Konfigurationsbeispiel für MPLS-L3VPNs mit ISIS Remote LFA
Inhalt
Einführung
In diesem Dokument wird beschrieben, wie MPLS-Layer-3-VPNs (Multiprotocol Label Switching) mit der LFA-Funktion (ISIS Remote Loop Free Alternative) konfiguriert werden. Es zeigt ein Beispiel-Netzwerkszenario und dessen Konfiguration und Ausgaben, um besser zu verstehen.
Voraussetzungen
Anforderungen
Für dieses Dokument bestehen keine speziellen Anforderungen. Ein grundlegendes Verständnis von MPLS und die Kenntnis des ISIS-Protokolls sind jedoch definitiv hilfreich.
Verwendete Komponenten
Dieses Dokument ist nicht auf bestimmte Software- und Hardwareversionen beschränkt.
Die Informationen in diesem Dokument wurden von den Geräten in einer bestimmten Laborumgebung erstellt. Alle in diesem Dokument verwendeten Geräte haben mit einer leeren (Standard-)Konfiguration begonnen. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die potenziellen Auswirkungen eines Befehls verstehen.
Hintergrundinformationen
ISIS wird weltweit häufig von ISPs bereitgestellt, und MPLS-Layer-3-VPN ist die häufigste von den ISPs bereitgestellte Lösung. Ein Ausfall einer ISP-Core-Infrastruktur wirkt sich direkt auf die Leistung aus, daher ist eine Konvergenz innerhalb von weniger Sekunden sehr wünschenswert. Funktionen wie MPLS Tunnel Link Protection und Node Protection lösen diese Probleme, erfordern jedoch eine manuelle Konfiguration.
ISIS Remote LFA nutzt das Konzept, dass für einen bestimmten Bereich alle ISIS-Router über eine identische Link-State-Datenbank verfügen. Wenn Router A einen Backup-Pfad zum Ziel X über Router B auswählen muss, kann Router A Router B als nächsten Backup-Hop auswählen, vorausgesetzt Router B verwendet Router A nicht als nächsten Hop für Ziel X. Dies ist möglich, da alle Router über eine identische Datenbank verfügen. Dies ist die grundlegende Idee für die LFA-Funktion. Dieser Sicherungspfad ist jetzt direkt im CEF-Eintrag (Cisco Express Forwarding) programmiert und wird sofort verwendet, wenn die primäre Route ausfällt. Anschließend kann das Routing-Protokoll wie bei herkömmlichen Timern konvergiert werden.
ISIS Remote-LFA
Um besser zu verstehen, wie Remote LFA funktioniert, sehen Sie sich dieses Diagramm an:
Der Datenverkehr fließt von Router A nach F über den Pfad A—C—F. Wenn die Verbindung zwischen Router A und C ausfällt. Router A kann dann die Pakete, die an F gerichtet sind, sofort an Router B senden, aber das Problem wird dadurch nicht gelöst. Da die Verbindung gerade unterbrochen wurde und die ISIS-Topologie sich der Änderung nicht bewusst ist. Wenn die Pakete bei Router B eintreffen, verfügt Router B weiterhin über alte Routing-Informationen und hat weiterhin den Eintrag, um über A nach F zu routen. Daher werden Pakete zwischen B und A hin- und hergeschleift, bis die Point-Topologie konvergiert.
Um dieses Problem zu beheben, leiten Sie die Pakete von Router A an Router D weiter. Router D verwendete keinen Pfad über Router A, um zu F zu wechseln. Wenn die Verbindung zwischen Router A und C ausfällt, wird der für Router F bestimmte Datenverkehr sofort und ohne Konvergenz über Tunnel an Router D gesendet. Router D ist sich dieser Topologieänderung jetzt nicht bewusst, wenn er den getunnelten Datenverkehr von Router A, der an Router F gerichtet ist, erhält, und leitet die Pakete über seine normale Routing-Logik weiter. Der Datenverkehrsfluss bleibt also unberührt, und die Topologie kann sich rekonvergieren.
Konfigurieren
Netzwerkdiagramm
Die Topologie für MPLS-Layer-3-VPN mit Remote-LFA:
Abkürzung
CE = Customer Edge Router
PE = Provider Edge Router
P = Provider-Router
Die verwendete Loopback-Adresse lautet 192.168.255.X, wobei X-Router-Nummer steht. Wenn beispielsweise R1 in Erwägung gezogen wird, lautet der Loopback 192.168.255.1.
