Configuração de links falsos DOPFv2
Visão geral do OSPFv2 Sham Links
Você pode criar um link intra-área ou um link falso entre dois dispositivos de roteamento de borda (PE) de provedor para que o backbone VPN seja preferido em relação ao enlace de porta traseira. Um link de porta traseira é um link de backup que conecta dispositivos de borda do cliente (CE) caso o backbone VPN não esteja disponível. Quando esse link de backup está disponível e os dispositivos CE estão na mesma área de OSPF, o comportamento padrão é preferir este link de backup em vez do backbone VPN. Isso porque o link de backup é considerado um link intraárea, enquanto o backbone VPN é sempre considerado um link interárea. Os links intraáreas são sempre preferidos em links interáreas.
O link falso é um enlace intraárea de ponto a ponto sem números entre dispositivos pe. Quando o backbone VPN tem um link intra-área falso, esse link falso pode ser preferido no link de backup se o link falso tiver uma métrica de OSPF menor do que o link de backup.
O link falso é anunciado usando anúncios de estado de link tipo 1 (LSAs). Os links falsos são válidos apenas para instâncias de roteamento e OSPFv2.
Cada link falso é identificado pela combinação de um endereço de endpoint local e um endereço de endpoint remoto. A Figura 1 mostra um link falso do OSPFv2. O CE1 e o roteador CE2 estão localizados na mesma área do OSPFv2. Esses dispositivos de roteamento de borda do cliente (CE) são vinculados por uma VPN de Camada 3 sobre o Roteador PE1 e o Roteador PE2. Além disso, o CE1 e o roteador CE2 são conectados por um link intraárea usado como backup.
O OSPFv2 trata o link através da VPN de Camada 3 como um link interárea. Por padrão, o OSPFv2 prefere links intraáreas a links interáreas, de modo que o OSPFv2 selecione o enlace intraárea de backup como o caminho ativo. Isso não é aceitável em uma configuração em que o enlace intraárea não seja o caminho primário esperado para o tráfego entre os dispositivos de roteamento CE. Você pode configurar a métrica para o link falso para garantir que o caminho sobre a VPN de Camada 3 seja preferido para um caminho de backup em um link intraárea que conecta os dispositivos de roteamento CE.
Para o endpoint remoto, você pode configurar a interface OSPFv2 como um circuito de demanda, configurar a autenticação IPsec (você configura a autenticação IPsec real separadamente) e definir o valor métrica.
Você deve configurar um link falso OSPFv2 sob as seguintes circunstâncias:
Dois dispositivos de roteamento CE são vinculados por uma VPN de Camada 3.
Esses dispositivos de roteamento CE estão na mesma área de OSPFv2.
Um enlace intraárea é configurado entre os dois dispositivos de roteamento CE.
Se não houver nenhuma ligação intra-área entre os dispositivos de roteamento CE, você não precisa configurar um link falso OSPFv2.
No Junos OS Release 9.6 e posterior, um link FALSO OSPFv2 é instalado na tabela de roteamento como uma rota oculta. Além disso, uma rota BGP não é exportada para o OSPFv2 se um link falso OSPF correspondente estiver disponível.
No Junos OS Release 16.1 e posteriores, os links falsos do OSPF são suportados em instâncias padrão. O custo do sham-link é definido dinamicamente para a métrica de aigp da rota BGP se nenhuma métrica for configurada no link falso pelo usuário. Se a métrica de aigp não estiver presente na rota BGP, então o custo do sham-link será padrão para 1.
Exemplo: Configuração de links falsos DOPFv2
Este exemplo mostra como habilitar links falsos do OSPFv2 em um dispositivo de roteamento de PE.
Requisitos
Nenhuma configuração especial além da inicialização do dispositivo é necessária antes de configurar este exemplo.
Visão geral
O link falso é um enlace intraárea ponto a ponto não numerado e é anunciado por meio de um anúncio de estado de link tipo 1 (LSA). Os links falsos são válidos apenas para instâncias de roteamento e OSPFv2.
