VPN de interproveedor
VPN de interproveedor
Las VPN de interproveedor proporcionan conectividad entre AS independientes. Esta funcionalidad puede ser utilizada por un cliente vpn que tenga conexiones con varios proveedores de servicios diferentes, o conexiones diferentes con el mismo proveedor de servicios en diferentes regiones geográficas, cada una de las cuales tiene un AS diferente. La figura 1 muestra el tipo de topología de red que usa una VPN entre proveedores.
de red VPN entre proveedores
En las siguientes secciones se describen las formas en que puede configurar una VPN entre proveedores:
- Vincular tablas VRF entre sistemas autónomos
- Configuración de vpn de última generación de capa 3 opciones A, B y C
- Configuración de MP-EBGP multihop entre enrutadores de borde del AS
Vincular tablas VRF entre sistemas autónomos
Puede conectar dos AS independientes simplemente vinculando la tabla de enrutamiento y reenvío VPN (VRF) en el enrutador de borde del AS (ASBR) de un AS a la tabla VRF del AS en el otro AS. Cada ASBR debe incluir una instancia de enrutamiento VRF para cada VPN configurada en ambas redes de proveedores de servicios. A continuación, configure una sesión IP entre los dos ASBR. En efecto, los ASBR se tratan entre sí como enrutadores de borde del cliente (CE).
Debido a la complejidad de la configuración, particularmente con respecto al escalado, no se recomienda este método. Los detalles de esta configuración no se proporcionan con la documentación.
Configuración de vpn de última generación de capa 3 opciones A, B y C
Para las VPN de capa 3 de última generación, los enrutadores de PE dentro de un AS usan BGP externo multiprotocolo (MP-EBGP) para distribuir rutas etiquetadas como VPN-Protocolo de Internet versión 4 (IPv4) a un ASBR o a un reflector de ruta del cual el ASBR es cliente. El ASBR usa BGP externo multiprotocolo (MP-EBGP) para distribuir las rutas etiquetadas VPN-IPv4 a su PAR ASBR en el AS vecino. Luego, el ASBR par usa MP-IBGP para distribuir rutas vpn-IPv4 etiquetadas a enrutadores PE o a un reflector de ruta del cual los enrutadores de PE son cliente.
Puede configurar tanto la unidifusión (versión 9.5 y posteriores de Junos OS) como la multidifusión (junos OS versión 12.1 y posterior) de última generación de VPN de capa 3 en los AS. El software Junos OS es compatible con las VPN de capa 3 de última generación, opción A, B y opción C:
Opción A: es una solución VPN entre proveedores sencilla, aunque menos escalable, para el problema de proporcionar servicios VPN a un cliente que tiene diferentes sitios, no todos los cuales pueden usar el mismo proveedor de servicios. En esta implementación, la tabla de enrutamiento y reenvío VPN (VRF) en el ASBR de un AS está vinculada a la tabla VRF en el ASBR en el otro AS. Cada ASBR debe incluir una instancia VRF para cada VPN configurada en ambas redes de proveedores de servicios. Luego, se debe configurar un IGP o BGP entre los ASBR.
Opción B: para esta solución VPN entre proveedores, el cliente requiere servicios de VPN para diferentes sitios, pero el mismo proveedor de servicios no está disponible para todos esos sitios. Con la opción B, los enrutadores ASBR mantienen todas las rutas VPN-IPv4 en la base de información de enrutamiento (RIB), y las etiquetas asociadas con los prefijos se mantienen en la base de información de reenvío (FIB). Dado que las tablas RIB y FIB pueden tomar demasiado de la memoria asignada respectiva, esta solución no es muy escalable para una VPN de interproveedor. Si se utiliza un proveedor de servicios de tránsito entre el operador de telecomunicaciones 1 y el operador de telecomunicaciones 2, el proveedor de servicios de tránsito también tiene que mantener todas las rutas VPN-IPv4 en el RIB y las etiquetas correspondientes en el FIB. Los ASBR en el proveedor de servicios de tránsito tienen la misma funcionalidad que los ASBR en el proveedor de servicios 1 o el proveedor de servicios 2 de esta solución. Los enrutadores de PE de cada AS usan BGP interno multiprotocolo (MP-IBGP) para distribuir rutas VPN-IPv4 etiquetadas a un ASBR o a un reflector de ruta del cual el ASBR es cliente. El ASBR usa MP-EBGP para distribuir las rutas VPN-IPv4 etiquetadas a su enrutador ASBR par en el AS vecino. Luego, el ASBR par usa MP-IBGP para distribuir rutas vpn-IPv4 etiquetadas a enrutadores PE o a un reflector de ruta del cual los enrutadores de PE son cliente.
Opción C: para esta solución VPN entre proveedores, el proveedor de servicios al cliente depende del proveedor de servicios vpn para ofrecer un servicio de transporte VPN entre los puntos de presencia (COP) del proveedor de servicios del cliente o las redes regionales. Esta funcionalidad puede ser utilizada por un cliente de VPN que tenga conexiones con varios proveedores de servicios diferentes, o conexiones diferentes con el mismo proveedor de servicios en diferentes regiones geográficas, cada una de las cuales tiene un número de AS diferente. Para la opción C, solo se anuncian las rutas internas a las redes del proveedor de servicios entre ASBR. Esto se logra mediante el uso de las
family inet labeled-unicastinstrucciones en la configuración de IBGP y EBGP en los enrutadores pe. Las rutas etiquetadas IPv4 (no VPN-IPv4) se intercambian por los ASBR para admitir MPLS. Se utiliza una sesión MP-EBGP entre los enrutadores de PE finales para el anuncio de rutas VPN-IPv4. De esta manera, se proporciona conectividad VPN mientras se mantienen las rutas VPN-IPv4 fuera de la red central.
Configuración de MP-EBGP multihop entre enrutadores de borde del AS
En este tipo de configuración VPN entre proveedores, los enrutadores P no necesitan almacenar todas las rutas en todas las VPN. Solo los enrutadores de PE deben tener todas las rutas VPN. Los enrutadores P simplemente reenvían tráfico a los enrutadores de PE; no almacenan ni procesan ninguna información sobre el destino de los paquetes. Las conexiones entre los enrutadores de borde del AS en el tráfico de reenvío del AS separado entre los AS, en la medida en que funciona una ruta conmutada por etiquetas (LSP).
Los siguientes son los pasos básicos que debe seguir para configurar una VPN entre proveedores de esta manera:
Configure la redistribución de EBGP multihop de rutas etiquetadas VPN-IPv4 entre los AS de origen y destino.
Configure el EBGP para redistribuir rutas IPv4 etiquetadas desde su AS a los AS vecinos.
Configure MPLS en los enrutadores de PE finales de las VPN.
Ver también
Ejemplo: Configurar la opción A de VPN de capa 3 del interproveedor
La opción A de VPN de capa 3 del interproveedor ofrece conexiones VRF a VRF en los enrutadores de límite del AS (ASBR). En comparación con las opciones B y C, la opción A es la solución menos escalable.
En este ejemplo, se proporciona un procedimiento paso a paso para configurar la opción A de VPN de capa 3 del interproveedor, que es una de las implementaciones recomendadas de VPN de MPLS cuando ese servicio es requerido por un cliente que tiene más de un AS y que, sin embargo, no todos los AS del cliente pueden ser operados por el mismo proveedor de servicios. Se organiza en las siguientes secciones:
Requisitos
En este ejemplo, se utilizan los siguientes componentes de hardware y software:
Junos OS versión 9.5 o posterior.
Ocho enrutadores de Juniper Networks serie M , T , serie TX o serie MX .
Descripción general y topología
Esta es la solución VPN de interproveedor más simple y menos escalable para el problema de proporcionar servicios VPN a un cliente que tiene sitios diferentes, no todos los cuales pueden usar el mismo proveedor de servicios (SP).
RfC 4364, sección 10, se refiere a este método como conexiones VRF-a-VRF interproveedor en los enrutadores de borde del AS.
En esta configuración:
La tabla de enrutamiento y reenvío virtual (VRF) en el ASBR de un AS está vinculada a la tabla VRF en el ASBR en el otro AS. Cada ASBR debe contener una instancia VRF para cada VPN configurada en ambas redes de proveedores de servicios. Luego, se debe configurar un IGP o BGP entre los ASBR. Esto tiene la desventaja de limitar la escalabilidad.
En esta configuración, los enrutadores de límite del sistema autónomo (ASBR) en ambos PROVEEDORES se configuran como enrutadores de PE regulares y proporcionan el servicio VPN L3 MPLS al SP vecino.
Cada enrutador de PE trata al otro como si fuera un enrutador de borde del cliente (CE). Los ASBR desempeñan el papel de enrutadores CE regulares para el ASBR del SP remoto. Los ASBR se ven entre sí como dispositivos CE.
Un enrutador de borde de proveedor (PE) en un sistema autónomo (AS) se conecta directamente a un enrutador de PE en otro AS.
Los dos enrutadores de PE están conectados por varias sub interfaces, al menos una para cada una de las VPN cuyas rutas se deben pasar del AS al AS.
Los enrutadores de PE asocian cada sub interfaz con una tabla de enrutamiento y reenvío VPN (VRF), y usan EBGP para distribuir direcciones IPv4 sin etiqueta entre sí.
En esta solución, todas las VPN comunes definidas en ambos IP también se deben definir en uno o más ASBR entre los dos SP. Esta metodología no es muy escalable, especialmente cuando dos proveedores de servicios regionales utilizan un SP de tránsito para la interconexión.
Este es un procedimiento fácil de configurar y no requiere MPLS en el borde entre AS. Además, no escala tan bien como otros procedimientos recomendados.
La topología de la red se muestra en la Figura 2.
Topología
Configuración
El procedimiento que se presenta aquí está escrito con la suposición de que el lector ya está familiarizado con la configuración de MVPN de MPLS. En este ejemplo, se explica la configuración única necesaria para las soluciones de operadora de operadoras para servicios VPN a diferentes sitios.
Para configurar la opción A de VPN de capa 3 del interproveedor, realice las siguientes tareas:
- Configuración del enrutador CE1
- Configuración del enrutador PE1
- Configuración del enrutador P1
- Configuración del enrutador ASBR1
- Configuración del enrutador ASBR2
- Configuración del enrutador P2
- Configuración del enrutador PE2
- Configuración del enrutador CE2
- Verificar la operación de VPN
Configuración del enrutador CE1
Procedimiento paso a paso
En el enrutador CE1, configure la dirección IP y la familia de protocolo en la interfaz Fast Ethernet para el vínculo entre el enrutador CE1 y el enrutador PE1. Especifique el tipo de familia de
inetdirecciones.[edit interfaces fe-0/0/1.0] family inet { address 198.51.100.1/24; }En el enrutador CE1, configure la dirección IP y la familia de protocolo en la interfaz de circuito cerrado. Especifique el tipo de familia de
inetdirecciones.[edit interfaces lo0] unit 0 { family inet { address 192.0.2.1/32; } }En el enrutador CE1, configure un protocolo de enrutamiento. El protocolo de enrutamiento puede ser una ruta estática, RIP, OSPF, ISIS o EBGP. En este ejemplo, configuramos OSPF. Incluya la interfaz Fast Ethernet para el vínculo entre el enrutador CE1 y el enrutador PE1 y la interfaz lógica de circuito cerrado del enrutador CE1.
[edit protocols] ospf { area 0.0.0.2 { interface fe-0/0/1.0; interface lo0.0; } }
Configuración del enrutador PE1
Procedimiento paso a paso
En el enrutador PE1, configure direcciones IPv4 en las interfaces SONET, Fast Ethernet y de circuito cerrado lógico. Especifique la
inetfamilia de direcciones en todas las interfaces. Especifique lamplsfamilia de direcciones en las interfaces SONET y Fast Ethernet.[edit interfaces] so-0/2/0 { unit 0 { family inet { address 192.168.1.9/24; } family mpls; } } fe-1/2/3 { unit 0 { family inet { address 198.51.100.2/24; } family mpls; } } lo0 { unit 0 { family inet { address 192.0.2.2/32; } } }En el enrutador PE1, configure la instancia de enrutamiento para VPN2. Especifique el tipo de
vrfinstancia y especifique la interfaz Fast Ethernet orientada al cliente. Configure un distinguidor de ruta para crear un prefijo de dirección VPN-IPv4 único. Aplique las políticas de importación y exportación de VRF para habilitar el envío y la recepción de destinos de ruta. Configure el protocolo OSPF dentro del VRF. Especifique la interfaz Fast Ethernet orientada al cliente y especifique la política de exportación para exportar rutas de BGP a OSPF.[edit routing-instances] vpn2CE1 { instance-type vrf; interface fe-1/2/3.0; route-distinguisher 1:100; vrf-import vpnimport; vrf-export vpnexport; protocols { ospf { export bgp-to-ospf; area 0.0.0.2 { interface fe-1/2/3.0; } } } }En el enrutador PE1, configure los protocolos RSVP y MPLS para que admitan la ruta conmutada por etiquetas (LSP). Configure el LSP al enrutador ASBR1 y especifique la dirección IP de la interfaz lógica de circuito cerrado en el enrutador ASBR1. Configure un grupo de BGP. Especifique el tipo de grupo como
internal. Especifique la dirección local como la interfaz lógica de circuito cerrado en el enrutador PE1. Especifique la dirección del vecino como la interfaz lógica de circuito cerrado en el enrutador ASBR1. Especifique la familia de direcciones yunicastelinet-vpntipo de tráfico para permitir que el BGP lleve la información de accesibilidad de la capa de red IPv4 (NLRI) para rutas VPN. Configure el protocolo OSPF. Especifique la interfaz SONET de núcleo y especifique la interfaz de circuito cerrado lógico en el enrutador PE1.[edit protocols] rsvp { interface so-0/2/0.0; interface lo0.0; } mpls { label-switched-path To-ASBR1 { to 192.0.2.4; } interface so-0/2/0.0; interface lo0.0; } bgp { group To_ASBR1 { type internal; local-address 192.0.2.2; neighbor 192.0.2.4 { family inet-vpn { unicast; } } } } ospf { traffic-engineering; area 0.0.0.0 { interface so-0/2/0.0; interface lo0.0; } }En el enrutador PE1, configure el número de sistema autónomo local del BGP.
