CISCO SD-WAN Route Leaking mezi Vpns Návod k použití

Únik trasy mezi VPN

Poznámka
Pro dosažení zjednodušení a konzistence bylo řešení Cisco SD-WAN přejmenováno na Cisco Catalyst SD-WAN. Kromě toho jsou od Cisco IOS XE SD-WAN Release 17.12.1a a Cisco Catalyst SD-WAN Release 20.12.1 použitelné následující změny součástí: Cisco vManage na Cisco Catalyst SD-WAN Manager, Cisco vAnalyticsto Cisco Catalyst SD-WAN Analytics , Cisco vBondto Cisco Catalyst SD-WAN Validator a Cisco vSmart to Cisco Catalyst SD-WAN Controller. Úplný seznam všech změn názvů značek součástí naleznete v nejnovějších poznámkách k vydání. Zatímco přecházíme na nové názvy, mohou se v sadě dokumentace vyskytovat určité nesrovnalosti kvůli postupnému přístupu k aktualizacím uživatelského rozhraní softwarového produktu.

• Podporované protokoly,
• Omezení pro únik a přerozdělování trasy,
• Informace o úniku na trase ,
• Pracovní postup pro konfiguraci úniku trasy pomocí Cisco SD-WAN Manager,
• Nakonfigurujte a ověřte netěsnost trasy pomocí CLI,
• Konfigurace redistribuce trasy mezi globálním VRF a servisními VPN pomocí CLI,
• Ověřte redistribuci trasy, na straně 20
• Nakonfigurujte únik trasy mezi servisními VPN pomocí šablony CLI,
• Ověřte konfigurace úniku trasy mezi servisními VPN pomocí CLI,
• Nakonfigurujte VRRP Tracker pro sledování uniklých služeb VPN pomocí CLI,
• Ověřte sledování VRRP, na straně 25
• Konfigurace Přample pro Route Leaking,

Podporované protokoly

Pro únik trasy mezi globálním VRF a servisními VPN jsou podporovány následující protokoly.

• Připojeno
• Statický
• BGP
• OSPF
• EIGRP

Následující protokoly jsou podporované cílové a zdrojové protokoly pro redistribuci trasy mezi servisními VPN a globálním VRF

Zdrojové protokoly

• Připojeno
• Statický
• BGP
• OSPF
• EIGRP

Destinační protokoly

• BGP
• OSPF
• EIGRP

Poznámka
Protokol EIGRP lze použít pouze na servisních VPN a ne na globálním VRF. Proto je únik trasy podporován pouze pro trasy ze servisních VPN do globálního VRF

Omezení pro únik a přerozdělení trasy

• Protokol EIGRP lze použít pouze na servisních VRF a ne na globálních VRF. Proto únik trasy není podporován pro trasy z globálního VRF do servisních VRF a mezi servisními VRF pro protokol EIGRP.
• NAT na straně služby není podporován s únikem trasy mezi globálním VRF a servisním VRF.
• NAT není podporován s únikem transportní VRF trasy.
• Rodina adres IPv6 není podporována.
• Každý servisní VRF může uniknout (import a export) maximálně 1000 tras.
• Pouze seznamy předpon, tagsa metriky lze porovnávat v mapách tras, které se používají k filtrování uniklých tras.
• Mezi-servisní únik VRF trasy na zařízeních Cisco IOS XE Catalyst SD-WAN s multitenancy není podporován.
• Trasy Overlay Management Protocol (OMP) se nepodílejí na úniku trasy VRF, aby se zabránilo zacyklení překrytí.
• Netěsnosti směrování mezi různými zařízeními nebo weby pomocí exportních zásad v Cisco SD-WAN nejsou podporovány.
• Redistribuce v EIGRP vyžaduje nastavení šířky pásma, zatížení, spolehlivosti, zpoždění a MTU pro výběr nejlepší cesty.
• Replikace trasy se všemi klíčovými slovy se nedoporučuje.
• Únik trasy pomocí centralizované zásady není podporován

Při konfiguraci úniku trasy pro VRF by příkaz route-replicate pod příkazem global-address-family ipv4 neměl mít klíčové slovo all zadané jako protokol pro možnost unicast, aby se zabránilo zacyklení trasy. global-address-family ipv4 route-replicate z vrf unicast all • V tomto příkladuample, klíčové slovo all by mělo být nahrazeno konkrétním názvem protokolu, jak je uvedeno zde:

global-address-family ipv4
route-replicate z vrf unicast připojeno

Informace o úniku na trase

Únik trasy mezi globálními VRF a servisními VPN
Řešení Cisco Catalyst SD-WAN umožňuje segmentovat síť pomocí VPN. Únik trasy mezi globálním nebo výchozím VRF (transport VPN) a servisními VPN vám umožňuje sdílet společné služby, ke kterým potřebuje přístup více VPN. Díky této funkci jsou trasy replikovány prostřednictvím obousměrných úniků cest mezi globálním VRF (také známým jako transportní VPN) a servisními VPN. Únik trasy mezi VRF se provádí pomocí Routing Information Base (RIB).

Poznámka
V kontextu Cisco Catalyst SD-WAN se termíny VRF a VPN používají zaměnitelně. Přestože zařízení Cisco IOS XE Catalyst SD-WAN používají VRF pro segmentaci a izolaci sítě, k jejich konfiguraci pomocí Cisco SD-WAN Manager se používá šablona funkcí VPN. Když používáte Cisco SD-WAN Manager ke konfiguraci VPN pro zařízení Cisco IOS XE Catalyst SD-WAN, Cisco SD-WAN Manager automaticky převede konfiguraci VPN na konfiguraci VRF.

Chcete-li uniknout trasy k sousedům směrování, přerozdělte uniklé trasy mezi globální VRF a servisní VPN.

Administrativní vzdálenost OMP pro netěsné trasy
Administrativní vzdálenost Cisco SD-WAN Overlay Management Protocol (OMP) můžete nakonfigurovat na nižší hodnotu, která nastaví trasy OMP jako preferované a primární trasy přes jakékoli uniklé trasy ve scénáři směrování mezi větvemi.

Ujistěte se, že nakonfigurujete administrativní vzdálenost OMP na zařízeních Cisco IOS XE Catalyst SD-WAN na základě následujících bodů:

• Pokud nakonfigurujete administrativní vzdálenost OMP na úrovni globálního VRF i servisního VRF, konfigurace na úrovni VRF přepíše globální konfiguraci na úrovni VRF.
• Pokud nakonfigurujete službu VRF s nižší administrativní vzdáleností než globální VRF, pak kromě služby VRF budou mít všechny zbývající VRF hodnotu administrativní vzdálenosti od globálního VRF.

Chcete-li nakonfigurovat administrativní vzdálenost OMP pomocí Cisco SD-WAN Manager, viz Konfigurace základních parametrů VPN a Konfigurace OMP pomocí šablon SD-WAN Manager.

Chcete-li nakonfigurovat administrativní vzdálenost OMP pomocí CLI, přečtěte si část Konfigurace administrativní vzdálenosti OMP v části Konfigurace OMP pomocí CLI.

Inter-service VRF Route Leaking
Minimální podporované vydání: Cisco IOS XE Catalyst SD-WAN Release 17.9.1a, Cisco vManage Release 20.9.1.

Funkce Inter-Service VRF Route Leaking poskytuje možnost úniku selektivních cest mezi servisními VRF zpět do původního zařízení na stejném místě.

Chcete-li vyřešit problémy se škálovatelností směrování, které se objevily při používání řadičů Cisco SD-WAN, můžete propustit trasy mezi VRF na okrajovém zařízení.

Chcete-li nakonfigurovat funkci úniku VRF mezi službami pomocí Cisco SD-WAN Manager, viz Konfigurace úniku trasy mezi VRF služeb.

Chcete-li nakonfigurovat funkci úniku mezi službami VRF pomocí rozhraní CLI, přečtěte si téma Konfigurace úniku trasy mezi službami VRF pomocí rozhraní CLI.

Použijte VRRP Tracker pro sítě VPN Leaked Service
Protokol VRRP (Virtual Router Redundancy Protocol) dokáže sledovat, zda je úniková trasa dosažitelná. Pokud není sledovaná trasa dosažitelná, VRRP změní prioritu skupiny VRRP. Může spustit volbu nového primárního směrovače. Sledovač VRRP určuje, zda je trasa dosažitelná, na základě existence trasy ve směrovací tabulce instance směrování, která je zahrnuta v konfiguraci VRRP.

