2010-07-19 02:11 PM 2019-03-22 06:57 AM 更新
概要:
共通のインターネットサービスの1つ、MPLS L3 VPN サービス プロバイダーと企業ネットワークがインターネットのアクセスの実装を含める、いくつかの方法を使用して提供することができます。このドキュメントでは、次の方法について説明します:
(1) ルートリークとPEのグローバルルーティングテーブルの間のVRF
(2) インターネットサービス専用のVRFを使用した(共有サービス)
さらに、このドキュメントがインターネット ゲートウェイに直面しているエッジ PE ルータ上のVRF対応NATの構成も説明します。
インターネットへアクセス、ルートリークとグローバルのルーティングテーブルのPE
この方法を使用すると、サービス プロバイダーに存在する各 PE ルートを使用またはエンタープライズ MPLS ネットワーク既定のルートをグローバルルーティング テーブルで CE のルーターからインターネット トラフィックをルーティングする使用します。各CE のルーターは、デフォルトのいずれか、直接接続されている PE か CE ルーターではデフォルトの静的なルーターを使用して挿入されたルートになります。
上記の図のように、 CE1がPE1の BGPからデフォルトルートを受信します。PE1は、各 VRFの下に静的なデフォルトルートのエントリを持っては次のホップに、グローバルルーティングテーブル内のインターネットポイントにアクセスする必要なPEの GWと呼ばれて(ルーターまたはファイアウォールことができるインターネットゲートウェイを表す)。各 PE-CE では、同じ概念と構成に適用されます。
上記の例では、 CE1を内部のネットワークは10.10.1.0と割り当てられたIPであると仮定されますインターネットを介してCE1をサイトで使用されるアドレスは 120.1.1.0/30です、NATはCE1 のようにインターネットへのトラフィックは120.1.1.0/30のサブネットを使用するように構成されている。
CE1:
ip nat pool pool1 120.1.1.1 120.1.1.2 prefix-length 30
ip nat inside source list 100 pool pool1 overload
!
access-list 100 deny ip any 10.20.1.0 0.0.0.255
access-list 100 deny ip any 20.1.1.0 0.0.0.255
access-list 100 permit ip 10.10.1.0 0.0.0.255 any
router bgp 65001
no synchronization
neighbor 10.1.1.1 remote-as 100
no auto-summary
CE1#show ip bgp
BGP table version is 4, local router ID is 150.1.1.10
Status codes: s suppressed, d damped, h history, * valid, > best, i - internal,
r RIB-failure, S Stale
Origin codes: i - IGP, e - EGP, ? - incomplete
Network Next Hop Metric LocPrf Weight Path
*> 0.0.0.0 10.1.1.1 0 0 100 i
r> 10.1.1.0/24 10.1.1.1 0 0 100 ?
CE1#
PE1:
interface FastEthernet2/0
ip vrf forwarding VPNA
ip address 10.1.1.1 255.255.255.0
router bgp 100
no synchronization
bgp log-neighbor-changes
network 120.1.1.0 mask 255.255.255.252 –グローバルの BGP ルーティング テーブルは GW で到達できるように CE1 のIP アドレスの範囲を宣伝します。
address-family ipv4 vrf VPNA
neighbor 10.1.1.10 remote-as 65001
neighbor 10.1.1.10 activate
neighbor 10.1.1.10 デフォルト-originate -- CE1をデフォルトのルートを注入する
no synchronization
exit-address-family
ip route 120.1.1.0 255.255.255.252 FastEthernet2/0 10.1.1.10 –この静的ルートの CE1 IP アドレスの範囲をインターネット アクセスに到達可能な PE1 で使用するために使用
ip route vrf VPNA 0.0.0.0 0.0.0.0 192.168.1.2 global –この既定の静的ルートをデフォルトのルートは、次ホップアドレス グローバルなルーティング テーブルからを使用して、VRF ルーティング テーブルを生成します
PE1#sho ip route vrf VPNA 0.0.0.0
Routing entry for 0.0.0.0/0, supernet
Known via "static", distance 1, metric 0, candidate デフォルト path
Redistributing via bgp 100
Routing Descriptor Blocks:
* 192.168.1.2 (デフォルト-IP-Routing-Table)
Route metric is 0, traffic share count is 1
CE1#ping 100.100.100.100 source 10.10.1.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 100.100.100.100, timeout is 2 seconds:
Packet sent with a source address of 10.10.1.1
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 192/534/1192 ms
CE1#show ip nat translations
Pro Inside global Inside local Outside local Outside global
icmp 120.1.1.1:19 10.10.1.1:19 100.100.100.100:19 100.100.100.100:19
CE1#
VRF-aware NAT
VRFのグローバルのルーティング テーブル間のルートリークによって使用される同じ概念を使用することができます、その上インターネットゲートウェイに直接接続されて PE で構成できます、すべて PE とこの PE で構成ではなく、NAT のものを使用して、ルートリーク VRF-aware NATとして知られます。上記の同じトポロジを使用して、標準のMP – BGP L3のVPNルートと、上記の全てのPE GWなどとの交流される使用、しかしこの際にPEのGWは、すべてのVRFのルートにのMP-BGPは介してデフォルトルートを注入する。GWは静的なデ フォルトルートを持って、グローバルルーティングテーブルに存在する、次のホップを使用と同時に
VRFA NATingはGWのPEにもNATにてCE のトラフィック、インターネットに行くように設定される。
GW:
ip vrf VPNA -- すべてのリークの NAT 変換された必要がある、MPLS ネットワークに追加します。
rd 1:10
route-target export 1:10
route-target import 1:10
interface FastEthernet1/0
description ## connected to P ###
ip address 192.168.1.2 255.255.255.0
ip nat inside
mpls ip
interface FastEthernet1/1
description ## connected to Internet Gateway/Firewall ##
ip address 200.1.1.1 255.255.255.0
ip nat outside
router bgp 100
no synchronization
bgp log-neighbor-changes
neighbor 1.1.1.1 remote-as 100
neighbor 1.1.1.1 update-source Loopback0
no auto-summary
!
