概要:

共通のインターネットサービスの1つ、MPLS L3 VPN サービス プロバイダーと企業ネットワークがインターネットのアクセスの実装を含める、いくつかの方法を使用して提供することができます。このドキュメントでは、次の方法について説明します:

(1)  ルートリークとPEのグローバルルーティングテーブルの間のVRF

(2)  インターネットサービス専用のVRFを使用した(共有サービス）

さらに、このドキュメントがインターネット ゲートウェイに直面しているエッジ PE ルータ上のVRF対応NATの構成も説明します。

インターネットへアクセス、ルートリークとグローバルのルーティングテーブルのPE

この方法を使用すると、サービス プロバイダーに存在する各 PE ルートを使用またはエンタープライズ MPLS ネットワーク既定のルートをグローバルルーティング テーブルで CE のルーターからインターネット トラフィックをルーティングする使用します。各CE のルーターは、デフォルトのいずれか、直接接続されている PE か CE ルーターではデフォルトの静的なルーターを使用して挿入されたルートになります。

上記の図のように、 CE1がPE1の BGPからデフォルトルートを受信します。PE1は、各 VRFの下に静的なデフォルトルートのエントリを持っては次のホップに、グローバルルーティングテーブル内のインターネットポイントにアクセスする必要なPEの GWと呼ばれて（ルーターまたはファイアウォールことができるインターネットゲートウェイを表す）。各 PE-CE では、同じ概念と構成に適用されます。

上記の例では、 CE1を内部のネットワークは10.10.1.0と割り当てられたIPであると仮定されますインターネットを介してCE1をサイトで使用されるアドレスは 120.1.1.0/30です、NATはCE1 のようにインターネットへのトラフィックは120.1.1.0/30のサブネットを使用するように構成されている。

CE1:

ip nat pool pool1 120.1.1.1 120.1.1.2 prefix-length 30

ip nat inside source list 100 pool pool1 overload

!

access-list 100 deny   ip any 10.20.1.0 0.0.0.255

access-list 100 deny   ip any 20.1.1.0 0.0.0.255  

access-list 100 permit ip 10.10.1.0 0.0.0.255 any

router bgp 65001

no synchronization

neighbor 10.1.1.1 remote-as 100

no auto-summary

CE1#show ip bgp

BGP table version is 4, local router ID is 150.1.1.10

Status codes: s suppressed, d damped, h history, * valid, > best, i - internal,

              r RIB-failure, S Stale

Origin codes: i - IGP, e - EGP, ? - incomplete

   Network          Next Hop            Metric LocPrf Weight Path

*> 0.0.0.0          10.1.1.1                 0             0 100 i

r> 10.1.1.0/24      10.1.1.1                 0             0 100 ?

CE1#

PE1:

interface FastEthernet2/0

ip vrf forwarding VPNA

ip address 10.1.1.1 255.255.255.0

router bgp 100

no synchronization

bgp log-neighbor-changes

network 120.1.1.0 mask 255.255.255.252 –グローバルの BGP ルーティング テーブルは GW で到達できるように CE1 のIP アドレスの範囲を宣伝します。

address-family ipv4 vrf VPNA

neighbor 10.1.1.10 remote-as 65001

neighbor 10.1.1.10 activate

neighbor 10.1.1.10 デフォルト-originate  -- CE1をデフォルトのルートを注入する

no synchronization

exit-address-family

ip route 120.1.1.0 255.255.255.252 FastEthernet2/0 10.1.1.10 –この静的ルートの CE1 IP アドレスの範囲をインターネット アクセスに到達可能な PE1 で使用するために使用

ip route vrf VPNA 0.0.0.0 0.0.0.0 192.168.1.2 global –この既定の静的ルートをデフォルトのルートは、次ホップアドレス グローバルなルーティング テーブルからを使用して、VRF ルーティング テーブルを生成します

PE1#sho ip route vrf VPNA 0.0.0.0

Routing entry for 0.0.0.0/0, supernet

  Known via "static", distance 1, metric 0, candidate デフォルト path

  Redistributing via bgp 100

  Routing Descriptor Blocks:

  * 192.168.1.2 (デフォルト-IP-Routing-Table)

      Route metric is 0, traffic share count is 1

CE1#ping 100.100.100.100 source 10.10.1.1

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 100.100.100.100, timeout is 2 seconds:

Packet sent with a source address of 10.10.1.1

!!!!!

Success rate is 100 percent (5/5), round-trip min/avg/max = 192/534/1192 ms

CE1#show ip nat translations

Pro Inside global      Inside local      Outside local      Outside global

icmp 120.1.1.1:19      10.10.1.1:19       100.100.100.100:19 100.100.100.100:19

CE1#

VRF-aware NAT

VRFのグローバルのルーティング テーブル間のルートリークによって使用される同じ概念を使用することができます、その上インターネットゲートウェイに直接接続されて PE で構成できます、すべて PE とこの PE で構成ではなく、NAT のものを使用して、ルートリーク VRF-aware NATとして知られます。上記の同じトポロジを使用して、標準のMP – BGP L3のVPNルートと、上記の全てのPE GWなどとの交流される使用、しかしこの際にPEのGWは、すべてのVRFのルートにのMP-BGPは介してデフォルトルートを注入する。GWは静的なデ フォルトルートを持って、グローバルルーティングテーブルに存在する、次のホップを使用と同時に