Chcete-li nakonfigurovat sledovač VRRP pro sledování uniklých služeb VPN pomocí Cisco SD-WAN Manager, viz Konfigurace VRRP pro šablonu Cisco VPN Interface Ethernet.

Chcete-li nakonfigurovat sledovač VRRP pro sledování všech uniklých služeb VPN pomocí rozhraní CLI, viz Konfigurace sledování VRRP pro sledování sítí VPN uniklých služeb pomocí rozhraní CLI.

Vlastnosti Route Leaking

• Trasy mezi globálním VRF a servisními VPN mohou unikat přímo.
• Do globálního VRF může uniknout více služeb VPN.
• Je podporováno více servisních VRF prosakujících do stejné služby VRF.
• Když dojde k úniku nebo replikaci tras mezi globálním VRF a servisními VPN, vlastnosti routování, jako je metrika, zdrojové informace VPN, tags, administrativní vzdálenost a počátek trasy jsou zachovány.
• Uniklé trasy můžete kontrolovat pomocí map tras.
• Route-maps mohou filtrovat trasy pomocí operací shody, než je prozradí.
• Funkci lze konfigurovat pomocí obou – Cisco SD-WAN Manager a CLI.

Use Cases for Route Leaking

• Centrální služby poskytovatele služeb: Ke službám SP Central pod MPLS lze přistupovat přímo, aniž byste je museli duplikovat pro každou VPN. Díky tomu je přístup k centrálním službám jednodušší a efektivnější.
• migrace: Díky úniku trasy mohou pobočky, které migrovaly na Cisco SD-WAN, přímo přistupovat k nemigrovaným větvím a obcházet hub, čímž poskytují vylepšené aplikační smlouvy SLA.
• Centralizovaná správa sítě: Řídicí rovinu a servisní zařízení můžete spravovat prostřednictvím podložky.
• Požadavky prodejce na shodu s PCI: Route leaking for service VRFs se používá tam, kde provoz VRF prochází přes zónový firewall na stejné pobočkovém routeru, přičemž je kompatibilní s PCI.

Jak se určuje preference trasy

Pokud je trasa replikována nebo prosakována mezi globálním VRF a servisními VPN, určuje preferenci trasy následující pravidlo.

Pro zařízení, které přijímá trasu ze dvou zdrojů, kde obě tyto trasy používají stejné zdrojové VRF a jedna z cest je replikována, je preferována nereplikovaná trasa.

Pokud uvedené pravidlo neplatí, určují preferenci trasy v tomto pořadí následující pravidla:

1. Preferujte trasu s menší administrativní vzdáleností.
2. Preferujte trasu s menší výchozí administrativní vzdáleností.
3. Upřednostněte nereplikovanou trasu před replikovanou trasou.
4. Porovnejte původní názvy VRF. Preferujte trasu s lexikograficky menším názvem VRF.
5. Porovnejte původní rodiny podadres. Upřednostněte směrování unicast před směrováním vícesměrového vysílání.
6. Preferujte nejstarší trasu.

Pracovní postup pro konfiguraci úniku trasy pomocí Cisco SD-WAN Manager

1. Nakonfigurujte a povolte lokalizovanou politiku a připojte politiku trasy.
2. Nakonfigurujte a povolte funkci Route Leaking mezi globální a servisní VPN.
3. Nakonfigurujte a povolte funkci Route Leaking mezi servisními VPN.
4. Připojte šablonu funkcí VPN na straně služby k šabloně zařízení. Nakonfigurujte zásady lokalizované trasy

Nakonfigurujte zásady trasy

1. Z nabídky Cisco SD-WAN Manager vyberte Konfigurace > Zásady.
2. Vyberte lokalizované zásady.
3. V rozevíracím seznamu Vlastní možnosti v části Lokalizované zásady vyberte Zásady trasy.
4. Klikněte na Přidat zásadu trasy a vyberte Vytvořit novou.
5. Zadejte název a popis zásady trasy.
6. V levém podokně klikněte na Přidat typ sekvence.
7. V pravém podokně klikněte na Přidat pravidlo sekvence a vytvořte v zásadě jednu sekvenci. Ve výchozím nastavení je vybrána shoda.
8. Vyberte požadovaný protokol z rozevíracího seznamu Protokol. Možnosti jsou: IPv4, IPv6 nebo obojí.
9. Klikněte na podmínku shody.
10. Vlevo zadejte hodnoty pro podmínku shody.
11. Vpravo zadejte akci nebo akce, které se mají provést, pokud se zásady shodují.
12. Kliknutím na Uložit shodu a akce uložíte pravidlo sekvence.
13. Pokud žádné pakety neodpovídají žádnému z pravidel sekvence zásad směrování, výchozí akcí je pakety zahodit. Chcete-li změnit výchozí akci:
    a. Klikněte na Výchozí akci v levém podokně.
    b. Klepněte na ikonu tužky.
    c. Změňte výchozí akci na Přijmout.
    d. Klikněte na Uložit shodu a akce.
14. Klikněte na Uložit zásady trasy.

Přidejte Zásady trasy

1. Z nabídky Cisco SD-WAN Manager vyberte Konfigurace > Zásady.
2. Vyberte lokalizovanou zásadu.
3. Klikněte na Přidat zásady.
4. Klepněte na tlačítko Další v Průvodci místními zásadami, dokud se nedostanete k možnosti Konfigurovat zásady trasy.
5. Klikněte na Přidat zásady trasy a zvolte Importovat existující.
6. Z rozevíracího seznamu Zásady vyberte vytvořenou zásadu směrování. Klikněte na Importovat.
7. Klepněte na tlačítko Další.
8. Zadejte název a popis zásady.
9. Klepněte na Předview na view konfigurace zásad ve formátu CLI.
10. Klikněte na Uložit zásady.

Připojte lokalizovanou zásadu k šabloně zařízení

Poznámka
Prvním krokem při použití dříve vytvořené lokalizované zásady je její připojení k šabloně zařízení.

1. Z nabídky Cisco SD-WAN Manager vyberte Konfigurace > Šablony.
2. Klepněte na položku Šablony zařízení a vyberte požadovanou šablonu.
3. Klikněte na … a klikněte na Upravit.
4. Klepněte na Další šablony.
5. Z rozevíracího seznamu Zásady vyberte vytvořenou lokalizovanou zásadu.
6. Klikněte na Aktualizovat.
   Poznámka
   Jakmile byla lokalizovaná zásada přidána do šablony zařízení, výběrem možnosti Aktualizovat se změna konfigurace okamžitě odešle na všechna zařízení, která jsou připojena k této šabloně zařízení. Pokud je k šabloně zařízení připojeno více než jedno zařízení, zobrazí se upozornění, že mění více zařízení.
7. Klikněte na Další a poté na Konfigurovat zařízení.
8. Počkejte na proces ověření a přeneste konfiguraci z Cisco SD-WAN Manager do zařízení

Nakonfigurujte a povolte únik trasy mezi globálními a servisními VPN

1. Z nabídky Cisco SD-WAN Manager vyberte Konfigurace > Šablony.
2. Chcete-li nakonfigurovat únik trasy, klikněte na Šablony funkcí.

Poznámka
 V Cisco vManage Release 20.7.xa dřívějších verzích se Feature Templates nazývá Feature.

Proveďte jednu z následujících akcí:

• Chcete-li vytvořit šablonu funkce:
  a. Klikněte na Přidat šablonu. Vyberte zařízení ze seznamu zařízení. Šablony dostupné pro vybrané zařízení se zobrazí v pravém podokně.
  b. V pravém podokně vyberte šablonu Cisco VPN.

Poznámka
Únik trasy lze nakonfigurovat pouze na servisních VPN. Ujistěte se proto, že číslo, které zadáte do pole VPN v části Základní konfigurace, je jedno z následujících: 1—511 nebo 513—65527.

Podrobnosti o konfiguraci různých parametrů VPN, jako je základní konfigurace, DNS, sledování VRRP (Virtual Router Redundancy Protocol) atd., najdete v části Konfigurace šablony VPN. Podrobnosti týkající se funkce úniku trasy naleznete v kroku c.
c. Zadejte název šablony a popis šablony prvku.
d. Klikněte na Global Route Leak pod polem Popis.
e. Chcete-li uniknout trasy z globálního VRF, klikněte na Přidat nový únik trasy z globální VPN do servisní VPN.

