MPLS VPN
PE-CE Routing
RIP VRF konfigurasyonu yeni bir adres family altında yapılmaktadır. Burada dikkat edilmesi gerek global RIP konfigurasyonu altında uygulanan bazı komutlar (passive-interface, version) alt adres aileleri yani vrflere’de uygulanır. Yani bir interface global konfigde pasive interface yapılmış ise vrf altındada pasif olur. Router(config)# router rip Router(config-router)# version 2 Router(config-router)# timers basic 5 10 15 20 Router(config-router)# redistribute connected Router(config-router)# network 5.0.0.0 Router(config-router)# default-metric 10 Router(config-router)# no auto-summary Router(config-router)# Router(config-router)# address-family ipv4 vrf abc Router(config-router-af)# timers basic 10 20 20 20 Router(config-router-af)# redistribute connected Router(config-router-af)# network 10.0.0.0 Router(config-router-af)# default-metric 5 Router(config-router-af)# no auto-summary Router(config-router-af)# version 2 Router(config-router-af)# exit-address-family
RIP RIP metriği yani hop count PE’ler arasında BGP MED communitisi ile taşınır. Yani PE’nin diğer PE’lerden duyduğu RIP routelarını CE’ye anons ederken ya default metric kullanır veya metric transparent komutu ile metric değeri korunur. CE’ler arasında backdoor link olması durumunda metriğin taşınması gerekebilir. CE CE CE CE Hop count 2 Default metric 6 Hop count 2 Default metric 3 PE PE PE Redistribute bgp metric 6 PE Redistribute bgp transparent BGP update BGP update
EIGRP MPLS VPN için EIGRP’de de ayrı bir adress family kullanımı vardır. AS numarası her vrf için AS number komutu ile belirtilmelidir. Her site için farklı AS numarası kullanılabilir. Fakat bu sitelar arasında backdoor kullanılması durumunda sorun oluşturabilir. Farklı site’ların routeları bir birlerine D EX olarak anons edilir. Fakat backdoordan bu routeları D olarak duyabilir ve backdoor’u best path seçebilir. PE’ler arası route özellikleri (AS ve metric) BGP extended community ile taşınır. AS numarasının sitelar’da aynı kullanılması durumundada backdoor link cost’u ve PE link cost’una dikkat edilmelidir. Cost show ip bgp vpn4 all ile bakıldığınde pre-best path ile görünen kısımdır. Eğer cost değerinin sitelar arasında önemsiz olması istenitor ise site’lar farklı AS’lerde olmalıdır. AS’lerin aynı olması durumunda BGP EIGRP redist edilirken kullanılan default metriklerin bir önemi yoktur (redist bgp x metic 1 1 1 1 1). AS’ler aynı ise remote PE’den gelen route sanki local miş gibi algılanır. AS 37 AS 68 CE CE EIGRP Route Type D EIGRP Route Type D EX BGP Redistribution to EIGRP PE PE BGP
