EN ESTA PÁGINA
Configuración de VPN de operadora de operadoras para clientes que ofrecen servicio de Internet
Ejemplo de VPN carrier-of-carriers: el cliente ofrece servicio de Internet
Configuración de VPN carrier-of-carriers para clientes que proporcionan servicio VPN
Ejemplo de VPN carrier-of-carriers: el cliente proporciona servicio VPN
VPN de operadora de operadora
Descripción de VPN de operadora de operadoras
El cliente de un proveedor de servicios VPN puede ser un proveedor de servicios para el cliente final. Los siguientes son los dos tipos principales de VPN carrier-of-carriers (como se describe en RFC 4364:
Proveedor de servicios de Internet como cliente: el cliente VPN es un ISP que utiliza la red del proveedor de servicios VPN para conectar sus redes regionales geográficamente dispares. El cliente no tiene que configurar MPLS dentro de sus redes regionales.
Proveedor de servicios VPN como cliente: el cliente VPN es un proveedor de servicios VPN que ofrece servicio VPN a sus clientes. El cliente de servicio VPN carrier-of-carriers confía en el proveedor de servicios VPN troncal para la conectividad entre sitios. El proveedor de servicios VPN del cliente debe ejecutar MPLS dentro de sus redes regionales.
En la Figura 1 se muestra la arquitectura de red utilizada para un servicio VPN operador de operadoras.
vpn de operadora de operadoras
En este tema se trata lo siguiente:
Proveedor de servicios de Internet como cliente
En este tipo de configuración de VPN carrier-of-carriers, el ISP A configura su red para proporcionar servicio de Internet al ISP B. ISP B proporciona la conexión al cliente que quiere servicio de Internet, pero el servicio de Internet real lo proporciona el ISP A.
Este tipo de configuración de VPN carrier-of-carriers tiene las siguientes características:
El cliente de servicio VPN de operador de operadoras (ISP B) no necesita configurar MPLS en su red.
El proveedor de servicios VPN de operador de operadoras (ISP A) debe configurar MPLS en su red.
La MPLS también debe configurarse en los enrutadores CE y PE conectados juntos en las redes del proveedor de servicios VPN operadora de operadoras de servicios VPN del cliente y operador de operadora de operadoras.
Proveedor de servicios VPN como cliente
Un proveedor de servicios VPN puede tener clientes que sean ellos mismos proveedores de servicios VPN. En este tipo de configuración, también llamada VPN jerárquica o recursiva, las rutas VPN-IPv4 del proveedor de servicios VPN del cliente se consideran rutas externas y el proveedor de servicios VPN troncal no las importa en su tabla VRF. El proveedor de servicios VPN troncal importa solo las rutas internas del proveedor de servicios VPN del cliente a su tabla VRF.
Las similitudes y diferencias entre VPN entre interproveedores y operadoras de operadoras se muestran en la Tabla 1.
Característica |
Cliente de ISP |
Cliente de proveedor de servicios VPN |
|---|---|---|
Dispositivo de borde del cliente |
Enrutador de borde del AS |
Enrutador de PE |
Sesiones del IBGP |
Llevar rutas IPv4 |
Lleve rutas VPN-IPv4 externas con etiquetas asociadas |
Reenvío dentro de la red del cliente |
MPLS es opcional |
Se requiere MPLS |
La compatibilidad con el servicio VPN como el cliente se admite en conmutadores QFX10000 a partir de Junos OS versión 17.1R1.
Configuración de VPN de operadora de operadoras para clientes que ofrecen servicio de Internet
Puede configurar un servicio VPN carrier-of-carriers para los clientes que deseen proporcionar un servicio básico de Internet. El proveedor de servicios VPN carrier-of-carriers debe configurar MPLS en su red, aunque esta configuración es opcional para el cliente de servicio de operadora. La arquitectura VPN de operadora de operadoras muestra cómo los enrutadores o conmutadores en este tipo de interconexión de servicio.
Para configurar una VPN carrier-of-carriers, realice las tareas descritas en las siguientes secciones:
- Configuración del enrutador CE del servicio VPN del operador de operadores
- Configuración de los enrutadores de PE del operador de operadores de telecomunicaciones VPN
Configuración del enrutador CE del servicio VPN del operador de operadores
El enrutador (o conmutador) del cliente del servicio VPN de operador de operadores actúa como enrutador CE con respecto al enrutador o conmutador de PE del proveedor de servicios. En las siguientes secciones, se describe cómo configurar el enrutador o conmutador CE del operador de operador de operadores de servicio VPN del cliente:
- Configuración de MPLS
- Configuración del BGP
- Configuración de OSPF
- Configuración de opciones de política
Configuración de MPLS
Para configurar MPLS en el enrutador o conmutador CE del cliente, incluya la mpls instrucción:
mpls {
traffic-engineering bgp-igp;
interface interface-name;
}
Puede incluir esta instrucción en los siguientes niveles jerárquicos:
[edit protocols][edit logical-systems logical-system-name protocols]
Configuración del BGP
Para configurar un grupo para intercalar las rutas internas del cliente, incluya la bgp instrucción:
bgp {
group group-name {
type internal;
local-address address;
neighbor address;
}
}
Puede incluir esta instrucción en los siguientes niveles jerárquicos:
[edit protocols][edit logical-systems logical-system-name protocols]
El enrutador CE (o conmutador) del cliente debe poder enviar etiquetas al enrutador del proveedor de servicios VPN. Habilite esto incluyendo la labeled-unicast instrucción en la configuración para el grupo BGP:
bgp {
group group-name {
export internal;
peer-as as-number;
neighbor address {
family inet {
labeled-unicast;
}
}
}
}
Puede incluir la bgp instrucción en los siguientes niveles jerárquicos:
[edit protocols][edit logical-systems logical-system-name protocols]
Configuración de OSPF
Para configurar OSPF en el enrutador o conmutador CE del cliente, incluya la ospf instrucción:
ospf {
area area-id {
interface interface-name {
passive;
}
interface interface-name;
}
}
Puede incluir esta instrucción en los siguientes niveles jerárquicos:
[edit protocols][edit logical-systems logical-system-name protocols]
Configuración de opciones de política
Para configurar opciones de política en el enrutador o conmutador CE del cliente, incluya la policy-statement instrucción:
policy-statement statement-name {
term term-name {
from protocol [ospf direct ldp];
then accept;
}
term term-name {
then reject;
}
}
Puede incluir esta instrucción en los siguientes niveles jerárquicos:
[edit policy-options][edit logical-systems logical-system-name policy-options]
Configuración de los enrutadores de PE del operador de operadores de telecomunicaciones VPN
Los enrutadores de PE del proveedor de servicios se conectan a los enrutadores CE del cliente y reenvían el tráfico VPN del cliente a través de la red del proveedor.
