cisco simulator – mpls-vpn(L3)
○cisco simulatorの続き
ここからが本番
MPLSの肝であるVPNを設定します。
VPNということは、Customerの経路(L3)がまざらないようにしないといけないので、
PE配下のCEを2組用意しました。構成図はこちら
赤と青でそれぞれ繋がれた、R5 <-> R6, R7 <-> R8でそれぞれL3-VPN接続したいと思います。
Point
・PEで経路がまざらないようにVRFで各customerの経路情報を分割します。
・PE-PE間で”MP-BGP”でpeerを張り,customer同士の経路を交換します。
まずは、CEである、R5の設定から
<省略> interface Loopback0 ip address 10.10.10.5 255.255.255.255 ! ! interface Loopback200 ip address 10.10.10.11 255.255.255.255 ! ! interface FastEthernet0/0 description To:R1 ip address 192.168.100.5 255.255.255.0 duplex auto speed auto ! ! <省略> ip route 0.0.0.0 0.0.0.0 192.168.100.1
で、R7の設定<省略> interface Loopback0 ip address 10.10.10.7 255.255.255.255 ! ! interface Loopback200 ip address 10.10.10.11 255.255.255.255 < -- R5と同じlo200アドレス ! ! <省略> interface Serial1/0 ip address 192.168.100.7 255.255.255.0 < -- R5と同じsubnetアドレス serial restart-delay 0 ! <省略> ip route 0.0.0.0 0.0.0.0 192.168.100.1
次にR6の設定も<省略> interface Loopback0 ip address 10.10.10.6 255.255.255.255 ! ! interface Loopback200 ip address 10.10.10.22 255.255.255.255 ! ! interface FastEthernet0/0 description To:R1 ip address 192.168.200.6 255.255.255.0 duplex auto speed auto ! ! <省略> ip route 0.0.0.0 0.0.0.0 192.168.200.3
最後、R8の設定<省略> interface Loopback0 ip address 10.10.10.8 255.255.255.255 ! ! interface Loopback200 ip address 10.10.10.22 255.255.255.255 < -- R6と同じlo200アドレス ! ! <省略> interface Serial1/0 ip address 192.168.200.8 255.255.255.0 < -- R5と同じsubnetアドレス serial restart-delay 0 ! <省略> ip route 0.0.0.0 0.0.0.0 192.168.200.3
PEであるR1には、CEであるR5,R7が接続され、それぞれ、 10.10.10.11/32 192.168.100.0/24 の同一経路を保持しています。(R2も同じ様子) これをまざらないように、それぞれのCEに転送する仕組みが必要です。 これをPEで実現していきます。(VRF & MP-BGP) ○R1の設定 ここでは、CE R7 <->R8でのVPN設定について記述していきます。 1.VRF編** VPN用のVRFを作成します。 R1(config)# ip vrf VPN002_BLUE R1(config-vrf)# rd 100:700 * route-targetは該当VRF上でexp/impする経路を識別するためのIDです。 BGPで経路交換する場合には、communityにsetされます。 R1(config-vrf)# route-target export 100:2100 R1(config-vrf)# route-target import 100:2100 * CEと接続しているinterfaceを該当のvrfにentryさせます R1(config-if)# ip vrf forwarding VPN002_BLUE % Interface Serial1/2 IPv4 disabled and address(es) removed due to disabling VRF VPN002_BLUE * ip addressがremoveされるので再設定する必要があります。 R1(config-if)# ip address 192.168.100.1 255.255.255.0 * customer経路を追加(今回はstaticで) R1(config)# ip route vrf VPN002_BLUE 10.10.10.7 255.255.255.255 Serial1/2 R1(config)# ip route vrf VPN002_BLUE 10.10.10.11 255.255.255.255 Serial1/2 * vrf VPN002_BLUEの情報を確認します。 PE-R1#show ip vrf detail VPN002_BLUE VRF VPN002_BLUE (VRF Id = 4); default RD 100:700; default VPNID
2.MP-BGP編Interfaces: Se1/2 VRF Table ID = 4 Export VPN route-target communities RT:100:2100 Import VPN route-target communities RT:100:2100 No import route-map No export route-map VRF label distribution protocol: not configured VRF label allocation mode: per-prefix * vrf VPN002_BLUEの経路情報を確認します。 PE-R1#show ip route vrf VPN002_BLUE Routing Table: VPN002_BLUE Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2 i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2 ia - IS-IS inter area, * - candidate default, U - per-user static route o - ODR, P - periodic downloaded static route, + - replicated route Gateway of last resort is not set 10.0.0.0/32 is subnetted, 4 subnets S 10.10.10.7 is directly connected, Serial1/2 S 10.10.10.11 is directly connected, Serial1/2 C 192.168.100.0/24 is directly connected, Serial1/2 L 192.168.100.1/32 is directly connected, Serial1/2 ** PE-PEのVPN-BGPの設定を作成します。 R1(config)# router bgp 100 * bpgセッションをはるのは、vpnv4なので、ipv4をdisableにします。 R1(config-router)# no bgp default ipv4-unicast * bgp-peerを張るRouter。対向のPEとはるので、対向PEのLoで R1(config-router)# neighbor 10.10.10.3 remote-as 100 R1(config-router)# neighbor 10.10.10.3 update-source loopback 0 * vpnv4でbgpセッションを張ることを宣言して、neighborをactiveに設定します。 