EIGRP AS 37 AS 68 CE CE PE PE BW Delay EIGRP AS number 10.0.0.0/24 is subnetted, 5 subnets D EX 10.1.8.0 [170/2560002816] via 10.1.37.3, 00:00:11, FastEthernet1/0 router eigrp 37 network 10.0.0.0 auto-summary router eigrp 68 network 10.0.0.0 auto-summary AS 37 AS 68 CE CE router eigrp 1 auto-summary ! address-family ipv4 vrf VPN_A redistribute bgp 1 metric 1 1 1 1 1 network 10.0.0.0 no auto-summary autonomous-system 37 exit-address-family! router eigrp 1 auto-summary ! address-family ipv4 vrf VPN_A network 10.0.0.0 no auto-summary autonomous-system 68 exit-address-family ! PE PE R6#show ip eigrp vrf VPN_A 68 topologyIP-EIGRP Topology Table for AS(68)/ID(150.1.6.6) Routing Table: VPN_ACodes: P - Passive, A - Active, U - Update, Q - Query, R - Reply, r - reply Status, s - sia Status P 10.1.8.0/24, 1 successors, FD is 156160 via 10.1.68.8 (156160/128256), FastEthernet1/1 R3#show ip bgp vpnv4 all 10.1.8.0BGP routing table entry for 1:1:10.1.8.0/24, version 5Paths: (1 available, best #1, table VPN_A) Not advertised to any peer Local 150.1.6.6 (metric 30) from 150.1.6.6 (150.1.6.6) Origin incomplete, metric 156160, localpref 100, valid, internal, best Extended Community: RT:1:1 Cost:pre-bestpath:128:156160 0x8800:32768:0 0x8801:68:130560 0x8802:65281:25600 0x8803:65281:1500 mpls labels in/out nolabel/24 BW Delay EIGRP AS number
EIGRP AS 37 AS 68 CE CE PE PE Metric taşınıyor R7#show ip route eigrp 37 10.0.0.0/24 is subnetted, 5 subnets D 10.1.8.0 [90/158720] via 10.1.37.3, 00:00:05, FastEthernet1/0D 10.1.78.0 [90/33280] via 10.1.37.3, 00:00:05, FastEthernet1/0D 10.1.68.0 [90/30720] via 10.1.37.3, 00:00:05, FastEthernet1/0 router eigrp 37 network 10.0.0.0 auto-summary router eigrp 37 network 10.0.0.0 auto-summary AS 37 AS 68 CE CE router eigrp 1 auto-summary ! address-family ipv4 vrf VPN_A redistribute bgp 1 metric 1 1 1 1 1 network 10.0.0.0 no auto-summary autonomous-system 37 exit-address-family! router eigrp 1 auto-summary ! address-family ipv4 vrf VPN_A network 10.0.0.0 no auto-summary autonomous-system 37 exit-address-family ! PE PE R6#show ip eigrp vrf VPN_A 68 topologyIP-EIGRP Topology Table for AS(68)/ID(150.1.6.6) Routing Table: VPN_ACodes: P - Passive, A - Active, U - Update, Q - Query, R - Reply, r - reply Status, s - sia Status P 10.1.8.0/24, 1 successors, FD is 156160 via 10.1.68.8 (156160/128256), FastEthernet1/1 R3#show ip bgp vpnv4 all 10.1.8.0BGP routing table entry for 1:1:10.1.8.0/24, version 5Paths: (1 available, best #1, table VPN_A) Not advertised to any peer Local 150.1.6.6 (metric 30) from 150.1.6.6 (150.1.6.6) Origin incomplete, metric 156160, localpref 100, valid, internal, best Extended Community: RT:1:1 Cost:pre-bestpath:128:156160 0x8800:32768:0 0x8801:37:130560 0x8802:65281:25600 0x8803:65281:1500 mpls labels in/out nolabel/24 Metric taşınıyor Karşı tarafın AS numarası
EIGRP AS 37 AS 68 CE CE PE PE Cost Metric ile taşınıyor. router eigrp 37 network 10.0.0.0 auto-summary AS 37 AS 68 CE CE PE PE show bgp vpnv4 unicast all BGP table version is 9, local router ID is 10.1.2.2 Status codes: s suppressed, d damped, h history, * valid, > best, i - internal, r RIB-failure, S Stale Origin codes: i - IGP, e - EGP, ? - incomplete Network Next Hop Metric LocPrf Weight Path Route Distinguisher: 1:1 (default for vrf VPN_A) *>i172.16.1.1/32 10.1.1.1 156160 100 0 ? *> 172.16.2.2/32 172.16.25.2 156160 32768 ? *>i172.16.14.0/24 10.1.1.1 0 100 0 ? *> 172.16.25.0/24 0.0.0.0 0 32768 ? Cost Metric ile taşınıyor.