En las siguientes secciones, se describe cómo configurar los enrutadores de PE del operador de telecomunicaciones VPN:
- Configuración de MPLS
- Configuración del BGP
- Configuración de IS-IS
- Configuración de LDP
- Configuración de una instancia de enrutamiento
- Configuración de opciones de política
Configuración de MPLS
Para configurar MPLS en los enrutadores o conmutadores de PE del proveedor, se incluye la mpls instrucción:
mpls {
interface interface-name;
interface interface-name;
}
Puede incluir esta instrucción en los siguientes niveles jerárquicos:
[edit protocols][edit logical-systems logical-system-name protocols]
Configuración del BGP
Para configurar una sesión de BGP con el enrutador de PE del proveedor en el otro extremo de la red del proveedor, incluya la bgp instrucción:
bgp {
group group-name {
type internal;
local-address address;
family inet-vpn {
any;
}
neighbor address;
}
}
Puede incluir esta instrucción en los siguientes niveles jerárquicos:
[edit protocols][edit logical-systems logical-system-name protocols]
Configuración de IS-IS
Para configurar IS-IS en los enrutadores o conmutadores de PE del proveedor, incluya la isis instrucción:
isis {
interface interface-name;
interface interface-name {
passive;
}
}
Puede incluir esta instrucción en los siguientes niveles jerárquicos:
[edit protocols][edit logical-systems logical-system-name protocols]
Configuración de LDP
Para configurar LDP en enrutadores o conmutadores de PE del proveedor, incluya la ldp instrucción:
ldp {
interface interface-name;
}
Puede incluir esta instrucción en los siguientes niveles jerárquicos:
[edit protocols][edit logical-systems logical-system-name protocols]
Configuración de una instancia de enrutamiento
Para configurar el servicio VPN de capa 3 con el enrutador o conmutador CE del cliente, incluya la labeled-unicast instrucción en la configuración de la instancia de enrutamiento para que el enrutador de PE (o conmutador) pueda enviar etiquetas al enrutador o conmutador CE del cliente:
routing-instance-name {
instance-type vrf;
interface interface-name;
route-distinguisher address;
vrf-import policy-name;
vrf-export policy-name;
protocols {
bgp {
group group-name {
peer-as as-number;
neighbor address {
family inet {
labeled-unicast;
}
}
}
}
}
}
Puede incluir estas instrucciones en los siguientes niveles jerárquicos:
[edit routing-instances][edit logical-systems logical-system-name routing-instances]
Configuración de opciones de política
Para configurar una instrucción de política para importar rutas desde el enrutador o conmutador CE del cliente, incluya la policy-statement instrucción:
policy-statement policy-name {
term term-name {
from {
protocol bgp;
community community-name;
}
then accept;
}
term term-name {
then reject;
}
}
Puede incluir esta instrucción en los siguientes niveles jerárquicos:
[edit policy-options][edit logical-systems logical-system-name policy-options]
Para configurar una instrucción de política para exportar rutas al enrutador o conmutador CE del cliente, incluya las policy-statement instrucciones y community :
policy-statement policy-name {
term term-name {
from protocol bgp;
then {
community add community-name;
accept;
}
}
term term-name {
then reject;
}
}
community community-name members value;
Puede incluir estas instrucciones en los siguientes niveles jerárquicos:
[edit policy-options][edit logical-systems logical-system-name policy-options]
Consulte también
Ejemplo de VPN carrier-of-carriers: el cliente ofrece servicio de Internet
En este ejemplo, el cliente de operador no es necesario para configurar MPLS y LDP en su red. Sin embargo, el proveedor de operadores debe configurar MPLS y LDP en su red.
Para obtener información de configuración, consulte las siguientes secciones:
- Topología de red para el servicio de operadora de operadoras
- Configuración para el enrutador A
- Configuración para el enrutador B
- Configuración para el enrutador C
- Configuración para el enrutador D
- Configuración para el enrutador E
- Configuración para el enrutador F
- Configuración para el enrutador G
- Configuración para el enrutador H
- Configuración para el enrutador I
- Configuración para el enrutador J
- Configuración para el enrutador K
- Configuración para el enrutador L
Topología de red para el servicio de operadora de operadoras
Un servicio de operadora de operadora permite que un proveedor de servicios de Internet (ISP) se conecte a una red troncal transparente subcontratada en varias ubicaciones.