Cada link falso é identificado por uma combinação do endereço de endpoint local e um endereço de endpoint remoto e a área OSPFv2 à qual ele pertence. Você configura manualmente o link falso entre dois dispositivos PE, ambos dentro da mesma instância de roteamento e encaminhamento vpn (VRF), e especifica o endereço para o ponto final local do link falso. Este endereço é usado como a fonte para os pacotes de link falsos e também é usado pelo dispositivo de roteamento remoto de PE como o ponto final remoto do link falso. Você também pode incluir a opção opcional metric de definir um valor métrica para o ponto final remoto. O valor métrica especifica o custo de usar o link. Rotas com métricas totais de caminho menores são preferidas em relação àqueles com métricas de caminho mais altas.
Para habilitar links falsos do OSPFv2 em um dispositivo de roteamento de PE:
Configure uma interface de loopback extra no dispositivo de roteamento de PE.
Configure a instância de roteamento VRF que oferece suporte a VPNs de Camada 3 no dispositivo de roteamento de PE e associe o link falso com uma área OSPF existente. A configuração de link falso DOPFv2 também está incluída na instância de roteamento. Você configura o endereço de endpoint local do link falso, que é o endereço de loopback da VPN local e o endereço de endpoint remoto, que é o endereço de loopback da VPN remota. Neste exemplo, a instância de roteamento VRF é chamada de vermelho.
A Figura 2 mostra um link falso do OSPFv2.
Topologia
Os dispositivos na figura representam as seguintes funções:
CE1 e CE2 são os dispositivos de borda do cliente.
PE1 e PE2 são os dispositivos de borda do provedor.
P é o dispositivo do provedor.
A configuração rápida da CLI mostra a configuração para todos os dispositivos na Figura 2. O procedimento passo a passo da seção descreve as etapas do Dispositivo PE1.
Configuração
Procedimento
Configuração rápida da CLI
Para configurar este exemplo rapidamente, copie os seguintes comandos, cole-os em um arquivo de texto, remova qualquer quebra de linha, altere os detalhes necessários para combinar com a configuração da sua rede e, em seguida, copie e cole os comandos no CLI no nível de [edit] hierarquia.
CE1
set interfaces fe-1/2/0 unit 0 family inet address 10.1.1.1/30 set interfaces fe-1/2/0 unit 0 family mpls set interfaces fe-1/2/1 unit 0 family inet address 10.0.0.17/30 set interfaces lo0 unit 0 family inet address 192.0.2.1/24 set protocols ospf area 0.0.0.0 interface fe-1/2/0.0 set protocols ospf area 0.0.0.0 interface lo0.0 passive set protocols ospf area 0.0.0.0 interface fe-1/2/1.0 metric 100 set policy-options policy-statement send-direct from protocol direct set policy-options policy-statement send-direct then accept set routing-options router-id 192.0.2.1 set routing-options autonomous-system 1
PE1
set interfaces fe-1/2/0 unit 0 family inet address 10.1.1.2/30 set interfaces fe-1/2/0 unit 0 family mpls set interfaces fe-1/2/1 unit 0 family inet address 10.1.1.5/30 set interfaces fe-1/2/1 unit 0 family mpls set interfaces lo0 unit 0 family inet address 192.0.2.2/24 set interfaces lo0 unit 1 family inet address 198.51.100.2/24 set protocols mpls interface fe-1/2/1.0 set protocols bgp group toR4 type internal set protocols bgp group toR4 local-address 192.0.2.2 set protocols bgp group toR4 family inet-vpn unicast set protocols bgp group toR4 neighbor 192.0.2.4 set protocols ospf area 0.0.0.0 interface fe-1/2/1.0 set protocols ospf area 0.0.0.0 interface lo0.0 passive set protocols ldp interface fe-1/2/1.0 set protocols ldp interface lo0.0 set policy-options policy-statement bgp-to-ospf term 1 from protocol bgp set policy-options policy-statement bgp-to-ospf term 1 then accept set policy-options policy-statement bgp-to-ospf term 2 then reject set routing-instances red instance-type vrf set routing-instances red interface fe-1/2/0.0 set routing-instances red interface lo0.1 set routing-instances red route-distinguisher 2:1 set routing-instances red vrf-target target:2:1 set routing-instances red protocols ospf export bgp-to-ospf set routing-instances red protocols ospf sham-link local 198.51.100.2 set routing-instances red protocols ospf area 0.0.0.0 sham-link-remote 198.51.100.4 metric 10 set routing-instances red protocols ospf area 0.0.0.0 interface fe-1/2/0.0 set routing-instances red protocols ospf area 0.0.0.0 interface lo0.1 set routing-options router-id 192.0.2.2 set routing-options autonomous-system 2
