Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Creación de rutas VPN únicas mediante tablas VRF

Descripción de tablas de enrutamiento y reenvío virtuales

Para separar las rutas de una VPN de las rutas en la Internet pública o las de otras VPN, el enrutador de PE crea una tabla de enrutamiento independiente para cada VPN, denominada tabla de enrutamiento y reenvío VPN (VRF). El enrutador de PE crea una tabla VRF para cada VPN que tiene una conexión con un enrutador CE . Cualquier cliente o sitio que pertenezca a la VPN puede acceder solo a las rutas de las tablas VRF para esa VPN.

La figura 1 muestra las tablas VRF que se crean en los enrutadores pe. Los tres enrutadores PE tienen conexiones a enrutadores CE que se encuentran en dos VPN diferentes, por lo que cada enrutador pe crea dos tablas VRF, una para cada VPN.

Figura 1: Tablas VRF Tables VRF

Cada tabla VRF se llena de rutas recibidas de sitios CE conectados directamente asociados con esa instancia de enrutamiento VRF y de rutas recibidas de otros enrutadores de PE que pasaron el filtrado de comunidad bgp y están en la misma VPN.

Cada enrutador de PE también mantiene una tabla de enrutamiento global (inet.0) para llegar a otros enrutadores dentro y fuera de la red central del proveedor.

Cada conexión de cliente (es decir, cada interfaz lógica) está asociada con una tabla VRF. Solo se consulta la tabla VRF asociada con un sitio de cliente para paquetes de ese sitio.

Puede configurar el enrutador para que si no se encuentra un salto siguiente a un destino en la tabla VRF , el enrutador realice una búsqueda en la tabla de enrutamiento global, que se usa para el acceso a Internet .

Junos OS utiliza las siguientes tablas de enrutamiento para VPN:

  • bgp.l3vpn.0: almacena rutas aprendidas de otros enrutadores pe. Las rutas en la tabla de enrutamiento bgp.l3vpn.0 se copian en un VRF de capa 3 cuando hay una política de importación VRF coincidente en el enrutador de PE. Esta tabla solo está presente en enrutadores PE y no almacena rutas recibidas de enrutadores CE conectados directamente.

    Cuando un enrutador de PE recibe una ruta de otro enrutador de PE, coloca la ruta en su tabla de enrutamiento bgp.l3vpn.0 . La ruta se resuelve mediante la información de la tabla de enrutamiento inet.3 . La ruta resultante se convierte en formato IPv4 y se redistribuye a todas las routing-instance-nametablas de enrutamiento .inet.0 en el enrutador de PE si coincide con la política de importación VRF .

    La tabla bgp.l3vpn.0 también se utiliza para resolver rutas a través de los túneles MPLS que conectan los enrutadores pe. Estas rutas se almacenan en la tabla de enrutamiento inet.3 . La conectividad del enrutador de PE a PE debe existir en inet.3 (no solo en inet.0) para que las rutas VPN se resuelvan correctamente.

    Cuando un enrutador anuncia rutas de unidifusión VPN-IPv4 no locales y el enrutador es un reflector de ruta o realiza emparejamiento externo, las rutas de unidifusión VPN-IPv4 se exportan automáticamente a la tabla de enrutamiento VPN (bgp.l3vpn.0). Esto permite que el enrutador realice la selección de rutas y anuncie desde la tabla de enrutamiento bgp.l3vpn.0 .

    Para determinar si se debe agregar una ruta a la tabla de enrutamiento bgp.l3vpn.0 , Junos OS la comprueba con las políticas de importación de instancia VRF para todas las VPN configuradas en el enrutador de PE. Si la ruta VPN-IPv4 coincide con una de las políticas, se agrega a la tabla de enrutamiento bgp.l3vpn.0 . Para mostrar las rutas en la tabla de enrutamiento bgp.l3vpn.0 , utilice el comando show route table bgp.l3vpn.0 .

  • routing-instance-name.inet.0: almacena todas las rutas IPv4 de unidifusión recibidas de enrutadores CE conectados directamente en una instancia de enrutamiento (es decir, en una sola VPN) y todas las rutas estáticas configuradas explícitamente en la instancia de enrutamiento. Esta es la tabla VRF y está presente solo en enrutadores PE. Por ejemplo, para una instancia de enrutamiento denominada VPN-A, la tabla de enrutamiento de esa instancia se denomina VPN-A.inet.0.