1. V rozevíracím seznamu Route Protocol Leak from Global to Service vyberte Globální a vyberte protokol. V opačném případě zvolte Device-Specific a použijte hodnotu specifickou pro zařízení.
2. V rozevíracím seznamu Route Policy Leak from Global to Service vyberte Global. Dále vyberte jednu z dostupných zásad trasy z rozevíracího seznamu.
3. V poli Redistribute to protocol (v Service VPN) klikněte na Přidat protokol. V rozevíracím seznamu Protokol zvolte Globální a vyberte protokol. V opačném případě zvolte Device-Specific a použijte hodnotu specifickou pro zařízení. V rozevíracím seznamu Zásady přerozdělování vyberte možnost Globální. Dále vyberte jednu z dostupných zásad redistribuce z rozevíracího seznamu.
4. Klepněte na tlačítko Přidat.

f. Chcete-li uniknout trasy ze servisních VPN do globálního VRF, klikněte na Přidat nový únik trasy ze servisní VPN do globální VPN.

1. V rozevíracím seznamu Route Protocol Leak from Service to Global vyberte Globální a vyberte protokol. V opačném případě zvolte Device-Specific a použijte hodnotu specifickou pro zařízení.
2. V rozevíracím seznamu Route Policy Leak from Service to Global vyberte Global. Dále vyberte jednu z dostupných zásad trasy z rozevíracího seznamu.
3. V poli Redistribute to protocol (v Global VPN) klikněte na Add Protocol. V rozevíracím seznamu Protokol zvolte Globální a vyberte protokol. V opačném případě zvolte Device-Specific a použijte hodnotu specifickou pro zařízení. V rozevíracím seznamu Zásady přerozdělování vyberte možnost Globální. Dále vyberte jednu z dostupných zásad redistribuce z rozevíracího seznamu.
4. Klepněte na tlačítko Přidat.
   g. Klikněte na Uložit/Aktualizovat. Konfigurace se projeví až po připojení šablony funkce k šabloně zařízení.
   h. Chcete-li znovu distribuovat uniklé trasy pomocí Cisco SD-WAN Manager, použijte šablony CLI Add-on Feature a zadejte konfiguraci použitelnou pro vaše prostředí. Tady je bývalýample.

Device(config)# router ospf 65535
Device(config-router)# redistribute vrf 1 ospf 103
Device(config)# router eigrp vpn
Device(config-router)# address-family ipv4 vrf 1 autonomous-system 50
Device(config-router-af)# topology base
Zařízení (config-router-af-topology)# redistribuce vrf global ospf 65535
metrický 1 2 3 4 5

Po vytvoření šablony doplňku CLI ji musíte připojit k šabloně protokolu, do které přerozdělujete trasy. V tomto example, připojíte jej k šabloně EIGRP.

• Chcete-li upravit existující šablonu funkce:
  a. Vyberte šablonu funkce, kterou chcete upravit
  b. Klikněte na … vedle řádku v tabulce a klikněte na Upravit.
  c. Klikněte na Global Route Leak.
  d. Chcete-li upravit informace, v tabulce v části Přidat novou únikovou cestu z globální VPN do servisní VPN nebo Přidat novou únikovou cestu ze servisní VPN do globální VPN klikněte na Upravit. Zobrazí se dialogové okno úniku aktualizace trasy.
  e. Proveďte všechny operace z kroku d vytvoření šablony prvku. Proveďte všechny operace z kroku c vytvoření šablony prvku.
  f. Klikněte na Uložit změny.
  g. Klikněte na Aktualizovat.

Poznámka

• Konfigurace se neprojeví, dokud nebude šablona funkce Service VPN připojena k šabloně zařízení.

Nakonfigurujte únik trasy mezi servisními VPN

Minimální podporovaná verze: Cisco vManage Release 20.9.1

1. Z nabídky Cisco SD-WAN Manager vyberte Konfigurace > Šablony.
2. Klikněte na položku Šablony funkcí.
3. Přejděte na šablonu Cisco VPN pro zařízení
   Poznámka
   Chcete-li vytvořit šablonu VPN, viz Vytvořte šablonu VPN 
4. Klikněte na Route Leak.
5. Klikněte na Route Leak between Service VPN.
6. Klikněte na Přidat nový únik mezi službami VPN Route.
7. V rozevíracím seznamu Zdrojová VPN vyberte Globální a nakonfigurujte službu VPN, odkud chcete úniky tras. V opačném případě zvolte Device-Specific a použijte hodnotu specifickou pro zařízení. Můžete nakonfigurovat servisní VPN v rozsahu VPN 1 až 511 a 513 až 65530 pro datový provoz na straně služby na zařízeních Cisco IOS XE Catalyst SD-WAN. (VPN 512 je vyhrazena pro provoz správy sítě. VPN 0 je vyhrazena pro řízení provozu pomocí nakonfigurovaných přenosových rozhraní WAN.)
8. V rozevíracím seznamu Route Protocol Leak to Current VPN vyberte Global a vyberte směrovací protokol, který umožní únik trasy do aktuální VPN. V opačném případě zvolte Device-Specific a použijte hodnotu specifickou pro zařízení.
   Pro únik trasy si můžete vybrat protokoly Connected, Static, OSPF, BGP a EIGRP.
9. cV rozevíracím seznamu Route Policy Leak to Current VPN vyberte Global a vyberte politiku trasy, která umožní únik trasy do aktuální VPN. V opačném případě zvolte Device-Specific a použijte hodnotu specifickou pro zařízení. Toto pole je neaktivní, pokud nejsou k dispozici žádné zásady trasy.
10. Chcete-li nakonfigurovat Redistribute to protocol (v Service VPN), klikněte na Add Protocol. Z rozevíracího seznamu Protokol zvolte Globální a vyberte protokol. V opačném případě zvolte Device-Specific a použijte hodnotu specifickou pro zařízení. Pro redistribuci si můžete vybrat protokoly Connected, Static, OSPF, BGP a EIGRP. (Volitelné) V rozevíracím seznamu Zásady redistribuce vyberte možnost Globální. Dále vyberte jednu z dostupných zásad redistribuce z rozevíracího seznamu. Toto pole je neaktivní, pokud nejsou k dispozici žádné zásady trasy.
11. Klepněte na tlačítko Přidat.
12. Klikněte na Uložit

Připojte šablonu funkcí VPN na straně služby k šabloně zařízení

1. Z nabídky Cisco SD-WAN Manager vyberte Konfigurace > Šablony.
2. Klepněte na položku Šablony zařízení a vyberte požadovanou šablonu.
3. Klikněte na … a klikněte na Upravit.
4. Klepněte na Service VPN.
5. Klikněte na Přidat VPN. Vyberte šablonu funkce Service VPN uvedenou v podokně Dostupné šablony VPN. Klikněte na šipku s pravým tlačítkem a přidejte šablonu do seznamu Vybrané šablony VPN.
6. Klikněte na Další, jakmile se přesune z levé (Dostupné šablony VPN) na pravou stranu (Vybrané šablony VPN).
7. Klepněte na tlačítko Přidat.
8. Klikněte na Aktualizovat.
9. Klikněte na Další a poté na Konfigurovat zařízení.
10. Nakonec počkejte na proces ověření a odešlete konfiguraci z Cisco SD-WAN Manager do zařízení.

Nakonfigurujte a ověřte netěsnost trasy pomocí CLI

Example: Únikové trasy mezi globálními VRF a servisními VPN
Tyto exampsoubory ukazují, jak nakonfigurovat únik trasy mezi globálním VRF a servisní VPN. V tomto example, VRF 103 je služba VPN. Tento example ukazuje, že připojené trasy unikají do VRF 103 z globálního VRF, podobně stejné připojené trasy unikají z VRF 103 do globálního VRF.

definice vrf 103
!
adresa-rodina ipv4
route-replicate z vrf global unicast připojeno
!
global-address-family ipv4
route-replicate z vrf 103 připojeno unicast
výstupní-adresa-rodina

Ověřte konfiguraci 

Poznámka
Ve výstupu jsou uniklé cesty znázorněny znaménkem + vedle uniklé cesty. Přample: C+ označuje, že došlo k úniku připojené trasy