[edit routing-options] autonomous-system 100;
En el enrutador PE1, configure una política para exportar las rutas del BGP a OSPF.
[edit policy-options] policy-statement bgp-to-ospf { term 1 { from protocol bgp; then accept; } term 2 { then reject; } }En el enrutador PE1, configure una política para agregar el destino de ruta VRF a las rutas que se anuncian para esta VPN.
[edit policy-options] policy-statement vpnexport { term 1 { from protocol ospf; then { community add test_comm; accept; } } term 2 { then reject; } }En el enrutador PE1, configure una política para importar rutas del BGP que tengan
test_commla comunidad adjunta.[edit policy-options] policy-statement vpnimport { term 1 { from { protocol bgp; community test_comm; } then accept; } term 2 { then reject; } }En el enrutador PE1, defina la comunidad BGP
test_commcon un destino de ruta.[edit policy-options] community test_comm members target:1:100;
Configuración del enrutador P1
Procedimiento paso a paso
En el enrutador P1, configure las direcciones IP para las interfaces SONET y Gigabit Ethernet. Habilite las interfaces para procesar las
inetfamilias de direcciones ympls. Configure la dirección IP para lalo0.0interfaz de circuito cerrado y habilite la interfaz para procesar la familia deinetdirecciones.[edit interfaces] so-0/2/1 { unit 0 { family inet { address 192.168.1.4/24; } family mpls; } } ge-1/3/0 { unit 0 { family inet { address 192.168.2.5/24; } family mpls; } } lo0 { unit 0 { family inet { address 192.0.2.3/32; } } }En el enrutador P1, configure los protocolos RSVP y MPLS para que admita el LSP. Especifique las interfaces SONET y Gigabit Ethernet.
Configure el protocolo OSPF. Especifique las interfaces SONET y Gigabit Ethernet y especifique la interfaz lógica de circuito cerrado. Habilite el OSPF para admitir extensiones de ingeniería de tráfico.
[edit protocols] rsvp { interface so-0/2/1.0; interface ge-1/3/0.0; interface lo0.0; } mpls { interface lo0.0; interface ge-1/3/0.0; interface so-0/2/1.0; } ospf { traffic-engineering; area 0.0.0.0 { interface ge-1/3/0.0; interface so-0/2/1.0; interface lo0.0; } }
Configuración del enrutador ASBR1
Procedimiento paso a paso
En el enrutador ASBR1, configure las direcciones IP para las interfaces de Gigabit Ethernet. Habilite las interfaces para procesar las
inetfamilias de direcciones ympls. Configure las direcciones IP para lalo0.0interfaz de circuito cerrado y habilite la interfaz para procesar la familia deinetdirecciones.[edit interfaces] ge-0/0/0 { unit 0 { family inet { address 192.168.2.6/24; } family mpls; } } ge-0/1/1 { unit 0 { family inet { address 192.168.3.7/24; } family mpls; } } lo0 { unit 0 { family inet { address 192.0.2.4/32; } } }En el enrutador ASBR1, configure la instancia de
To_ASBR2enrutamiento. Especifique el tipo devrfinstancia y especifique la interfaz de núcleo de Gigabit Ethernet. Configure un distinguidor de ruta para crear un prefijo de dirección VPN-IPv4 único. Configure un destino de ruta para la VPN. Configure el grupo par del BGP dentro del VRF. Especifique el AS 200 como el AS par y especifique la dirección IP de la interfaz de Gigabit Ethernet en el enrutador ASBR2 como la dirección de vecino.[edit routing instances] To_ASBR2{ instance-type vrf; interface ge-0/1/1.0; route-distinguisher 1:100; vrf-target target:1:100; protocols { bgp { group To_ASBR2 { type external; neighbor 192.168.3.8 { peer-as 200; } } } } }En el enrutador ASBR1, configure los protocolos RSVP y MPLS para admitir el LSP especificando la interfaz Gigabit Ethernet que está frente al enrutador P1.
Configure el protocolo OSPF especificando la interfaz Gigabit Ethernet que está frente al enrutador P1 y la interfaz lógica de circuito cerrado. Habilite el OSPF para admitir extensiones de ingeniería de tráfico.
[edit protocols] rsvp { interface ge-0/0/0.0; interface lo0.0; } mpls { label-switched-path To_PE1 { to 192.0.2.2; } interface lo0.0; interface ge-0/0/0.0; } ospf { traffic-engineering; area 0.0.0.0 { interface ge-0/0/0.0; interface lo0.0; } }En el enrutador ASBR1, cree el
To-PE1grupo par BGP interno. Especifique la dirección del par IP local como dirección locallo0.0. Especifique la dirección del par IP vecino como lalo0.0dirección de interfaz del enrutador PE1.[edit protocols] bgp { group To-PE1 { type internal; local-address 192.0.2.4; neighbor 192.0.2.2 { family inet-vpn { unicast; } } } }En el enrutador ASBR1, configure el número de sistema autónomo local del BGP.
[edit routing-options] autonomous-system 100;
Configuración del enrutador ASBR2
Procedimiento paso a paso
En el enrutador ASBR2, configure las direcciones IP para las interfaces de Gigabit Ethernet. Habilite las interfaces para procesar las
inetfamilias de direcciones ympls. Configure la dirección IP para lalo0.0interfaz de circuito cerrado y habilite la interfaz para procesar la familia deinetdirecciones.[edit interfaces] ge-0/1/1 { unit 0 { family inet { address 192.168.3.8/24; } family mpls; } } ge-0/2/3 { unit 0 { family inet { address 192.168.4.10/24; } family mpls; } } lo0 { unit 0 { family inet { address 192.0.2.5/32; } } }En el enrutador ASBR2, configure la instancia de
To_ASBR1enrutamiento. Especifique el tipo devrfinstancia y especifique la interfaz de núcleo de Gigabit Ethernet. Configure un distinguidor de ruta para crear un prefijo de dirección VPN-IPv4 único. Configure un destino de ruta para la VPN. Configure el grupo par del BGP dentro del VRF. Especifique el AS 100 como el AS par y especifique la dirección IP de la interfaz de Gigabit Ethernet en el enrutador ASBR1 como la dirección de vecino.[edit routing-instances] To_ASBR1 { instance-type vrf; interface ge-0/1/1.0; route-distinguisher 1:100; vrf-target target:1:100; protocols { bgp { group To_ASBR1 { type external; neighbor 192.168.3.7 { peer-as 100; } } } } }En el enrutador ASBR2, configure los protocolos RSVP y MPLS para admitir el LSP especificando la interfaz Gigabit Ethernet que está frente al enrutador P2.
Configure el protocolo OSPF especificando la interfaz Gigabit Ethernet que está frente al enrutador P2 y la interfaz lógica de circuito cerrado. Habilite el OSPF para admitir extensiones de ingeniería de tráfico.
[edit protocols] rsvp { interface ge-0/2/3.0; interface lo0.0; } mpls { label-switched-path To_PE2 { to 192.0.2.7; } interface lo0.0; interface ge-0/2/3.0; } ospf { traffic-engineering; area 0.0.0.0 { interface ge-0/2/3.0; interface lo0.0; } }En el enrutador ASBR2, cree el
To-PE2grupo par BGP interno. Especifique la dirección del par IP local como dirección locallo0.0. Especifique la dirección del par IP vecino como lalo0.0dirección de interfaz del enrutador PE2.[edit protocols] bgp { group To-PE2 { type internal; local-address 192.0.2.5; neighbor 192.0.2.7 { family inet-vpn { unicast; } } }En el enrutador ASBR2, configure el número de sistema autónomo local del BGP.
[edit routing-options] autonomous-system 200;
Configuración del enrutador P2
Procedimiento paso a paso
En el enrutador P2, configure las direcciones IP para las interfaces SONET y Gigabit Ethernet. Habilite las interfaces para procesar las
inetfamilias de direcciones ympls. Configure la dirección IP para lalo0.0interfaz de circuito cerrado y habilite la interfaz para procesar la familia deinetdirecciones.[edit interfaces] so-0/0/0 { unit 0 { family inet { address 192.168.5.11/24; } family mpls; } } ge-0/2/2 { unit 0 { family inet { address 192.168.4.12/24; } family mpls; } } lo0 { unit 0 { family inet { address 192.0.2.6/32; } } }En el enrutador P2, configure los protocolos RSVP y MPLS para admitir el LSP. Especifique las interfaces SONET y Gigabit Ethernet.
Configure el protocolo OSPF. Especifique las interfaces SONET y Gigabit Ethernet y especifique la interfaz lógica de circuito cerrado. Habilite el OSPF para admitir extensiones de ingeniería de tráfico.
[edit protocols] rsvp { interface so-0/0/0.0; interface ge-0/2/2.0; interface lo0.0; } mpls { interface lo0.0; interface ge-0/2/2.0; interface so-0/0/0.0; } ospf { traffic-engineering; area 0.0.0.0 { interface ge-0/2/2.0; interface so-0/0/0.0; interface lo0.0; } }
Configuración del enrutador PE2
Procedimiento paso a paso
En el enrutador PE2, configure direcciones IPv4 en las interfaces SONET, Fast Ethernet y de circuito cerrado lógico. Especifique la
inetfamilia de direcciones en todas las interfaces. Especifique lamplsfamilia de direcciones en las interfaces SONET y Fast Ethernet.[edit interfaces] so-0/0/1 { unit 0 { family inet { address 192.168.5.12/24; } family mpls; } } fe-0/3/1 { unit 0 { family inet { address 192.168.6.13/24; } family mpls; } lo0 { unit 0 { family inet { address 192.0.2.7/32; } } }En el enrutador PE2, configure la instancia de enrutamiento para VPN2. Especifique el tipo de
vrfinstancia y especifique la interfaz Fast Ethernet orientada al cliente. Configure un distinguidor de ruta para crear un prefijo de dirección VPN-IPv4 único. Aplique las políticas de importación y exportación de VRF para habilitar el envío y la recepción de destinos de ruta. Configure el grupo par del BGP dentro del VRF. Especifique as20como el AS par y especifique la dirección IP de la interfaz Fast Ethernet en el enrutador CE2 como la dirección de vecino.[edit routing-instances] vpn2CE2 { instance-type vrf; interface fe-0/3/1.0; route-distinguisher 1:100; vrf-import vpnimport; vrf-export vpnexport; protocols { bgp { group To_CE2 { peer-as 20; neighbor 192.168.6.14; } } } }En el enrutador PE2, configure los protocolos RSVP y MPLS para admitir el LSP. Configure el LSP a ASBR2 y especifique la dirección IP de la interfaz lógica de circuito cerrado en el enrutador ASBR2. Configure un grupo de BGP. Especifique el tipo de grupo como
internal. Especifique la dirección local como interfaz lógica de circuito cerrado en el enrutador PE2. Especifique la dirección de vecino como la interfaz lógica de circuito cerrado en el ASBR2 del enrutador. Especifique la familia de direcciones yunicastelinet-vpntipo de tráfico para permitir que el BGP lleve NLRI IPv4 para rutas VPN. Configure el protocolo OSPF. Especifique la interfaz SONET orientada al núcleo y especifique la interfaz de circuito cerrado lógico en el enrutador PE2.[edit protocols] rsvp { interface so-0/0/1.0; interface lo0.0; } mpls { label-switched-path To-ASBR2 { to 192.0.2.5; } interface so-0/0/1.0; interface lo0.0; } bgp { group To_ASBR2 { type internal; local-address 192.0.2.7; neighbor 192.0.2.5 { family inet-vpn { unicast; } } } } ospf { traffic-engineering; area 0.0.0.0 { interface so-0/0/1.0; interface lo0.0; } }En el enrutador PE2, configure el número de sistema autónomo local del BGP.
[edit routing-options] autonomous-system 200;
En el enrutador PE2, configure una política para agregar el destino de la ruta VRF a las rutas que se anuncian para esta VPN.
[edit policy-options] policy-statement vpnexport { term 1 { from protocol bgp; then { community add test_comm; accept; } } term 2 { then reject; } }En el enrutador PE2, configure una política para importar rutas del BGP que tengan
test_commla comunidad adjunta.[edit policy-options] policy-statement vpnimport { term 1 { from { protocol bgp; community test_comm; } then accept; } term 2 { then reject; } }En el enrutador PE2, defina la comunidad BGP
test_commcon un destino de ruta.[edit policy-options] community test_comm members target:1:100;
Configuración del enrutador CE2
Procedimiento paso a paso
En el enrutador CE2, configure la dirección IP y la familia de protocolos en la interfaz Fast Ethernet para el vínculo entre el enrutador CE2 y el enrutador PE2. Especifique el tipo de familia de
inetdirecciones.[edit interfaces] fe-3/0/0 { unit 0 { family inet { address 192.168.6.14/24; } } }En el enrutador CE2, configure la dirección IP y la familia de protocolo en la interfaz de circuito cerrado. Especifique el tipo de familia de
inetdirecciones.[edit interfaces lo0] lo0 { unit 0 { family inet { address 192.0.2.8/32; } } }En el enrutador CE2, defina una política denominada
myroutesque acepte rutas directas.[edit policy-options] policy-statement myroutes { from protocol direct; then accept; }En el enrutador CE2, configure un protocolo de enrutamiento. El protocolo de enrutamiento puede ser una ruta estática, RIP, OSPF, ISIS o EBGP. En este ejemplo, configuramos EBGP. Especifique el AS
200como el as par y especifique la dirección IP de vecino del BGP como la interfaz Fast Ethernet del enrutador PE2.[edit protocols] bgp { group To_PE2 { neighbor 192.168.6.13 { export myroutes; peer-as 200; } } }En el enrutador CE2, configure el número de sistema autónomo local del BGP.
[edit routing-options] autonomous-system 20;
Verificar la operación de VPN
Procedimiento paso a paso
Confirme la configuración en cada enrutador.
Nota:Las etiquetas MPLS que se muestran en este ejemplo serán diferentes a las etiquetas utilizadas en su configuración.