P
set interfaces fe-1/2/0 unit 0 family inet address 10.1.1.6/30 set interfaces fe-1/2/0 unit 0 family mpls set interfaces fe-1/2/1 unit 0 family inet address 10.1.1.9/30 set interfaces fe-1/2/1 unit 0 family mpls set interfaces lo0 unit 3 family inet address 192.0.2.3/24 set protocols mpls interface all set protocols ospf area 0.0.0.0 interface lo0.3 passive set protocols ospf area 0.0.0.0 interface all set protocols ldp interface all set routing-options router-id 192.0.2.3
PE2
set interfaces fe-1/2/0 unit 0 family inet address 10.1.1.10/30 set interfaces fe-1/2/0 unit 0 family mpls set interfaces fe-1/2/1 unit 0 family inet address 10.1.1.13/30 set interfaces fe-1/2/1 unit 0 family mpls set interfaces lo0 unit 0 family inet address 192.0.2.4/32 set interfaces lo0 unit 1 family inet address 198.51.100.4/32 set protocols mpls interface fe-1/2/0.0 set protocols bgp group toR2 type internal set protocols bgp group toR2 local-address 192.0.2.4 set protocols bgp group toR2 family inet-vpn unicast set protocols bgp group toR2 neighbor 192.0.2.2 set protocols ospf area 0.0.0.0 interface lo0.0 passive set protocols ospf area 0.0.0.0 interface fe-1/2/0.0 set protocols ldp interface fe-1/2/0.0 set protocols ldp interface lo0.0 set policy-options policy-statement bgp-to-ospf term 1 from protocol bgp set policy-options policy-statement bgp-to-ospf term 1 then accept set policy-options policy-statement bgp-to-ospf term 2 then reject set routing-instances red instance-type vrf set routing-instances red interface fe-1/2/1.0 set routing-instances red interface lo0.1 set routing-instances red route-distinguisher 2:1 set routing-instances red vrf-target target:2:1 set routing-instances red protocols ospf export bgp-to-ospf set routing-instances red protocols ospf sham-link local 198.51.100.4 set routing-instances red protocols ospf area 0.0.0.0 sham-link-remote 198.51.100.2 metric 10 set routing-instances red protocols ospf area 0.0.0.0 interface fe-1/2/1.0 set routing-instances red protocols ospf area 0.0.0.0 interface lo0.1 set routing-options router-id 192.0.2.4 set routing-options autonomous-system 2
CE2
set interfaces fe-1/2/0 unit 14 family inet address 10.1.1.14/30 set interfaces fe-1/2/0 unit 14 family mpls set interfaces fe-1/2/0 unit 18 family inet address 10.0.0.18/30 set interfaces lo0 unit 5 family inet address 192.0.2.5/24 set protocols ospf area 0.0.0.0 interface fe-1/2/0.14 set protocols ospf area 0.0.0.0 interface lo0.5 passive set protocols ospf area 0.0.0.0 interface fe-1/2/0.18 set policy-options policy-statement send-direct from protocol direct set policy-options policy-statement send-direct then accept set routing-options router-id 192.0.2.5 set routing-options autonomous-system 3
Procedimento passo a passo
O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter informações sobre como navegar na CLI, consulte Modificar a configuração do Junos OS no Guia de usuário da CLI.
Para configurar links falsos DOPFv2 em cada dispositivo PE:
-
Configure as interfaces, incluindo duas interfaces de loopback.
[edit interfaces] user@PE1# set fe-1/2/0 unit 0 family inet address 10.1.1.2/30 user@PE1# set fe-1/2/0 unit 0 family mpls user@PE1# set fe-1/2/1 unit 0 family inet address 10.1.1.5/30 user@PE1# set fe-1/2/1 unit 0 family mpls user@PE1# set lo0 unit 0 family inet address 192.0.2.2/24 user@PE1# set lo0 unit 1 family inet address 198.51.100.2/24
-
Configure o MPLS na interface voltada para o núcleo.
[edit protocols mpls] user@PE1# set interface fe-1/2/1.0
-
Configure o BGP interno (IBGP).