Zařízení#zobrazit trasu IP
Kódy: L – místní, C – připojeno, S – statické, R – RIP, M – mobilní, B – BGP
D – EIGRP, EX – EIGRP externí, O – OSPF, IA – OSPF mezioblast
N1 – OSPF NSSA externí typ 1, N2 – OSPF NSSA externí typ 2
E1 – OSPF externí typ 1, E2 – OSPF externí typ 2, m – OMP
n – NAT, Ni – NAT uvnitř, Ne – NAT vně, Nd – NAT DIA
i – IS-IS, ne – souhrn IS-IS, L1 – IS-IS úroveň-1, L2 – IS-IS úroveň-2
ia – mezioblast IS-IS, * – výchozí kandidát, U – statická trasa pro uživatele
H – NHRP, G – registrovaná NHRP, g – souhrn registrace NHRP
o – ODR, P – periodicky stahovaná statická cesta, l – LISP
a – aplikační cesta
+ – replikovaná trasa, % – přepsání dalšího skoku, p – přepsání z PfR
& – replikované místní přepisy trasy připojením

Brána poslední instance není nastavena

10.0.0.0/8 je variabilně podsíťován, 14 podsítí, 2 masky
O 10.1.14.0/24 [110/11] přes 10.1.15.13, 00:02:22, GigabitEthernet1
C 10.1.15.0/24 je přímo připojen, GigabitEthernet1
L 10.1.15.15/32 je přímo připojen, GigabitEthernet1
O 10.1.16.0/24 [110/11] přes 10.1.15.13, 00:02:22, GigabitEthernet1
C 10.1.17.0/24 je přímo připojen, GigabitEthernet2
L 10.1.17.15/32 je přímo připojen, GigabitEthernet2
172.16.0.0/12 je podsíť, 1 podsíť
[170/10880] prostřednictvím 192.168.24.17(103), 01:04:13, GigabitEthernet5.103
192.168.0.0/16 je variabilně podsíťován, 2 podsítí, 2 masky
C + 192.0.2.0/24 je připojen přímo, GigabitEthernet 5.103
L & 192.168.24.15/16 je přímo připojen, GigabitEthernet5.103
10.0.0.0/8 je variabilně podsíťován, 2 podsítí, 2 masky
C 203.0.113.0/24 je přímo připojen, GigabitEthernet6
L 203.0.113.15/32 je přímo připojen, GigabitEthernet6
10.20.0.0/8 je variabilně podsíťován, 2 podsítí, 2 masky
C 198.51.100.0/24 je přímo připojen, GigabitEthernet7
L 198.51.100.15/24 je přímo připojen, GigabitEthernet7
192.0.2.0/32 je podsíť, 1 podsíť
O E2 100.100.100.100 [110/20] přes 10.1.15.13, 00:02:22, GigabitEthernet1
172.16.0.0/32 je podsíť, 1 podsíť
O E2 172.16.255.14 [110/20] přes 10.1.15.13, 00:02:22, GigabitEthernet1

View Unikly cesty z globálního VRF do servisní tabulky VRF
Použijte k tomu příkaz show ip route vrf view cesty unikaly z globálního VRF do servisní tabulky VRF.

Poznámka
Ve výstupu jsou uniklé cesty označeny znaménkem + vedle uniklé cesty. Přample: C+ označuje, že došlo k úniku připojené trasy

Zařízení#show ip route vrf 103
Směrovací tabulka: 103
Kódy: L – místní, C – připojeno, S – statické, R – RIP, M – mobilní, B – BGP
D – EIGRP, EX – EIGRP externí, O – OSPF, IA – OSPF mezioblast
N1 – OSPF NSSA externí typ 1, N2 – OSPF NSSA externí typ 2
E1 – OSPF externí typ 1, E2 – OSPF externí typ 2, m – OMP
n – NAT, Ni – NAT uvnitř, Ne – NAT vně, Nd – NAT DIA
i – IS-IS, ne – souhrn IS-IS, L1 – IS-IS úroveň-1, L2 – IS-IS úroveň-2
ia – mezioblast IS-IS, * – výchozí kandidát, U – statická trasa pro uživatele
H – NHRP, G – registrovaná NHRP, g – souhrn registrace NHRP
o – ODR, P – periodicky stahovaná statická cesta, l – LISP
a – aplikační cesta
+ – replikovaná trasa, % – přepsání dalšího skoku, p – přepsání z PfR
& – replikované místní přepisy trasy připojením

Brána poslední instance není nastavena

10.0.0.0/8 je variabilně podsíťován, 14 podsítí, 2 masky
C + 10.0.1.0/24 je připojen přímo, GigabitEthernet 9
L & 10.0.1.15/32 je přímo připojen, GigabitEthernet9
C + 10.0.20.0/24 je připojen přímo, GigabitEthernet 4
L & 10.0.20.15/32 je přímo připojen, GigabitEthernet4
C + 10.0.100.0/24 je připojen přímo, GigabitEthernet 8
L & 10.0.100.15/32 je přímo připojen, GigabitEthernet8
C + 10.1.15.0/24 je připojen přímo, GigabitEthernet 1
L & 10.1.15.15/32 je přímo připojen, GigabitEthernet1
C + 10.1.17.0/24 je připojen přímo, GigabitEthernet 2
L & 10.1.17.15/32 je přímo připojen, GigabitEthernet2
172.16.0.0/12 je podsíť, 1 podsíť
D EX 172.16.20.20
[170/10880] prostřednictvím 192.168.24.17, 01:04:07, GigabitEthernet5.103
192.168.0.0/16 je variabilně podsíťován, 2 podsítí, 2 masky
C 192.0.2.0/24 je přímo připojen, GigabitEthernet5.103
L 192.168.24.15/16 je přímo připojen, GigabitEthernet5.103
10.0.0.0/8 je variabilně podsíťován, 2 podsítí, 2 masky
C + 203.0.113.0/24 je připojen přímo, GigabitEthernet 6
L & 203.0.113.15/32 je přímo připojen, GigabitEthernet6
10.20.0.0/8 je variabilně podsíťován, 2 podsítí, 2 masky
C + 198.51.100.0/24 je připojen přímo, GigabitEthernet 7
L & 198.51.100.15/24 je přímo připojen, GigabitEthernet7
192.0.2.0/32 je podsíť, 1 podsíť

Example: Filtrování tras před únikem
Chcete-li dále filtrovat trasy uniklé mezi globálním VRF a servisním VRF, můžete použít mapu trasy, jak je ukázáno v tomto příkladuample.

definice vrf 103
!
adresa-rodina ipv4
route-replicate z vrf globální unicast připojené route-map povolení myRouteMap 10
shoda ip adresa prefix-list pList seq 5 permit 10.1.17.0/24

!

Ověřte konfiguraci 

Poznámka
V tomto výstupu jsou uniklé cesty označeny znaménkem + vedle uniklé cesty. Přample: C+ označuje, že došlo k úniku připojené trasy.

Zařízení#show ip route vrf 103
Směrovací tabulka: 1
Kódy: L – místní, C – připojeno, S – statické, R – RIP, M – mobilní, B – BGP
D – EIGRP, EX – EIGRP externí, O – OSPF, IA – OSPF mezioblast
N1 – OSPF NSSA externí typ 1, N2 – OSPF NSSA externí typ 2
E1 – OSPF externí typ 1, E2 – OSPF externí typ 2, m – OMP
n – NAT, Ni – NAT uvnitř, Ne – NAT vně, Nd – NAT DIA
i – IS-IS, ne – souhrn IS-IS, L1 – IS-IS úroveň-1, L2 – IS-IS úroveň-2
ia – mezioblast IS-IS, * – výchozí kandidát, U – statická trasa pro uživatele
H – NHRP, G – registrovaná NHRP, g – souhrn registrace NHRP
o – ODR, P – periodicky stahovaná statická cesta, l – LISP
a – aplikační cesta
+ – replikovaná trasa, % – přepsání dalšího skoku, p – přepsání z PfR
& – replikované místní přepisy trasy připojením

Brána poslední instance není nastavena

10.0.0.0/8 je variabilně podsíťován, 8 podsítí, 2 masky
C + 10.1.17.0/24 je připojen přímo, GigabitEthernet 2
L & 10.1.17.15/32 je přímo připojen, GigabitEthernet2
m 10.1.18.0/24 [251/0] přes 172.16.255.14, 19:01:28, Sdwan-system-intf
m 10.2.2.0/24 [251/0] přes 172.16.255.11, 17:28:44, Sdwan-system-intf
m 10.2.3.0/24 [251/0] přes 172.16.255.11, 17:26:50, Sdwan-system-intf
C 10.20.24.0/24 je přímo připojen, GigabitEthernet5
L 10.20.24.15/32 je přímo připojen, GigabitEthernet5
m 10.20.25.0/24 [251/0] přes 172.16.255.11, 16:14:18, Sdwan-system-intf
172.16.0.0/32 je podsíť, 3 podsíť
m 172.16.255.112 [251/0] přes 172.16.255.11, 17:28:44, Sdwan-system-intf
O E2 172.16.255.117 [110/20] přes 10.20.24.17, 1d11h, GigabitEthernet5
m 172.16.255.118 [251/0] přes 172.16.255.11, 16:14:18, Sdwan-system-intf

Chcete-li sledovat uniklé cesty, použijte příkaz show ip cef. Výstup zobrazuje replikované nebo uniklé trasy.