Konfigurationen
CPE-1-R8
#Basic CE-Konfiguration mit Verwendung einer Standardroute:
interface Ethernet0/0
ip address 192.168.18.8 255.255.255.0
!
!
ip route 0.0.0.0 0.0.0.0 192.168.18.1
!
!
CPE-2-R8
#Basic CE-Konfiguration mit Verwendung einer Standardroute.
interface Ethernet0/0
ip address 192.168.79.9 255.255.255.0
!
!
ip route 0.0.0.0 0.0.0.0 192.168.79.7
!
!
PE-1-R1
# PE-Konfiguration
interface Loopback1
ip address 192.168.255.1 255.255.255.255
ip router isis TAC
!
interface Ethernet0/0
vrf forwarding A
ip address 192.168.18.1 255.255.255.0
!
# Die ISIS-Schnittstelle muss Point-to-Point sein.
interface Ethernet0/1
ip address 192.168.12.1 255.255.255.0
ip router isis TAC
mpls ip
isis circuit-type level-2-only
isis network point-to-point
!
!
# Konfigurieren von ISIS Remote LFA
router isis TAC
net 49.0000.0000.0001.00
is-type level-2-only
metric-style wide
fast-reroute per-prefix level-2 all
fast-reroute remote-lfa level-2 mpls-ldp
mpls ldp autoconfig level-2
!
Anzahl BGP-VPNv4-Peering mit PE-2-R7
router bgp 65000
bgp log-neighbor-changes
no bgp default ipv4-unicast
neighbor 192.168.255.7 remote-as 65000
neighbor 192.168.255.7 update-source Loopback1
!
address-family ipv4
exit-address-family
!
address-family vpnv4
neighbor 192.168.255.7 activate
neighbor 192.168.255.7 send-community both
exit-address-family
!
address-family ipv4 vrf A
redistribute connected
exit-address-family
!
P1-R2
# P Konfiguration
interface Loopback1
ip address 192.168.255.2 255.255.255.255
ip router isis TAC
!
# Die ISIS-Schnittstelle muss Point-to-Point sein.
interface Ethernet0/0
ip address 192.168.12.2 255.255.255.0
ip router isis TAC
mpls ip
isis circuit-type level-2-only
isis network point-to-point
!
interface Ethernet0/1
ip address 192.168.23.2 255.255.255.0
ip router isis TAC
mpls ip
isis circuit-type level-2-only
isis network point-to-point
!
interface Ethernet0/2
ip address 192.168.26.2 255.255.255.0
ip router isis TAC
mpls ip
isis circuit-type level-2-only
isis network point-to-point
!
!
# Konfigurieren von ISIS Remote LFA
router isis TAC
net 49.0000.0000.0002.00
is-type level-2-only
metric-style wide
fast-reroute per-prefix level-2 all
fast-reroute remote-lfa level-2 mpls-ldp
!
P2-R3
# P Konfiguration
interface Loopback1
ip address 192.168.255.3 255.255.255.255
ip router isis TAC
!
# Die ISIS-Schnittstelle muss Point-to-Point sein.
interface Ethernet0/0
ip address 192.168.23.3 255.255.255.0
ip router isis TAC
mpls ip
isis circuit-type level-2-only
isis network point-to-point
!
interface Ethernet0/1
ip address 192.168.34.3 255.255.255.0
ip router isis TAC
mpls ip
isis circuit-type level-2-only
isis network point-to-point
!
!
# Konfigurieren von ISIS Remote LFA
router isis TAC
net 49.0000.0000.0003.00
is-type level-2-only
metric-style wide
fast-reroute per-prefix level-2 all
fast-reroute remote-lfa level-2 mpls-ldp
!
P3-R4
# P Konfiguration
interface Loopback1
ip address 192.168.255.4 255.255.255.255
ip router isis TAC
!
# Die ISIS-Schnittstelle muss Point-to-Point sein.
interface Ethernet0/0
ip address 192.168.34.4 255.255.255.0
ip router isis TAC
mpls ip
isis circuit-type level-2-only
isis network point-to-point
!
interface Ethernet0/1
ip address 192.168.45.4 255.255.255.0
ip router isis TAC
mpls ip
isis circuit-type level-2-only
isis network point-to-point
!
!
# Konfigurieren von ISIS Remote LFA
router isis TAC
net 49.0000.0000.0004.00
is-type level-2-only
metric-style wide
fast-reroute per-prefix level-2 all
fast-reroute remote-lfa level-2 mpls-ldp
P4-R5
# P Konfiguration
interface Loopback1
ip address 192.168.255.5 255.255.255.255
ip router isis TAC
!