La Figura 2 muestra la topología de red en este ejemplo de operadora de operadoras.
Configuración para el enrutador A
En este ejemplo, el enrutador A representa a un cliente final. Configure este enrutador como un dispositivo CE.
[edit]
protocols {
bgp {
group to-routerB {
export attached;
peer-as 21;
as-override;
neighbor 192.168.197.169;
}
}
}
policy-options {
policy-statement attached {
from protocol direct;
then accept;
}
}
Configuración para el enrutador B
El enrutador B puede actuar como enrutador de puerta de enlace, responsable de agregar clientes finales y conectarlos a la red. Si se configura una sesión de IBGP de malla completa, puede usar reflectores de ruta.
[edit]
protocols {
bgp {
group int {
type internal;
local-address 10.255.14.179;
neighbor 10.255.14.175;
neighbor 10.255.14.181;
neighbor 10.255.14.176;
neighbor 10.255.14.178;
neighbor 10.255.14.177;
}
group to-vpn-blue {
peer-as 1;
neighbor 192.168.197.170;
}
}
ospf {
area 0.0.0.0 {
interface lo0.0 {
passive;
}
interface fe-1/0/3.0;
interface fe-1/0/2.0 {
passive;
}
}
}
}
Configuración para el enrutador C
Configurar el enrutador C:
[edit]
protocols {
bgp {
group int {
type internal;
local-address 10.255.14.176;
neighbor 10.255.14.179;
neighbor 10.255.14.175;
neighbor 10.255.14.177;
neighbor 10.255.14.178;
neighbor 10.255.14.181;
}
}
ospf {
area 0.0.0.0 {
interface lo0.0 {
passive;
}
interface fe-0/3/3.0;
interface fe-0/3/0.0;
}
}
}
Configuración para el enrutador D
El enrutador D es el enrutador CE con respecto al AS 10023. En una VPN carrier-of-carriers, el enrutador CE debe poder enviar etiquetas al proveedor de operadores; esto se hace con la labeled-unicast instrucción en group to-isp-red.
[edit]
protocols {
mpls {
interface t3-0/0/0.0;
}
bgp {
group int {
type internal;
local-address 10.255.14.175;
neighbor 10.255.14.179;
neighbor 10.255.14.176;
neighbor 10.255.14.177;
neighbor 10.255.14.178;
neighbor 10.255.14.181;
}
group to-isp-red {
export internal;
peer-as 10023;
neighbor 192.168.197.13 {
family inet {
labeled-unicast;
}
}
}
}
ospf {
area 0.0.0.0 {
interface lo0.0 {
passive;
}
interface fe-0/3/0.0;
interface t3-0/0/0.0 {
passive;
}
}
}
}
policy options {
policy-statement internal {
term a {
from protocol [ ospf direct ];
then accept;
}
term b {
then reject;
}
}
}
Configuración para el enrutador E
Esta configuración configura la sesión del IBGP con el inet-vpn enrutador H y la parte del enrutador de PE de la VPN con el enrutador D. Dado que se requiere el enrutador D para enviar etiquetas en este ejemplo, configure la sesión del BGP con la labeled-unicast instrucción dentro de la tabla de enrutamiento y reenvío virtual (VRF).
[edit]
protocols {
mpls {
interface t3-0/2/0.0;
interface at-0/1/0.0;
}
bgp {
group pe-pe {
type internal;
local-address 10.255.14.171;
family inet-vpn {
any;
}
neighbor 10.255.14.173;
}
}
isis {
interface at-0/1/0.0;
interface lo0.0 {
passive;
}
}
ldp {
interface at-0/1/0.0;
}
}
routing-instances {
vpn-isp1 {
instance-type vrf;
interface t3-0/2/0.0;
route-distinguisher 10.255.14.171:21;
vrf-import vpn-isp1-import;
vrf-export vpn-isp1-export;
protocols {
bgp {
group to-isp1 {
peer-as 21;
neighbor 192.168.197.14 {
family inet {
labeled-unicast;
}
}
}
}
}
}
}
policy-options {
policy-statement vpn-isp1-import {
term a {
from {
protocol bgp;
community vpn-isp1-comm;
}
then accept;
}
term b {
then reject;
}
}
policy-statement vpn-isp1-export {
term a {
from protocol bgp;
then {
community add vpn-isp1-comm;
accept;
}
}
term b {
then reject;
}
}
community vpn-isp1-comm members target:69:21;
}
Configuración para el enrutador F
Configure el enrutador F para que actúe como enrutador de intercambio de etiquetas:
[edit]
protocols {
isis {
interface so-0/2/0.0;
interface at-0/3/0.0;
interface lo0.0 {
passive;
}
}
ldp {
interface so-0/2/0.0;
interface at-0/3/0.0;
}
}
Configuración para el enrutador G
Configure el enrutador G para que actúe como enrutador de intercambio de etiquetas:
[edit]
protocols {
isis {
interface so-0/0/0.0;
interface so-1/0/0.0;
interface lo0.0 {
passive;
}
}
ldp {
interface so-0/0/0.0;