Zařízení#show IP cef 10.1.17.0 interní
10.1.17.0/24, epocha 2, příznaky [rcv], refcnt 6, sdílení podle destinace
[připojený obal 10.1.17.0/24 replikováno z 1] zdroje: I/F
prostor funkcí:
Broker: propojený, distribuovaný se 4. prioritou
podbloky:
gsb Připojený přijímací řetězec(0): 0x7F6B4315DB80
Zdroj rozhraní: GigabitEthernet5 příznaky: žádné příznaky3: žádné
Závislá krytá předpona typu cover need deagg, cover 10.20.24.0/24
ifnums: (žádné)
seznam cest 7F6B47831168, 9 zámků, podle cíle, příznaky 0x41 [shble, hwcn] cesta 7F6B3D9E7B70, sdílení 1/1, typ příjem, pro IPv4
přijímat pro GigabitEthernet5
výstupní řetězec:
dostávat

Example: Redistribuce BGP Route do protokolů OSPF a EIGRP
Tyto exampsoubory ukazují, jak replikovat trasu BGP z globálního VRF do servisního VRF.

Device#config-transaction
Device(config)# definice vrf 2
Device(config-vrf)# adresa-rodina ipv4
Device(config-ipv4)# route-replicate z vrf global unicast bgp 1
Router(config-ipv4)# commit

Nakonfigurujte redistribuci tras BGP v Global VRF na EIGRP v Service VRF

Poznámka
Redistribuce tras BGP do jiných protokolů je podporována pouze v případě, že je v trase BGP přítomna interní konfigurace redistribuce bgp.

Device#config-transaction
Device(config)# test eigrp routeru
Device(config-router)# address-family ipv4 unicast vrf 2 autonomous-system 100
Device(config-router-af)# topology base
Device(config-router-af-topology)# redistribuce vrf global bgp 1 metric 10000 100 200 1
1500
Device(config-ipv4)# commit
* Zde přerozdělujeme trasy BGP v globálním VRF do EIGRP ve VRF 2.
* Replikace tras musí být provedena před provedením inter VRF redistribuce.

Ověřte konfiguraci

View BGP Route je přítomna v globálním VRF před konfigurací

Zařízení#show IP route bgp
Kódy: L – místní, C – připojeno, S – statické, R – RIP, M – mobilní, B – BGP
D – EIGRP, EX – EIGRP externí, O – OSPF, IA – OSPF mezioblast
N1 – OSPF NSSA externí typ 1, N2 – OSPF NSSA externí typ 2
E1 – OSPF externí typ 1, E2 – OSPF externí typ 2, m – OMP
n – NAT, Ni – NAT uvnitř, Ne – NAT vně, Nd – NAT DIA
i – IS-IS, ne – souhrn IS-IS, L1 – IS-IS úroveň-1, L2 – IS-IS úroveň-2
ia – mezioblast IS-IS, * – výchozí kandidát, U – statická trasa pro uživatele
H – NHRP, G – registrovaná NHRP, g – souhrn registrace NHRP
o – ODR, P – periodicky stahovaná statická cesta, l – LISP
a – aplikační cesta
+ – replikovaná trasa, % – přepsání dalšího skoku, p – přepsání z PfR
& – replikované místní přepisy trasy připojením

Brána poslední instance není nastavena
10.0.0.0/9 je podsíť, 1 podsíť
B 172.16.255.1 [200/20] přes 10.1.15.14, 00:00:25
Přístroj#
* Máme trasu BGP v globálním VRF.

View BGP Route není přítomna ve službě VRF před konfigurací 

Použijte příkaz show ip route vrf [protocol ] view trasu BGP v tabulce služeb VRF.

Zařízení#show ip route vrf 2 bgp

Směrovací tabulka: 2
Kódy: L – místní, C – připojeno, S – statické, R – RIP, M – mobilní, B – BGP
D – EIGRP, EX – EIGRP externí, O – OSPF, IA – OSPF mezioblast
N1 – OSPF NSSA externí typ 1, N2 – OSPF NSSA externí typ 2
E1 – OSPF externí typ 1, E2 – OSPF externí typ 2, m – OMP
n – NAT, Ni – NAT uvnitř, Ne – NAT vně, Nd – NAT DIA
i – IS-IS, ne – souhrn IS-IS, L1 – IS-IS úroveň-1, L2 – IS-IS úroveň-2
ia – mezioblast IS-IS, * – výchozí kandidát, U – statická trasa pro uživatele

H – NHRP, G – registrovaná NHRP, g – souhrn registrace NHRP
o – ODR, P – periodicky stahovaná statická cesta, l – LISP
a – aplikační cesta
+ – replikovaná trasa, % – přepsání dalšího skoku, p – přepsání z PfR
& – replikované místní přepisy trasy připojením

Brána poslední instance není nastavena

Přístroj#
* Ve VRF 2 nemáme žádnou trasu BGP.

View BGP Route po konfiguraci
Použijte show running config [configuration-hierarchy] | podrobnosti příkaz k ověření, zda replikace
konfigurace existuje.

Zařízení#show running-config | definice vrf sekce 2
definice vrf 2
rd 1:1
export trasa-cíl 1:1
import trasy a cíle 1:1
!
adresa-rodina ipv4
route-replicate z vrf global unicast bgp 1
výstupní-adresa-rodina
Přístroj#
* Úspěšně jsme použili konfiguraci replikace trasy.
* V našem exampreplikujeme trasy bgp 1 z globálního VRF do VRF 2.

View BGP trasa z globálního VRF je po konfiguraci replikována do servisního VRF 

Použijte příkaz show ip route vrf [protocol ] view trasu BGP v tabulce služeb VRF.

Zařízení#show ip route vrf 2 bgp
Směrovací tabulka: 2
Kódy: L – místní, C – připojeno, S – statické, R – RIP, M – mobilní, B – BGP
D – EIGRP, EX – EIGRP externí, O – OSPF, IA – OSPF mezioblast
N1 – OSPF NSSA externí typ 1, N2 – OSPF NSSA externí typ 2
E1 – OSPF externí typ 1, E2 – OSPF externí typ 2, m – OMP
n – NAT, Ni – NAT uvnitř, Ne – NAT vně, Nd – NAT DIA
i – IS-IS, ne – souhrn IS-IS, L1 – IS-IS úroveň-1, L2 – IS-IS úroveň-2
ia – mezioblast IS-IS, * – výchozí kandidát, U – statická trasa pro uživatele
H – NHRP, G – registrovaná NHRP, g – souhrn registrace NHRP
o – ODR, P – periodicky stahovaná statická cesta, l – LISP
a – aplikační cesta
+ – replikovaná trasa, % – přepsání dalšího skoku, p – přepsání z PfR
& – replikované místní přepisy trasy připojením

Brána poslední instance není nastavena

10.0.0.0/9 je podsíť, 1 podsíť
B + 172.16.255.1 [200/20] přes 10.1.15.14, 00:04:01
Přístroj#
* Po replikaci trasy můžeme vidět, že trasa BGP v globálním VRF byla replikována
do VRF 2.
* Znak + označuje replikované trasy.

View Konfigurace EIGRP bez informací o redistribuci BGP 

Zařízení#show running-config | sekce router eigrp
test routeru eigrp
!
adresa-rodina ipv4 unicast vrf 2 autonomní systém 100
!
základ topologie
exit-af-topologie
síť 10.0.0.0
výstupní-adresa-rodina
Router #

View Tabulka topologie EIGRP

Použijte show eigrp address-family ipv4 vrf topologie příkaz k view trasu BGP v tabulce služeb VRF.

