La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

MPLS - Accès Internet à partir d'un VPN MPLS

Publié parJean-Michel Déry Modifié depuis plus de 6 années

Présentations similaires

Présentation au sujet: "MPLS - Accès Internet à partir d'un VPN MPLS"— Transcription de la présentation:

1 MPLS - Accès Internet à partir d'un VPN MPLS
d'une table de Routage globale ccnp_cch ccnp_cch

2 Sommaire • Introduction • Vérification - Prérequis
- Composants utilisés - Rappel de théorie • Configuration Schéma du réseau Configurations • Vérification - Connectivité VPN entre CE1 et CE2 - Connectivité Internet à partir de CE1 ccnp_cch

3 Introduction ccnp_cch
Le but de ce document est de montrer une configuration utilisée pour accéder à Internet à partir d'un VPN MPLS en utilisant une table de routage globale. Dans certains scénarios de réseau, il est requis d'accéder à Internet à partir du VPN MPLS tout en continuant à maintenir la connectivité VPN entre les sites de l'entreprise. Cet exemple de configuration est focalisé sur la fourniture de l'accès Internet depuis le VRF (VPN Routing and Forwarding) qui contient la route par défaut vers la passerelle Internet. Les abréviations suivantes sont utilisées dans ce document; ● CE - Routeur Custumor Edge ● PE - Routeur Provider Edge ● P - Routeur de cœur de réseau de l'opérateur Prérequis Une connaissance de base de l'acheminement MPLS VPN est requise pour bien com- prendre le contenu de ce document. Composants utilisés Ce document est basé sur les versions logicielles et matérielles suivantes: ● Cisco IOS Release 12.1(3)T. La release 12.0(5)T contient la fonctionnalité VPN MPLS. ● Tout routeur de la série 3600 (3660 par exemple) ou supérieur tel Cisco Rappel de théorie Dans cet exemple de configuration, les politiques suivantes ont été mises en place. ● Un routeur avec une connectivité Internet est attaché à un réseau MPLS. Il peut in jecter ou non des routes BGP (Border Gateway Protocol) dans la table de routage globale Note: Les routeurs PE comprennent BGP. Les routeurs tels que les GSR (Giga-Switch Router) opérant comme des routeurs de cœur de réseau de l'opérateur n'utilisent pas BGP. ● Il n'y a aucune exigence pour un VRF d'avoir une table de routage complète d'Inter net (Table BGP globale). ● Un client VPN utilise un espace d'adresse unique enregistré qui est routable dans la table de routage globale d'Internet. La méthode d'accès utilisée dans ce document n'est pas recommandée car les clients ont uniquement des adresses privées. ccnp_cch

4 Configuration ccnp_cch
Vous pouvez vous référer au schéma du réseau pour une illustration de cette configura- tion. Dans cet exemple, CE1 et CE2 sont dans le même VPN. ils sont configurés sous le VRF "Customer1" car il n'y aucune exigence pour que le VRF ait la table de routage complète d'Internet. Une route statique par défaut est configurée dans le VRF "Custo- mer1" sur PE1 pointant vers la passerelle Internet. En plaçant une route statique par défaut dans le VRF "Customer1", les paquets qui ne correspondent à aucune des rou- tes contenues dans le VRF "Customer1" seront transmis vers la passerelle Internet. Note: Comme l'adresse de la passerelle Internet ne fait pas partie du VRF "Customer1", une route par défaut est configurée, dans le VRF "Customer1", pointant vers l'interface s8/0 avec l'adresse IP de la passerelle Internet. La route ne fait pas partie du VRF "Customer1" aussi vous devez utiliser le mot-clé global dans la route statique par défaut configurée sous le VRF "Customer1". Le mot-clé global signifie que l'adresse du prochain saut de la route statique doit être résolue dans la table de routage globale et non dans le VRF "Customer1" Exemple de route statique: ip route vrf customer global Avoir une route statique avec le mot-clé global dans le VRF "Customer1" assure que tous les paquets destinés à Internet sont routés vers la passerelle et par conséquent vers Internet. Note: La route par défaut dans PE1 est configurée pour pointer vers l'adresse IP de l'interface serial de la passerelle Internet ( ) et non vers l'adresse de l'inter- face loopback ( ). Ceci évite d'avoir des routes "trou noir" dans le cas d'une dé- faillance de la connectivité entre la passerelle Internet et Internet (Routeur R7). Si la route par défaut pointait vers l'adresse de l'interface loopback de la passerelle Internet, et que la connectivité entre la passerelle Internet et R7 est rompue, tous les paquets continueraient à être routés vers la passerelle Internet. Ceci se produit car l'interface loopback reste en service (au contraire de qui serait retiré de la table de routage) quand l'interface S8/0 passerait hors service) et la route par défaut existe tou- jours dans la table de routage. L'étape suivante est de s'assurer que les paquets venant d'Internet à destination du ré- seau de CE /24 sont routés de la passerelle Internet vers PE1 puis vers CE1 au travers du cœur de réseau MPLS. Ceci est réalisé en configurant une route statique pour le réseau CE1 pointant vers l'interface serial s8/0 dans la table de routa- ge globale de PE1. Redistribuez cette route dans OSPF (Open Shortest Path First) ainsi la passerelle Internet vers PE1 et vers la destination finale au-delà de CE1. Exemple de route statique configurée dans PE1: ip route Serial8/ ccnp_cch