EIGRP AS 37 backdoor AS 37 AS 37 CE CE PE PE CE’ler arasında bir backdoor link olması durumunda burada, PE’ler karşı tarafın routeları EIGRP tekrar anons ederler ve AS numaraları aynı olduğu sürece bu route’lar D olarak görülür. Dolayısı ile CE’lerin bir birleri arası trafiğinin backdoor link’I kullanmaması için PE’den gelen routeların cost değerleri ile oynamak gerekebilir. Veya basit’ce backdoor linkin cost’u yükseltilir.
EIGRP Site Of Origin AS 37 backdoor AS 37 AS 37 CE CE PE PE Backdoor link’in kullanılması durumunda PE’ler arasında geçmesi gereken traffic site’lara doğru kayabilir. Veya mutual-redistribution’dan dolayı routing looplar oluşabilir. Bunun için SOO özelliği kullanılabilir. SOO ile PE’de inbound yönünde gelen routelara bir bgp extended communit’i atanır. Eğer CE tarafından bu soo com ile route gelir ise dikkat’e alınmaz. Yani tekrar BGP’ye redist etmez (tabi redistribution konfigure edilmiş ise).
EIGRP Site Of Origin Site of Origin Extended community PE’nin route duyduğu site’ı belirlemesine yarar. PE’ye inbound yönünde uygulanır. Burada kullanılan extended community ile aynı olan bir route site’den alır ise kullanmaz (Tabi başla bir PE BGP komşusundanda alır ise ve SOO aynı ise bunuda EIGRP göndermez). Point of Insertion backdoor hatların kullanıması durumunda kullanılışlıdır. EIGRP’den BGP ye gönderilen routelarda metriğin korunmasını ayrıca BGP best path selection sırarında bunu göz önüne almaya sağlar.
OSPF PE – CE arasında OSPF kullanılması için ayrı bir OSPF process yaratılmalı ve o VRF ile ilişkilendirilir. router ospf 1 vrf XYZ gibi. OSPF kullanılırken dikkat edilmesi gereken sorun, BGP’den OSPF redistribution edilirken oluşan LSA’ler ve tipleri, aynı zamandada routing loopları önlemek için kullanılan down biti uygulamasıdır. CE CE PE PE
OSPF Site’lar arasındaki OSPF route’lar BGP ile taşınırken, bazı özelliklerininde taşınması gerekir. Bunlar söz konusu LSA ait, type originator router ID ve ospf domain-id’dir. Default olarak domain-id, PE üzerinde söz konusu site için yaratılan ospf process id dir. Fakat manul olarakda değiştirilebilir. Domain-id söz konusu LSA’in tekrar OSPF anons edilmesi sırasında LSA tipinin ne olacağını belirler. PE ler arasında OSPF domain’ni müşteri OSPF domain’nine bir superbackbone, area 0 gibi görünür. Fakat route’lar her zaman O IA. Yani sitelar ile area 0 bile konusulsa diger sitelerın routelar IA olur. CE CE PE PE
OSPF Process id’ler PE lerde aynı router ospf 1 log-adjacency-changes network 10.1.7.7 0.0.0.0 area 0 network 10.1.37.7 0.0.0.0 area 0 router ospf 1 log-adjacency-changes network 10.1.8.8 0.0.0.0 area 0 network 10.1.68.8 0.0.0.0 area 0 CE CE O IA 10.1.8.8/32 [110/2] via 10.1.37.3, 00:02:37, FastEthernet1/0 Route tipi E2 router ospf 1 vrf VPN_A log-adjacency-changes redistribute bgp 1 subnets network 10.1.37.3 0.0.0.0 area 0 PE PE router ospf 1 vrf VPN_A log-adjacency-changes redistribute bgp 1 subnets network 10.1.37.3 0.0.0.0 area 0 router bgp 1 address-family ipv4 