Device#show eigrp address-family ipv4 vrf 2 topology
Tabulka topologie EIGRP-IPv4 VR(test) pro AS(100)/ID(10.10.10.2)
Topologie (základna) TID(0) VRF(2)
Kódy: P – pasivní, A – aktivní, U – aktualizace, Q – dotaz, R – odpověď,
r – stav odpovědi, s – stav sia
P 10.0.0.0/8, 1 nástupce, FD je 1310720
přes Connected, GigabitEthernet2

Přístroj#
* EIGRP 100 běží na VRF 2

View Cesta EIGRP po přerozdělení BGP 

Použijte show eigrp address-family ipv4 vrf topologie příkaz k view trasa BGP je přerozdělena do protokolu EIGRP

Device#show eigrp address-family ipv4 vrf 2 topology
Tabulka topologie EIGRP-IPv4 VR(test) pro AS(100)/ID(10.10.10.2)
Topologie (základna) TID(0) VRF(2)
Kódy: P – pasivní, A – aktivní, U – aktualizace, Q – dotaz, R – odpověď,
r – stav odpovědi, s – stav sia
P 10.10.10.0/8, 1 nástupce, FD je 1310720
přes Connected, GigabitEthernet2
P 172.16.0.0/12, 1 nástupce, FD je 131072000
přes +Redistributed (131072000/0)

-Zařízení#
* Cesta BGP byla přerozdělena do EIGRP.

Nakonfigurujte redistribuci trasy mezi globálním VRF a službou
VPN pomocí CLI

1. Vstupte do režimu globální konfigurace a vytvořte proces směrování BGP.
   Poznámka
   Směrovač eigrp nebo směrovač ospf můžete použít ke konfiguraci procesu směrování pro konkrétní směrovací protokol. Tento example ukazuje syntaxi směrovacího protokolu BGP. Chcete-li vědět o syntaxi příkazů pro různé protokoly, podívejte se na referenční příručku Cisco IOS XE SD-WAN Qualified Command.
   Konfigurace-transakce zařízení#
   Device(config)# router bgp autonomous-system-number
   
2. Nakonfigurujte rodinu adres IPv4 pro servisní VPN. Tento example ukazuje syntaxi příkazu pro
   Protokoly BGP a EIGRP.
   • Protokol BGP:
   Device(config-router-af)# address-family ipv4 [unicast][vrf vrf-name] • EIGRP protokol:
   Zařízení(config-router-af)# adresa-rodina ipv4 vrf vrf-číslo
3. Přerozdělte trasy mezi globálními VRF a servisními VPN. Zde ukazujeme syntaxe pro
   Protokoly BGP, OSPF a EIGRP.
   • Přerozdělte trasy ze služeb VPN do globálního VRF.
   • Protokol BGP:
   Device(config-router-af)# redistribuce vrf vrf-name src_protocol
   [src_protocol_id] [route-map route-map-name] • OSPF protokol:
   Device(config-router-af)# redistribuce vrf vrf-name src_protocol
   [src_protocol_id] [shoda {interní|externí 1|externí 2}] [metrika
   {metric-value}] [subnets] [route-map route-map-name] • EIGRP protokol:
   Device(config-router-af)# redistribuce vrf vrf-name src_protocol
   [src_protocol_id] [metrická šířka pásma-metrika zpoždění-metrická spolehlivost-metrika
   efektivní-bandwidth-metric mtu-bytes] [route-map route-map-name] • Redistribuce tras z globálního VRF do služeb VPN.
   • Protokol BGP:
   Device(config-router-af)# redistribuce vrf global src_protocol
   [src_protocol_id] [route-map route-map-name] • OSPF protokol:
   Device(config-router-af)# redistribuce vrf global src_protocol
   [src_protocol_id] [shoda {interní|externí 1|externí 2}] [podsítě] [název-mapy trasy] • Protokol EIGRP:
   Device(config-router-af)# redistribuce vrf global src_protocol
   [src_protocol_id] [metrická šířka pásma-metrika zpoždění-metrická spolehlivost-metrika
   efektivní-bandwidth-metric mtu-bytes]

Následující je jakoampKonfigurace souboru pro konfiguraci redistribuce trasy mezi globálním VRF a servisní VPN. V tomto example, VRF 103 a VRF 104 jsou servisní VPN. Bývalýample ukazuje, že trasy BGP jsou přerozděleny z globálního VRF na VRF 103, VRF 104

config-transaction
router bgp 100
adresa-rodina ipv4 vrf 103
redistribuce vrf global bgp 100 route-map test2
!
adresa-rodina ipv4 vrf 104
redistribuce vrf global bgp 100 route-map test2
!

Následující je jakoampKonfigurace souboru pro konfiguraci interních a externích tras OSPF, které jsou redistribuovány z globálního VRF 65535 do servisního VRF.

V tomto případě jsou všechny cesty OSPF redistribuovány do služby VRF pomocí interních i externích klíčových slov.

config-transaction
router ospf 1
přerozdělit vrf globální ospf 65535 shoda interní externí 1 externí 2 podsítě route-map
ospf-route-map

Následující je jakoampKonfigurace souboru pro konfiguraci interních a externích tras OSPF, které jsou redistribuovány ze servisních VPN do globálního VRF.
config-transaction
router ospf 101
přerozdělit vrf 101 ospf 101 shoda interní externí 1 externí 2 metrický 1 podsítě route-map
ospf-route-map

Následující je jakoampKonfigurace souboru pro konfiguraci tras BGP, které jsou redistribuovány ze služby
VPN do globálního VRF.
config-transaction
router bgp 50000
adresa-rodina ipv4 unicast
přerozdělit vrf 102 bgp 50000 mapa trasy BGP-mapa trasy

Následující je jakoampKonfigurace souboru pro konfiguraci tras BGP, které jsou redistribuovány z globálního VRF do servisní VPN.

config-transaction
router bgp 50000
adresa-rodina ipv4 vrf 102
přerozdělte vrf globální bgp 50000 XNUMX

Následující je jakoampKonfigurace souboru pro konfiguraci redistribuce trasy BGP, připojených, OSPF a statických protokolů z globálního VRF do VRF 1 při konfiguraci v rámci procesu směrování EIGRP.

config-transaction
router eigrp 101
adresa-rodina ipv4 vrf 1
přerozdělit vrf globální bgp 50000 1000000 metrických 10 255 1 1500 XNUMX XNUMX XNUMX XNUMX
přerozdělit vrf globální připojenou metriku 1000000 10 255 1 1500
přerozdělit vrf globální ospf 65535 shoda interní externí 1 externí 2 metrický 1000000 10
255 1 1500
přerozdělit vrf globální statickou metriku 1000000 10 255 1 1500

Ověřte přerozdělení trasy

Example 1:
Následující je jakoample výstup z příkazu show ip bgp pomocí interního klíčového slova. Tento example ukazuje, že trasa z VRF 102 je úspěšně redistribuována do globálního VRF poté, co je trasa replikována.

Device# zobrazit ip bgp 10.10.10.10 interní
Záznam směrovací tabulky BGP pro 10.10.10.10/8, verze 515
Cesty: (1 dostupná, nejlepší č. 1, výchozí tabulka)
Není inzerováno žádnému peerovi
Obnovit epochu 1
700000
10.10.14.17 z 0.0.0.0 (172.16.255.15)
Origin IGP, aigp-metric 77775522, metric 7777, localpref 100, weight 32768, valid, source,
replikované, nejlépe
Komunita: 0:7227 65535:65535
Rozšířená komunita: SoO:721:75 RT:50000:102
rx cesta: 0, tx cesta: 0x0
net: 0x7FB320235DC0, path: 0x7FB320245DF8, pathext: 0x7FB3203A4660
příznaky: net: 0x0, cesta: 0x808040003, cesta: 0x81
atribut: 0x7FB38E5B6258, ref: 14
Aktualizováno 1. července 2021 01:16:36 UTC
vm5#

V tomto výstupu je trasa přerozdělena z VRF 102 do globálního VRF.

Následující je jakoampVýstup souboru z příkazu show ip route, který zobrazuje trasy replikované pro redistribuci.

Device# show ip route 10.10.10.10

Zadání směrování pro 10.10.10.10/8
Známý přes „bgp 50000“, vzdálenost 60, metrický 7777
Tag 700000, typ externí,
replikováno z topologie(102)
Redistribuce přes ospf 65535, bgp 50000
Inzeruje ospf 65535
bgp 50000 XNUMX (vlastní původ)
Poslední aktualizace z 10.10.14.17 před 5d15h
Bloky deskriptoru směrování:
* 10.10.14.17 (102), od 10.10.14.17, 5d15h
opaque_ptr 0x7FB3202563A8
Metrika trasy je 7777, počet podílů na provozu je 1
AS Chmel 2
Trasa tag 700000
Označení MPLS: žádné

Example 2: 

Následující je jakoampVýstup souboru z příkazu show ip bgp vpnv4 vrf pomocí interního klíčového slova.