5 Note: La route statique configurée ci-dessus dans la table de routage globale est en
plus de la route statique configurée dans le VRF "Customer1" qui est utilisée pour le VPN NLRI (Network Layer Reachability Information). Sur PE1 cette route est configurée comme suit: ip route vrf customer Schéma du réseau VPN Lo2 – CE1 .1 s8/0 x/30 .2 s8/0 e0/0 PE1 Lo0 – Lo2 – e0/0 e1/0 s8/0 e1/0 .1 R7 e2/0 s8/0 .2 .13 IGW x/30 P Lo .6 Lo Internet PE2 e2/0 Backbone MPLS opérateur .1 Lo x/30 s9/0 .2 s9/0 CE2 Lo0 – VPN ccnp_cch

6 Configurations ccnp_cch CE1 PE1 version 12.2 ! hostname CE−1
ip subnet−zero interface Loopback0 ip address interface Loopback2 ip address interface Serial8/0 ip address !−−− Interface connectée à PE 1. ip classless ip route !−−− Route par défaut pour router tous les paquets vers !--- PE1. PE1 version 12.2 ! hostname PE−1 ip subnet−zero !−−− VRF customer1. ip vrf customer1 rd 100:1 !−−− route distiguisher pour le VRF. route−target export 1:1 route−target import 1:1 !−−− Politiques d'import et d'export dans le VRF. ip cef !−−− Valide Cisco Express Forwarding (CEF) switching. interface Loopback0 ip address ccnp_cch

7 ccnp_cch ! interface Ethernet0/0
!−−− Interface connectée au routeur P . ip address tag−switching ip !−−− MPLS switching validé. interface Serial8/0 ! Connecté à CE−1 ip vrf forwarding customer1 !−−− Acheminement de route basé sur le VRF customer !--- est validé. ip address router ospf 1 log−adjacency−changes redistribute static subnets network area 0 router bgp 100 no synchronization bgp log−neighbor−changes neighbor remote−as 100 !−−− Relation de voisin avec PE 2 établie. neighbor update−source Loopback0 neighbor next−hop−self no auto−summary address−family ipv4 vrf customer1 !−−− Mode de configuration address−family spécifie !--- préfixes d'adresses IPv4 unicast pour le VRF !--- customer1 . network mask !−−− Le réseau /24 de CE 1 est annoncé à !--- PE2. network mask exit−address−family address−family vpnv4 !−−− C'est le mode de configuration address−family !--- VPNV4 pour configurer les sessions BGP. neighbor activate neighbor send−community extended ip classless ccnp_cch

8 ccnp_cch P ip route 11.11.11.0 255.255.255.0 Serial8/0 192.168.10.1
!−−− La route statique dans la table de routage globale !--- pointe vers l'interface connectée à CE 1. ! ip route vrf customer global !−−− La route statique par défaut sous le VRF customer1 !--- route les paquets hors du VPN vers la passerelle !--- Internet. ip route vrf customer !−−− La route statique pour le réseau /24 !--- (réseau CE-1) sous le VRF customer1 assure !--- l'accessibilité du réseau de CE 1 à parir des autres !−−− sites du VPN. P version 12.2 ! hostname P ip subnet−zero ip cef !−−− CEF switching validé. interface Loopback0 ip address interface Ethernet0/0 !−−− Interface connectée à PE 1. ip address tag−switching ip !−−− MPLS switching validé. interface Ethernet1/0 !−−− Interface connectée à PE 2. ip address interface Ethernet2/0 !−−− Interface connectée à la passerelle Internet. ip address router ospf 1 log−adjacency−changes network area 0 ccnp_cch