[edit ] user@PE1# set protocols bgp group toR4 type internal user@PE1# set protocols bgp group toR4 local-address 192.0.2.2 user@PE1# set protocols bgp group toR4 family inet-vpn unicast user@PE1# set protocols bgp group toR4 neighbor 192.0.2.4
-
Configure o OSPF na interface voltada para o núcleo e na interface de loopback que está sendo usada na instância principal.
[edit protocols ospf area 0.0.0.0] user@PE1# set interface fe-1/2/1.0 user@PE1# set interface lo0.0 passive
-
Configure o LDP ou o RSVP na interface voltada para o núcleo e na interface de loopback que está sendo usada na instância principal.
[edit protocols ldp] user@PE1# set interface fe-1/2/1.0 user@PE1# set interface lo0.0
-
Configure uma política de roteamento para uso na instância de roteamento.
[edit policy-options policy-statement bgp-to-ospf] user@PE1# set term 1 from protocol bgp user@PE1# set term 1 then accept user@PE1# set term 2 then reject
-
Configure a instância de roteamento.
[edit routing-instances red] user@PE1# set instance-type vrf user@PE1# set interface fe-1/2/0.0 user@PE1# set route-distinguisher 2:1 user@PE1# set vrf-target target:2:1 user@PE1# set protocols ospf export bgp-to-ospf user@PE1# set protocols ospf area 0.0.0.0 interface fe-1/2/0.0
-
Configure o link falso DOPFv2.
Inclua a interface de loopback extra na instância de roteamento e também na configuração do OSPF.
Observe que a métrica da interface sham-link está definida para 10. No link OSPF de backup do Dispositivo CE1, a métrica está definida para 100. Isso faz com que o link falso seja o link preferido.
[edit routing-instances red] user@PE1# set interface lo0.1 user@PE1# set protocols ospf sham-link local 198.51.100.2 user@PE1# set protocols ospf area 0.0.0.0 sham-link-remote 198.51.100.4 metric 10 user@PE1# set protocols ospf area 0.0.0.0 interface lo0.1
-
Configure o número do sistema autônomo (AS) e o ID do roteador.
[edit routing-options] user@PE1# set router-id 192.0.2.2 user@PE1# set autonomous-system 2
-
Se você terminar de configurar o dispositivo, confirme a configuração.
[edit] user@R1# commit
Resultados
Confirme sua configuração inserindo os comandos e a show interfaces show routing-instances configuração. Se a saída não exibir a configuração pretendida, repita as instruções neste exemplo para corrigir a configuração.
Saída para PE1:
user@PE1# show interfaces
fe-1/2/0 {
unit 0{
family inet {
address 10.1.1.2/30;
}
family mpls;
}
}
fe-1/2/1 {
unit 0 {
family inet {
address 10.1.1.5/30;
}
family mpls;
}
}
lo0 {
unit 0 {
family inet {
address 192.0.2.2/24;
}
}
unit 1 {
family inet {
address 198.51.100.2/24;
}
}
}
user@PE1# show protocols
mpls {
interface fe-1/2/1.0;
}
bgp {
group toR4 {
type internal;
local-address 192.0.2.2;
family inet-vpn {
unicast;
}
neighbor 192.0.2.4;
}
}
ospf {
area 0.0.0.0 {
interface fe-1/2/1.0;
interface lo0.0 {
passive;
}
}
}
ldp {
interface fe-1/2/1.0;
interface lo0.0;
}
user@PE1# show policy-options
policy-statement bgp-to-ospf {
term 1 {
from protocol bgp;
then accept;
}
term 2 {
then reject;
}
}
user@PE1# show routing-instances
red {
instance-type vrf;
interface fe-1/2/0.0;
interface lo0.1;
route-distinguisher 2:1;
vrf-target target:2:1;
protocols {
ospf {
export bgp-to-ospf;
sham-link local 198.51.100.2;
area 0.0.0.0 {
sham-link-remote 198.51.100.4 metric 10;
interface fe-1/2/0.0;
interface lo0.1;
}
}
}
}
user@PE1# show routing-options router-id 192.0.2.2; autonomous-system 2;
Verificação
Confirme se a configuração está funcionando corretamente.