vrf VPN_A redistribute ospf 1 vrf VPN_A router bgp 1 address-family ipv4 vrf VPN_A redistribute ospf 1 vrf VPN_A R3#show ip bgp vpnv4 all 10.1.8.8 BGP routing table entry for 1:1:10.1.8.8/32, version 116 Paths: (1 available, best #1, table VPN_A) Flag: 0x820 Not advertised to any peer Local 150.1.6.6 (metric 30) from 150.1.6.6 (150.1.6.6) Origin incomplete, metric 2, localpref 100, valid, internal, best Extended Community: SoO:1:1 RT:1:1 OSPF DOMAIN ID:0x0005:0x000000010200 OSPF RT:0.0.0.0:2:0 OSPF ROUTER ID:10.1.68.6:0 mpls labels in/out nolabel/26
OSPF Process id’ler PE lerde farklı router ospf 1 log-adjacency-changes network 10.1.7.7 0.0.0.0 area 0 network 10.1.37.7 0.0.0.0 area 0 router ospf 1 log-adjacency-changes network 10.1.8.8 0.0.0.0 area 0 network 10.1.68.8 0.0.0.0 area 0 CE CE O E2 10.1.8.8/32 [110/2] via 10.1.37.3, 00:02:37, FastEthernet1/0 Route tipi E2 router ospf 1 vrf VPN_A log-adjacency-changes redistribute bgp 1 subnets network 10.1.37.3 0.0.0.0 area 0 PE PE router ospf 2 vrf VPN_A log-adjacency-changes redistribute bgp 1 subnets network 10.1.37.3 0.0.0.0 area 0 router bgp 1 address-family ipv4 vrf VPN_A redistribute ospf 1 vrf VPN_A router bgp 1 address-family ipv4 vrf VPN_A redistribute ospf 2 vrf VPN_A R3#show ip bgp vpnv4 all 10.1.8.8 BGP routing table entry for 1:1:10.1.8.8/32, version 116 Paths: (1 available, best #1, table VPN_A) Flag: 0x820 Not advertised to any peer Local 150.1.6.6 (metric 30) from 150.1.6.6 (150.1.6.6) Origin incomplete, metric 2, localpref 100, valid, internal, best Extended Community: SoO:1:1 RT:1:1 OSPF DOMAIN ID:0x0005:0x000000020200 OSPF RT:0.0.0.0:2:0 OSPF ROUTER ID:10.1.68.6:0 mpls labels in/out nolabel/26 area = 0.0.0.0 Lsa type 2 LSA type 5 olması durumunda E1/E2 veya N1 N2 olup olmadığı
OSPF Process id’ler PE lerde farklı domain-id’ler aynı router ospf 1 log-adjacency-changes network 10.1.7.7 0.0.0.0 area 0 network 10.1.37.7 0.0.0.0 area 0 router ospf 1 log-adjacency-changes network 10.1.8.8 0.0.0.0 area 0 network 10.1.68.8 0.0.0.0 area 0 CE CE O IA 10.1.8.8/32 [110/2] via 10.1.37.3, 00:02:37, FastEthernet1/0 Route tipi E2 router ospf 1 vrf VPN_A log-adjacency-changes redistribute bgp 1 subnets network 10.1.37.3 0.0.0.0 area 0 PE PE router ospf 2 vrf VPN_A log-adjacency-changes redistribute bgp 1 subnets network 10.1.37.3 0.0.0.0 area 0 router bgp 1 address-family ipv4 vrf VPN_A redistribute ospf 1 vrf VPN_A router bgp 1 address-family ipv4 vrf VPN_A redistribute ospf 2 vrf VPN_A match internetl external R3#show ip bgp vpnv4 all 10.1.8.8BGP routing table entry for 1:1:10.1.8.8/32, version 146Paths: (1 available, best #1, table VPN_A)Flag: 0x820 Not advertised to any peer Local 150.1.6.6 (metric 30) from 150.1.6.6 (150.1.6.6) Origin incomplete, metric 2, localpref 100, valid, internal, best Extended Community: SoO:1:1 RT:1:1 OSPF DOMAIN ID:0x0005:0x000000010200 OSPF RT:0.0.0.1:2:0 OSPF ROUTER ID:10.1.68.6:0 mpls labels in/out nolabel/30 area = 0.0.0.0 Lsa type 2 LSA type 5 olması durumunda E1/E2 veya N1 N2 olup olmadığı