interface so-1/0/0.0;
}
}
Configuración para el enrutador H
El enrutador H actúa como enrutador de PE para el AS 10023. La configuración que sigue es similar a la del enrutador F:
[edit]
protocols {
mpls {
interface fe-1/1/0.0;
interface so-1/0/0.0;
}
bgp {
group pe-pe {
type internal;
local-address 10.255.14.173;
family inet-vpn {
any;
}
neighbor 10.255.14.171;
}
}
isis {
interface so-1/0/0.0;
interface lo0.0 {
passive;
}
}
ldp {
interface so-1/0/0.0;
}
}
routing-instances {
vpn-isp1 {
instance-type vrf;
interface fe-1/1/0.0;
route-distinguisher 10.255.14.173:21;
vrf-import vpn-isp1-import;
vrf-export vpn-isp1-export;
protocols {
bgp {
group to-isp1 {
peer-as 21;
neighbor 192.168.197.94 {
family inet {
labeled-unicast;
}
}
}
}
}
}
}
policy-options {
policy-statement vpn-isp1-import {
term a {
from {
protocol bgp;
community vpn-isp1-comm;
}
then accept;
}
term b {
then reject;
}
}
policy-statement vpn-isp1-export {
term a {
from protocol bgp;
then {
community add vpn-isp1-comm;
accept;
}
}
term b {
then reject;
}
}
community vpn-isp1-comm members target:69:21;
}
Configuración para el enrutador I
Configure el enrutador I para conectarse al cliente básico del servicio de Internet (enrutador L):
[edit]
protocols {
mpls {
interface fe-1/0/1.0;
interface fe-1/1/3.0;
}
bgp {
group int {
type internal;
local-address 10.255.14.181;
neighbor 10.255.14.177;
neighbor 10.255.14.179;
neighbor 10.255.14.175;
neighbor 10.255.14.176;
neighbor 10.255.14.178;
}
group to-vpn-green {
peer-as 1;
neighbor 192.168.197.198;
}
}
ospf {
area 0.0.0.0 {
interface lo0.0 {
passive;
}
interface fe-1/0/1.0 {
passive;
}
interface fe-1/1/3.0;
}
}
}
Configuración para el enrutador J
Configure el enrutador J como enrutador de intercambio de etiquetas:
[edit]
protocols {
bgp {
group int {
type internal;
local-address 10.255.14.178;
neighbor 10.255.14.177;
neighbor 10.255.14.181;
neighbor 10.255.14.175;
neighbor 10.255.14.176;
neighbor 10.255.14.179;
}
}
}
ospf {
area 0.0.0.0 {
interface lo0.0 {
passive;
}
interface fe-1/0/2.0;
interface fe-1/0/3.0;
}
}
Configuración para el enrutador K
El enrutador K actúa como enrutador CE al final de la conexión con el operador de telecomunicaciones. Como en la configuración del enrutador D, incluya la labeled-unicast instrucción para la sesión de EBGP:
[edit]
protocols {
mpls {
interface fe-1/1/2.0;
interface fe-1/0/2.0;
}
bgp {
group int {
type internal;
local-address 10.255.14.177;
neighbor 10.255.14.181;
neighbor 10.255.14.178;
neighbor 10.255.14.175;
neighbor 10.255.14.176;
neighbor 10.255.14.179;
}
group to-isp-red {
export internal;
peer-as 10023;
neighbor 192.168.197.93 {
family inet {
labeled-unicast;
}
}
}
}
ospf {
area 0.0.0.0 {
interface lo0.0 {
passive;
}
interface fe-1/0/2.0;
interface fe-1/1/2.0 {
passive;
}
}
}
}
policy-options {
policy-statement internal {
term a {
from protocol [ ospf direct ];
then accept;
}
term b {
then reject;
}
}
}
Configuración para el enrutador L
Configure el enrutador L para que actúe como el cliente final del servicio VPN operadora de operadoras:
[edit]
protocols {
bgp {
group to-routerI {
export attached;
peer-as 21;
neighbor 192.168.197.197;
}
}
}
policy-options {
policy-statement attached {
from protocol direct;
then accept;
}
}
Consulte también
Configuración de VPN carrier-of-carriers para clientes que proporcionan servicio VPN
Puede configurar un servicio VPN de operadora de operadoras para los clientes que deseen un servicio VPN.
Para configurar los enrutadores (o conmutadores) en las redes del cliente y del proveedor para habilitar el servicio VPN operadora de operadoras, realice los pasos en las siguientes secciones:
- Configuración del enrutador de PE del operador de operadores del cliente
- Configuración del enrutador CE del operador de operadoras del cliente (o conmutador)
- Configuración del enrutador o conmutador de PE del proveedor
Configuración del enrutador de PE del operador de operadores del cliente
El enrutador de PE (o conmutador) del operador de operadoras del cliente está conectado al enrutador CE (o conmutador) del cliente final.