    Cuando un enrutador CE anuncia a un enrutador de PE, el enrutador de PE coloca la ruta en la tabla de enrutamiento .inet.0 correspondienterouting-instance-name y anuncia la ruta a otros enrutadores de PE si pasa una política de exportación VRF. Entre otras cosas, esta política etiqueta la ruta con el distinguidor de ruta (destino de ruta) que corresponde al sitio VPN al que pertenece la CE. Una etiqueta también se asigna y distribuye con la ruta. La tabla de enrutamiento bgp.l3vpn.0 no está involucrada en este proceso.

    La routing-instance-nametabla .inet.0 también almacena rutas anunciadas por un enrutador de PE remoto que coincidan con la política de importación de VRF para esa VPN. El enrutador de PE redistribuyó estas rutas desde su tabla bgp.l3vpn.0 .

    Las rutas no se redistribuyen de la routing-instance-nametabla .inet.0 a la tabla bgp.l3vpn.0 ; se anuncian directamente en otros enrutadores pe.

    Para cada tabla de enrutamiento .inet.0, se mantiene una tabla de reenvío en el motor de reenvío de paquetes del enrutador.routing-instance-name Esta tabla se mantiene además de las tablas de reenvío que corresponden a las tablas de enrutamiento inet.0 y mpls.0 del enrutador. Al igual que con las tablas de enrutamiento inet.0 y mpls.0, las mejores rutas de la routing-instance-nametabla de enrutamiento .inet.0 se colocan en la tabla de reenvío.

    Para mostrar las rutas en la routing-instance-nametabla .inet.0 , utilice el comando show route table routing-instance-name.inet.0 .

  • inet.3: almacena todas las rutas MPLS aprendidas de la señalización LDP y RSVP realizada para el tráfico VPN. La tabla de enrutamiento almacena las rutas MPLS solo si la opción bgp-igp de ingeniería de tráfico no está habilitada.

    Para que las rutas VPN se resuelvan correctamente, la tabla inet.3 debe contener rutas a todos los enrutadores de PE de la VPN.

    Para mostrar las rutas en la tabla inet.3 , utilice el comando show route table inet.3 .

  • inet.0: almacena rutas aprendidas por las sesiones del IBGP entre los enrutadores de PE. Para proporcionar acceso a Internet a los sitios VPN, configure la routing-instance-nametabla de enrutamiento .inet.0 para que contenga una ruta predeterminada a la tabla de enrutamiento inet.0 .

    Para mostrar las rutas en la tabla inet.0 , utilice el comando show route table inet.0 .

Las siguientes políticas de enrutamiento, que se definen en instrucciones de importación y exportación de VRF, son específicas de las tablas VRF.

  • Política de importación: se aplica a las rutas VPN-IPv4 aprendidas de otro enrutador de PE para determinar si la ruta se debe agregar a la tabla de enrutamiento bgp.l3vpn.0 del enrutador de PE. Cada instancia de enrutamiento en un enrutador de PE tiene una política de importación VRF.

  • Política de exportación: se aplica a las rutas VPN-IPv4 que se anuncian a otros enrutadores de PE. Las rutas VPN-IPv4 son rutas IPv4 que han sido anunciadas por enrutadores CE conectados localmente.

El procesamiento de ruta VPN difiere del procesamiento normal de ruta bgp de una manera. En el BGP, las rutas se aceptan si no se rechazan explícitamente por la política de importación. Sin embargo, dado que se esperan muchas más rutas VPN, Junos OS no acepta (y, por lo tanto, almacena) rutas VPN, a menos que la ruta coincida con al menos una política de importación VRF. Si ninguna política de importación VRF acepta explícitamente la ruta, se descarta y ni siquiera se almacena en la tabla bgp.l3vpn.0 . Como resultado, si se produce un cambio de VPN en un enrutador de PE,como agregar una nueva tabla VRF o cambiar una política de importación de VRF, el enrutador de PE envía un mensaje de actualización de ruta bgp a los otros enrutadores de PE (o al reflector de ruta si esta es parte de la topología vpn) para recuperar todas las rutas VPN para que puedan reevaluarse y determinar si deben conservarse o descartarse.

Descripción de la localización de VRF en VPN de capa 3

En una VPN de capa 3, para separar rutas de una VPN de rutas en internet pública o de otras VPN, el enrutador de PE crea una tabla de enrutamiento independiente para cada VPN, denominada tabla de enrutamiento y reenvío virtual (VRF). Cada VRF utiliza un distinguidor de ruta y un destino de ruta para diferenciar otras VPN de modo que cada VRF alcance una VPN en una red pública. El enrutador de PE crea una tabla VRF para cada VPN que tiene una conexión con un enrutador CE. Cualquier cliente o sitio que pertenezca a la VPN puede acceder solo a las rutas de las tablas VRF para esa VPN.