VRFA NATingはGWのPEにもNATにてCE のトラフィック、インターネットに行くように設定される。

GW:

ip vrf VPNA    -- すべてのリークの NAT 変換された必要がある、MPLS ネットワークに追加します。

rd 1:10

route-target export 1:10

route-target import 1:10

interface FastEthernet1/0

description  ## connected to P ###

ip address 192.168.1.2 255.255.255.0

ip nat inside

mpls ip

interface FastEthernet1/1

description ## connected to Internet Gateway/Firewall ##

ip address 200.1.1.1 255.255.255.0

ip nat outside

router bgp 100

no synchronization

bgp log-neighbor-changes

neighbor 1.1.1.1 remote-as 100

neighbor 1.1.1.1 update-source Loopback0

no auto-summary

!

address-family vpnv4

neighbor 1.1.1.1 activate

neighbor 1.1.1.1 send-community both

exit-address-family

!

address-family ipv4 vrf VPNA

デフォルト-information originate --- VRF のルーティング テーブルの下でデフォルトルートを生成する

no synchronization

exit-address-family

ip route vrf VPNA 0.0.0.0 0.0.0.0 200.1.1.2 global     ----VRF 静的デフォルト ルート点は次のホップのグローバル ルーティング テーブルです。

ip nat pool VPNA_POOL 201.1.1.1 201.1.1.10 prefix-length 28 

ip nat inside source route-map VPNA pool VPNA_POOL vrf VPNA overload  access-list 100 permit ip 10.10.1.0 0.0.0.255 any

!

route-map VPNA permit 10

match ip address 100

PE1:

PE1#show ip route vrf VPNA 0.0.0.0

Routing entry for 0.0.0.0/0, supernet

Known via "bgp 100", distance 200, metric 0, candidate default path, type internal

  Last update from 3.3.3.3 00:23:25 ago

  Routing Descriptor Blocks:

  * 3.3.3.3 (Default-IP-Routing-Table), from 3.3.3.3, 00:23:25 ago

      Route metric is 0, traffic share count is 1

      AS Hops 0

CE1#show ip bgp 0.0.0.0

BGP routing table entry for 0.0.0.0/0, version 10

Paths: (1 available, best #1, table default-IP-Routing-Table)

  Advertised to update-groups:

     1

  100

    10.1.1.1 from 10.1.1.1 (1.1.1.1)

     Origin incomplete, localpref 100, valid, external, best

CE1#ping 100.100.100.100 source 10.10.1.1

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 100.100.100.100, timeout is 2 seconds:

Packet sent with a source address of 10.10.1.1

!!!!!

Success rate is 100 percent (5/5), round-trip min/avg/max = 164/299/592 ms

CE1#

GW:

GW#show ip nat translations vrf VPNA

Pro Inside global      Inside local       Outside local      Outside global

icmp 201.1.1.1:3       10.10.1.1:3        100.100.100.100:3  100.100.100.100:3

GW#

インターネットアクセス、インターネットサー ビスを別々のVRFのを使用して

このアプローチは、共有サービスとしても知っています。この共有サービス VRF インターネットなどの必要なサービスを使用する他のVRFs はMPLS L3 VPN ネットワーク内にアクセスを提供することができます。この共有サービス VRF で他のVRFsに到達可能性を提供するために使用されるメカニズム VRF ルート-ターゲットの完全 reachablity を維持するためにインターネットへのアクセスを必要とするVRFsのソース ルートをインポートするにはこの VRF ニーズもルート エクスポート値を使用しています。この方法、必要な構成のみインポートおよびルート ターゲット値を使用して任意の VRF と共有サービス VRF 間のルートをエクスポートするためのインター ネット アクセス、またはその他へのアクセスを提供する、最も拡張性の高い共有サービスの方法です。図のように、独自の VRF とこの VRF 内に現在サービスが構成されているインターネットをインポートして、インターネットへのアクセスを提供するには、他のリークにdefaultのルートをエクスポートします。

Configuration portion of GW PE:

ip vrf Internet

rd 100:100

route-target export 100:100

route-target import 100:100

route-target import 1:10   !

router bgp 100

no synchronization

bgp log-neighbor-changes

neighbor 1.1.1.1 remote-as 100

neighbor 1.1.1.1 update-source Loopback0

no auto-summary

!

address-family vpnv4

neighbor 1.1.1.1 activate

neighbor 1.1.1.1 send-community both

exit-address-family

!

address-family ipv4 vrf Internet

no synchronization

network 0.0.0.0    --- インターネット VRF MP-BGP address-familyに既定のルートを挿入する

exit-address-family

!

ip route vrf Internet 0.0.0.0 0.0.0.0 200.1.1.2

PE1:

  Interfaces:

    Fa2/0

  Connected addresses are not in global routing tabl

  Export VPN route-target communities

    RT:1:10

  Import VPN route-target communities

    RT:1:10                  RT:100:100      --インターネット のVRFのデフォルトルートを受信する

PE1#show ip bgp vpnv4 all

BGP table version is 5, local router ID is 1.1.1.1

Status codes: s suppressed, d damped, h history, * valid, > best, i - internal,

              r RIB-failure, S Stale

Origin codes: i - IGP, e - EGP, ? - incomplete

   Network          Next Hop            Metric LocPrf Weight Path

Route Distinguisher: 1:10 (default for vrf VPNA)

*>i0.0.0.0          3.3.3.3                  0    100      0 i

*> 10.1.1.0/24      0.0.0.0                  0         32768 ?

Route Distinguisher: 100:100

*>i0.0.0.0          3.3.3.3                  0    100      0 i

PE1#