En las siguientes secciones se describe cómo configurar el enrutador de PE (o conmutador) del cliente operador de operadoras:
- Configuración de MPLS
- Configuración del BGP
- Configuración de OSPF
- Configuración de LDP
- Configuración del servicio VPN en la instancia de enrutamiento
- Configuración de opciones de política
Configuración de MPLS
Para configurar MPLS en el enrutador de PE (o conmutador) del operador de operadoras del cliente, incluya la mpls instrucción:
mpls {
interface interface-name;
interface interface-name;
}
Puede incluir esta instrucción en los siguientes niveles jerárquicos:
[edit protocols][edit logical-systems logical-system-name protocols]
Configuración del BGP
Incluya la labeled-unicast instrucción en la configuración de la sesión del IBGP al enrutador CE del operador de operadoras del cliente (o conmutador) ), e incluya la instrucción en la family-inet-vpn configuración de la sesión del IBGP al enrutador (o conmutador) de PE operador de operadoras en el otro lado de la red:
bgp {
group group-name {
type internal;
local-address address;
neighbor address {
family inet {
labeled-unicast;
resolve-vpn;
}
}
}
neighbor address {
family inet-vpn {
any;
}
}
}
Puede incluir estas instrucciones en los siguientes niveles jerárquicos:
[edit protocols][edit logical-systems logical-system-name protocols]
Configuración de OSPF
Para configurar OSPF en el enrutador de PE (o conmutador) del operador de operadoras del cliente, incluya la ospf instrucción:
ospf {
area area-id {
interface interface-name {
passive;
}
interface interface-name;
}
}
Puede incluir esta instrucción en los siguientes niveles jerárquicos:
[edit protocols][edit logical-systems logical-system-name protocols]
Configuración de LDP
Para configurar LDP en el enrutador de PE (o conmutador) del operador de operadores del cliente, incluya la ldp instrucción:
ldp {
interface interface-name;
}
Puede incluir esta instrucción en los siguientes niveles jerárquicos:
[edit protocols][edit logical-systems logical-system-name protocols]
Configuración del servicio VPN en la instancia de enrutamiento
Para configurar el servicio VPN para el enrutador CE (o conmutador) del cliente final en el enrutador de PE (o conmutador) del operador de operadoras, incluya las siguientes instrucciones:
instance-type vrf;
interface interface-name;
route-distinguisher address;
vrf-import policy-name;
vrf-export policy-name;
protocols {
bgp {
group group-name {
peer-as as-number;
neighbor address;
}
}
}
Puede incluir estas instrucciones en los siguientes niveles jerárquicos:
[edit routing-instances routing-instance-name][edit logical-systems logical-system-name routing-instances routing-instance-name]
Configuración de opciones de política
Para configurar opciones de política para importar y exportar rutas hacia y desde el enrutador CE (o conmutador) del cliente final, incluya las policy-statement instrucciones y community :
policy-statement policy-name {
term term-name {
from {
protocol bgp;
community community-name;
}
then accept;
}
term term-name {
then reject;
}
}
policy-statement policy-name {
term term-name {
from protocol bgp;
then {
community add community-name;
accept;
}
}
term term-name {
then reject;
}
}
community community-name members value;
Puede incluir estas instrucciones en los siguientes niveles jerárquicos:
[edit policy-options][edit logical-systems logical-system-name policy-options]
Configuración del enrutador CE del operador de operadoras del cliente (o conmutador)
El enrutador CE (o conmutador) del operador de operadoras del cliente se conecta al enrutador de PE (o conmutador) del proveedor. Complete las instrucciones en las siguientes secciones para configurar el enrutador CE (o conmutador) de operador de operadoras de operadoras de los clientes:
- Configuración de MPLS
- Configuración del BGP
- Configuración de OSPF y LDP
- Configuración de opciones de política
Configuración de MPLS
En la configuración MPLS para el enrutador CE (o conmutador) del operador de operadores del cliente, incluya las interfaces al enrutador de PE (o conmutador) del proveedor y a un enrutador P (o conmutador) en la red del cliente:
mpls {
traffic-engineering bgp-igp;
interface interface-name;
interface interface-name;
}
Puede incluir estas instrucciones en los siguientes niveles jerárquicos:
[edit protocols][edit logical-systems logical-system-name protocols]
Configuración del BGP
En la configuración del BGP para el enrutador CE del operador de operadores del cliente (o conmutador), configure un grupo que incluya la instrucción para extender el labeled-unicast servicio VPN al enrutador (o conmutador) de PE conectado al enrutador CE del cliente final (o conmutador):
bgp {
group group-name {
type internal;
local-address address;
neighbor address {
family inet {
labeled-unicast;
}
}
}
}
Puede incluir la bgp instrucción en los siguientes niveles jerárquicos:
[edit protocols][edit logical-systems logical-system-name protocols]
Para configurar un grupo para enviar rutas internas etiquetadas al enrutador de PE (o conmutador) del proveedor, incluya la bgp instrucción:
bgp {
group group-name {
export internal;
peer-as as-number;
neighbor address {
family inet {
labeled-unicast;
}
}
}
}
Puede incluir esta instrucción en los siguientes niveles jerárquicos:
[edit protocols][edit logical-systems logical-system-name protocols]
Configuración de OSPF y LDP
Para configurar OSPF y LDP en el enrutador CE (o conmutador) del operador de operadoras del cliente, incluya las ospf instrucciones y ldp :