- Verificando as interfaces de link falsos
- Verificando os pontos finais locais e remotos do link falso
- Verificando as Adjacências do link falso
- Verificação do anúncio do estado do enlace
- Verificando a seleção do caminho
Verificando as interfaces de link falsos
Propósito
Verifique a interface falsa do link. O link falso é tratado como uma interface no OSPFv2, com o nome exibido como shamlink.<unique identifier>, onde o identificador único é um número. Por exemplo, shamlink.0. O link falso aparece como uma interface ponto a ponto.
Ação
A partir do modo operacional, entre no show ospf interface instance instance-name comando.
user@PE1> show ospf interface instance red Interface State Area DR ID BDR ID Nbrs lo0.1 DR 0.0.0.0 198.51.100.2 0.0.0.0 0 fe-1/2/0.0 PtToPt 0.0.0.0 0.0.0.0 0.0.0.0 1 shamlink.0 PtToPt 0.0.0.0 0.0.0.0 0.0.0.0 1
Verificando os pontos finais locais e remotos do link falso
Propósito
Verifique os pontos finais locais e remotos do link falso. O MTU para a interface de link falso é sempre zero.
Ação
A partir do modo operacional, entre no show ospf interface instance instance-name detail comando.
user@PE1> show ospf interface shamlink.0 instance red Interface State Area DR ID BDR ID Nbrs shamlink.0 PtToPt 0.0.0.0 0.0.0.0 0.0.0.0 1 Type: P2P, Address: 0.0.0.0, Mask: 0.0.0.0, MTU: 0, Cost: 10 Local: 198.51.100.2, Remote: 198.51.100.4 Adj count: 1 Hello: 10, Dead: 40, ReXmit: 5, Not Stub Auth type: None Protection type: None, No eligible backup Topology default (ID 0) -> Cost: 10
Verificando as Adjacências do link falso
Propósito
Verifique as adjacências entre os links falsos configurados.
Ação
A partir do modo operacional, entre no show ospf neighbor instance instance-name comando.
user@PE1> show ospf neighbor instance red Address Interface State ID Pri Dead 10.1.1.1 fe-1/2/0.0 Full 192.0.2.1 128 35 198.51.100.4 shamlink.0 Full 198.51.100.4 0 31
Verificação do anúncio do estado do enlace
Propósito
Verifique se o LSA do roteador originado pela instância carrega a adjacência de enlace falso como um enlace ponto a ponto sem números. Os dados do link para links falsos são um número que vai de 0x80010000 a 0x8001ffff.
Ação
A partir do modo operacional, entre no show ospf database instance instance-name comando.
user@PE1> show ospf database instance red
OSPF database, Area 0.0.0.0
Type ID Adv Rtr Seq Age Opt Cksum Len
Router 192.0.2.1 192.0.2.1 0x80000009 1803 0x22 0x6ec7 72
Router 192.0.2.5 192.0.2.5 0x80000007 70 0x22 0x2746 72
Router *198.51.100.2 198.51.100.2 0x80000006 55 0x22 0xda6b 60
Router 198.51.100.4 198.51.100.4 0x80000005 63 0x22 0xb19 60
Network 10.0.0.18 192.0.2.5 0x80000002 70 0x22 0x9a71 32
OSPF AS SCOPE link state database
Type ID Adv Rtr Seq Age Opt Cksum Len
Extern 198.51.100.2 198.51.100.4 0x80000002 72 0xa2 0x343 36
Extern *198.51.100.4 198.51.100.2 0x80000002 71 0xa2 0xe263 36
Verificando a seleção do caminho
Propósito
Verifique se o caminho vpn de Camada 3 é usado em vez do caminho de backup.
Ação
Desde o modo operacional, insira o traceroute comando do Dispositivo CE1 ao Dispositivo CE2.
user@CE1> traceroute 192.0.2.5
traceroute to 192.0.2.5 (192.0.2.5), 30 hops max, 40 byte packets
1 10.1.1.2 (10.1.1.2) 1.930 ms 1.664 ms 1.643 ms
2 * * *
3 10.1.1.10 (10.1.1.10) 2.485 ms 1.435 ms 1.422 ms
MPLS Label=299808 CoS=0 TTL=1 S=1
4 192.0.2.5 (192.0.2.5) 1.347 ms 1.362 ms 1.329 ms
Significado
A operação de traceroute mostra que a VPN de Camada 3 é o caminho preferido. Se você removesse o link falso ou se modificasse a métrica de OSPF para preferir esse caminho de backup, o traceroute mostraria que o caminho de backup é o preferido.