En el enrutador PE1, muestre las rutas de la
vpn2CE1instancia de enrutamiento mediante elshow ospf routecomando. Verifique que la192.0.2.1ruta se haya aprendido de OSPF.user@PE1> show ospf route instance vpn2CE1 Topology default Route Table: Prefix Path Route NH Metric NextHop Nexthop Type Type Type Interface addr/label 192.0.2.1 Intra Router IP 1 fe-1/2/3.0 198.51.100.1 192.0.2.1/32 Intra Network IP 1 fe-1/2/3.0 198.51.100.1 198.51.100.0/24 Intra Network IP 1 fe-1/2/3.0 198.51.100.1En el enrutador PE1, use el
show route advertising-protocolcomando para comprobar que el enrutador PE1 anuncia la192.0.2.1ruta al enrutador ASBR1 mediante MP-BGP con la etiqueta MPLS de VPN.user@PE1> show route advertising-protocol bgp 192.0.2.4 extensive vpn2CE1.inet.0: 6 destinations, 6 routes (6 active, 0 holddown, 0 hidden) * 192.0.2.1/32 (1 entry, 1 announced) BGP group To_PE1 type Internal Route Distinguisher: 1:100 VPN Label: 299856 Nexthop: Self Flags: Nexthop Change MED: 1 Localpref: 100 AS path: [100] I Communities: target:1:100 rte-type:0.0.0.2:1:0En el enrutador ASBR1, utilice el
show route receive-protocolcomando para comprobar que el enrutador recibe y acepta la ruta y la192.0.2.1coloca en la tabla deTo_ASBR2.inet.0enrutamiento.user@ASBR1> show route receive-protocol bgp 192.0.2.2 extensive inet.0: 7 destinations, 7 routes (7 active, 0 holddown, 0 hidden) inet.3: 1 destinations, 1 routes (1 active, 0 holddown, 0 hidden) To_ASBR2.inet.0: 4 destinations, 4 routes (4 active, 0 holddown, 0 hidden) * 192.0.2.1/32 (1 entry, 1 announced) Route Distinguisher: 1:100 VPN Label: 299856 Nexthop: 192.0.2.2 MED: 1 Localpref: 100 AS path: I Communities: target:1:100 rte-type:0.0.0.2:1:0 MPLS.0: 4 destinations, 4 routes (4 active, 0 holddown, 0 hidden) BGP.13VPN.0: 1 destinations, 1 routes (1 active, 0 holddown, 0 hidden) * 1:100:192.0.2.1/32 (1 entry, 0 announced) Route Distinguisher: 1:100 VPN Label: 299856 Nexthop: 192.0.2.2 MED: 1 Localpref: 100 AS path: I Communities: target:1:100 rte-type:0.0.0.2:1:0En el enrutador ASBR1, use el comando para comprobar que el
show route advertising-protocolenrutador ASBR1 anuncie la192.0.2.1ruta al enrutador ASBR2.user@ASBR1> show route advertising-protocol bgp 192.168.3.8 extensive To_ASBR2.inet.0: 4 destinations, 4 routes (4 active, 0 holddown, 0 hidden) * 192.0.2.1/32 (1 entry, 1 announced) BGP group To_ASBR2.inet.0 type External Nexthop: Self AS path: [100] I Communities: target:1:100 rte-type:0.0.0.2:1:0En el enrutador ASBR2, use el
show route receive-protocolcomando para comprobar que el enrutador recibe y acepta la ruta y la192.0.2.1coloca en la tabla deTo_ASBR1.inet.0enrutamiento.user@ASBR2> show route receive-protocol bgp 192.168.3.7 extensive inet.0: 7 destinations, 7 routes (7 active, 0 holddown, 0 hidden) inet.3: 1 destinations, 1 routes (1 active, 0 holddown, 0 hidden) To_ASBR1.inet.0: 4 destinations, 4 routes (4 active, 0 holddown, 0 hidden) * 192.0.2.1/32 (1 entry, 1 announced) Accepted Nexthop: 192.168.3.7 AS path: 100 I Communities: target:1:100 rte-type:0.0.0.2:1:0 MPLS.0: 4 destinations, 4 routes (4 active, 0 holddown, 0 hidden) BGP.l3VPN.0: 1 destinations, 1 routes (1 active, 0 holddown, 0 hidden)En el enrutador ASBR2, utilice el comando para comprobar que el
show route advertising-protocolenrutador ASBR2 anuncia la192.0.2.1ruta al enrutador PE2.user@ASBR2> show route advertising-protocol bgp 192.0.2.7 extensive To_ASBR1.inet.0: 4 destinations, 4 routes (4 active, 0 holddown, 0 hidden) * 192.0.2.1/32 (1 entry, 1 announced) BGP group To-PE2 type Internal Route Distinguisher: 1:100 VPN Label: 299936 Nexthop: Self Flags: Nexthop Change Localpref: 100 AS path: [200] 100 I Communities: target:1:100 rte-type:0.0.0.2:1:0En el enrutador PE2, use el
show route receive-protocolcomando para comprobar que el enrutador recibe y acepta la ruta, y la192.0.2.1coloca en la tabla devpn2CE2.inet.0enrutamiento.user@PE2> show route receive-protocol bgp 192.0.2.5 extensive inet.0: 12 destinations, 13 routes (12 active, 0 holddown, 0 hidden) inet.3: 1 destinations, 1 routes (1 active, 0 holddown, 0 hidden) __juniper_private1__.inet.0: 14 destinations, 14 routes (8 active, 0 holddown, 6 hidden) __juniper_private2__.inet.0: 1 destinations, 1 routes (0 active, 0 holddown, 1 hidden) vpn2CE2.inet.0: 5 destinations, 6 routes (5 active, 0 holddown, 0 hidden) * 192.0.2.1/32 (1 entry, 1 announced) Accepted Route Distinguisher: 1:100 VPN Label: 299936 Nexthop: 192.0.2.5 Localpref: 100 AS path: 100 I AS path: Recorded Communities: target:1:100 rte-type:0.0.0.2:1:0En el enrutador PE2, use el
show route advertising-protocolcomando para comprobar que el enrutador PE2 anuncia la192.0.2.1ruta al enrutador CE2 a través delTo_CE2grupo de pares.user@PE2> show route advertising-protocol bgp 192.168.6.14 extensive vpn2CE2.0: 5 destinations, 6 routes (5 active, 0 holddown, 0 hidden) * 192.0.2.1/32 (1 entry, 1 announced) BGP group To_CE2 type External Nexthop: Self AS path: [200] 100 I Communities: target:1:100 rte-type:0.0.0.2:1:0En el enrutador CE2, use el comando para comprobar que el
show routeenrutador CE2 recibe la ruta del192.0.2.1enrutador PE2.user@CE2> show route 192.0.2.1 inet.0: 6 destinations, 6 routes (6 active, 0 holddown, 0 hidden) + = Active Route, - = Last Active, * = Both 192.0.2.1/32 *[BGP/170] 00:25:36, localpref 100 AS path: 200 100 I > to 192.168.6.13 via fe-3/0/0.0En el enrutador CE2, use el
pingcomando y especifique192.0.2.8como el origen de los paquetes de ping para verificar la conectividad con el enrutador CE1.user@CE2> ping 192.0.2.1 source 192.0.2.8 PING 192.0.2.1 (192.0.2.1): 56 data bytes 64 bytes from 192.0.2.1: icmp_seq=0 ttl=58 time=4.672 ms 64 bytes from 192.0.2.1: icmp_seq=1 ttl=58 time=10.480 ms 64 bytes from 192.0.2.1: icmp_seq=2 ttl=58 time=10.560 ms
En el enrutador PE2, utilice el
show routecomando para comprobar que el tráfico se envía con una etiqueta interna de299936y una etiqueta superior de299776.user@PE2> show route 192.0.2.1 detail vpn2CE2.inet.0: 5 destinations, 6 routes (5 active, 0 holddown, 0 hidden) 192.0.2.1/32 (1 entry, 1 announced) *BGP Preference: 170/-101 Route Distinguisher: 1:100 Next hop type: Indirect Next-hop reference count: 6 Source: 192.0.2.5 Next hop type: Router, Next hop index: 648 Next hop: via so-0/0/1.0 weight 0x1, selected Label-switched-path To-ASBR2 Label operation: Push 299936, Push 299776(top) Protocol next hop: 192.0.2.5 Push 299984 Indirect next hop: 8c6109c 262143 State: <Secondary Active Int Ext> Local AS: 200 Peer AS: 200 Age: 3:37 Metric2: 2 Task: BGP_200.192.0.2.5+179 Announcement bits (3): 0-RT 1-KRT 2-BGP RT Background AS path: 100 I AS path: Recorded Communities: target:1:100 rte-type:0.0.0.2:1:0 Accepted VPN Label: 299984 Localpref: 100 Router ID: 192.0.2.5 Primary Routing Table BGP.l3VPN.0En el enrutador ASBR2, use el
show route tablecomando para comprobar que el enrutador ASBR2 recibe el tráfico.user@ASBR2# show route table mpls.0 detail 299936 (1 entry, 1 announced) *VPN Preference: 170 Next hop type: Router, Next hop index: 649 Next-hop reference count: 2 Source: 192.168.3.7 Next hop: 192.168.3.7 via ge-0/1/1.0, selected Label operation: Pop State: <Active Int Ext> Local AS: 200 Age: 9:54 Task: BGP RT Background Announcement bits (1): 0-KRT AS path: 100 I Ref Cnt: 1 Communities: target:1:100 rte-type:0.0.0.2:1:0En el enrutador ASBR2, use el
show route tablecomando para comprobar que el enrutador ASBR2 recibe el tráfico.user@ASBR2# show route 192.0.2.1 detail To_ASBR1.inet.0: 4 destinations, 4 routes (4 active, 0 holddown, 0 hidden) 192.0.2.1/32 (1 entry, 1 announced) *BGP Preference: 170/-101 Next hop type: Router, Next hop index: 576 Next-hop reference count: 3 Source: 192.168.3.7 Next hop: 192.168.3.7 via ge-0/1/1.0, selected State: <Active Ext> Peer AS: 100 Age: 13:07 Task: BGP_192.168.3.7+53372 Announcement bits (2): 0-KRT 1-BGP RT Background AS path: 100 I Communities: target:1:100 rte-type:0.0.0.2:1:0 Accepted Localpref: 100 Router ID: 192.168.3.7En el enrutador ASBR1, utilice el
show routecomando para comprobar que ASBR1 envía tráfico hacia PE1 con la etiqueta superior y la etiqueta299792299856VPN.user@ASBR1# show route 192.0.2.1 detail To_ASBR2.inet.0: 4 destinations, 4 routes (4 active, 0 holddown, 0 hidden) 192.0.2.1/24 (1 entry, 1 announced) *BGP Preference: 170/-101 Route Distinguisher: 1:100 Next hop type: Indirect Next-hop reference count: 3 Source: 192.0.2.2 Next hop type: Router, Next hop index: 669 Next hop: 192.168.2.5 via ge-0/0/0.0 weight 0x1, selected Label-switched-path To_PE1 Label operation: Push 299856, Push 299792(top) Protocol next hop: 192.0.2.2 Push 299856 Indirect next hop: 8af70a0 262143 State: <Secondary Active Int Ext> Local AS: 100 Peer AS: 100 Age: 12:15 Metric: 1 Metric2: 2 Task: BGP_100.192.0.2.2+58065 Announcement bits (2): 0-KRT 1-BGP RT Background AS path: I Communities: target:1:100 rte-type:0.0.0.2:1:0 VPN Label: 299856 Localpref: 100 Router ID: 192.0.2.2 Primary Routing Table BGP.l3VPN.0En el enrutador PE1, utilice el
show route tablecomando para comprobar que el enrutador PE1 recibe el tráfico con etiqueta299856, abre la etiqueta, l y el tráfico se envía al enrutador CE1 a través de la interfazfe-1/2/3.0.lab@PE1# show route table mpls.0 detail 299856 (1 entry, 1 announced) *VPN Preference: 170 Next hop type: Router, Next hop index: 666 Next-hop reference count: 2 Next hop: 198.51.100.8 via fe-1/2/3.0, selected Label operation: Pop State: <Active Int Ext> Local AS: 100 Age: 17:38 Task: BGP RT Background Announcement bits (1): 0-KRT AS path: I Ref Cnt: 1 Communities: rte-type:0.0.0.2:1:0En el enrutador PE1, utilice el
show routecomando para comprobar que PE1 recibe el tráfico después de que la etiqueta superior sea activada por el enrutador P y el tráfico se envíe al enrutador CE1 a través de la interfazfe-1/2/3.0.lab@PE1# show route 192.0.2.1 detail vpn2CE1.inet.0: 6 destinations, 6 routes (6 active, 0 holddown, 0 hidden) 192.0.2.1/32 (1 entry, 1 announced) *OSPF Preference: 10 Next hop type: Router, Next hop index: 634 Next-hop reference count: 3 Next hop: 198.51.100.8 via fe-1/2/3.0, selected State: <Active Int> Age: 18:42 Metric: 1 Area: 0.0.0.2 Task: VPN2alice-OSPFv2 Announcement bits (2): 2-KRT 3-BGP RT Background AS path: I Communities: rte-type:0.0.0.2:1:0
Ejemplo: Configuración de vpn de capa 3 de interproveedor opción B
La opción B de VPN de capa 3 del interproveedor proporciona la redistribución del EBGP del interproveedor de rutas VPN-IPv4 etiquetadas del AS al AS vecino. Se considera que esta solución es más escalable que la opción A, pero no tan escalable como la opción C.
En este ejemplo, se proporciona un procedimiento paso a paso para configurar la opción B de VPN de capa 3 del interproveedor, que es una de las implementaciones recomendadas de una VPN MPLS para un cliente que tiene más de un AS, pero que no todos los AS del cliente pueden ser operados por el mismo proveedor de servicios. Se organiza en las siguientes secciones:
Requisitos
En este ejemplo, se utilizan los siguientes componentes de hardware y software:
-
Junos OS versión 9.5 o posterior.
- Este ejemplo se ha actualizado y revalidado recientemente en Junos OS versión 21.1R1.
-
Ocho enrutadores de Juniper Networks serie M , T , serie TX , QFX10000 o serie MX .