ospf {
area area-id {
interface interface-name {
passive;
}
interface interface-name;
}
}
ldp {
interface interface-name;
}
Puede incluir estas instrucciones en los siguientes niveles jerárquicos:
[edit protocols][edit logical-systems logical-system-name protocols]
Configuración de opciones de política
Para configurar las opciones de política en el enrutador CE (o conmutador) del operador de operadoras del cliente, incluya la policy-statement instrucción:
policy-statement policy-statement-name {
term term-name {
from protocol [ ospf direct ldp ];
then accept;
}
term term-name {
then reject;
}
}
Puede incluir esta instrucción en los siguientes niveles jerárquicos:
[edit policy-options][edit logical-systems logical-system-name policy-options]
Configuración del enrutador o conmutador de PE del proveedor
Los enrutadores de PE (o conmutadores) del operador de operador de operadoras se conectan a los enrutadores CE (o conmutadores) del cliente operador. Complete las instrucciones en las siguientes secciones para configurar el enrutador de PE (o conmutador) del proveedor:
- Configuración de MPLS
- Configuración de una sesión de BGP de PE a PE
- Configuración de IS-IS y LDP
- Configuración de opciones de política
- Configuración de una instancia de enrutamiento para enviar rutas al enrutador CE
Configuración de MPLS
En la configuración MPLS, especifique al menos dos interfaces: una al enrutador CE (o conmutador) del cliente y otra para conectarse al enrutador de PE (o conmutador) del proveedor en el otro lado de la red del proveedor:
interface interface-name; interface interface-name;
Puede incluir estas instrucciones en los siguientes niveles jerárquicos:
[edit protocols mpls][edit logical-systems logical-system-name protocols mpls]
Configuración de una sesión de BGP de PE a PE
Para configurar una sesión de BGP de PE a PE en los enrutadores de PE (o conmutadores) del proveedor para permitir que las rutas VPN-IPv4 pasen entre los enrutadores de PE (o conmutadores), incluya la bgp instrucción:
bgp {
group group-name {
type internal;
local-address address;
family inet-vpn {
any;
}
neighbor address;
}
}
Puede incluir esta instrucción en los siguientes niveles jerárquicos:
[edit protocols][edit logical-systems logical-system-name protocols]
Configuración de IS-IS y LDP
Para configurar IS-IS y LDP en los enrutadores de PE (o conmutadores) del proveedor, incluya las isis instrucciones y ldp :
isis {
interface interface-name;
interface interface-name {
passive;
}
}
ldp {
interface interface-name;
}
Puede incluir estas instrucciones en los siguientes niveles jerárquicos:
[edit protocols][edit logical-systems logical-system-name protocols]
Configuración de opciones de política
Para configurar instrucciones de política en el enrutador de PE (o conmutador) del proveedor para exportar rutas a e importar rutas desde la red del cliente operador, incluya las policy-statement instrucciones y community :
policy-statement statement-name {
term term-name {
from {
protocol bgp;
community community-name;
}
then accept;
}
term term-name {
then reject;
}
}
policy-statement statement-name {
term term-name {
from protocol bgp;
then {
community add community-name;
accept;
}
}
term term-name {
then reject;
}
}
community community-name members value;
Puede incluir estas instrucciones en los siguientes niveles jerárquicos:
[edit policy-options][edit logical-systems logical-system-name policy-options]
Configuración de una instancia de enrutamiento para enviar rutas al enrutador CE
Para configurar la instancia de enrutamiento en el enrutador de PE (o conmutador) del proveedor para enviar rutas etiquetadas al enrutador CE (o conmutador) del cliente operador, incluya las siguientes instrucciones:
instance-type vrf;
interface interface-name;
route-distinguisher value;
vrf-import policy-name;
vrf-export policy-name;
protocols {
bgp {
group group-name {
peer-as as-number;
neighbor address {
family inet {
labeled-unicast;
}
}
}
}
}
Puede incluir estas instrucciones en los siguientes niveles jerárquicos:
[edit routing-instances routing-instance-name][edit logical-systems logical-system-name routing-instances routing-instance-name]
Consulte también
Ejemplo de VPN carrier-of-carriers: el cliente proporciona servicio VPN
En este ejemplo, el cliente de operador debe ejecutar algún tipo de MPLS (protocolo de reserva de recursos [RSVP] o LDP) en su red para proporcionar servicios VPN al cliente final. En el ejemplo siguiente, el enrutador B y el enrutador yo actúan como enrutadores (o conmutadores) de PE, y se requiere una ruta MPLS funcional entre estos enrutadores si intercambian rutas VPN-IPv4.
Para obtener información de configuración, consulte las siguientes secciones:
- Topología de red para el servicio de operadora de operadoras
- Configuración para el enrutador A
- Configuración para el enrutador B
- Configuración para el enrutador C
- Configuración para el enrutador D
- Configuración para el enrutador E
- Configuración para el enrutador F
- Configuración para el enrutador G
- Configuración para el enrutador H
- Configuración para el enrutador I
- Configuración para el enrutador J
- Configuración para el enrutador K
- Configuración para el enrutador L
Topología de red para el servicio de operadora de operadoras
Un servicio de operadora de operadora permite que un proveedor de servicios de Internet (ISP) se conecte a una red troncal transparente subcontratada en varias ubicaciones.
La Figura 3 muestra la topología de red en este ejemplo de operadora de operadoras.