Los enrutadores de PE en un despliegue VPN de capa 3 tienen dos tipos de tarjetas de línea que alojan las siguientes interfaces:

  • Interfaces orientadas a CE

  • Interfaces orientadas al núcleo

Nota:

Una FPC puede estar orientada al núcleo o a la CE.

Las VRF están presentes en estas tarjetas de línea y actualmente, en Junos OS, todas las rutas de todas las VRF están presentes en todas las tarjetas de línea junto con los próximos saltos compuestos encadenados en todas las FPC. Esto utiliza la memoria en cada tarjeta de línea. Dado que el tráfico de las interfaces orientadas a CE viene solo a través de las FPC ce-orientadas correspondientes, todas las rutas y saltos siguientes no necesitan estar presentes en todas las tarjetas de línea. La localización de VRF proporciona un mecanismo para localizar rutas de VRF a tarjetas de línea específicas para ayudar a maximizar la cantidad de rutas que un enrutador puede manejar. Las interfaces orientadas a CE localizan todas las rutas del tipo de instancia VRF a una tarjeta de línea específica. Si las interfaces orientadas a CE son interfaces lógicas como AE, RLSQ o IRB, entonces se debe configurar un número de tarjeta de línea para localizar rutas. Las tarjetas de línea orientadas al núcleo almacenan todas las rutas VRF. Estas tarjetas deben configurarse como vpn de cara al núcleo predeterminada o solo orientadas al núcleo VPN. Las tarjetas de línea orientadas al núcleo almacenan rutas de todas las VRF, y son de los siguientes tipos:

  • vpn-core-facing-default: la FPC orientada al núcleo instala todas las rutas y los próximos saltos de las rutas VRF.

  • vpn-core-facing-only: la FPC orientada al núcleo instala todas las rutas y no almacena los próximos saltos de las rutas VRF.

Nota:

Las FPC orientadas al núcleo se pueden configurar como predeterminadas o solo orientadas al núcleo.

Maximización de rutas VPN mediante la localización VRF para VPN de capa 3

La localización del enrutamiento y reenvío virtual (VRF) proporciona un mecanismo para localizar rutas de VRF a tarjetas de línea específicas para ayudar a maximizar la cantidad de rutas que un enrutador puede manejar. Las interfaces orientadas a CE localizan todas las rutas del tipo de instancia VRF a una tarjeta de línea específica. Si las interfaces orientadas a CE son interfaces lógicas como AE/RLSQ/IRB, entonces la tarjeta de línea debe configurarse para localizar rutas. Las tarjetas de línea orientadas al núcleo almacenan todas las rutas VRF. Estas tarjetas deben configurarse como solo para el núcleo vpn o como predeterminadas para el núcleo de VPN. Para configurar la localización de VRF, configure la localized-fib instrucción en el [edit routing-instances instance-name routing-options] nivel de jerarquía y configure la vpn-localization instrucción en el [edit chassis fpc fpc-slot] nivel jerárquico. El show route vpn-localization comando muestra la información de localización de todas las VRF del sistema.

Antes de comenzar a localizar la tabla VRF:

  • Configure las interfaces.

  • Configure los protocolos de enrutamiento y señalización.

Para configurar la localización de VRF:

  1. Configure el chasis del enrutador.
    1. Configure la ranura FPC como solo vpn orientada al núcleo o como predeterminada para almacenar las rutas VRF.

  2. Configure un servicio de red IP mejorado en el chasis.
  3. Cree un tipo de instancia, configure el distinguidor de ruta y configure la comunidad de destino VRF y la etiqueta de destino VRF.
  4. Configure la opción de enrutamiento de varias rutas para equilibrar la carga independientemente del protocolo.
  5. Configure la FPC específica de interfaces físicas orientadas a CE o especifique el número de ranura FPC si las interfaces orientadas a CE son interfaces lógicas como AE, RSQL o IRB para localizar las rutas de instancia de enrutamiento VRF.
    • Configure la FPC específica de interfaces físicas orientadas a CE para localizar las rutas de instancia de enrutamiento VRF.

    • Configure el número de ranura FPC de las interfaces lógicas orientadas a CE como AE, RSQL o IRB para localizar las rutas de instancia de enrutamiento VRF.

  6. Configure el grupo par del protocolo BGP para la instancia de enrutamiento.
  7. Configure el protocolo MVPN para la instancia de enrutamiento.