# Die ISIS-Schnittstelle muss Point-to-Point sein.
interface Ethernet0/0
ip address 192.168.45.5 255.255.255.0
ip router isis TAC
mpls ip
isis circuit-type level-2-only
isis network point-to-point
!
interface Ethernet0/1
ip address 192.168.56.5 255.255.255.0
ip router isis TAC
mpls ip
isis circuit-type level-2-only
isis network point-to-point
!
!
# Konfigurieren von ISIS Remote LFA
router isis TAC
net 49.0000.0000.0005.00
is-type level-2-only
metric-style wide
fast-reroute per-prefix level-2 all
fast-reroute remote-lfa level-2 mpls-ldp
P5-R6
# P Konfiguration
interface Loopback1
ip address 192.168.255.6 255.255.255.255
ip router isis TAC
!
# Die ISIS-Schnittstelle muss Point-to-Point sein.
interface Ethernet0/0
ip address 192.168.56.6 255.255.255.0
ip router isis TAC
mpls ip
isis circuit-type level-2-only
isis network point-to-point
!
interface Ethernet0/1
ip address 192.168.26.6 255.255.255.0
ip router isis TAC
mpls ip
isis circuit-type level-2-only
isis network point-to-point
!
interface Ethernet0/2
ip address 192.168.67.6 255.255.255.0
ip router isis TAC
mpls ip
isis circuit-type level-2-only
isis network point-to-point
!
!
# Konfigurieren von ISIS Remote LFA
router isis TAC
net 49.0000.0000.0006.00
is-type level-2-only
metric-style wide
fast-reroute per-prefix level-2 all
fast-reroute remote-lfa level-2 mpls-ldp
!
PE-2-R7
# PE-Konfiguration
interface Loopback1
ip address 192.168.255.7 255.255.255.255
ip router isis TAC
!
# Die ISIS-Schnittstelle muss Point-to-Point sein.
interface Ethernet0/0
ip address 192.168.67.7 255.255.255.0
ip router isis TAC
mpls ip
isis circuit-type level-2-only
isis network point-to-point
!
interface Ethernet0/1
vrf forwarding A
ip address 192.168.79.7 255.255.255.0
!
!
# Konfigurieren von ISIS Remote LFA
router isis TAC
net 49.0000.0000.0007.00
is-type level-2-only
metric-style wide
fast-reroute per-prefix level-2 all
fast-reroute remote-lfa level-2 mpls-ldp
!
!
Anzahl BGP-VPNv4-Peering mit PE-1-R1
router bgp 65000
bgp log-neighbor-changes
no bgp default ipv4-unicast
neighbor 192.168.255.1 remote-as 65000
neighbor 192.168.255.1 update-source Loopback1
!
address-family ipv4
exit-address-family
!
address-family vpnv4
neighbor 192.168.255.1 activate
neighbor 192.168.255.1 send-community both
exit-address-family
!
address-family ipv4 vrf A
redistribute connected
exit-address-family
!
Überprüfen
In diesem Abschnitt überprüfen Sie, ob Ihre Konfiguration ordnungsgemäß funktioniert.
P1-R2
Der Befehl show isis fast-reroute remote-lfa-Tunnel zeigt die auf dem Router integrierten Remote-LFA-Tunnel an:
P1-R2#show isis fast-reroute remote-lfa tunnels
Tag TAC - Fast-Reroute Remote-LFA Tunnels: MPLS-Remote-Lfa1: use Et0/2, nexthop 192.168.26.6, end point 192.168.255.5
MPLS-Remote-Lfa2: use Et0/1, nexthop 192.168.23.3, end point 192.168.255.4
P2-R3
P2-R3#show isis fast-reroute remote-lfa tunnels
Tag TAC - Fast-Reroute Remote-LFA Tunnels: MPLS-Remote-Lfa1: use Et0/1, nexthop 192.168.34.4, end point 192.168.255.5
MPLS-Remote-Lfa2: use Et0/0, nexthop 192.168.23.2, end point 192.168.255.6
P3-R4
P3-R4#show isis fast-reroute remote-lfa tunnels
Tag TAC - Fast-Reroute Remote-LFA Tunnels: MPLS-Remote-Lfa1: use Et0/1, nexthop 192.168.45.5, end point 192.168.255.6
MPLS-Remote-Lfa2: use Et0/0, nexthop 192.168.34.3, end point 192.168.255.2
P4-R5
P4-R5#show isis fast-reroute remote-lfa tunnels
Tag TAC - Fast-Reroute Remote-LFA Tunnels: MPLS-Remote-Lfa1: use Et0/0, nexthop 192.168.45.4, end point 192.168.255.3
MPLS-Remote-Lfa2: use Et0/1, nexthop 192.168.56.6, end point 192.168.255.2
P5-R6
P5-R6#show isis fast-reroute remote-lfa tunnels
Tag TAC - Fast-Reroute Remote-LFA Tunnels: MPLS-Remote-Lfa1: use Et0/0, nexthop 192.168.56.5, end point 192.168.255.4
MPLS-Remote-Lfa2: use Et0/1, nexthop 192.168.26.2, end point 192.168.255.3
Ausfall im Core-Szenario, Datenverkehrsfluss im Core, wenn LFA konfiguriert ist.