address-family vpnv4
neighbor 1.1.1.1 activate
neighbor 1.1.1.1 send-community both
exit-address-family
!
address-family ipv4 vrf VPNA
デフォルト-information originate --- VRF のルーティング テーブルの下でデフォルトルートを生成する
no synchronization
exit-address-family
ip route vrf VPNA 0.0.0.0 0.0.0.0 200.1.1.2 global ----VRF 静的デフォルト ルート点は次のホップのグローバル ルーティング テーブルです。
ip nat pool VPNA_POOL 201.1.1.1 201.1.1.10 prefix-length 28
ip nat inside source route-map VPNA pool VPNA_POOL vrf VPNA overload access-list 100 permit ip 10.10.1.0 0.0.0.255 any
!
route-map VPNA permit 10
match ip address 100
PE1:
PE1#show ip route vrf VPNA 0.0.0.0
Routing entry for 0.0.0.0/0, supernet
Known via "bgp 100", distance 200, metric 0, candidate default path, type internal
Last update from 3.3.3.3 00:23:25 ago
Routing Descriptor Blocks:
* 3.3.3.3 (Default-IP-Routing-Table), from 3.3.3.3, 00:23:25 ago
Route metric is 0, traffic share count is 1
AS Hops 0
CE1#show ip bgp 0.0.0.0
BGP routing table entry for 0.0.0.0/0, version 10
Paths: (1 available, best #1, table default-IP-Routing-Table)
Advertised to update-groups:
1
100
10.1.1.1 from 10.1.1.1 (1.1.1.1)
Origin incomplete, localpref 100, valid, external, best
CE1#ping 100.100.100.100 source 10.10.1.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 100.100.100.100, timeout is 2 seconds:
Packet sent with a source address of 10.10.1.1
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 164/299/592 ms
CE1#
GW:
GW#show ip nat translations vrf VPNA
Pro Inside global Inside local Outside local Outside global
icmp 201.1.1.1:3 10.10.1.1:3 100.100.100.100:3 100.100.100.100:3
GW#
インターネットアクセス、インターネットサー ビスを別々のVRFのを使用して
このアプローチは、共有サービスとしても知っています。この共有サービス VRF インターネットなどの必要なサービスを使用する他のVRFs はMPLS L3 VPN ネットワーク内にアクセスを提供することができます。この共有サービス VRF で他のVRFsに到達可能性を提供するために使用されるメカニズム VRF ルート-ターゲットの完全 reachablity を維持するためにインターネットへのアクセスを必要とするVRFsのソース ルートをインポートするにはこの VRF ニーズもルート エクスポート値を使用しています。この方法、必要な構成のみインポートおよびルート ターゲット値を使用して任意の VRF と共有サービス VRF 間のルートをエクスポートするためのインター ネット アクセス、またはその他へのアクセスを提供する、最も拡張性の高い共有サービスの方法です。図のように、独自の VRF とこの VRF 内に現在サービスが構成されているインターネットをインポートして、インターネットへのアクセスを提供するには、他のリークにdefaultのルートをエクスポートします。
Configuration portion of GW PE:
ip vrf Internet
rd 100:100
route-target export 100:100
route-target import 100:100
route-target import 1:10 !
router bgp 100
no synchronization
bgp log-neighbor-changes
neighbor 1.1.1.1 remote-as 100
neighbor 1.1.1.1 update-source Loopback0
no auto-summary
!
address-family vpnv4
neighbor 1.1.1.1 activate
neighbor 1.1.1.1 send-community both
exit-address-family
!
address-family ipv4 vrf Internet
no synchronization
network 0.0.0.0 --- インターネット VRF MP-BGP address-familyに既定のルートを挿入する
exit-address-family
!
ip route vrf Internet 0.0.0.0 0.0.0.0 200.1.1.2
PE1:
Interfaces:
Fa2/0
Connected addresses are not in global routing tabl
Export VPN route-target communities
RT:1:10
Import VPN route-target communities
RT:1:10 RT:100:100 --インターネット のVRFのデフォルトルートを受信する
PE1#show ip bgp vpnv4 all
BGP table version is 5, local router ID is 1.1.1.1
Status codes: s suppressed, d damped, h history, * valid, > best, i - internal,
r RIB-failure, S Stale
Origin codes: i - IGP, e - EGP, ? - incomplete
Network Next Hop Metric LocPrf Weight Path
Route Distinguisher: 1:10 (default for vrf VPNA)
*>i0.0.0.0 3.3.3.3 0 100 0 i
*> 10.1.1.0/24 0.0.0.0 0 32768 ?
Route Distinguisher: 100:100
*>i0.0.0.0 3.3.3.3 0 100 0 i
PE1#
検索バーにキーワード、フレーズ、または質問を入力し、お探しのものを見つけましょう
シスコ コミュニティをいち早く使いこなしていただけるよう役立つリンクをまとめました。みなさんのジャーニーがより良いものとなるようお手伝いします
下記より関連するコンテンツにアクセスできます