Descripción general de la configuración y topología
La opción B de VPN de capa 3 del interproveedor es una solución algo escalable para el problema de proporcionar servicios VPN a un cliente que tiene diferentes sitios, no todos los cuales pueden usar el mismo proveedor de servicios. RfC 4364, sección 10, se refiere a este método como redistribución ebGP interproveedor de rutas VPN-IPv4 etiquetadas del AS al AS vecino.
En la topología que se muestra en la figura 1, se producen los siguientes eventos:
-
Los enrutadores de PE usan IBGP para redistribuir rutas etiquetadas VPN-IPv4 a un ASBR.
-
Luego, el ASBR usa EBGP para redistribuir esas rutas etiquetadas VPN-IPv4 a un ASBR en otro AS, el cual las distribuye a los enrutadores de PE en ese AS.
-
Las rutas etiquetadas como VPN-IPv4 se distribuyen entre enrutadores ASBR en cada sitio. No es necesario definir una instancia de enrutamiento y reenvío (VRF) de VPN independiente para cada VPN común que resida en dos PROVEEDORES diferentes.
-
El enrutador PE2 distribuye rutas VPN-IPv4 al enrutador ASBR2 mediante MP-IBGP.
-
El enrutador ASBR2 distribuye estas rutas etiquetadas como VPN-IPv4 al enrutador ASBR1, mediante el uso de la sesión MP-EBGP entre ellos.
-
El enrutador ASBR1 redistribuye esas rutas al enrutador PE1 mediante MP-IBGP. Cada vez que se anuncia una etiqueta, los enrutadores cambian la información y las etiquetas del próximo salto.
-
Se establece una ruta MPLS entre el enrutador PE1 y el ENRUTADOR PE2. Esta ruta permite cambiar el atributo del salto siguiente para las rutas que se aprenden del enrutador sp vecino y asigna la etiqueta entrante para las rutas dadas a la etiqueta de salida anunciada para enrutadores pe de la red interna.
-
El enrutador de PE de entrada inserta dos etiquetas en el paquete IP procedente del cliente final. La etiqueta interna es para las rutas VPN-IPv4 aprendidas de ASBR internos y la etiqueta externa es para la ruta al ASBR interno, obtenida a través del protocolo de reserva de recursos (RSVP) o el protocolo de distribución de etiquetas (LDP).
-
Cuando un paquete llega al ASBR, elimina la etiqueta externa (cuando se utiliza señalización explicit-null; de lo contrario, el penúltimo salto de salto (PHP) saca la etiqueta) e intercambia la etiqueta interna con la etiqueta obtenida del ASBR vecino a través de la etiqueta mp-EBGP y anuncios de prefijo.
-
El segundo ASBR intercambia la etiqueta VPN-IPv4 y empuja otra etiqueta para llegar al enrutador de PE en su propio AS.
-
El proceso restante es el mismo que para una VPN normal.
En esta solución, los enrutadores ASBR mantienen todas las rutas VPN-IPv4 en la base de información de enrutamiento (RIB), y las etiquetas asociadas con los prefijos se mantienen en la base de información de reenvío (FIB). Dado que las tablas RIB y FIB pueden ocupar gran parte de la memoria asignada respectiva, esta solución no es muy escalable para una VPN de interproveedor.
Si se utiliza un SP de tránsito entre el SP1 y el SP2, el SP de tránsito también tiene que mantener todas las rutas VPN-IPv4 en el RIB y las etiquetas correspondientes en la FIB. Los ASBR en el SP de tránsito tienen la misma funcionalidad que los ASBR en las redes SP1 o SP2 de esta solución.
Topología
La topología de la red se muestra en la Figura 3.
Configuración
El procedimiento que se presenta aquí está escrito con la suposición de que el lector ya está familiarizado con la configuración de MVPN de MPLS. En este ejemplo, se explica la configuración única necesaria para las soluciones de operadora de operadoras para servicios VPN a diferentes sitios.
Para configurar la opción B de VPN de capa 3, realice las siguientes tareas:
- Configuración del enrutador CE1
- Configuración del enrutador PE1
- Configuración del enrutador P1
- Configuración del enrutador ASBR1
- Configuración del enrutador ASBR2
- Configuración del enrutador P2
- Configuración del enrutador PE2
- Configuración del enrutador CE2
- Verificar la operación de VPN
Configuración del enrutador CE1
Procedimiento paso a paso
-
En el enrutador CE1, configure la dirección IP y la familia de protocolo en la interfaz lógica de circuito cerrado y la interfaz de Gigabit Ethernet para el vínculo entre el enrutador CE1 y el enrutador PE1. Especifique el tipo de familia de
inetdirecciones.user@CE1# set interfaces ge-0/0/0 description to_PE1 set interfaces ge-0/0/0 unit 0 family inet address 172.16.1.1/30 set interfaces lo0 unit 0 family inet address 192.168.1.1/32
-
En el enrutador CE1, configure el ID del enrutador.
user@CE1# set routing-options router-id 192.168.1.1
-
En el enrutador CE1, configure un protocolo de enrutamiento. Incluya la interfaz lógica para el vínculo entre el enrutador CE1 y el enrutador PE1 y la interfaz lógica de circuito cerrado del enrutador CE1. El protocolo de enrutamiento puede ser una ruta estática, RIP, OSPF, ISIS o EBGP. En este ejemplo, configuramos OSPF.
user@CE1# set protocols ospf area 0.0.0.0 interface ge-0/0/0.0 set protocols ospf area 0.0.0.0 interface lo0.0
Configuración del enrutador PE1
Procedimiento paso a paso
-
En el enrutador PE1, configure direcciones IPv4 en gigabit Ethernet y en las interfaces lógicas de circuito cerrado. Especifique la
inetfamilia de direcciones en todas las interfaces. Especifique lamplsfamilia de direcciones en la interfaz de núcleo.user@PE1# set interfaces ge-0/0/0 description to_CE1 set interfaces ge-0/0/0 unit 0 family inet address 172.16.1.2/30 set interfaces ge-0/0/1 description to_P1 set interfaces ge-0/0/1 unit 0 family inet address 10.1.1.1/30 set interfaces ge-0/0/1 unit 0 family mpls set interfaces lo0 unit 0 family inet address 192.168.100.1/32
-
En el enrutador PE1, configure una instancia de enrutamiento VRF. Especifique el tipo de
vrfinstancia y especifique la interfaz orientada al cliente. Configure un distinguidor de ruta para crear un prefijo de dirección VPN-IPv4 único. Aplique las políticas de importación y exportación de VRF para habilitar el envío y la recepción de destinos de ruta. Configure el protocolo OSPF dentro del VRF. Especifique la interfaz orientada al cliente y especifique la política de exportación para exportar rutas del BGP a OSPF.user@PE1# set routing-instances to_CE1 instance-type vrf set routing-instances to_CE1 protocols ospf area 0.0.0.0 interface ge-0/0/0.0 set routing-instances to_CE1 protocols ospf export bgp-to-ospf set routing-instances to_CE1 interface ge-0/0/0.0 set routing-instances to_CE1 route-distinguisher 192.168.100.1:1 set routing-instances to_CE1 vrf-import vpnimport set routing-instances to_CE1 vrf-export vpnexport
-
En el enrutador PE1, configure los protocolos RSVP y MPLS para que admitan la ruta conmutada por etiquetas (LSP). Configure el LSP al enrutador ASBR1 y especifique la dirección IP de la interfaz lógica de circuito cerrado en el enrutador ASBR1. Configure un grupo de BGP. Especifique el tipo de grupo como
internal. Especifique la dirección local como la interfaz lógica de circuito cerrado en el enrutador PE1. Especifique la dirección del vecino como la interfaz lógica de circuito cerrado en el enrutador ASBR1. Especifique la familia de direcciones yunicastelinet-vpntipo de tráfico para permitir que el BGP lleve la información de accesibilidad de la capa de red IPv4 (NLRI) para rutas VPN. Configure el protocolo OSPF. Especifique la interfaz de núcleo y especifique la interfaz de circuito cerrado lógico en el enrutador PE1.user@PE1# set protocols bgp group to-ASBR1 type internal set protocols bgp group to-ASBR1 local-address 192.168.100.1 set protocols bgp group to-ASBR1 neighbor 192.168.100.3 family inet-vpn unicast set protocols mpls label-switched-path to-ASBR1 to 192.168.100.3 set protocols mpls interface ge-0/0/1.0 set protocols mpls interface lo0.0 set protocols ospf traffic-engineering set protocols ospf area 0.0.0.0 interface ge-0/0/1.0 set protocols ospf area 0.0.0.0 interface lo0.0 set protocols rsvp interface ge-0/0/1.0 set protocols rsvp interface lo0.0
-
En el enrutador PE1, configure el número de sistema autónomo local del BGP y el ID del enrutador.
user@PE1# set routing-options router-id 192.168.100.1 set routing-options autonomous-system 65100
-
En el enrutador PE1, configure una política para exportar las rutas del BGP a OSPF.
user@PE1# set policy-options policy-statement bgp-to-ospf term 1 from protocol bgp set policy-options policy-statement bgp-to-ospf term 1 then accept set policy-options policy-statement bgp-to-ospf term 2 then reject
-
En el enrutador PE1, configure una política para agregar el destino de la ruta VRF a las rutas que se anuncian desde CE1.
user@PE1# set policy-options policy-statement vpnexport term 1 from protocol ospf set policy-options policy-statement vpnexport term 1 then community add pe1_comm set policy-options policy-statement vpnexport term 1 then accept set policy-options policy-statement vpnexport term 2 then reject
-
En el enrutador PE1, configure una política para importar rutas de PE2 que tengan la
pe2_commcomunidad adjunta.user@PE1# set policy-options policy-statement vpnimport term 1 from protocol bgp set policy-options policy-statement vpnimport term 1 from community pe2_comm set policy-options policy-statement vpnimport term 1 then accept set policy-options policy-statement vpnimport term 2 then reject
-
En el enrutador PE1, defina la
pe1_commcomunidad de BGP con un objetivo de ruta para aplicar a la vpnexport política y la comunidad depe2_commBGP con un destino de ruta para aplicar a la vpnimport política.user@PE1# set policy-options community pe1_comm members target:65100:1 set policy-options community pe2_comm members target:65200:1
Configuración del enrutador P1
Procedimiento paso a paso
-
En el enrutador P1, configure las direcciones IP para las interfaces de Gigabit Ethernet. Habilite las interfaces para procesar las
inetfamilias de direcciones ympls. Configure las direcciones IP para lalo0.0interfaz de circuito cerrado y habilite la interfaz para procesar la familia deinetdirecciones.user@P1# set interfaces ge-0/0/0 description to_PE1 set interfaces ge-0/0/0 unit 0 family inet address 10.1.1.2/30 set interfaces ge-0/0/0 unit 0 family mpls set interfaces ge-0/0/1 description to_ASBR1 set interfaces ge-0/0/1 unit 0 family inet address 10.1.2.1/30 set interfaces ge-0/0/1 unit 0 family mpls set interfaces lo0 unit 0 family inet address 192.168.100.2/32
-
En el enrutador P1, configure los protocolos RSVP y MPLS para que admita el LSP. Especifique las interfaces de Gigabit Ethernet.
Configure el protocolo OSPF. Especifique las interfaces de Gigabit Ethernet y especifique la interfaz lógica de circuito cerrado. Habilite el OSPF para admitir extensiones de ingeniería de tráfico.
user@P1# set protocols mpls interface ge-0/0/0.0 set protocols mpls interface ge-0/0/1.0 set protocols mpls interface lo0.0 set protocols ospf traffic-engineering set protocols ospf area 0.0.0.0 interface ge-0/0/0.0 set protocols ospf area 0.0.0.0 interface ge-0/0/1.0 set protocols ospf area 0.0.0.0 interface lo0.0 set protocols rsvp interface ge-0/0/0.0 set protocols rsvp interface ge-0/0/1.0 set protocols rsvp interface lo0.0
Configuración del enrutador ASBR1
Procedimiento paso a paso
-
En el enrutador ASBR1, configure las direcciones IP para las interfaces de Gigabit Ethernet. Habilite las interfaces para procesar las
inetfamilias de direcciones ympls. Configure las direcciones IP para lalo0.0interfaz de circuito cerrado y habilite la interfaz para procesar la familia deinetdirecciones.user@ASBR1# set interfaces ge-0/0/0 description to_P1 set interfaces ge-0/0/0 unit 0 family inet address 10.1.2.2/30 set interfaces ge-0/0/0 unit 0 family mpls set interfaces ge-0/0/1 description to_ASBR2 set interfaces ge-0/0/1 unit 0 family inet address 172.16.12.1/30 set interfaces ge-0/0/1 unit 0 family mpls set interfaces lo0 unit 0 family inet address 192.168.100.3/32
-
En el enrutador ASBR1, configure los protocolos RSVP y MPLS para admitir el LSP especificando la interfaz Gigabit Ethernet frente al enrutador P1 y la
lo0.0interfaz lógica de circuito cerrado.Configure el protocolo OSPF especificando la interfaz Gigabit Ethernet que está frente al enrutador P1 y la interfaz lógica de circuito cerrado. Habilite el OSPF para admitir extensiones de ingeniería de tráfico.
user@ASBR1# set protocols mpls label-switched-path to-PE1 to 192.168.100.1 set protocols mpls interface ge-0/0/0.0 set protocols mpls interface lo0.0 set protocols ospf traffic-engineering set protocols ospf area 0.0.0.0 interface ge-0/0/0.0 set protocols ospf area 0.0.0.0 interface lo0.0 set protocols rsvp interface ge-0/0/0.0 set protocols rsvp interface lo0.0
-
En el enrutador ASBR1, cree el
to-PE1grupo par BGP interno. Especifique la dirección del par IP local como dirección locallo0.0. Especifique la dirección del par IP vecino como lalo0.0dirección de interfaz del enrutador PE1.user@ASBR1# set protocols bgp group to-PE1 type internal set protocols bgp group to-PE1 local-address 192.168.100.3 set protocols bgp group to-PE1 neighbor 192.168.100.1 family inet-vpn unicast
-
En el enrutador ASBR1, cree el
to-ASBR2grupo par de BGP externo. Habilite el enrutador para usar BGP para anunciar NLRI para rutas de unidifusión. Especifique la dirección del par IP vecino como la dirección de interfaz Gigabit Ethernet del enrutador ASBR2.user@ASBR1# set protocols bgp group to-ASBR2 type external set protocols bgp group to-ASBR2 family inet-vpn unicast set protocols bgp group to-ASBR2 neighbor 172.16.12.2 peer-as 65200
-
En el enrutador ASBR1, configure el número de sistema autónomo local del BGP el ID del enrutador.
user@ASBR1# set routing-options router-id 192.168.100.3 set routing-options autonomous-system 65100
Configuración del enrutador ASBR2
Procedimiento paso a paso
-
En el enrutador ASBR2, configure las direcciones IP para las interfaces de Gigabit Ethernet. Habilite las interfaces para procesar las
inetfamilias de direcciones ympls. Configure la dirección IP para lalo0.0interfaz de circuito cerrado y habilite la interfaz para procesar la familia deinetdirecciones.user@ASBR2# set interfaces ge-0/0/0 description to_ASBR1 set interfaces ge-0/0/0 unit 0 family inet address 172.16.12.2/30 set interfaces ge-0/0/0 unit 0 family mpls set interfaces ge-0/0/1 description to_P2 set interfaces ge-0/0/1 unit 0 family inet address 10.2.2.2/30 set interfaces ge-0/0/1 unit 0 family mpls set interfaces lo0 unit 0 family inet address 192.168.200.3/32
-
En el enrutador ASBR2, configure los protocolos RSVP y MPLS para admitir el LSP especificando la interfaz Gigabit Ethernet que está frente al enrutador P2.