9 ccnp_cch IGW version 12.2 ! hostname IGW ip subnet−zero ip cef
!−−− Valide CEF switching. interface Loopback0 ip address interface Ethernet2/0 !−−− Interface connectée au routeur P. ip address tag−switching ip interface Serial8/0 ip address router ospf 1 log−adjacency−changes network area 0 router bgp 100 no synchronization bgp log−neighbor−changes network mask network mask neighbor remote−as 200 no auto−summary ccnp_cch

10 ccnp_cch PE2 version 12.2 ! hostname PE−2 ip subnet−zero
ip vrf customer1 !−−− VRF Customer1 configuré. rd 100:1 !−−− Route Distinguisher pour le VRF. route−target export 1:1 route−target import 1:1 !−−− Politiques d'import et d'export dans le VRF. ip cef !−−− Valide Cisco Express Forwarding (CEF) switching. interface Loopback0 ip address interface Ethernet1/0 !−−− Interface connectée au routeur P. ip address tag−switching ip !−−− MPLS switching validé. interface Serial9/0 !−−− Interface connectée au routeur CE 2. ip vrf forwarding customer1 !−−− Valide l'acheminement VRF sur l'interface. ip address router ospf 1 log−adjacency−changes redistribute static subnets network area 0 router bgp 100 no synchronization bgp log−neighbor−changes neighbor remote−as 100 neighbor update−source Loopback0 neighbor next−hop−self no auto−summary ccnp_cch

11 ccnp_cch ! address−family ipv4 vrf customer1
!−−− This is the address−family IPv4 configuration of customer1 VRF. no auto−summary no synchronization network mask !−−− Annonce le réseau de CE 2 à PE 1. exit−address−family address−family vpnv4 !−−− C'est le mode de configuration address−family !--- VPNV4 pour configurer les sessions BGP avec PE1. neighbor activate neighbor send−community extended ip classless ip route Serial9/ !−−− Route statique pour le réseau /24 dans la !--- table de routage globale pointant sur l'interface !−−− connectée à CE 2. ip route vrf customer global !−−− Route statique par défaut pour le client VRF pour des !−−− destinations hors du VPN. ip route vrf customer !−−− Route statique dans le VRF customer1 pour le réseau CE2 !−−− pour la connectivité VPN. ccnp_cch

12 Vérification ccnp_cch CE2
version 12.2 ! hostname CE−2 ip subnet−zero interface Loopback0 ip address interface Serial9/0 !−−− Interface connectée à PE 2. ip address ip classless ip route !−−− Route par défaut pointant vers PE 2. Vérification Cette section fournit des informations que vous pouvez utiliser pour confirmer que votre configuration fonctionne correctement. Connectivité VPN entre CE 1 et CE 2 Pour vérifier la connectivité VPN entre CE 1 et CE 2, CE 1 doit être capable d'atteindre le réseau de CE /24 et inversement. Pour vérifier cela, vérifiez la route vers le réseau /24 dans le VRF "customer1" sur PE 1. 1. La commande show ip route vrf customer1 confirme que la route vers le réseau 22. /24 est apprise de (adresse loopback de PE2) PE−1#show ip route vrf customer1 Codes: C − connected, S − static, I − IGRP, R − RIP, M − mobile, B − BGP D − EIGRP, EX − EIGRP external, O − OSPF, IA − OSPF inter area N1 − OSPF NSSA external type 1, N2 − OSPF NSSA external type 2 E1 − OSPF external type 1, E2 − OSPF external type 2, E − EGP i − IS−IS, L1 − IS−IS level−1, L2 − IS−IS level−2, ia − IS−IS inter area * − candidate default, U − per−user static route, o − ODR P − periodic downloaded static route Gateway of last resort is to network /30 is subnetted, 1 subnets C is directly connected, Serial8/0 /24 is subnetted, 1 subnets B [200/0] via , 01:00:50 /24 is subnetted, 1 subnets S [1/0] via S* /0 [1/0] via ccnp_cch