Configuración para el enrutador A
En este ejemplo, el enrutador A actúa como el enrutador CE para el cliente final. Configure una sesión de BGP predeterminada family inet en el enrutador A:
[edit]
protocols {
bgp {
group to-routerB {
export attached;
peer-as 21;
neighbor 192.168.197.169;
}
}
}
policy-options {
policy-statement attached {
from protocol direct;
then accept;
}
}
Configuración para el enrutador B
Dado que el enrutador B es el enrutador de PE para el enrutador CE del cliente final (enrutador A), debe configurar una instancia de enrutamiento (vpna). Configure la labeled-unicast instrucción en la sesión del IBGP al enrutador D y configure family-inet-vpn para la sesión del IBGP al otro lado de la red con el enrutador I:
[edit]
protocols {
mpls {
interface fe-1/0/2.0;
interface fe-1/0/3.0;
}
bgp {
group int {
type internal;
local-address 10.255.14.179;
neighbor 10.255.14.175 {
family inet {
labeled-unicast {
resolve-vpn;
}
}
}
}
neighbor 10.255.14.181 {
family inet-vpn {
any;
}
}
}
ospf {
area 0.0.0.0 {
interface lo0.0 {
passive;
}
interface fe-1/0/3.0;
}
}
ldp {
interface fe-1/0/3.0;
}
}
routing-instances {
vpna {
instance-type vrf;
interface fe-1/0/2.0;
route-distinguisher 10.255.14.179:21;
vrf-import vpna-import;
vrf-export vpna-export;
protocols {
bgp {
group vpna-06 {
peer-as 1;
neighbor 192.168.197.170;
}
}
}
}
}
policy-options {
policy-statement vpna-import {
term a {
from {
protocol bgp;
community vpna-comm;
}
then accept;
}
term b {
then reject;
}
}
policy-statement vpna-export {
term a {
from protocol bgp;
then {
community add vpna-comm;
accept;
}
}
term b {
then reject;
}
}
community vpna-comm members target:100:1001;
}
Configuración para el enrutador C
Configure el enrutador C como enrutador de intercambio de etiquetas dentro del AS local:
[edit]
protocols {
mpls {
traffic-engineering bgp-igp;
}
ospf {
area 0.0.0.0 {
interface lo0.0 {
passive;
}
interface fe-0/3/3.0;
interface fe-0/3/0.0;
}
}
ldp {
interface fe-0/3/0.0;
interface fe-0/3/3.0;
}
}
Configuración para el enrutador D
El enrutador D actúa como enrutador CE para los servicios VPN proporcionados por la red del AS 10023. En la configuración del grupo BGP para el grupo int, que controla el tráfico al enrutador B (10.255.14.179), se incluye la labeled-unicast instrucción. También debe configurar el grupo to-isp-red BGP para enviar rutas internas etiquetadas al enrutador de PE (enrutador E).
[edit]
protocols {
mpls {
traffic-engineering bgp-igp;
interface fe-0/3/0.0;
interface t3-0/0/0.0;
}
bgp {
group int {
type internal;
local-address 10.255.14.175;
neighbor 10.255.14.179 {
family inet {
labeled-unicast;
}
}
}
group to-isp-red {
export internal;
peer-as 10023;
neighbor 192.168.197.13 {
family inet {
labeled-unicast;
}
}
}
}
ospf {
area 0.0.0.0 {
interface lo0.0 {
passive;
}
interface fe-0/3/0.0;
}
}
ldp {
interface fe-0/3/0.0;
}
}
policy-options {
policy-statement internal {
term a {
from protocol [ ospf direct ];
then accept;
}
term b {
then reject;
}
}
}
Configuración para el enrutador E
El enrutador E y el enrutador H son enrutadores de PE. Configure una sesión bgp de PE-enrutador-enrutador a PE para permitir que las rutas VPN-IPv4 pasen entre estos dos enrutadores de PE. Configure la instancia de enrutamiento en el enrutador E para enviar rutas etiquetadas al enrutador CE (enrutador D).
Configure el enrutador E:
[edit]
protocols {
mpls {
interface t3-0/2/0.0;
interface at-0/1/0.0;
}
bgp {
group pe-pe {
type internal;
local-address 10.255.14.171;
family inet-vpn {
any;
}
neighbor 10.255.14.173;
}
}
isis {
interface at-0/1/0.0;
interface lo0.0 {
passive;
}
}
ldp {
interface at-0/1/0.0;
}
}
policy-options {
policy-statement vpn-isp1-import {
term a {
from {
protocol bgp;
community vpn-isp1-comm;
}
then accept;
}
term b {
then reject;
}
}
policy-statement vpn-isp1-export {
term a {
from protocol bgp;
then {
community add vpn-isp1-comm;
accept;
}
}
term b {
then reject;
}
}
community vpn-isp1-comm members target:69:21;
}
routing-instances {
vpn-isp1 {
instance-type vrf;
interface t3-0/2/0.0;
route-distinguisher 10.255.14.171:21;
vrf-import vpn-isp1-import;
vrf-export vpn-isp1-export;
protocols {
bgp {
group to-isp1 {
peer-as 21;
neighbor 192.168.197.14 {
as-override;
family inet {
labeled-unicast;
}
}
}
}
}
}
}
Configuración para el enrutador F
Configure el enrutador F para cambiar etiquetas por rutas que se ejecutan a través de sus interfaces:
[edit]
protocols {
isis {
interface so-0/2/0.0;
interface at-0/3/0.0;
interface lo0.0 {
passive;
}
}
ldp {
interface so-0/2/0.0;
interface at-0/3/0.0;
}
}
Configuración para el enrutador G
Configurar el enrutador G:
[edit]
protocols {