OSPF Sham Link and backdoor link between site’s Daha önceki sunumlardada görüldüğü gibi, process-id veya domain-id aynı olasun veya olmasın siteların routeları bir birlerine type 3 veya type 5 olarak görünür. Sitelar arasında bir backdoor kullanılması durumunda MPLS networkü hiç bir zaman seçilemez. Çünkü backdoordan duyalacak routelar type 2 olacakdır ve her zaman intra are routelar ustundur. Bunu düzenlemek için PE’ler arasında ospf sham link kullanılır. Tabi sham linkin sitelardaki ospf alanları ile aynı alanda olması gerekir, yoksa site routeları yine IA olarak görünür. type 2 type 2 type 2 type 2 CE CE CE CE type 2 type 2 PE PE PE PE Type 2 Type 3 Sham link for site’s area’s PE’ler diper site’lara local linklerinden gider type 2 type 3 tercih edilir
OSPF sham link CE CE Route tipi E2 PE PE router ospf 1 log-adjacency-changes network 10.1.7.7 0.0.0.0 area 1 network 10.1.37.7 0.0.0.0 area 1 router ospf 1 log-adjacency-changes network 10.1.8.8 0.0.0.0 area 1 network 10.1.68.8 0.0.0.0 area 1 CE CE O 10.1.8.8/32 [110/2] via 10.1.37.3, 00:02:37, FastEthernet1/0 Route tipi E2 router ospf 2 vrf VPN_A domain-id 0.0.0.1 log-adjacency-changes area 1 sham-link 10.1.6.6 10.1.3.3 redistribute bgp 1 subnets network 10.1.8.8 0.0.0.0 area 1 network 10.1.68.6 0.0.0.0 area 1 PE PE router ospf 2 vrf VPN_A domain-id 0.0.0.1 log-adjacency-changes area 1 sham-link 10.1.6.6 10.1.3.3 redistribute bgp 1 subnets network 10.1.8.8 0.0.0.0 area 1 network 10.1.68.6 0.0.0.0 area 1 router bgp 1 address-family ipv4 vrf VPN_A redistribute ospf 1 vrf VPN_A router bgp 1 address-family ipv4 vrf VPN_A redistribute ospf 2 vrf VPN_A match internetl external R3#show ip bgp vpnv4 all 10.1.8.8BGP routing table entry for 1:1:10.1.8.8/32, version 146Paths: (1 available, best #1, table VPN_A)Flag: 0x820 Not advertised to any peer Local 150.1.6.6 (metric 30) from 150.1.6.6 (150.1.6.6) Origin incomplete, metric 2, localpref 100, valid, internal, best Extended Community: SoO:1:1 RT:1:1 OSPF DOMAIN ID:0x0005:0x000000010200 OSPF RT:0.0.0.1:2:0 OSPF ROUTER ID:10.1.68.6:0 mpls labels in/out nolabel/30 area = 0.0.0.0 Lsa type 2 LSA type 5 olması durumunda E1/E2 veya N1 N2 olup olmadığı
BGP PE – CE arasında EBGP kullanımlası durumunda BGP altındaki ipv4 adress family altında karşı CE komşuluğu tanımlanır. Buradaki sorun site’lar arasındaki routeların geçişindedir. Bir site route diğer site gittiğinde default olarak drop olur çünkü kendi AS numarasını AS Path listesinde görür (default BGP loop preventation). Bunu aşmak için iki yol vardır. 1 – CE ‘ler üzerinde kendi AS kabul etmesini sağlıyan allows-in komutunu 2 – PE’ler üzerinde as-override ile as path manupule etmek. AS 100 AS 100 CE CE Buradaki CE bu update drop eder cunku kendi AS numarası AS path listesinde vardır. PE PE
BGP Allows-in AS 100 AS 100 CE CE Allows in PE PE
BGP As-override AS 100 AS 100 CE CE Allows in PE PE *> 10.1.7.0/24 192.10.1.4 0 1 1 *> 10.1.8.0/24 192.10.1.4 0 1 1 PE PE