Configure el protocolo OSPF especificando la interfaz Gigabit Ethernet que está frente al enrutador P2 y la interfaz lógica de circuito cerrado. Habilite el OSPF para admitir extensiones de ingeniería de tráfico.
user@ASBR2# set protocols mpls label-switched-path to-PE2 to 192.168.200.1 set protocols mpls interface ge-0/0/1.0 set protocols mpls interface lo0.0 set protocols ospf traffic-engineering set protocols ospf area 0.0.0.0 interface ge-0/0/1.0 set protocols ospf area 0.0.0.0 interface lo0.0 set protocols rsvp interface ge-0/0/1.0 set protocols rsvp interface lo0.0
-
En el enrutador ASBR2, cree el
to-PE2grupo par BGP interno. Especifique la dirección del par IP local como dirección locallo0.0. Especifique la dirección del par IP vecino como lalo0.0dirección de interfaz del enrutador PE2.user@ASBR2# set protocols bgp group to-PE2 type internal set protocols bgp group to-PE2 local-address 192.168.200.3 set protocols bgp group to-PE2 neighbor 192.168.200.1 family inet-vpn unicast
-
En el enrutador ASBR2, cree el
to-ASBR1grupo de pares de BGP externo. Habilite el enrutador para usar BGP para anunciar NLRI para rutas de unidifusión. Especifique la dirección del par IP vecino como interfaz Gigabit Ethernet en el enrutador ASBR1.user@ASBR2# set protocols bgp group to-ASBR1 type external set protocols bgp group to-ASBR1 family inet-vpn unicast set protocols bgp group to-ASBR1 neighbor 172.16.12.1 peer-as 65100
-
En el enrutador ASBR2, configure el número de sistema autónomo local del BGP y el ID del enrutador.
user@ASBR2# set routing-options router-id 192.168.200.3 set routing-options autonomous-system 65200
Configuración del enrutador P2
Procedimiento paso a paso
-
En el enrutador P2, configure las direcciones IP para las interfaces de Gigabit Ethernet. Habilite las interfaces para procesar las
inetfamilias de direcciones ympls. Configure la dirección IP para lalo0.0interfaz de circuito cerrado y habilite la interfaz para procesar la familia deinetdirecciones.user@P2# set interfaces ge-0/0/0 description to_ASBR2 set interfaces ge-0/0/0 unit 0 family inet address 10.2.2.1/30 set interfaces ge-0/0/0 unit 0 family mpls set interfaces ge-0/0/1 description to_PE2 set interfaces ge-0/0/1 unit 0 family inet address 10.2.1.2/30 set interfaces ge-0/0/1 unit 0 family mpls set interfaces lo0 unit 0 family inet address 192.168.200.2/32
-
En el enrutador P2, configure los protocolos RSVP y MPLS para admitir el LSP. Especifique las interfaces de Gigabit Ethernet.
Configure el protocolo OSPF. Especifique las interfaces de Gigabit Ethernet y especifique la interfaz lógica de circuito cerrado. Habilite el OSPF para admitir extensiones de ingeniería de tráfico.
user@P2# set protocols mpls interface ge-0/0/0.0 set protocols mpls interface ge-0/0/1.0 set protocols mpls interface lo0.0 set protocols ospf traffic-engineering set protocols ospf area 0.0.0.0 interface ge-0/0/0.0 set protocols ospf area 0.0.0.0 interface ge-0/0/1.0 set protocols ospf area 0.0.0.0 interface lo0.0 set protocols rsvp interface ge-0/0/0.0 set protocols rsvp interface ge-0/0/1.0 set protocols rsvp interface lo0.0
Configuración del enrutador PE2
Procedimiento paso a paso
-
En el enrutador PE2, configure las direcciones IPv4 en gigabit Ethernet y en las interfaces lógicas de circuito cerrado. Especifique la
inetfamilia de direcciones en todas las interfaces. Especifique lamplsfamilia de direcciones en las interfaces de Gigabit Ethernet.user@PE2# set interfaces ge-0/0/0 description to_P2 set interfaces ge-0/0/0 unit 0 family inet address 10.2.1.1/30 set interfaces ge-0/0/0 unit 0 family mpls set interfaces ge-0/0/1 description to_CE2 set interfaces ge-0/0/1 unit 0 family inet address 172.16.2.2/30 set interfaces lo0 unit 0 family inet address 192.168.200.1/32
-
En el enrutador PE2, configure una instancia de enrutamiento VRF. Especifique el tipo de
vrfinstancia y especifique la interfaz orientada al cliente. Configure un distinguidor de ruta para crear un prefijo de dirección VPN-IPv4 único. Aplique las políticas de importación y exportación de VRF para habilitar el envío y la recepción de destinos de ruta. Configure el grupo par del BGP dentro del VRF. Especifique el AS65020como el par de AS y especifique la dirección IP de la interfaz de Gigabit Ethernet en el enrutador CE1 como la dirección de vecino.user@PE2# set routing-instances to_CE2 instance-type vrf set routing-instances to_CE2 protocols bgp group to_CE2 peer-as 65020 set routing-instances to_CE2 protocols bgp group to_CE2 neighbor 172.16.2.1 set routing-instances to_CE2 interface ge-0/0/1.0 set routing-instances to_CE2 route-distinguisher 192.168.200.1:1 set routing-instances to_CE2 vrf-import vpnimport set routing-instances to_CE2 vrf-export vpnexport
-
En el enrutador PE2, configure los protocolos RSVP y MPLS para admitir el LSP. Configure el LSP a ASBR2 y especifique la dirección IP de la interfaz lógica de circuito cerrado en el enrutador ASBR2. Configure un grupo de BGP. Especifique el tipo de grupo como
internal. Especifique la dirección local como interfaz lógica de circuito cerrado en el enrutador PE2. Especifique la dirección de vecino como la interfaz lógica de circuito cerrado en el ASBR2 del enrutador. Especifique la familia de direcciones yunicastelinet-vpntipo de tráfico para permitir que el BGP lleve NLRI IPv4 para rutas VPN. Configure el protocolo OSPF. Especifique la interfaz de núcleo y la interfaz de circuito cerrado lógico en el enrutador PE2.user@PE2# set protocols bgp group to-ASBR2 type internal set protocols bgp group to-ASBR2 local-address 192.168.200.1 set protocols bgp group to-ASBR2 neighbor 192.168.200.3 family inet-vpn unicast set protocols mpls label-switched-path to-ASBR2 to 192.168.200.3 set protocols mpls interface ge-0/0/0.0 set protocols mpls interface lo0.0 set protocols ospf traffic-engineering set protocols ospf area 0.0.0.0 interface ge-0/0/0.0 set protocols ospf area 0.0.0.0 interface lo0.0 set protocols rsvp interface ge-0/0/0.0 set protocols rsvp interface lo0.0
-
En el enrutador PE2, configure el número de sistema autónomo local del BGP y el ID del enrutador.
user@PE2# set routing-options router-id 192.168.200.1 set routing-options autonomous-system 65200
-
En el enrutador PE2, configure una política para agregar el destino de la ruta VRF a las rutas que se anuncian desde CE2.
user@PE2# set policy-options policy-statement vpnexport term 1 from protocol bgp set policy-options policy-statement vpnexport term 1 then community add pe2_comm set policy-options policy-statement vpnexport term 1 then accept set policy-options policy-statement vpnexport term 2 then reject
-
En el enrutador PE2, configure una política para importar rutas de PE1 que tengan
pe1_commla comunidad adjunta.user@PE2# set policy-options policy-statement vpnimport term 1 from protocol bgp set policy-options policy-statement vpnimport term 1 from community pe1_comm set policy-options policy-statement vpnimport term 1 then accept set policy-options policy-statement vpnimport term 2 then reject
-
En el enrutador PE2, defina la
pe2_commcomunidad de BGP con un objetivo de ruta para aplicar a la vpnexport política y la comunidad depe1_commBGP con un destino de ruta para aplicar a la vpnimport políticauser@PE2# set policy-options community pe1_comm members target:65100:1 set policy-options community pe2_comm members target:65200:1
Configuración del enrutador CE2
Procedimiento paso a paso
-
En el enrutador CE2, configure la familia de dirección IP y protocolo en la interfaz lógica de circuito cerrado y la interfaz Gigabit Ethernet para el vínculo entre el enrutador CE2 y el enrutador PE2. Especifique el tipo de familia de
inetdirecciones.user@CE2# set interfaces ge-0/0/0 description to_PE2 set interfaces ge-0/0/0 unit 0 family inet address 172.16.2.1/30 set interfaces lo0 unit 0 family inet address 192.168.2.1/32
-
En el enrutador CE2, defina una política denominada
loopbackque coincida en la dirección de circuito cerrado para CE2.user@CE2# set policy-options policy-statement loopback term 1 from route-filter 192.168.2.1/32 exact set policy-options policy-statement loopback term 1 then accept
-
En el enrutador CE2, configure un protocolo de enrutamiento. El protocolo de enrutamiento puede ser una ruta estática, RIP, OSPF, ISIS o EBGP. En este ejemplo, configuramos EBGP. Especifique el AS
65200como el AS par y especifique la dirección IP de vecino del BGP como la interfaz Gigabit Ethernet del enrutador PE2. Incluya laexportinstrucción.user@CE2# set protocols bgp group to_PE2 export loopback set protocols bgp group to_PE2 peer-as 65200 set protocols bgp group to_PE2 neighbor 172.16.2.2
-
En el enrutador CE2, configure el número de sistema autónomo local del BGP y el ID del enrutador.
user@CE2# set routing-options router-id 192.168.2.1 set routing-options autonomous-system 65020
Verificar la operación de VPN
Procedimiento paso a paso
-
Confirme la configuración en cada enrutador.
Nota:Las etiquetas MPLS que se muestran en este ejemplo serán diferentes a las etiquetas utilizadas en su configuración.