R1(config-router)# address-family vpnv4 R1(config-router-af)# neighbor 10.10.10.3 activate R1(config-router-af)# exit * address-familyでvrf-tableを指定して、交換する経路情報を設定します。 R1(config-router)# address-family ipv4 vrf VPN002_BLUE R1(config-router)# redistribute connected R1(config-router)# redistribute static ** ここまで同じ内容の設定を対向PEであるR3にも作成します。 ** BGPの状態と経路を確認していきます。 * neighborの状態 R1# show ip bgp all neighbors 10.10.10.3 For address family: IPv4 Unicast For address family: VPNv4 Unicast BGP neighbor is 10.10.10.3, remote AS 100, internal link BGP version 4, remote router ID 10.10.10.3 BGP state = Established, up for 02:59:19 Last read 00:00:47, last write 00:00:30, hold time is 180, keepalive interval is 60 seconds Neighbor sessions: 1 active, is multisession capable Neighbor capabilities: Route refresh: advertised and received(new) Four-octets ASN Capability: advertised and received Address family VPNv4 Unicast: advertised and received < -- vpnv4でadv,revしています Multisession Capability: advertised and received Message statistics, state Established: InQ depth is 0 OutQ depth is 0 * bgp tableを確認します。 R1# show ip bgp vpnv4 vrf VPN002_BLUE BGP table version is 24, local router ID is 10.10.10.1 Status codes: s suppressed, d damped, h history, * valid, > best, i - internal, r RIB-failure, S Stale Origin codes: i - IGP, e - EGP, ? - incomplete Network Next Hop Metric LocPrf Weight Path Route Distinguisher: 100:700 (default for vrf VPN002_BLUE) *> 10.10.10.7/32 0.0.0.0 0 32768 ? *>i10.10.10.8/32 10.10.10.3 0 100 0 ? *> 10.10.10.11/32 0.0.0.0 0 32768 ? *>i10.10.10.22/32 10.10.10.3 0 100 0 ? *> 192.168.100.0 0.0.0.0 0 32768 ? *>i192.168.200.0 10.10.10.3 0 100 0 ? * vrfのrouting-tableを確認します。BGPの経路がentryされていることです。 R1# show ip route vrf VPN002_BLUE Routing Table: VPN002_BLUE Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2 i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2 ia - IS-IS inter area, * - candidate default, U - per-user static route o - ODR, P - periodic downloaded static route, + - replicated route Gateway of last resort is not set 10.0.0.0/32 is subnetted, 4 subnets S 10.10.10.7 is directly connected, Serial1/2 B 10.10.10.8 [200/0] via 10.10.10.3, 00:19:52 S 10.10.10.11 is directly connected, Serial1/2 B 10.10.10.22 [200/0] via 10.10.10.3, 00:19:52 192.168.100.0/24 is variably subnetted, 2 subnets, 2 masks C 192.168.100.0/24 is directly connected, Serial1/2 L 192.168.100.1/32 is directly connected, Serial1/2 B 192.168.200.0/24 [200/0] via 10.10.10.3, 00:18:14
対向のCE同士で、pingとtracerouteを実行してみるR8# ping 10.10.10.11 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 10.10.10.11, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 56/70/88 ms R8# ping 10.10.10.7 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 10.10.10.7, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 60/149/260 ms R8# traceroute 10.10.10.11 Type escape sequence to abort. Tracing the route to 10.10.10.11 1 192.168.200.3 160 msec 56 msec 20 msec 2 192.168.34.4 [MPLS: Labels 18/28 Exp 0] 1104 msec 128 msec 76 msec 3 192.168.100.1 [MPLS: Label 28 Exp 0] 744 msec 136 msec 48 msec 4 192.168.100.7 964 msec 52 msec * * これだとmpls網の経路が見えてしまうので、PEに R1(config)#n no mpls ip propagate-ttl * もう一度trace R8# traceroute 10.10.10.11 Type escape sequence to abort. Tracing the route to 10.10.10.11 1 192.168.200.3 228 msec 24 msec 24 msec 2 192.168.100.1 [MPLS: Label 28 Exp 0] 268 msec 132 msec 36 msec 3 192.168.100.7 240 msec 32 msec *
ここまでで基本の設定は完了です。 VPN001_REDとVPN001_BLUEのパケットがまざらずに、routingされるか。 ここまでのconfig-sampleを PE-R1 PE-R3 PC-R5 PC-R6 PC-R7 PC-R8 次回はL2-tunnelに挑戦したいと思います。
Categorised as: cisco | lab | mpls