13 2. De manière similaire sur PE 2, la route vers le réseau 11. 11. 11
2. De manière similaire sur PE 2, la route vers le réseau /24 dans le VRF customer1 est visible dans la sortie suivante: PE−2#show ip route vrf customer1 Codes: C − connected, S − static, I − IGRP, R − RIP, M − mobile, B − BGP D − EIGRP, EX − EIGRP external, O − OSPF, IA − OSPF inter area N1 − OSPF NSSA external type 1, N2 − OSPF NSSA external type 2 E1 − OSPF external type 1, E2 − OSPF external type 2, E − EGP i − IS−IS, L1 − IS−IS level−1, L2 − IS−IS level−2, ia − IS−IS inter area * − candidate default, U − per−user static route, o − ODR P − periodic downloaded static route Gateway of last resort is to network /30 is subnetted, 1 subnets B [200/0] via , 01:00:09 /24 is subnetted, 1 subnets S [1/0] via /30 is subnetted, 1 subnets C is directly connected, Serial9/0 /24 is subnetted, 1 subnets B [200/0] via , 01:00:09 S* /0 [1/0] via 3. Maintenant vérifiez la connectivité entre CE1 et CE2 en "pinguant" le host sur CE2 en utilisant l'adresse source de CE1. CE−1#ping Protocol [ip]: Target IP address: Repeat count [5]: Datagram size [100]: Timeout in seconds [2]: Extended commands [n]: y Source address or interface: Type of service [0]: Set DF bit in IP header? [no]: Validate reply data? [no]: Data pattern [0xABCD]: Loose, Strict, Record, Timestamp, Verbose[none]: Sweep range of sizes [n]: Type escape sequence to abort. Sending 5, 100−byte ICMP Echos to , timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round−trip min/avg/max = 20/20/20 ms ccnp_cch

14 ccnp_cch Connectivité vers Internet à partir de CE1
1. Tout les paquets destinés à Internet ou au VPN à partir de CE1 seront routés en uti lisant une route par défaut configurée dans CE1 et pointant vers PE1 comme cela est montré ci-dessous: CE−1#show ip route Routing entry for /0, supernet Known via "static", distance 1, metric 0, candidate default path Routing Descriptor Blocks: * Route metric is 0, traffic share count is 1 2. Les paquets entrant dans PE1 sur l'interface S8/0 seront routés en utilisant la table de routage VRF customer1. PE1 a une route par défaut dans le VRF customer1 poin- tant vers la passerelle Internet comme cela est montré ci-dessous dans la sortie de la commande show ip route vrf customer1 sur PE PE−1#show ip route vrf customer1 Codes: C − connected, S − static, I − IGRP, R − RIP, M − mobile, B − BGP D − EIGRP, EX − EIGRP external, O − OSPF, IA − OSPF inter area N1 − OSPF NSSA external type 1, N2 − OSPF NSSA external type 2 E1 − OSPF external type 1, E2 − OSPF external type 2, E − EGP i − IS−IS, L1 − IS−IS level−1, L2 − IS−IS level−2, ia − IS−IS inter area * − candidate default, U − per−user static route, o − ODR P − periodic downloaded static route Gateway of last resort is to network /30 is subnetted, 1 subnets C is directly connected, Serial8/0 /24 is subnetted, 1 subnets B [200/0] via , 01:21:11 /24 is subnetted, 1 subnets S [1/0] via S* /0 [1/0] via 3. Comme la route par défaut sur PE1 est configurée avec le mot-clé global, la recher che du prochain saut est effectuée dans la table de routage globale et cette route point vers la passerelle Internet comme cela est montré ci-dessous: PE−1#show ip route Routing entry for /30 Known via "ospf 1", distance 110, metric 84, type intra area Last update from on Ethernet0/0, 00:21:54 ago * , from , 00:21:54 ago, via Ethernet0/0 Route metric is 84, traffic share count is 1 4. Les paquets qui atteignent la passerelle Internet seront routés sur Internet sur la base ccnp_cch