Ejemplo: Mejorar la escalabilidad mediante la localización de VRF para VPN de capa 3

En este ejemplo, se muestra cómo configurar la localización de VRF en enrutadores serie MX, lo que le permite mejorar la escalabilidad de VPN en enrutadores serie MX.

Requisitos

En este ejemplo, se utilizan los siguientes componentes de hardware y software:

  • Cinco plataformas de enrutamiento universal 5G serie MX

  • Junos OS versión 14.2 o posterior que se ejecuta en todos los dispositivos

Antes de comenzar:

  1. Configure las interfaces del dispositivo.

  2. Configure el protocolo BGP.

Visión general

A partir de Junos OS versión 14.2, la localización de VRF proporciona un mecanismo para localizar rutas de VRF a tarjetas de línea específicas, lo que ayuda a maximizar la cantidad de rutas que un enrutador puede manejar. Las interfaces orientadas a CE localizan todas las rutas del tipo de instancia VRF a una tarjeta de línea específica. Si las interfaces orientadas a CE son interfaces lógicas como AE, RLSQ o IRB, entonces la tarjeta de línea debe configurarse para localizar rutas. Las tarjetas de línea orientadas al núcleo almacenan todas las rutas VRF. Estas tarjetas deben configurarse como solo para el núcleo vpn o como predeterminadas para el núcleo de VPN. Para configurar la localización de VRF, configure la localized-fib instrucción de configuración en el [edit routing-instances instance-name routing-options] nivel jerárquico y configure vpn-localization en el [edit chassis fpc fpc-slot] nivel jerárquico. El show route vpn-localization comando muestra la información de localización de todas las VRF del sistema.

Topología

En la topología mostrada en la figura 2, la localización VRF se configura en el dispositivo PE1.

Figura 2: Localización Example VRF Localization de VRF de ejemplo

Configuración

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el [edit] nivel de jerarquía y, luego, ingrese commit desde el modo de configuración.

CE1

PE1

P

PE2

CE2

Configuración del dispositivo PE1

Procedimiento paso a paso

En el ejemplo siguiente, debe navegar por varios niveles en la jerarquía de configuración. Para obtener información acerca de cómo navegar por la CLI, consulte Uso del editor de CLI en modo de configuración.

Para configurar el dispositivo PE1:

  1. Especifique la cantidad de interfaces Ethernet agregadas que se van a crear, configure las FPC como vpn-core-facing-only y habilite servicios de red IP mejorados.

  2. Configure las interfaces.

  3. Configure las opciones de política para equilibrar la carga de los paquetes.

  4. Configure el protocolo RSVP en la interfaz.

  5. Configure el protocolo MPLS.

  6. Configure el protocolo BGP para el grupo mpbg.

  7. Configure el protocolo OSPF.

  8. Configure el protocolo LDP en la interfaz.

  9. Cree un tipo de instancia y configure las instancias de enrutamiento en la interfaz.

  10. Configure el distinguidor de ruta y configure el LSP estático para el túnel del proveedor RSVP-TE.

  11. Configure el destino VRF y la etiqueta de destino VRF para la instancia de enrutamiento.

  12. Configure la opción de enrutamiento de varias rutas para una instancia de enrutamiento y configure la opción de enrutamiento fib localizado para la instancia de enrutamiento.

  13. Configure el grupo de protocolos BGP para una instancia de enrutamiento.

  14. Configure los protocolos MVPN.

  15. Configure el enrutamiento activo sin interrupción y el número del sistema autónomo para una opción de enrutamiento.

  16. Configure la política de equilibrio de carga para la tabla de reenvío y el espacio extendido para el próximo salto compuesto encadenado para la L3VPN de la tabla de reenvío.

Resultados

Desde el modo de configuración, confirme la configuración ingresando los show chassiscomandos , show interfaces, show policy-options, show protocols, show routing-instancesy show routing-options . Si el resultado no muestra la configuración deseada, repita las instrucciones de este ejemplo para corregir la configuración.

Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.

Verificación

Confirme que la configuración funciona correctamente.

Verificar la localización de VRF

Propósito

Verifique la localización de VRF en una VPN de capa 3.

Acción

Desde el modo operativo, ejecute el comando para el show route vpn-localization dispositivo PE1.

Significado

El resultado muestra la información de localización de todas las VRF.

Verificar la localización de VRF para una VPN

Propósito

Verifique la localización de VRF para una VPN.

Acción

Desde el modo operativo, ejecute el show route vpn-localization vpn-name vpn-name comando.

Significado

El resultado muestra la localización vpn de una VPN.