Device# show ip bgp vpnv4 vrf 102 209.165.201.0 interní
Záznam směrovací tabulky BGP pro 1:102:10.10.10.10/8, verze 679
Záznam směrovací tabulky BGP pro 1:209.165.201.0/27, verze 679
Cesty: (1 k dispozici, nejlepší č. 1, tabulka 102)

Inzerováno do aktualizačních skupin:
4
Obnovit epochu 1
7111
10.1.15.13 (ve výchozím nastavení) z 0.0.0.0 (172.16.255.15)
Origin IGP, aigp-metric 5755, metric 900, localpref 300, weight 32768, valid, source,
replikované, nejlépe
Komunita: 555:666
Large Community: 1:2:3 5:6:7 412789:412780:755
Rozšířená komunita: SoO:533:53 RT:50000:102
rx cesta: 0, tx cesta: 0x0
net: 0x7FB38E5C5718, path: 0x7FB3202668D8, pathext: 0x7FB38E69E960
příznaky: net: 0x0, cesta: 0x808040007, cesta: 0x181
atribut: 0x7FB320256798, ref: 7
Aktualizováno 6. července 2021 16:43:04 UTC

V tomto výstupu je trasa přerozdělena z globálního VRF do VRF 102.
Následující je jakoampvýstup souboru z příkazu show ip route vrf, který zobrazuje trasy replikované pro redistribuci pro VRF 102

Device# show ip route vrf 102 209.165.201.0

Směrovací tabulka: 102
Zadání směrování pro 209.165.201.0/27
Známý přes „bgp 50000“, vzdálenost 20, metrický 900
Tag 7111, typ externí,
replikováno z topologie (výchozí)
Redistribuce přes bgp 50000
Inzeroval bgp 50000 (vlastní původ)
Poslední aktualizace z 10.1.15.13 před 00:04:57
Bloky deskriptoru směrování:
* 10.1.15.13 (výchozí), od 10.1.15.13, před 00:04:57
opaque_ptr 0x7FB38E5B5E98
Metrika trasy je 900, počet podílů na provozu je 1
AS Chmel 2
Trasa tag 7111
Označení MPLS: žádné

Nakonfigurujte únik trasy mezi servisními VPN pomocí šablony CLI

Minimální podporované vydání: Cisco IOS XE Catalyst SD-WAN Release 17.9.1a
Další informace o používání šablon CLI najdete v tématu Šablony funkcí doplňku CLI a šablony CLI.

Poznámka
Ve výchozím nastavení provádějí šablony CLI příkazy v režimu globální konfigurace

Tato část poskytuje sample Konfigurace CLI pro konfiguraci úniku mezislužbové trasy VPN na zařízeních Cisco IOS XE Catalyst SD-WAN.

• Replikujte trasy mezi mezislužbovými VRF na stejném zařízení.
  vrf definice vrf-číslo
  adresa-rodina ipv4
  route-replicate from vrf source-vrf-name unicast protokol [route-map map-tag]
• Přerozdělte trasy, které jsou replikovány mezi servisními VPN:
  Podsítě můžete nakonfigurovat pouze pro typy protokolů bgp, nhrp, ospf, ospfv3 a statické.
  router ospf process-id vrf vrf-number
  redistribuovat vrf vrf-name podsítě protokolu[route-map map-tag]

Následuje kompletní konfigurace, napřampsoubor pro replikaci a redistribuci trasy VRF mezi službami:

definice vrf 2
rd 1:2
!
adresa-rodina ipv4
route-replicate from vrf 1 unicast static route-map VRF1_TO_VRF2
výstupní-adresa-rodina
!
!
ip prefix-list VRF1_TO_VRF2 seq 5 permit 10.10.10.97/32
!
Povolení mapy trasy VRF1_TO_VRF2 1
odpovídat seznamu prefixů ip adresy VRF1_TO_VRF2
!
router ospf 2 vrf 2
přerozdělit vrf 1 statickou mapu trasy VRF1_TO_VRF2

Ověřte konfigurace úniku směrování mezi servisními VPN pomocí CLI

Minimální podporované vydání: Cisco IOS XE Catalyst SD-WAN Release 17.9.1a

Následující je jakoampVýstup souboru z příkazu show ip route vrf, který ukazuje trasy, které jsou replikovány pro redistribuci do VRF 2:

Device# show ip route vrf 2
Směrovací tabulka: 2
Kódy: L – místní, C – připojeno, S – statické, R – RIP, M – mobilní, B – BGP
D – EIGRP, EX – EIGRP externí, O – OSPF, IA – OSPF mezioblast
N1 – OSPF NSSA externí typ 1, N2 – OSPF NSSA externí typ 2
E1 – OSPF externí typ 1, E2 – OSPF externí typ 2, m – OMP
n – NAT, Ni – NAT uvnitř, Ne – NAT vně, Nd – NAT DIA
i – IS-IS, ne – souhrn IS-IS, L1 – IS-IS úroveň-1, L2 – IS-IS úroveň-2
ia – mezioblast IS-IS, * – výchozí kandidát, U – statická trasa pro uživatele
H – NHRP, G – registrovaná NHRP, g – souhrn registrace NHRP
o – ODR, P – periodicky stahovaná statická cesta, l – LISP
a – aplikační cesta
+ – replikovaná trasa, % – přepsání dalšího skoku, p – přepsání z PfR
& – replikované místní přepisy trasy připojením
Brána poslední instance není nastavena
10.0.0.0/8 je variabilně podsíťován, 3 podsítí, 2 masky
S + 10.10.10.97/32 [1/0] přes 10.20.1.2 (1)
C 10.20.2.0/24 je přímo připojen, GigabitEthernet5
L 10.20.2.1/32 je přímo připojen, GigabitEthernet5

Následující je jakoampVýstup souboru z příkazu show ip cef vrf, který zobrazuje replikované trasy z VRF 1

Device# show ip cef vrf 2 10.10.10.97 interní
10.10.10.97/32, epocha 0, RIB[S], refcnt 6, sdílení podle destinace
zdroje: RIB
prostor funkcí:
IPRM: 0x00048000
Broker: propojený, distribuovaný s 3. prioritou
podbloky:
Replikováno z VRF 1
ifnums:
GigabitEthernet3(9): 10.20.1.2
seznam cest 7F890C8E2F20, 7 zámků, podle cíle, příznaky 0x69 [shble, rif, rcrsv, hwcn] cesta 7F890FB18F08, sdílení 1/1, typ rekurzivní, pro IPv4
rekurzivní přes 10.20.1.2[IPv4:1], fib 7F890B609578, 1 terminál fib, v4:1:10.20.1.2/32
seznam cest 7F890C8E3148, 2 zámky, podle cíle, příznaky 0x49 [shble, rif, hwcn] cesta 7F890FB19178, sdílení 1/1, typ předpona sousedství, pro IPv4
připojeno k GigabitEthernet3, IP adj z GigabitEthernet3, adr 10.20.1.2
7F890FAE4CD8
výstupní řetězec:
IP adj z GigabitEthernet3, addr 10.20.1.2 7F890FAE4CD8

Nakonfigurujte stopu.

1. Vstupte do režimu globální konfigurace a sledujte stav trasy IP a přejděte do režimu konfigurace sledování.
   Konfigurace-transakce zařízení#
   Device(config)# track object-number {ip} route address|prefix-length { dosažitelnost | metrický práh}
2. Nakonfigurujte tabulku směrování a předávání VPN (VRF).
   Device(config-track)# ip vrf vrf-name
3. Návrat do privilegovaného režimu EXEC
   Device(config-track)# end
   Nakonfigurujte VRRP verze 2 (VRRPv2).
4. Nakonfigurujte typ rozhraní, jako je Gigabit Ethernet.
   Device(config)# typ rozhraní číslo [název-tag]
5. Přidružte instanci VRF k rozhraní Gigabit Ethernet.
   Device(config-if)# vrf forwarding vrf-name
6. Nastavte primární IP adresu pro rozhraní Gigabit Ethernet.
   Device(config-if)# ip adresa ip-address [maska]
7. Povolte protokol autonegotiation pro konfiguraci rychlosti, duplexního režimu a řízení toku na rozhraní Gigabit Ethernet.
   Device(config-if)# vyjednávání auto
8. Vytvořte skupinu VRRP a přejděte do režimu konfigurace VRRP.
   Device(config-if)# adresa skupiny vrrp-rodina ipv4
9. Povolte podporu VRRP verze 2 současně s VRRP verze 3.
   Device(config-if-vrrp)# vrrpv2
10. Nastavte úroveň priority pro VRRP.
    Device(config-if-vrrp)# úroveň priority
11. Nakonfigurujte sledování seznamu rozhraní jako jednu entitu.
    Device(config-if-vrrp)# track-track-list-name [snížit prioritu]
12. Nakonfigurujte zpoždění preempce tak, aby zařízení s vyšší prioritou čekalo před převzetím minimální dobu.
    Device(config-if-vrrp)# minimální zpoždění preemptu v sekundách
13. Zadejte primární IP adresu pro VRRP.
    Device(config-if-vrrp)# adresa IP-adresa primární

Nakonfigurujte VRF.