-
En el enrutador PE1, muestre las rutas de la
to_CE1instancia de enrutamiento mediante elshow ospf routecomando. Verifique que la192.168.1.1ruta se haya aprendido de OSPF.user@PE1> show ospf route instance to_CE1 Topology default Route Table: Prefix Path Route NH Metric NextHop Nexthop Type Type Type Interface Address/LSP 192.168.1.1 Intra Router IP 1 ge-0/0/0.0 172.16.1.1 172.16.1.0/30 Intra Network IP 1 ge-0/0/0.0 192.168.1.1/32 Intra Network IP 1 ge-0/0/0.0 172.16.1.1 -
En el enrutador PE1, use el
show route advertising-protocolcomando para comprobar que el enrutador PE1 anuncia la192.168.1.1ruta al enrutador ASBR1 mediante MP-BGP con la etiqueta MPLS de VPN.user@PE1> show route advertising-protocol bgp 192.168.100.3 extensive to_CE1.inet.0: 5 destinations, 5 routes (5 active, 0 holddown, 0 hidden) * 192.168.1.1/32 (1 entry, 1 announced) BGP group to-ASBR1 type Internal Route Distinguisher: 192.168.100.1:1 VPN Label: 299808 Nexthop: Self Flags: Nexthop Change MED: 1 Localpref: 100 AS path: [65100] I Communities: target:65100:1 rte-type:0.0.0.0:1:0 -
En el enrutador ASBR1, utilice el
show route receive-protocolcomando para comprobar que el enrutador recibe y acepta la ruta y la192.168.1.1coloca en la tabla debgp.l3vpn.0enrutamiento.user@ASBR1> show route receive-protocol bgp 192.168.100.1 extensive inet.0: 15 destinations, 15 routes (15 active, 0 holddown, 0 hidden) inet.3: 1 destinations, 1 routes (1 active, 0 holddown, 0 hidden) mpls.0: 6 destinations, 6 routes (6 active, 0 holddown, 0 hidden) bgp.l3vpn.0: 2 destinations, 2 routes (2 active, 0 holddown, 0 hidden) * 192.168.100.1:1:192.168.1.1/32 (1 entry, 1 announced) Accepted Route Distinguisher: 192.168.100.1:1 VPN Label: 299808 Nexthop: 192.168.100.1 MED: 1 Localpref: 100 AS path: I Communities: target:65100:1 rte-type:0.0.0.0:1:0 -
En el enrutador ASBR1, use el comando para comprobar que el
show route advertising-protocolenrutador ASBR1 anuncie la192.168.1.1ruta al enrutador ASBR2.user@ASBR1> show route advertising-protocol bgp 172.16.12.2 extensive bgp.l3vpn.0: 2 destinations, 2 routes (2 active, 0 holddown, 0 hidden) * 192.168.100.1:1:192.168.1.1/32 (1 entry, 1 announced) BGP group to-ASBR2 type External Route Distinguisher: 192.168.100.1:1 VPN Label: 299824 Nexthop: Self Flags: Nexthop Change AS path: [65100] I Communities: target:65100:1 rte-type:0.0.0.0:1:0 -
En el enrutador ASBR2, use el
show route receive-protocolcomando para comprobar que el enrutador recibe y acepta la ruta y la192.168.1.1coloca en la tabla debgp.l3vpn.0enrutamiento.user@ASBR2> show route receive-protocol bgp 172.16.12.1 extensive inet.0: 15 destinations, 15 routes (15 active, 0 holddown, 0 hidden) inet.3: 1 destinations, 1 routes (1 active, 0 holddown, 0 hidden) mpls.0: 6 destinations, 6 routes (6 active, 0 holddown, 0 hidden) bgp.l3vpn.0: 2 destinations, 2 routes (2 active, 0 holddown, 0 hidden) * 192.168.100.1:1:192.168.1.1/32 (1 entry, 1 announced) Accepted Route Distinguisher: 192.168.100.1:1 VPN Label: 299824 Nexthop: 172.16.12.1 AS path: 65100 I Communities: target:65100:1 rte-type:0.0.0.0:1:0 -
En el enrutador ASBR2, utilice el comando para comprobar que el
show route advertising-protocolenrutador ASBR2 anuncia la192.168.1.1ruta al enrutador PE2.user@ASBR2> show route advertising-protocol bgp 192.168.200.1 extensive bgp.l3vpn.0: 2 destinations, 2 routes (2 active, 0 holddown, 0 hidden) * 192.168.100.1:1:192.168.1.1/32 (1 entry, 1 announced) BGP group to-PE2 type Internal Route Distinguisher: 192.168.100.1:1 VPN Label: 299824 Nexthop: Self Flags: Nexthop Change Localpref: 100 AS path: [65200] 65100 I Communities: target:65100:1 rte-type:0.0.0.0:1:0 -
En el enrutador PE2, use el
show route receive-protocolcomando para comprobar que el enrutador recibe y acepta la ruta, y la192.168.1.1coloca en la tabla deto_CE2.inet.0enrutamiento.user@PE2> show route receive-protocol bgp 192.168.200.3 extensive inet.0: 13 destinations, 13 routes (13 active, 0 holddown, 0 hidden) inet.3: 1 destinations, 1 routes (1 active, 0 holddown, 0 hidden) to_CE2.inet.0: 4 destinations, 4 routes (4 active, 0 holddown, 0 hidden) * 192.168.1.1/32 (1 entry, 1 announced) Import Accepted Route Distinguisher: 192.168.100.1:1 VPN Label: 299824 Nexthop: 192.168.200.3 Localpref: 100 AS path: 65100 I Communities: target:65100:1 rte-type:0.0.0.0:1:0 mpls.0: 5 destinations, 5 routes (5 active, 0 holddown, 0 hidden) bgp.l3vpn.0: 1 destinations, 1 routes (1 active, 0 holddown, 0 hidden) * 192.168.100.1:1:192.168.1.1/32 (1 entry, 0 announced) Import Accepted Route Distinguisher: 192.168.100.1:1 VPN Label: 299824 Nexthop: 192.168.200.3 Localpref: 100 AS path: 65100 I Communities: target:65100:1 rte-type:0.0.0.0:1:0 inet6.0: 1 destinations, 1 routes (1 active, 0 holddown, 0 hidden) to_CE2.inet6.0: 1 destinations, 1 routes (1 active, 0 holddown, 0 hidden) -
En el enrutador PE2, use el
show route advertising-protocolcomando para comprobar que el enrutador PE2 anuncia la192.168.1.1ruta al enrutador CE2 a través delto_CE2grupo de pares.user@PE2> show route advertising-protocol bgp 172.16.2.1 extensive to_CE2.inet.0: 4 destinations, 4 routes (4 active, 0 holddown, 0 hidden) * 192.168.1.1/32 (1 entry, 1 announced) BGP group to_CE2 type External Nexthop: Self AS path: [65200] 65100 I Communities: target:65100:1 rte-type:0.0.0.0:1:0 -
En el enrutador CE2, use el comando para comprobar que el
show routeenrutador CE2 recibe la ruta del192.168.1.1enrutador PE2.user@CE2> show route 192.168.1.1 inet.0: 10 destinations, 10 routes (10 active, 0 holddown, 0 hidden) + = Active Route, - = Last Active, * = Both 192.168.1.1/32 *[BGP/170] 6d 02:09:53, localpref 100 AS path: 65200 65100 I, validation-state: unverified > to 172.16.2.2 via ge-0/0/0.0 -
En el enrutador CE2, use el
pingcomando y especifique192.168.2.1como el origen de los paquetes de ping para verificar la conectividad con el enrutador CE1.user@CE2> ping 192.168.1.1 source 192.168.2.1 count 2 PING 192.168.1.1 (192.168.1.1): 56 data bytes 64 bytes from 192.168.1.1: icmp_seq=0 ttl=58 time=27.008 ms 64 bytes from 192.168.1.1: icmp_seq=1 ttl=58 time=40.004 ms --- 192.168.1.1 ping statistics --- 2 packets transmitted, 2 packets received, 0% packet loss round-trip min/avg/max/stddev = 27.008/33.506/40.004/6.498 ms
Nota:Para hacer ping de extremo a extremo sin obtener desde el circuito cerrado, asegúrese de anunciar las rutas de interfaz de PE a CE. Puede lograr esto de varias maneras, pero en este ejemplo, agregue el protocolo directamente a la
vpnexportpolítica en PE1 y PE2.
Ejemplo: Configuración de VPN de capa 3 de interproveedor opción C
La opción C de VPN de capa 3 del interproveedor ofrece redistribución de EBGP multihop entre varios proveedores de rutas VPN-IPv4 etiquetadas entre los AS de origen y destino, con redistribución de EBGP de rutas IPv4 etiquetadas del AS al AS vecino. En comparación con las opciones A y B, la opción C es la solución más escalable. Para configurar un servicio de VPN de la opción C de capa 3 interproveedor, debe configurar los enrutadores de borde del AS y los enrutadores de PE conectados a los enrutadores CE del cliente final mediante ebGP multihop.
En este ejemplo, se proporciona un procedimiento paso a paso para configurar la opción C de VPN de capa 3 del interproveedor, que es una de las implementaciones recomendadas de VPN MPLS cuando ese servicio es requerido por un cliente que tiene más de un AS, pero que no todos los AS del cliente pueden ser operados por el mismo proveedor de servicios (SP). Se organiza en las siguientes secciones:
Requisitos
En este ejemplo, se requieren los siguientes componentes de hardware y software:
Junos OS versión 9.5 o posterior.
Ocho enrutadores de borde multiservicio serie M de Juniper Networks, enrutadores de núcleo serie T , enrutadores de matriz de transmisión o plataformas de enrutamiento universal de 5G serie MX.
Descripción general de la configuración y topología
La opción C de VPN de capa 3 del interproveedor es una solución VPN de interproveedor muy escalable para el problema de proporcionar servicios VPN a un cliente que tiene diferentes sitios, no todos los cuales pueden usar el mismo SP.
La sección 10 del RFC 4364 hace referencia a este método como redistribución de EBGP multihop de rutas VPN-IPv4 etiquetadas entre AS de origen y destino, con redistribución de EBGP de rutas IPv4 etiquetadas de AS a AS vecinos.
Esta solución es similar a la que se describe en Implementación de la opción B de VPN de capa 3 del interproveedor, excepto que se anuncian rutas de unidifusión IPv4 internas en lugar de rutas de unidifusión VPN-IPv4-externas, mediante EBGP. Las rutas internas son internas a los SP leaf (SP1 y SP2 en este ejemplo), y las rutas externas son las aprendidas del cliente final que solicita servicios VPN.
En esta configuración:
Después de que el enrutador PE1 aprende la dirección de circuito cerrado del enrutador PE2 y la dirección de circuito cerrado del enrutador PE1 lo aprende el enrutador PE2, los enrutadores PE finales establecen una sesión MP-EBGP para intercambiar rutas VPN-IPv4.
Dado que las rutas VPN-IPv4 se intercambian entre enrutadores de PE final, cualquier otro enrutador en la ruta del enrutador PE1 y el enrutador PE2 no necesita mantener o instalar rutas VPN-IPv4 en sus tablas de base de información de enrutamiento (RIB) o de reenvío de base de información (FIB).
Se debe establecer una ruta MPLS entre el enrutador PE1 y el enrutador PE2.
El RFC 4364 describe solo una solución que utiliza un enfoque de BGP etiquetado de unidifusión. En este enfoque, los enrutadores ASBR anuncian las direcciones de circuito cerrado de los enrutadores de PE y asocian cada prefijo con una etiqueta de acuerdo con RFC 3107. Los proveedores de servicios pueden usar RSVP o LDP para establecer un LSP entre enrutadores ASBR y enrutadores de PE en su red interna.
En esta red, ASBR1 recibe información de etiquetas asociada con la dirección IP de circuito cerrado del enrutador PE1 y anuncia otra etiqueta al enrutador ASBR2 mediante mp-EBGP etiquetado unidifusión. Mientras tanto, los ASBR crean su propia tabla de reenvío MPLS de acuerdo con las etiquetas y rutas recibidas y anunciadas. El enrutador ASBR1 usa su propia dirección IP como información del siguiente salto.
El enrutador ASBR2 recibe este prefijo asociado con una etiqueta, asigna otra etiqueta, cambia la dirección del salto siguiente a su propia dirección y la anuncia en el enrutador PE1. El enrutador PE1 ahora tiene una actualización con la información de la etiqueta y el siguiente salto al enrutador ASBR1. Además, el enrutador PE1 ya tiene una etiqueta asociada con la dirección IP del enrutador ASBR1. Si el enrutador PE1 envía un paquete IP al enrutador PE2, empuja dos etiquetas: una para la dirección IP del enrutador PE2 (obtenida mediante el anuncio de unidifusión con la etiqueta MP-IBGP) y otra para la dirección IP del enrutador ASBR1 (obtenida mediante LDP o RSVP).
El ENRUTADOR ASBR1 luego extrae la etiqueta externa e intercambia la etiqueta interna con la etiqueta aprendida de un ASBR vecino para su enrutador de PE vecino. El enrutador ASBR2 realiza una función similar e intercambia la etiqueta entrante (solo una) y empuja otra etiqueta que está asociada con la dirección del enrutador PE2. El enrutador PE2 extrae ambas etiquetas y pasa el paquete IP restante a su propia CPU. Después de crear la conexión de extremo a extremo entre los enrutadores de PE, los enrutadores de PE establecen una sesión MP-EBGP para intercambiar rutas VPN-IPv4.
En esta solución, los enrutadores PE insertan tres etiquetas en el paquete IP que proviene del usuario final de VPN. La etiqueta más interna, obtenida mediante MP-EBGP, determina la instancia de enrutamiento y reenvío VPN (VRF) correcta en el PE remoto. La etiqueta intermedia está asociada con la dirección IP del PE remoto y se obtiene de un ASBR utilizando MP-IBGP labeled-unicast. La etiqueta externa está asociada con las direcciones IP de los ASBR y se obtiene mediante LDP o RSVP.
La topología física de la red se muestra en la figura 4.
Topología
Configuración
El procedimiento que se presenta aquí está escrito con la suposición de que el lector ya está familiarizado con la configuración de MVPN de MPLS. En este ejemplo, se explica la configuración única necesaria para las soluciones de operadora de operadoras para servicios VPN a diferentes sitios.
Para configurar la opción C de VPN de capa 3 del interproveedor, realice las siguientes tareas:
- Configuración del enrutador CE1
- Configuración del enrutador PE1
- Configuración del enrutador P1
- Configuración del enrutador ASBR1
- Configuración del enrutador ASBR2
- Configuración del enrutador P2
- Configuración del enrutador PE2
- Configuración del enrutador CE2
- Verificar la operación de VPN
Configuración del enrutador CE1
Procedimiento paso a paso
En el enrutador CE1, configure la dirección IP y la familia de protocolo en la interfaz Fast Ethernet para el vínculo entre el enrutador CE1 y el enrutador PE1. Especifique el tipo de familia de
inetdirecciones.[edit interfaces fe-0/0/1.0] family inet { address 198.51.100.1/24; }En el enrutador CE1, configure la dirección IP y la familia de protocolo en la interfaz de circuito cerrado. Especifique el tipo de familia de
inetdirecciones.[edit interfaces lo0] unit 0 { family inet { address 192.0.2.1/32; } }En el enrutador CE1, configure un protocolo de enrutamiento. El protocolo de enrutamiento puede ser una ruta estática, RIP, OSPF, ISIS o EBGP. En este ejemplo, configuramos OSPF. Incluya la interfaz lógica para el vínculo entre el enrutador CE1 y el enrutador PE1 y la interfaz lógica de circuito cerrado del enrutador CE1.
[edit protocols] ospf { area 0.0.0.2 { interface fe-0/0/1.0; interface lo0.0 { passive; } } }
Configuración del enrutador PE1
Procedimiento paso a paso
En el enrutador PE1, configure direcciones IPv4 en las interfaces SONET, Fast Ethernet y de circuito cerrado lógico. Especifique la
inetfamilia de direcciones en todas las interfaces. Especifique lamplsfamilia de direcciones en las interfaces SONET.[edit interfaces] so-0/2/0 { unit 0 { family inet { address 192.168.1.2/24; } family mpls; } } fe-1/2/3 { unit 0 { family inet { address 198.51.100.3/24; } } } lo0 { unit 0 { family inet { address 192.0.2.2/32; } } }En el enrutador PE1, configure la instancia de enrutamiento para VPN2. Especifique el tipo de
vrfinstancia y especifique la interfaz Fast Ethernet orientada al cliente. Configure un distinguidor de ruta para crear un prefijo de dirección VPN-IPv4 único. Aplique las políticas de importación y exportación de VRF para habilitar el envío y la recepción de destinos de ruta. Configure el protocolo OSPF dentro del VRF. Especifique la interfaz Fast Ethernet orientada al cliente y especifique la política de exportación para exportar rutas de BGP a OSPF.[edit routing-instances] vpn2CE1 { instance-type vrf; interface fe-1/2/3.0; route-distinguisher 1:100; vrf-import vpnimport; vrf-export vpnexport; protocols { ospf { export bgp-to-ospf; area 0.0.0.2 { interface fe-1/2/3.0; } } } }En el enrutador PE1, configure los protocolos RSVP y MPLS para admitir el LSP. Configure el LSP al enrutador ASBR1 y especifique la dirección IP de la interfaz lógica de circuito cerrado en el enrutador ASBR1. Configure el protocolo OSPF. Especifique la interfaz SONET de núcleo y especifique la interfaz de circuito cerrado lógico en el enrutador PE1.
