Configuração de SCU com VPNs de camada 3
Configuração de SCU em uma VPN de Camada 3
Figura 1 exibe uma topologia VPN de Camada 3. CE1 e CE2 são roteadores de borda do cliente (CE) conectados por uma VPN através dos roteadores provedores PE1, P0 e PE2. O EBGP é estabelecido entre os roteadores CE1 e PE1, o IBGP conecta os roteadores PE1 e PE2 em um núcleo IS-IS/MPLS/LDP, e um segundo fluxos de conexão EBGP entre os roteadores PE2 e CE2.
No Roteador CE1, inicie sua VPN configurando uma conexão EBGP com PE1. Instale uma rota 10.114.1.0/24 estática e anuncie esta rota ao seu vizinho EBGP.
Roteador CE1
[edit]
interfaces {
ge-0/0/0 {
unit 0 {
family inet {
address 10.20.250.1/30;
}
}
}
}
routing-options {
static {
route 10.114.1.0/24 reject;
}
autonomous-system 100;
}
protocols {
bgp {
group to-pe1 {
local-address 10.20.250.1;
export inject-direct;
peer-as 300;
neighbor 10.20.250.2;
}
}
}
policy-options {
policy-statement inject-direct {
term 1 {
from {
protocol static;
route-filter 10.114.1.0/24 exact;
}
then accept;
}
term 2 {
from protocol direct;
then accept;
}
}
}
No PE1, preencha a conexão EBGP com a CE1 por meio de uma instância de roteamento VRF. Defina uma política de exportação para sua instância VRF que coloca o tráfego BGP em uma comunidade, e uma política de importação que aceita como tráfego comunitário de seu vizinho VPN. Por fim, configure uma relação IBGP com o Roteador PE2 que atropela um núcleo IS-IS, MPLS e LDP.
Roteador PE1
[edit]
interfaces {
ge-0/0/1 {
unit 0 {
family inet {
address 10.20.250.2/30;
}
}
}
so-0/2/1 {
unit 0 {
family inet {
address 10.20.251.1/30;
}
family iso;
family mpls;
}
}
lo0 {
unit 0 {
family inet {
address 10.250.245.245/32;
}
family iso;
family mpls;
}
}
}
routing-options {
autonomous-system 300;
}
protocols {
mpls {
interface so-0/2/1;
}
bgp {
group ibgp {
type internal;
local-address 10.250.245.245;
family inet-vpn {
unicast;
}
neighbor 10.250.71.14;
}
}
isis {
interface so-0/2/1;
}
ldp {
interface so-0/2/1;
}
}
policy-options {
policy-statement red-import {
from {
protocol bgp;
community red-com;
}
then accept;
}
policy-statement red-export {
from protocol bgp;
then {
community add red-com;
accept;
}
}
community red-com members target:20:20;
}
routing-instances {
red {
instance-type vrf;
interface ge-0/0/1.0;
route-distinguisher 10.250.245.245:100;
vrf-import red-import;
vrf-export red-export;
protocols {
bgp {
group to-ce1 {
local-address 10.20.250.2;
peer-as 100;
neighbor 10.20.250.1;
}
}
}
}
}
Na P0, conecte os vizinhos do IBGP localizados em PE1 e PE2. Lembre-se de incluir protocolos relacionados a VPN (MPLS, LDP e IGP) em todas as interfaces.
Roteador P0
[edit]
interfaces {
so-0/1/0 {
unit 0 {
family inet {
address 10.20.252.1/30;
}
family iso;
family mpls;
}
}
so-0/2/0 {
unit 0 {
family inet {
address 10.20.251.2/30;
}
family iso;
family mpls;
}
}
lo0 {
unit 0 {
family inet {
address 10.250.245.246/32;
}
family iso;
family mpls;
}
}
}
routing-options {
autonomous-system 300;
}
protocols {
mpls {
interface so-0/1/0;
interface so-0/2/0;
}
isis {
interface all;
}
ldp {
interface all;
}
}
No PE2, preencha a relação do IBGP com o Roteador PE1. Estabeleça uma conexão EBGP com o CE2 por meio de uma instância de roteamento VRF. Definir uma política de exportação para a instância VRF que coloca o tráfego BGP em uma comunidade, e uma política de importação que aceita como tráfego comunitário do vizinho VPN. Em seguida, estabeleça uma política que adicione a rota estática do CE1 a uma classe de origem chamada GOLD1. Além disso, exporte essa política de SCU para a tabela de encaminhamento. Por fim, defina sua vt interface como a interface de entrada SCU e estabeleça a interface so-0/0/0 voltada para CE como a interface de saída SCU.