1. Nakonfigurujte instanci směrovací tabulky VRF a přejděte do režimu konfigurace VRF.
   Device(config)# definice vrf vrf-number
2. Nastavte rodinu adres IPv4 v režimu konfigurace vrf.
   Device(config-vrf)# adresa-rodina ipv4
3. Ukončete režim konfigurace rodiny adres
   Device(config-ipv4)# exit-address-family

Následující je jakoampKonfigurace souboru pro konfiguraci sledování VRRP.

Použijte následující konfiguraci k přidání stopy k VRF červené.
config-transaction
stopa 1 ip trasa 10.1.15.13 255.255.255.0 dosažitelnost
ip vrf červená

Ke konfiguraci sledování rozhraní a snížení priority zařízení použijte následující konfiguraci.

rozhraní GigabitEthernet 1.101
přesměrování vrf 100
IP adresa 10.1.15.13 255.255.255.0
vyjednávání auto
vrrp 2 adresa-rodina ipv4
vrrpv2
priorita 220
stopa 1 snížení 25
předběžné zpoždění minimálně 30
adresa 10.1.15.100 prim
výstup

Ke konfiguraci instance směrovací tabulky VRF pro nakonfigurovanou VRF použijte následující konfiguraci.

definice vrf 100
!
adresa-rodina ipv4
výstupní-adresa-rodina

Ověřte sledování VRRP

Example 1:
Následující je jakoampVýstup souboru z příkazu show vrrp details, který zobrazuje stav nakonfigurovaných skupin VRRP na zařízení Cisco IOS XE Catalyst SD-WAN.

Device# zobrazuje podrobnosti vrrp
GigabitEthernet1/0/1 – Skupina 1 – Adresa – rodina IPv4
Stav je BACKUP <—— kontrola stavů
Délka stavu 2 minut 13.778 sekund
Virtuální IP adresa je 10.0.0.1
Virtuální MAC adresa je 0000.5E00.0101
Interval inzerce je 1000 msec
Předcházení povoleno
Priorita je 1 (nakonfigurováno 100) <—– zobrazuje aktuální a nakonfigurovanou prioritu
Sledování objektu 121 stav DOLŮ snížení 220 Hlavní směrovač je 10.1.1.3, priorita je 200
<—- sledování stavu objektu
Interval hlavní reklamy je 1000 ms (naučeno)
Interval Master Down je 3609 ms (vyprší za 2737 ms)
VLAJKY: 0/1
Inzeráty VRRPv3: odesláno 27 (chyby 0) – rcvd 149
Inzeráty VRRPv2: odesláno 0 (chyby 0) – rcvd 0
Skupina vyřazených paketů: 0
Nekompatibilita VRRPv2: 0
Konflikty vlastníka IP adresy: 0
Neplatný počet adres: 0
Neshoda konfigurace IP adresy: 0
Neplatný interval reklamy: 0
Inzeráty přijaté v počátečním stavu: 0
Neplatná skupina jiný důvod: 0
Přechod stavu skupiny:
Init to master: 0
Spustit zálohování: 1 (Poslední změna St 17. února 23:02:04.259)
Záloha na hlavní: 1 (Poslední změna St 17. únor 23:02:07.869) <—– zkontrolujte, zda nejsou klapky
Hlavní záloha: 1 (Poslední změna St 17. února 23:02:32.008)
Mistr k zahájení: 0
Záloha do init: 0

Example 2:
Následující je jakoample výstup z příkazu show track, který zobrazuje informace o objektech, které
jsou sledovány procesem sledování VRRP.
Zařízení# zobrazí stopu 1
Stopa 1
IP trasa 209.165.200.225 209.165.200.236 dosažitelnost
Dosažitelnost je snížena (žádná IP trasa)
1 změna, poslední změna 1w1d
Tabulka směrování/předávání VPN „vrrp“
Rozhraní prvního skoku je neznámé
rtr3#

Example 3:
Následující je jakoample výstup z příkazu show running-config interface, který zobrazuje
konfigurace rozhraní Gigabit Ethernet, které je sledováno procesem sledování VRRP.
Device# ukazuje spuštěné konfigurační rozhraní GigabitEthernet 4
Konfigurace budovy…
Aktuální konfigurace: bajty 234
!
rozhraní GigabitEthernet4
IP adresa 172.16.0.1 255.255.255.0
vyjednávání auto
vrrp 7 adresa-rodina ipv4
priorita 200
vrrpv2
stopa 5 snížení 5ß——-snížení priority
adresa 172.16.0.0 prim
exit-vrrp
není povolen žádný mop
žádný mop sysid
konec

Konfigurace Přample pro Route Leaking

Únik trasy se obvykle používá ve scénářích vyžadujících použití sdílených služeb. Konfigurace replikace trasy umožňuje vzájemnou redistribuci mezi VRF nebo VPN. Replikace trasy umožňuje sdílené služby, protože trasy jsou replikovány nebo prosakovány mezi globálním VRF a servisními VPN a klienti, kteří sídlí v jedné VPN, mohou dosáhnout odpovídajících prefixů, které existují v jiné VPN.

Samptopologie
V této sekci použijeme examptopologie pro zobrazení konfigurace s únikem trasy. Zde jsou routery Edge 1 a 2 umístěny na dvou různých místech v překryvné síti a jsou vzájemně propojeny prostřednictvím MPLS. Oba okrajové směrovače mají nakonfigurován únik trasy tak, aby byl schopen přistupovat ke službám v podložené síti. Router 1 je umístěn za Edge Router 1 na servisní straně. V místní síti na tomto webu běží OSPF. Router 2 se nachází za Edge Router 2 v síti, která má EIGRP ve VRF 1. Router 3 je také umístěn za Edge Router 2 a má OSPF běžící ve VRF 200

Edge Router 1 importuje zdrojovou IP adresu Routeru 1, 192.0.2.0/24 do globálního VRF na Edge Router 1. 192.0.2.0/24 je tedy cesta, která unikla do globálního VRF. Edge Router 2 importuje zdrojovou IP adresu Routeru 2, 198.51.100.0/24 a zdrojovou IP adresu Edge Router 3, 203.0.113.0/24 do globálního VRF na Edge Router 2.

Ke sdíleným službám v podložené síti MPLS se přistupuje přes adresu zpětné smyčky 209.21.25.18/27. IP adresa sdílených služeb je inzerována do globálního VRF na Edge Routerech 1 a 2 prostřednictvím OSPF. Tato IP adresa sdílené služby je pak uniklá do VRF 1 v Edge Router 1 a VRF 1 a VRF 200 v Edge Router 2. Pokud jde o únik trasy, uniklé trasy jsou importovány do služeb VRF na obou okrajových routerech.

Poznámka
OMP neinzeruje žádné uniklé trasy ze servisních VPN do překryvné sítě, aby se zabránilo zacyklení trasy.

Konfigurace Přamples
Tento exampSoubor ukazuje konfiguraci úniku BGP a OSPF trasy mezi globálním VRF a VPN 1
na Edge Router 2.
definice vrf 1
rd 1:1
!
adresa-rodina ipv4
route-replicate z vrf global unicast ospf 65535
!
global-address-family ipv4
route-replicate z vrf 1 unicast eigrp
výstupní-adresa-rodina

Tento exampSoubor ukazuje konfiguraci úniku BGP a OSPF trasy mezi globálním VRF a VPN 200 na Edge Router 2.

definice vrf 200
rd 1:200
!
adresa-rodina ipv4
route-replicate z vrf global unicast ospf 65535
!
global-address-family ipv4
route-replicate z vrf 200 unicast eigrp
výstupní-adresa-rodina

Dokumenty / zdroje

Únik trasy CISCO SD-WAN mezi Vpns [pdfNávod k obsluze Netěsnost trasy SD-WAN mezi Vpns, SD-WAN, Netěsnost trasy mezi Vpns, Netěsnost mezi Vpns, mezi Vpns, Vpns

Reference

• Uživatelská příručka