[edit protocols] rsvp { interface so-0/2/0.0; interface lo0.0; } mpls { label-switched-path To-ASBR1 { to 192.0.2.4; } interface so-0/2/0.0; interface lo0.0; } ospf { traffic-engineering; area 0.0.0.0 { interface so-0/2/0.0; interface lo0.0 { passive; } } }En el enrutador PE1, configure el
To_ASBR1grupo BGP par. Especifique el tipo de grupo comointernal. Especifique la dirección local como la interfaz lógica de circuito cerrado en el enrutador PE1. Especifique la dirección del vecino como la interfaz lógica de circuito cerrado en el enrutador ASBR1. Especifique la familia deinetdirecciones. Para que un enrutador PE instale una ruta en vrf, el siguiente salto debe resolverse en una ruta almacenada en lainet.3tabla. Laslabeled-unicast resolve-vpninstrucciones permiten colocar rutas etiquetadas en la tabla de enrutamiento para lainet.3resolución de rutas, que luego se resuelven para conexiones del enrutador de PE en las que el PE remoto se encuentra en otro AS.[edit protocols] bgp { group To_ASBR1 { type internal; local-address 192.0.2.2; neighbor 192.0.2.4 { family inet { labeled-unicast { resolve-vpn; } } } } }En el enrutador PE1, configure ebGP de varias capas hacia PE2. Especifique la
inet-vpnfamilia.[edit protocols] bgp { group To_PE2 { multihop { ttl 20; } local-address 192.0.2.2; family inet-VPN { unicast; } neighbor 192.0.2.7 { peer-as 200; } } }En el enrutador PE1, configure el número de sistema autónomo local del BGP.
[edit routing-options] autonomous-system 100;
En el enrutador PE1, configure una política para exportar las rutas del BGP a OSPF.
[edit policy-options] policy-statement bgp-to-ospf { term 1 { from protocol bgp; then accept; } term 2 { then reject; } }En el enrutador PE1, configure una política para agregar el destino de ruta VRF a las rutas que se anuncian para esta VPN.
[edit policy-options] policy-statement vpnexport { term 1 { from protocol ospf; then { community add test_comm; accept; } } term 2 { then reject; } }En el enrutador PE1, configure una política para importar rutas del BGP que tengan
test_commla comunidad adjunta.[edit policy-options] policy-statement vpnimport { term 1 { from { protocol bgp; community test_comm; } then accept; } term 2 { then reject; } }En el enrutador PE1, defina la comunidad BGP
test_commcon un destino de ruta.[edit policy-options] community test_comm members target:1:100;
Configuración del enrutador P1
Procedimiento paso a paso
En el enrutador P1, configure las direcciones IP para las interfaces SONET y Gigabit Ethernet. Habilite las interfaces para procesar las
inetfamilias de direcciones ympls. Configure la dirección IP para lalo0.0interfaz de circuito cerrado y habilite la interfaz para procesar la familia deinetdirecciones.[edit interfaces] so-0/2/1 { unit 0 { family inet { address 192.168.1.4/24; } family mpls; } } ge-1/3/0 { unit 0 { family inet { address 192.168.2.5/24; } family mpls; } } lo0 { unit 0 { family inet { address 192.0.2.3/32; } } }En el enrutador P1, configure los protocolos RSVP y MPLS para que admita el LSP. Especifique las interfaces SONET y Gigabit Ethernet.
Configure el protocolo OSPF. Especifique las interfaces SONET y Gigabit Ethernet y especifique la interfaz lógica de circuito cerrado. Habilite el OSPF para admitir extensiones de ingeniería de tráfico.
[edit protocols] rsvp { interface so-0/2/1.0; interface ge-1/3/0.0; interface lo0.0; } mpls { interface lo0.0; interface ge-1/3/0.0; interface so-0/2/1.0; } ospf { traffic-engineering; area 0.0.0.0 { interface ge-1/3/0.0; interface so-0/2/1.0; interface lo0.0 { passive; } } }
Configuración del enrutador ASBR1
Procedimiento paso a paso
En el enrutador ASBR1, configure las direcciones IP para las interfaces de Gigabit Ethernet. Habilite las interfaces para procesar las
inetfamilias de direcciones ympls. Configure las direcciones IP para lalo0.0interfaz de circuito cerrado y habilite la interfaz para procesar la familia deinetdirecciones.[edit interfaces] ge-0/0/0 { unit 0 { family inet { address 192.168.2.6/24; } family mpls; } } ge-0/1/1 { unit 0 { family inet { address 192.168.3.7/24; } family mpls; } } lo0 { unit 0 { family inet { address 192.0.2.4/32; } } }En el enrutador ASBR1, configure los protocolos para que admita el LSP.
Configure el protocolo RSVP especificando la interfaz Gigabit Ethernet que está frente al enrutador P1 y la interfaz lógica de circuito cerrado.
Configure el protocolo MPLS especificando las interfaces de Gigabit Ethernet y la interfaz lógica de circuito cerrado. Incluya la
traffic-engineering bgp-igp-both-ribsinstrucción en el[edit protocols mpls]nivel de jerarquía.Configure el protocolo OSPF en la interfaz Gigabit Ethernet frente al enrutador P1 y la interfaz lógica de circuito cerrado. Habilite el OSPF para admitir extensiones de ingeniería de tráfico.
[edit protocols] rsvp { interface ge-0/0/0.0; interface lo0.0; } mpls { traffic-engineering bgp-igp-both-ribs; label-switched-path To_PE1 { to 192.0.2.2; } interface lo0.0; interface ge-0/0/0.0; interface ge-0/1/1.0; } ospf { traffic-engineering; area 0.0.0.0 { interface ge-0/0/0.0; interface lo0.0 { passive; } } }En el enrutador ASBR1, cree el
To-PE1grupo par BGP interno. Especifique la dirección del par IP local como dirección locallo0.0. Especifique la dirección del par IP vecino como la dirección de interfaz Gigabit Ethernet del enrutador PE1.[edit protocols] bgp { group To-PE1 { type internal; local-address 192.0.2.4; neighbor 192.0.2.2 { family inet { labeled-unicast; } export next-hop-self; } }En el enrutador ASBR1, cree el
To-ASBR2grupo par de BGP externo. Habilite el enrutador para usar el BGP para anunciar información de accesibilidad de la capa de red (NLRI) para rutas de unidifusión. Especifique la dirección del par IP vecino como dirección de interfaz Gigabit Ethernet en el enrutador ASBR2.[edit protocols] group To-ASBR2 { type external; family inet { labeled-unicast; } export To-ASBR2; neighbor 192.168.3.8 { peer-as 200; } }En el enrutador ASBR1, configure el número de sistema autónomo local del BGP.
[edit routing-options] autonomous-system 100;
En el enrutador ASBR 1, configure una política para importar rutas del BGP que coincidan con la ruta 192.0.2.2/24.
[edit policy-options] policy-statement To-ASBR2 { term 1 { from { route-filter 192.0.2.2/32 exact; } then accept; } term 2 { then reject; }En el enrutador ASBR 1, defina una política propia de próximo salto y aplíquela a las sesiones del IBGP.
[edit policy-options] policy-statement next-hop-self { then { next-hop self; } }
Configuración del enrutador ASBR2
Procedimiento paso a paso
En el enrutador ASBR2, configure las direcciones IP para las interfaces de Gigabit Ethernet. Habilite las interfaces para procesar las
inetfamilias de direcciones ympls. Configure la dirección IP para lalo0.0interfaz de circuito cerrado y habilite la interfaz para procesar la familia deinetdirecciones.[edit interfaces] ge-0/1/1 { unit 0 { family inet { address 192.168.3.8/24; } family mpls; } } ge-0/2/3 { unit 0 { family inet { address 192.168.4.9/24; } family mpls; } } lo0 { unit 0 { family inet { address 192.0.2.5/32; } } }En el enrutador ASBR2, configure los protocolos para que admita el LSP.
Configure el protocolo RSVP especificando la interfaz Gigabit Ethernet frente al enrutador P2 y la interfaz lógica de circuito cerrado.
Configure el protocolo MPLS especificando las interfaces de Gigabit Ethernet y la interfaz lógica de circuito cerrado. Incluya la
traffic-engineering bgp-igp-both-ribsinstrucción en el[edit protocols mpls]nivel de jerarquía.Configure el protocolo OSPF en la interfaz Gigabit Ethernet frente al enrutador P2 y la interfaz lógica de circuito cerrado. Habilite el OSPF para admitir extensiones de ingeniería de tráfico.
[edit protocols] rsvp { interface ge-0/2/3.0; interface lo0.0; } mpls { traffic-engineering bgp-igp-both-ribs; label-switched-path To_PE2 { to 192.0.2.7; } interface lo0.0 interface ge-0/2/3.0; interface ge-0/1/1.0; } ospf { traffic-engineering; area 0.0.0.0 { interface ge-0/2/3.0; interface lo0.0 { passive; } } }En el enrutador ASBR2, cree el
To-PE2grupo par BGP interno. Especifique la dirección del par IP local como dirección locallo0.0. Especifique la dirección del par IP vecino como lalo0.0dirección de interfaz del enrutador PE2.[edit protocols] bgp { group To-PE2 { type internal; local-address 192.0.2.5; export next-hop-self; neighbor 192.0.2.7 { family inet { labeled-unicast; } export next-hop-self; } } }En el enrutador ASBR2, cree el
To-ASBR1grupo de pares de BGP externo. Habilite el enrutador para usar BGP para anunciar NLRI para rutas de unidifusión. Especifique la dirección del par IP vecino como dirección de interfaz Gigabit Ethernet en el enrutador ASBR1.[edit protocols] bgp { group To-ASBR1 { type external; family inet { labeled-unicast; } export To-ASBR1; neighbor 192.168.3.7 { peer-as 100; } } }En el enrutador ASBR2 configure el número de sistema autónomo local del BGP.
[edit routing-options] autonomous-system 200;
En el enrutador ASBR2, configure una política para importar rutas del BGP que coincidan con la
192.0.2.7/24ruta.[edit policy-options] policy-statement To-ASBR1 { term 1 { from { route-filter 192.0.2.7/32 exact; } then accept; } term 2 { then reject; } }En el enrutador ASBR 2, defina una política propia de salto siguiente.
[edit policy-options] policy-statement next-hop-self { then { next-hop self; } }
Configuración del enrutador P2
Procedimiento paso a paso
En el enrutador P2, configure las direcciones IP para las interfaces SONET y Gigabit Ethernet. Habilite las interfaces para procesar las
inetfamilias de direcciones ympls. Configure las direcciones IP para lalo0.0interfaz de circuito cerrado y habilite la interfaz para procesar la familia deinetdirecciones.[edit interfaces] so-0/0/0 { unit 0 { family inet { address 192.168.5.10/24; } family mpls; } } ge-0/2/2 { unit 0 { family inet { address 192.168.4.11/24; } family mpls; } } lo0 { unit 0 { family inet { address 192.0.2.6/32; } } }En el enrutador P2, configure los protocolos RSVP y MPLS para admitir el LSP. Especifique las interfaces SONET y Gigabit Ethernet.
Configure el protocolo OSPF. Especifique las interfaces SONET y Gigabit Ethernet y especifique la interfaz lógica de circuito cerrado. Habilite el OSPF para admitir extensiones de ingeniería de tráfico.
[edit protocols] rsvp { interface so-0/0/0.0; interface ge-0/2/2.0; interface lo0.0; } mpls { interface lo0.0; interface ge-0/2/2.0; interface so-0/0/0.0; } ospf { traffic-engineering; area 0.0.0.0 { interface ge-0/2/2.0; interface so-0/0/0.0; interface lo0.0 { passive; } } }
Configuración del enrutador PE2
Procedimiento paso a paso
En el enrutador PE2, configure direcciones IPv4 en las interfaces SONET, Fast Ethernet y de circuito cerrado lógico. Especifique la
inetfamilia de direcciones en todas las interfaces. Especifique lamplsfamilia de direcciones en la interfaz SONET.[edit interfaces] so-0/0/1 { unit 0 { family inet { address 192.168.5.12/24; } family mpls; } } fe-0/3/1 { unit 0 { family inet { address 192.168.6.13/24; } } } lo0 { unit 0 { family inet { address 192.0.2.7/32; } } }En el enrutador PE2, configure la instancia de enrutamiento para VPN2. Especifique el tipo de
vrfinstancia y especifique la interfaz Fast Ethernet orientada al cliente. Configure un distinguidor de ruta para crear un prefijo de dirección VPN-IPv4 único. Aplique las políticas de importación y exportación de VRF para habilitar el envío y la recepción de destinos de ruta. Configure el grupo par del BGP dentro del VRF. Especifique as20como el as par y especifique la dirección IP de la interfaz Fast Ethernet en el enrutador CE1 como la dirección de vecino.[edit routing-instances] vpn2CE2 { instance-type vrf; interface fe-0/3/1.0; route-distinguisher 1:100; vrf-import vpnimport; vrf-export vpnexport; protocols { bgp { group To_CE2 { peer-as 20; neighbor 192.168.6.14; } } } }En el enrutador PE2, configure los protocolos RSVP y MPLS para admitir el LSP. Configure el LSP a ASBR2 y especifique la dirección IP de la interfaz lógica de circuito cerrado en el enrutador ASBR2. Configure el protocolo OSPF. Especifique la interfaz SONET orientada al núcleo y especifique la interfaz de circuito cerrado lógico en el enrutador PE2.