Bevor Sie einen Verbindungsausfall auslösen, sehen Sie beim Aktivieren von P-1-R2 bereits eine zielgerichtete LDP-Sitzung, die zwischen P-1-R2 und P-5-R4 als Backup-Pfad aufgrund von RLFA gebildet wird. Ohne RLFA muss das Routing-Protokoll den Ausfall erkennen und eine Neukonvergenz durchführen.
P-1-R2#show ip route repair-paths 192.168.255.7 Routing entry for 192.168.255.7/32 Known via "isis", distance 115, metric 30, type level-c Redistributing via isis TAC Last update from 192.168.26.6 on Ethernet0/2, 02:23:31 ago Routing Descriptor Blocks: * 192.168.26.6, from 192.168.255.7, 02:23:31 ago, via Ethernet0/2 Route metric is 30, traffic share count is 1 Repair Path: 192.168.255.4, via MPLS-Remote-Lfa6 [RPR]192.168.255.4, from 192.168.255.7, 02:23:31 ago, via MPLS-Remote-Lfa6 Route metric is 20, traffic share count is 1
P-1-R2#show mpls ldp neighbor 192.168.255.4 Peer LDP Ident: 192.168.255.4:0; Local LDP Ident 192.168.255.2:0 TCP connection: 192.168.255.4.32391 - 192.168.255.2.646 State: Oper; Msgs sent/rcvd: 184/183; Downstream Up time: 02:26:09 LDP discovery sources: Targeted Hello 192.168.255.2 -> 192.168.255.4, active, passive Addresses bound to peer LDP Ident: 192.168.255.4 192.168.34.4 192.168.45.4
Hier ist zu beobachten, dass der Reparaturpfad zu PE2-R7 in der Routing-Tabelle über 192.168.255.4 (P3-R4) verläuft. Als Teil der Remote-LFA-Logik wird ein Tunnel auf P3-R4 vorgebaut. Wenn die primäre Verbindung ausfällt, werden Pakete sofort auf P3-R4 getunnelt. Dies geschieht auf Linecard-Ebene, da der Eintrag vorkonfiguriert ist. Es gibt also keine Unterbrechungen des Datenverkehrs, und die Weiterleitung erfolgt nahtlos. Das ISIS-Protokoll kann dann auf Basis der konfigurierten Timer konvergieren.
Der P1-R2-Router muss nicht nach dem Sicherungspfad suchen, da bereits ein CEF-Eintrag besteht, der vor dem Ausfall über P2-R3 erstellt wurde.
P1-R2#show ip cef 192.168.255.7
nexthop 192.168.26.6 Ethernet0/2 label [25|26]
repair: attached-nexthop 192.168.255.4 MPLS-Remote-Lfa6
In diesem Diagramm wird das genaue zuvor erläuterte Verhalten veranschaulicht:
P1-R2
Zur Überprüfung wird vom CE-1-R8 zum CE-2-R9 ein Continuous Ping durchgeführt, nachdem ein Fehlerszenario durch Herunterfahren der Core-Verbindung (Eth 0/2) zwischen P1-R2 und P5-R6 neu erstellt wurde. In der Testumgebung wird nicht einmal ein einziger Tropfen beobachtet.
CE-1-R8#ping 192.168.79.9
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.79.9, timeout is 2 seconds:
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! <Ouput Snipped> !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!
Success rate is 100 percent (149320/149320), round-trip min/avg/max = 1/1/18 ms
Fehlerbehebung
Für diese Konfiguration sind derzeit keine spezifischen Informationen zur Fehlerbehebung verfügbar.
Feedback