15 4. Les paquets qui atteignent la passerelle Internet seront routés sur Internet sur la base des routes BGP apprises de R7. Dans ce cas, vous pouvez vérifier regarder les routes BGP apprises de R7 pour vérifier la connectivité Internet. Ci-dessous est af fichée la route BGP (réseau /24) apprise de R7 dans la table de routage de la passerelle Internet IGW#show ip route Routing entry for /24 Known via "bgp 100", distance 20, metric 0 Tag 200, type external Last update from :37:25 ago Routing Descriptor Blocks: * , from , 01:37:25 ago Route metric is 0, traffic share count is 1 AS Hops 1 Les paquets qui sont issus de CE1 seront routés vers Internet. 5. Pour les paquets revenant d'Internet et destinés au réseau /24 de CE1, la passerelle Internet doit avoir une route pointant vers PE1 dans sa table de routage globale. Une route statique dans la table de routage globale pointe vers l'interface S8/0 sur PE1 connectant CE1 et redistribuée dans OSPF est configurée. Ceci assure que la passerelle Internet a une route dans sa table de routage globale pointant vers PE1. La route statique sur PE1 et la route OSPF apprise sur la passerelle Internet sont affichées ci-dessous: IGW#show ip route Routing entry for /24 Known via "ospf 1", distance 110, metric 20, type extern 2, forward metric 20 Last update from on Ethernet2/0, 00:34:34 ago * , from , 00:34:34 ago, via Ethernet2/0 Route metric is 20, traffic share count is 1 PE−1#show ip route Known via "static", distance 1, metric 0 Redistributing via ospf 1 Advertised by ospf 1 subnets * , via Serial8/0 ccnp_cch

16 6. Maintenant vérifiez la connectivité vers Internet à partir de CE1 en "pinguant" R7 à l'adresse avec l'adresse source sur CE CE−1#ping Protocol [ip]: Target IP address: Repeat count [5]: Datagram size [100]: Timeout in seconds [2]: Extended commands [n]: y Source address or interface: Type of service [0]: Set DF bit in IP header? [no]: Validate reply data? [no]: Data pattern [0xABCD]: Loose, Strict, Record, Timestamp, Verbose[none]: Sweep range of sizes [n]: Type escape sequence to abort. Sending 5, 100−byte ICMP Echos to , timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round−trip min/avg/max = 20/24/32 ms CE−1# ccnp_cch

Télécharger ppt "MPLS - Accès Internet à partir d'un VPN MPLS"

Présentations similaires

Configuration NAT Statique Lyon1 FAI S0/0 E0/0 Station A Station B S0/0 Lo0 Objectif Le but est de configurer la traduction NAT (Network Address Translation)

Configuration NAT Statique Lyon1 FAI S0/0 E0/0 Station A Station B S0/0 Lo0 Objectif Le but est de configurer la traduction NAT (Network Address Translation)
MPLS - Configuration de VPN MPLS de couche 3

MPLS - Configuration de VPN MPLS de couche 3
MPLS - Configuration d'un VPN MPLS basique

MPLS - Configuration d'un VPN MPLS basique
Connecteur de Test pour liaisons E1

Connecteur de Test pour liaisons E1
Remote Desktop Protocol l'Appliance de Sécurité

Remote Desktop Protocol l'Appliance de Sécurité
OSPF - Comment OSPF génère les routes par défaut

OSPF - Comment OSPF génère les routes par défaut
QoS - Propagation de la Politique de QoS via BGP

QoS - Propagation de la Politique de QoS via BGP
Configurer NAT et PAT statique pour support d'un serveur Web interne

Configurer NAT et PAT statique pour support d'un serveur Web interne
Configuration OSPF Multi-Area

Configuration OSPF Multi-Area
Sécurité - ASA7.x/PIX 6.x et plus

Sécurité - ASA7.x/PIX 6.x et plus
Configuration EIGRP et IGRP

Configuration EIGRP et IGRP
Tunnel pour paquets IP Multicast

Tunnel pour paquets IP Multicast
Configuration Routeur SOHO77

Configuration Routeur SOHO77
TP MPLS - Implémentation VPNs MPLS.

TP MPLS - Implémentation VPNs MPLS.
Configuration Frame Relay Hub-and-Spoke

Configuration Frame Relay "Hub-and-Spoke"
pleine Classe et sans Classe

pleine Classe et sans Classe
Connectivité Internet

Connectivité Internet
Comment les routeurs BGP utilisent l'attribut Multi-Exit-Discriminator

Comment les routeurs BGP utilisent l'attribut Multi-Exit-Discriminator
BGP - Configuration iBGP et eBGP avec ou sans adresse de Loopback

BGP - Configuration iBGP et eBGP avec ou sans adresse de Loopback
Configuration sessions IBGP et EBGP

Configuration sessions IBGP et EBGP

Présentations similaires

Annonces Google