[edit protocols] rsvp { interface so-0/0/1.0; interface lo0.0; } mpls { label-switched-path To-ASBR2 { to 192.0.2.5; } interface so-0/0/1.0; interface lo0.0; } ospf { traffic-engineering; area 0.0.0.0 { interface so-0/0/1.0; interface lo0.0 { passive; } } }En el enrutador PE2, configure el
To_ASBR2grupo BGP. Especifique el tipo de grupo comointernal. Especifique la dirección local como interfaz lógica de circuito cerrado en el enrutador PE2. Especifique la dirección de vecino como la interfaz lógica de circuito cerrado en el ASBR2 del enrutador.[edit protocols] bgp { group To_ASBR2 { type internal; local-address 192.0.2.7; neighbor 192.0.2.5 { family inet { labeled-unicast { resolve-vpn; } } } } }En el enrutador PE2, configure el EBGP multihop hacia el enrutador PE1 Especifique la familia de
inet-vpndirecciones.[edit protocols] bgp { group To_PE1 { type external; local-address 192.0.2.7; multihop { ttl 20; } family inet-vpn { unicast; } neighbor 192.0.2.2 { peer-as 100; } } }En el enrutador PE2, configure el número de sistema autónomo local del BGP.
[edit routing-options] autonomous-system 200;
En el enrutador PE2, configure una política para agregar el destino de la ruta VRF a las rutas que se anuncian para esta VPN.
[edit policy-options] policy-statement vpnexport { term 1 { from protocol bgp; then { community add test_comm; accept; } } term 2 { then reject; } }En el enrutador PE2, configure una política para importar rutas del BGP que tengan
test_commla comunidad adjunta.[edit policy-options] policy-statement vpnimport { term 1 { from { protocol bgp; community test_comm; } then accept; } term 2 { then reject; } }En el enrutador PE1, defina la comunidad BGP
test_commcon un destino de ruta.[edit policy-options] community test_comm members target:1:100;
Configuración del enrutador CE2
Procedimiento paso a paso
En el enrutador CE2, configure la dirección IP y la familia de protocolos en la interfaz Fast Ethernet para el vínculo entre el enrutador CE2 y el enrutador PE2. Especifique el tipo de familia de
inetdirecciones.[edit interfaces] fe-3/0/0 { unit 0 { family inet { address 192.168.6.14/24; } } }En el enrutador CE2, configure la dirección IP y la familia de protocolo en la interfaz de circuito cerrado. Especifique el tipo de familia de
inetdirecciones.[edit interfaces lo0] lo0 { unit 0 { family inet { address 192.0.2.8/32; } } }En el enrutador CE2, defina una política denominada
myroutesque acepte rutas directas.[edit policy-options] policy-statement myroutes { from protocol direct; then accept; }En el enrutador CE2, configure un protocolo de enrutamiento. El protocolo de enrutamiento puede ser una ruta estática, RIP, OSPF, ISIS o EBGP. En este ejemplo, configuramos EBGP. Especifique la dirección IP de vecino del BGP como la interfaz lógica de circuito cerrado del enrutador PE1. Aplique la
myroutespolítica.[edit protocols] bgp { group To_PE2 { neighbor 198.51.100.13 { export myroutes; peer-as 200; } } }En el enrutador CE2, configure el número de sistema autónomo local del BGP.
[edit routing-options] autonomous-system 20;
Verificar la operación de VPN
Procedimiento paso a paso
Confirme la configuración en cada enrutador.
Nota:Las etiquetas MPLS que se muestran en este ejemplo serán diferentes a las etiquetas utilizadas en su configuración.
En el enrutador PE1, muestre las rutas de la
vpn2CE1instancia de enrutamiento mediante elshow ospf routecomando. Verifique que la192.0.2.1ruta se haya aprendido de OSPF.user@PE1> show ospf route instance vpn2CE1 Topology default Route Table: Prefix Path Route NH Metric NextHop Nexthop Type Type Type Interface addr/label 192.0.2.1 Intra Router IP 1 fe-1/2/3.0 198.51.100.1 192.0.2.1/32 Intra Network IP 1 fe-1/2/3.0 198.51.100.1 198.51.100.0/24 Intra Network IP 1 fe-1/2/3.0En el enrutador PE1, use el
show route advertising-protocolcomando para comprobar que el enrutador PE1 anuncia la192.0.2.1ruta al enrutador PE2 mediante MP-BGP con la etiqueta MPLS de VPN.user@PE1> show route advertising-protocol bgp 192.0.2.7 extensive bgp.l3vpn.0: 2 destinations, 2 routes (2 active, 0 holddown, 0 hidden) * 1:100:192.0.2.1/32 (1 entry, 1 announced) BGP group To_PE2 type External Route Distinguisher: 1:100 VPN Label: 300016 Nexthop: Self Flags: Nexthop Change MED: 1 AS path: [100] I Communities: target:1:100 rte-type:0.0.0.2:1:0En el enrutador ASBR1, use el comando para comprobar que el
show route advertising-protocolenrutador ASBR1 anuncie la192.0.2.2ruta al enrutador ASBR2.user@ASBR1> show route advertising-protocol bgp 192.168.3,8 extensive inet.0: 14 destinations, 16 routes (14 active, 0 holddown, 0 hidden) * 192.0.2.2/32 (2 entries, 1 announced) BGP group To-PE2 type External Route Label: 300172 Nexthop: Self Flags: Nexthop Change MED: 2 AS path: [100] IEn el enrutador ASBR2, utilice el
show route receive-protocolcomando para comprobar que el enrutador recibe y acepta la192.0.2.2ruta.user@ASBR2> show route receive-protocol bgp 192.168.3.7 extensive inet.0: 10 destinations, 11 routes (10 active, 0 holddown, 0 hidden) * 192.0.2.2/32 (1 entry, 1 announced) Accepted Route Label: 300172 Nexthop: 192.168.3.7 MED: 2 AS path: 100 IEn el enrutador ASBR2, utilice el comando para comprobar que el
show route advertising-protocolenrutador ASBR2 anuncia la192.0.2.2ruta al enrutador PE2.user@ASBR2> show route advertising-protocol bgp 192.0.2.7 extensive inet.0: 10 destinations, 11 routes (10 active, 0 holddown, 0 hidden) * 192.0.2.2/32 (1 entry, 1 announced) BGP group To-PE2 type Internal Route Label: 300192 Nexthop: Self Flags: Nexthop Change MED: 2 Localpref: 100 AS path: [200] 100 IEn el enrutador PE2, use el
show route receive-protocolcomando para comprobar que el enrutador PE2 recibe la ruta y la coloca en la tabla deinet.0.enrutamiento. Verifique que el enrutador PE2 también reciba la actualización del enrutador PE1 y acepte la ruta.user@PE2> show route receive-protocol bgp 192.0.2.5 extensive inet.0: 13 destinations, 14 routes (13 active, 0 holddown, 0 hidden) * 192.0.2.2/32 (1 entry, 1 announced) Accepted Route Label: 300192 Nexthop: 192.0.2.5 MED: 2 Localpref: 100 AS path: 100 I AS path: Recorded inet.3: 2 destinations, 2 routes (2 active, 0 holddown, 0 hidden) * 192.0.2.2/32 (1 entry, 1 announced) Accepted Route Label: 300192 Nexthop: 192.0.2.5 MED: 2 Localpref: 100 AS path: 100 I AS path: RecordedEn el enrutador PE2, use el
show route receive-protocolcomando para comprobar que el enrutador PE2 coloca la ruta en la tabla de enrutamiento de lavpn2CE2instancia de enrutamiento y anuncia la ruta al enrutador CE2 mediante EBGP.user@PE2> show route receive-protocol bgp 192.0.2.2 detail inet.0: 17 destinations, 18 routes (17 active, 0 holddown, 0 hidden) inet.3: 6 destinations, 6 routes (6 active, 0 holddown, 0 hidden) __juniper_private1__.inet.0: 14 destinations, 14 routes (8 active, 0 holddown, 6 hidden) __juniper_private2__.inet.0: 1 destinations, 1 routes (0 active, 0 holddown, 1 hidden) vpn2CE2.inet.0: 4 destinations, 5 routes (4 active, 0 holddown, 0 hidden) * 192.0.2.1/32 (1 entry, 1 announced) Accepted Route Distinguisher: 1:100 VPN Label: 300016 Nexthop: 192.0.2.2 MED: 1 AS path: 100 I AS path: Recorded Communities: target:1:100 rte-type:0.0.0.2:1:0 iso.0: 1 destinations, 1 routes (1 active, 0 holddown, 0 hidden) mpls.0: 4 destinations, 4 routes (4 active, 0 holddown, 0 hidden) bgp.l3vpn.0: 2 destinations, 2 routes (2 active, 0 holddown, 0 hidden) * 1:100:192.0.2.1/32 (1 entry, 0 announced) Accepted Route Distinguisher: 1:100 VPN Label: 300016 Nexthop: 192.0.2.2 MED: 1 AS path: 100 I AS path: Recorded Communities: target:1:100 rte-type:0.0.0.2:1:0 __juniper_private1__.inet6.0: 4 destinations, 4 routes (4 active, 0 holddown, 0 hidden)En el enrutador PE2, use el
show route advertising-protocolcomando para comprobar que el enrutador PE2 anuncia la192.0.2.1ruta al enrutador CE2 a través delvpn2CE2grupo de pares.user@PE2> show route advertising-protocol bgp 192.168.6.14 extensive vpn2CE2.inet.0: 4 destinations, 5 routes (4 active, 0 holddown, 0 hidden) * 192.0.2.1/32 (1 entry, 1 announced) BGP group vpn2CE2 type External Nexthop: Self AS path: [200] 100 I Communities: target:1:100 rte-type:0.0.0.2:1:0En el enrutador CE2, use el comando para comprobar que el
show routeenrutador CE2 recibe la ruta del192.0.2.1enrutador PE2.user@CE2> show route 192.0.2.1 inet.0: 6 destinations, 6 routes (6 active, 0 holddown, 0 hidden) + = Active Route, - = Last Active, * = Both 192.0.2.1/32 *[BGP/170] 00:25:36, localpref 100 AS path: 200 100 I > to 192.168.6.13 via fe-3/0/0.0En el enrutador CE2, use el
pingcomando y especifique192.0.2.8como el origen de los paquetes de ping para verificar la conectividad con el enrutador CE1.user@CE2> ping 192.0.2.1 source 192.0.2.8 PING 192.0.2.1 (192.0.2.1): 56 data bytes 64 bytes from 192.0.2.1: icmp_seq=0 ttl=58 time=4.786 ms 64 bytes from 192.0.2.1: icmp_seq=1 ttl=58 time=10.210 ms 64 bytes from 192.0.2.1: icmp_seq=2 ttl=58 time=10.588 ms
En el enrutador PE2, utilice el
show routecomando para comprobar que el tráfico se envía con una etiqueta interna de300016, una etiqueta intermedia de300192, y una etiqueta superior de299776.user@PE2> show route 192.0.2.1 detail vpn2CE2.inet.0: 4 destinations, 5 routes (4 active, 0 holddown, 0 hidden) 192.0.2.1/32 (1 entry, 1 announced) *BGP Preference: 170/-101 Route Distinguisher: 1:100 Next hop type: Indirect Next-hop reference count: 3 Source: 192.0.2.2 Next hop type: Router, Next hop index: 653 Next hop: via so-0/0/1.0 weight 0x1, selected Label-switched-path To-ASBR2 Label operation: Push 300016, Push 300192, Push 299776(top) Protocol next hop: 192.0.2.2 Push 300016 Indirect next hop: 8c61138 262142 State: <Secondary Active Ext> Local AS: 200 Peer AS: 100 Age: 17:33 Metric: 1 Metric2: 2 Task: BGP_100.192.0.2.2+62319 Announcement bits (3): 0-RT 1-KRT 2-BGP RT Background AS path: 100 I AS path: Recorded Communities: target:1:100 rte-type:0.0.0.2:1:0 Accepted VPN Label: 300016 Localpref: 100 Router ID: 192.0.2.2 Primary Routing Table bgp.l3vpn.0En el enrutador ASBR2, use el comando para comprobar que el
show route tableenrutador ASBR2 recibe el tráfico después de que el enrutador P2 active la etiqueta superior. Verifique que la etiqueta es una etiqueta300192intercambiada con una etiqueta300176y que el tráfico se envía al enrutador ASBR1 mediante la interfaz ge-0/1/1.0. En este punto, se conserva la etiqueta300016inferior.user@ASBR2# show route table mpls.0 detail 300192 (1 entry, 1 announced) *VPN Preference: 170 Next hop type: Router, Next hop index: 660 Next-hop reference count: 2 Source: 192.168.3.7 Next hop: 192.168.3.7 via ge-0/1/1.0, selected Label operation: Swap 300176 State: <Active Int Ext> Local AS: 200 Age: 24:01 Task: BGP RT Background Announcement bits (1): 0-KRT AS path: 100 I Ref Cnt: 1En el enrutador ASBR1, utilice el comando para comprobar que cuando el
show route tableenrutador ASBR1 recibe tráfico con etiqueta300176, intercambia la etiqueta con299824para llegar al enrutador PE1.user@ASBR1> show route table mpls.0 detail 300176 (1 entry, 1 announced) *VPN Preference: 170 Next hop type: Router, Next hop index: 651 Next-hop reference count: 2 Next hop: 192.168.2.5 via ge-0/0/0.0 weight 0x1, selected Label operation: Swap 299824 State: <Active Int Ext> Local AS: 100 Age: 25:53 Task: BGP RT Background Announcement bits (1): 0-KRT AS path: I Ref Cnt: 1En el enrutador PE1, use el
show route tablecomando para comprobar que el enrutador PE1 recibe el tráfico después de que la etiqueta superior sea activada por el enrutador P1. Compruebe que se ha reventado la etiqueta300016y que el tráfico se envía al enrutador CE1 mediante la interfazfe-1/2/3.0.user@PE1> show route table mpls.0 detail 300016 (1 entry, 1 announced) *VPN Preference: 170 Next hop type: Router, Next hop index: 643 Next-hop reference count: 2 Next hop: 198.51.100.1 via fe-1/2/3.0, selected Label operation: Pop State:< Active Int Ext> Local AS: 100 Age: 27:37 Task: BGP RT Background Announcement bits (1): 0-KRT AS path: I Ref Cnt: 1 Communities: rte-type:0.0.0.2:1:0