isis {
interface so-0/0/0.0;
interface so-1/0/0.0;
interface lo0.0 {
passive;
}
}
ldp {
interface so-0/0/0.0;
interface so-1/0/0.0;
}
}
Configuración para el enrutador H
La configuración del enrutador H es similar a la configuración del enrutador E:
[edit]
protocols {
mpls {
interface fe-1/1/0.0;
interface so-1/0/0.0;
}
bgp {
group pe-pe {
type internal;
local-address 10.255.14.173;
family inet-vpn {
any;
}
neighbor 10.255.14.171;
}
}
isis {
interface so-1/0/0.0;
interface lo0.0 {
passive;
}
}
ldp {
interface so-1/0/0.0;
}
}
routing-instances {
vpn-isp1 {
instance-type vrf;
interface fe-1/1/0.0;
route-distinguisher 10.255.14.173:21;
vrf-import vpn-isp1-import;
vrf-export vpn-isp1-export;
protocols {
bgp {
group to-isp1 {
peer-as 21;
neighbor 192.168.197.94 {
as-override;
family inet {
labeled-unicast;
}
}
}
}
}
}
}
policy-options {
policy-statement vpn-isp1-import {
term a {
from {
protocol bgp;
community vpn-isp1-comm;
}
then accept;
}
term b {
then reject;
}
}
policy-statement vpn-isp1-export {
term a {
from protocol bgp;
then {
community add vpn-isp1-comm;
accept;
}
}
term b {
then reject;
}
}
community vpn-isp1-comm members target:69:21;
}
Configuración para el enrutador I
Enrutador que actúa como enrutador de PE para el cliente final. La configuración que sigue es similar a la del enrutador B:
[edit]
protocols {
mpls {
interface fe-1/0/1.0;
interface fe-1/1/3.0;
}
bgp {
group int {
type internal;
local-address 10.255.14.181;
neighbor 10.255.14.177 {
family inet {
labeled-unicast {
resolve-vpn;
}
}
}
neighbor 10.255.14.179 {
family inet-vpn {
any;
}
}
}
}
ospf {
area 0.0.0.0 {
interface lo0.0 {
passive;
}
interface fe-1/1/3.0;
}
}
ldp {
interface fe-1/1/3.0;
}
}
routing-instances {
vpna {
instance-type vrf;
interface fe-1/0/1.0;
route-distinguisher 10.255.14.181:21;
vrf-import vpna-import;
vrf-export vpna-export;
protocols {
bgp {
group vpna-0 {
peer-as 1;
neighbor 192.168.197.198;
}
}
}
}
}
policy-options {
policy-statement vpna-import {
term a {
from {
protocol bgp;
community vpna-comm;
}
then accept;
}
term b {
then reject;
}
}
policy-statement vpna-export {
term a {
from protocol bgp;
then {
community add vpna-comm;
accept;
}
}
term b {
then reject;
}
}
community vpna-comm members target:100:1001;
}
Configuración para el enrutador J
Configure el enrutador J para cambiar etiquetas por rutas que se ejecutan a través de sus interfaces:
[edit]
protocols {
mpls {
traffic-engineering bgp-igp;
}
ospf {
area 0.0.0.0 {
interface lo0.0 {
passive;
}
interface fe-1/0/2.0;
interface fe-1/0/3.0;
}
}
ldp {
interface fe-1/0/2.0;
interface fe-1/0/3.0;
}
}
Configuración para el enrutador K
La configuración del enrutador K es similar a la del enrutador D:
[edit]
protocols {
mpls {
traffic-engineering bgp-igp;
interface fe-1/1/2.0;
interface fe-1/0/2.0;
}
bgp {
group int {
type internal;
local-address 10.255.14.177;
neighbor 10.255.14.181 {
family inet {
labeled-unicast;
}
}
}
group to-isp-red {
export internal;
peer-as 10023;
neighbor 192.168.197.93 {
family inet {
labeled-unicast;
}
}
}
}
ospf {
area 0.0.0.0 {
interface lo0.0 {
passive;
}
interface fe-1/0/2.0;
}
}
ldp {
interface fe-1/0/2.0;
}
}
policy-options {
policy-statement internal {
term a {
from protocol [ ospf direct ];
then accept;
}
term b {
then reject;
}
}
}
Configuración para el enrutador L
En este ejemplo, el enrutador L es el enrutador CE del cliente final. Configure una sesión bgp de familia inet predeterminada en el enrutador L:
[edit]
protocols {
bgp {
group to-I {
export attached;
peer-as 21;
neighbor 192.168.197.197;
}
}
}
policy-options {
policy-statement attached {
from protocol direct;
then accept;
}
}
Consulte también
Varias instancias para VPN LDP y carrier-of-carriers
Al configurar varias instancias de enrutamiento LDP, puede usar LDP para anunciar etiquetas en una VPN de operadora de operadora desde un enrutador de PE de proveedor de núcleo a un enrutador CE de operador de cliente. Hacer que LDP anuncie etiquetas de esta manera es especialmente útil cuando el cliente operador es un ISP básico y quiere restringir las rutas de Internet completas a sus enrutadores de PE. Mediante el uso de LDP en lugar de BGP, el cliente de operadora protege a sus otros enrutadores internos de Internet en general. El LDP de varias instancias también es útil cuando un cliente operador quiere proporcionar servicios VPN de capa 3 o VPN de capa 2 a sus clientes.
Para obtener un ejemplo de cómo configurar varias instancias de enrutamiento LDP para VPN carrier-of-carriers, consulte https://www.juniper.net/documentation/us/en/software/junos/mpls/topics/example/multiple-instance-ldp-configuring-detailed-solutions.html.