destiné à vers son prochain saut avec la pile de Labels { }. PE1# show ip cef vrf aqua /24, version 18, cached adjacency 0 packets, 0 bytes tag information set local tag: VPN route head fast tag rewrite with Et2/0/2, , tags imposed { } via , 0 dependencies, recursive next hop , Ethernet2/0/2 via /32 valid cached adjacency tag rewrite with Et2/0/2, , tags imposed { } P1 reçoit le paquet avec la pile de Labels { }. P1 regarde sa table LFIB et vérifie le Label 17 puis commute le paquet avec le Label 17 vers P2. P1# show tag for detail Local Outgoing Prefix Bytes tag Outgoing Next Hop tag tag or VC or Tunnel Id switched interface Untagged / Tu point2point MAC/Encaps=14/18, MTU=1500, Tag Stack{17}, via Et2/0 006009E08B E2B No output feature configured Per−packet load−sharing, slots: P1# ccnp_cch

26 ccnp_cch P1# show tag for tag 17 detail
Local Outgoing Prefix Bytes tag Outgoing Next Hop tag tag or VC or Tunnel Id switched interface Untagged / Tu point2point MAC/Encaps=14/18, MTU=1500, Tag Stack{17}, via Et2/0 006009E08B E2B No output feature configured Per−packet load−sharing, slots: P1# P1# show ip cef /32, version 67 0 packets, 0 bytes tag information set local tag: 17 fast tag rewrite with Tu0, point2point, tags imposed {17} via , Tunnel0, 0 dependencies next hop , Tunnel0 valid adjacency tag rewrite with Tu0, point2point, tags imposed {17} P2 reçoit le paquet avec la pile de Labels { }. P2, étant l'avant dernier routeur, , retire le Label 17. P2# show tag for tag 17 detail Local Outgoing Prefix Bytes tag Outgoing Next Hop tag tag or VC or Tunnel Id switched interface Pop tag [5] PO2/0/0 point2point MAC/Encaps=4/4, MTU=4474, Tag Stack{} 0F008847 P2# PE2 reçoit ensuite le paquet avec le Label P2 sait que la destination pour le Label est directement connectée. Par conséquent la commande ping de CE1 vers CE2 réussie. PE2# show tag for tag detail Local Outgoing Prefix Bytes tag Outgoing Next Hop tag tag or VC or Tunnel Id switched interface Aggregate /24[V] 12776 MAC/Encaps=0/0, MTU=0, Tag Stack{} VPN route: aqua PE2# Note: Aucune "Outgoing interface" est affichée car le Label de sortie est "Aggregate". C'est parce que le préfixe associé au Label est la route directement connectée. CE1# ping Type escape sequence to abort. Sending 5, 100−byte ICMP Echos to , timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round−trip min/avg/max = 4/4/4 ms CE1# ccnp_cch

27 Conclusion ccnp_cch CE1# ping 172.16.13.13
Type escape sequence to abort. Sending 5, 100−byte ICMP Echos to , timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round−trip min/avg/max = 4/4/4 ms CE1# Conclusion Quand le Tunnel TE est terminé sue le PE de sortie, le VPN MPLS et le Tunnel TE fonc- tionnent ensemble sans configuration additionnelle. Quand le Tunnel TE est terminé sur un routeur P (avant le routeur PE dans le cœur de réseau), l'acheminement du tra- fic VPN MPLS échoue car les paquets arrivent avec des Labels VPN comme Labels de sortie qui ne sont pas dans les tables LFIB de ces équipements. Par conséquent ces routeurs intermédiaires ne sont pas capables d'acheminer les paquets vers la destina- tion finale qui est le réseau VPN du client. Dans de tels cas, LDP/TDP doit être validé sur le Tunnel TE pour résoudre ce problème. ccnp_cch


Télécharger ppt "Implémentation MPLS VPN"

Présentations similaires


Annonces Google