Roteador PE2
[edit]
interfaces {
so-0/1/1 {
unit 0 {
family inet {
address 10.20.252.2/30;
}
family iso;
family mpls;
}
}
so-0/0/0 {
unit 0 {
family inet {
accounting {
source-class-usage {
output;
}
}
address 10.20.253.1/30;
}
}
}
vt-4/1/0 {
unit 0 {
family inet {
accounting {
source-class-usage {
input;
}
}
address 10.250.71.14/32;
}
family iso;
family mpls;
}
}
}
routing-options {
autonomous-system 300;
forwarding-table {
export inject-customer2-dest-class;
}
}
protocols {
mpls {
interface so-0/1/1;
interface vt-4/1/0;
}
bgp {
group ibgp {
type internal;
local-address 10.250.71.14;
family inet-vpn {
unicast;
}
neighbor 10.250.245.245;
}
}
isis {
interface so-0/1/1;
}
ldp {
interface so-0/1/1;
}
}
routing-instances {
red {
instance-type vrf;
interface so-0/0/0.0;
interface vt-4/1/0.0;
route-distinguisher 10.250.71.14:100;
vrf-import red-import;
vrf-export red-export;
protocols {
bgp {
group to-ce2 {
local-address 10.20.253.1;
peer-as 400;
neighbor 10.20.253.2;
}
}
}
}
}
policy-options {
policy-statement red-import {
from {
protocol bgp;
community red-com;
}
then accept;
}
policy-statement red-export {
from protocol bgp;
then {
community add red-com;
accept;
}
}
policy-statement inject-customer2-dest-class {
term term-gold1-traffic {
from {
route-filter 10.114.1.0/24 exact;
}
then source-class GOLD1;
}
}
community red-com members target:20:20;
}
No Roteador CE2, preencha o caminho de VPN terminando a conexão EBGP com PE2.
Roteador CE2
[edit]
interfaces {
so-0/0/1 {
unit 0 {
family inet {
address 10.20.253.2/30;
}
}
}
}
routing-options {
autonomous-system 400;
}
protocols {
bgp {
group to-pe2 {
local-address 10.20.253.2;
export inject-direct;
peer-as 300;
neighbor 10.20.253.1;
}
}
}
policy-options {
policy-statement inject-direct {
from {
protocol direct;
}
then accept;
}
}
Verificando seu trabalho
Para verificar se o SCU está funcionando corretamente na VPN de Camada 3, use os seguintes comandos:
show interfaces interface-name statisticsshow interfaces source-class source-class-name interface-nameshow interfaces interface-name(extensive|detail)show route(extensive|detail)clear interface interface-name statistics
Você deve sempre verificar as estatísticas do SCU na interface SCU de saída na qual você configurou a output declaração. Para verificar a funcionalidade do SCU, siga essas etapas:
Libere todos os contadores em seu roteador habilitado para SCU e verifique se eles estão vazios.
Envie um ping do roteador CE de entrada para o segundo roteador CE para gerar tráfego de SCU por toda a rota VPN habilitada para SCU.
Verifique se os contadores estão incrementando corretamente na interface de saída.
A seção a seguir mostra a saída desses comandos usados com o exemplo de configuração.
user@pe2> clear interfaces statistics all
user@pe2> show interfaces so-0/0/0.0 statistics
Logical interface so-0/0/0.0 (Index 6) (SNMP ifIndex 113)
Flags: Point-To-Point SNMP-Traps Encapsulation: PPP
Protocol inet, MTU: 4470
Source class Packets Bytes
GOLD1 0 0
Addresses, Flags: Is-Preferred Is-Primary
user@pe2> show interfaces source-class GOLD1 so-0/0/0.0
Protocol inet
Source class Packets Bytes
GOLD1 0 0
user@ce1> ping 10.20.253.2 source 10.114.1.1 rapid count 10000
user@scu> show interfaces source-class GOLD1 so-0/0/0.0
Protocol inet
Source class Packets Bytes
GOLD1 20000 1680000
user@scu> show interfaces so-0/0/0.0 statistics
Logical interface so-0/0/0.0 (Index 6) (SNMP ifIndex 113)
Flags: Point-To-Point SNMP-Traps Encapsulation: PPP
Protocol inet, MTU: 4470
Source class Packets Bytes
GOLD1 20000 1680000
Addresses, Flags: Is-Preferred Is-Primary
Destination: 10.20.253/24, Local: 10.20.253.1