Paquetes de filtrado en VPN de capa 3 basados en encabezados IP

La inclusión de la vrf-table-label instrucción en la configuración de una instancia de enrutamiento permite asignar la etiqueta interna a una tabla de enrutamiento VRF específica; esta asignación permite el examen del encabezado IP encapsulado en un enrutador VPN de salida. Es posible que desee habilitar esta funcionalidad para que pueda realizar cualquiera de las siguientes acciones:

  • Reenvíe el tráfico en una interfaz pe-enrutador-a-ce-dispositivo, en un medio compartido, donde el dispositivo CE es un conmutador de capa 2 sin capacidades IP (por ejemplo, un conmutador Ethernet metro).

    La primera búsqueda se realiza en la etiqueta VPN para determinar a qué tabla VRF hacer referencia, y la segunda búsqueda se realiza en el encabezado IP para determinar cómo reenviar paquetes a los hosts finales correctos en el medio compartido.

  • Realice el filtrado de salida en el enrutador de PE de salida.

    La primera búsqueda en la etiqueta VPN se realiza para determinar a qué tabla de enrutamiento VRF hacer referencia, y la segunda búsqueda se realiza en el encabezado IP para determinar cómo filtrar y reenviar paquetes. Puede habilitar esta funcionalidad mediante la configuración de filtros de salida en las interfaces VRF.

    Cuando se incluye la vrf-table-label instrucción en la configuración de una tabla de enrutamiento VRF, se crea una etiqueta de interfaz lógica de conmutación de etiquetas (LSI) y se asigna a la tabla de enrutamiento VRF. Cualquier ruta de dicha tabla de enrutamiento VRF se anuncia con la etiqueta de interfaz lógica LSI asignada para la tabla de enrutamiento VRF. Cuando los paquetes para esta VPN llegan a una interfaz orientada al núcleo, se tratan como si el paquete IP incluido llegara a la interfaz LSI y, a continuación, se reenvían y se filtran según la tabla correcta.

Para filtrar el tráfico según el encabezado IP, incluya la vrf-table-label instrucción:

Puede incluir la instrucción en los siguientes niveles jerárquicos:

  • [edit routing-instances routing-instance-name]

  • [edit logical-systems logical-system-name routing-instances routing-instance-name]

Puede incluir la vrf-table-label instrucción para VPN de capa 3 IPv4 e IPv6. Si incluye la instrucción para una tabla de enrutamiento VRF de pila dual (donde se admiten rutas IPv4 e IPv6), la instrucción se aplica a las rutas IPv4 e IPv6 y la misma etiqueta se anuncia para ambos conjuntos de rutas.

También puede configurar la contabilidad de SCU para VPN de capa 3 configuradas con la vrf-table-label instrucción incluyendo también la source-class-usage opción. Incluya la source-class-usage instrucción en el [edit routing-instances routing-instance-name vrf-table-label] nivel de jerarquía. La source-class-usage instrucción en este nivel de jerarquía solo se admite para el tipo de vrf instancia (VPN de capa 3). DCU no se admite para la vrf-table-label instrucción. Para obtener más información, consulte Habilitar el uso de clases de origen y de destino.

En las siguientes secciones, se proporciona más información sobre el filtrado de tráfico según el encabezado IP:

Opciones de filtrado de salida

Puede habilitar el filtrado de salida (lo que permite que los enrutadores VPN PE de capa 3 de salida realicen búsquedas en la etiqueta VPN y el encabezado IP al mismo tiempo) incluyendo la vrf-table-label instrucción en el [edit routing-instances instance-name] nivel de jerarquía. No hay ninguna restricción en incluir esta instrucción para las interfaces ce-enrutador-a-PE-enrutador, pero hay varias limitaciones en otros tipos de interfaces, como se describe en las secciones posteriores de este tema.

También puede habilitar el filtrado de salida configurando una interfaz de túnel VPN (VT) en plataformas de enrutamiento equipadas con una tarjeta de interfaz física de servicios de túnel (PIC). Cuando habilita el filtrado de salida de esta manera, no hay ninguna restricción en el tipo de interfaz orientada al núcleo utilizada. También no hay ninguna restricción en el tipo de interfaz CE-enrutador-a-PE-enrutador utilizada.

Compatibilidad con interfaces agregadas y VLAN para filtrado basado en IP

La compatibilidad con la vrf-table-label instrucción a través de interfaces de VLAN y agregadas está disponible en los enrutadores que se resumen en la Tabla 1.

Tabla 1: Soporte para interfaces agregadas y VLAN

Interfaces

Enrutador de la serie M sin una FPC mejorada

Enrutador serie M con una FPC mejorada

Enrutador M320

Enrutador serie T

Agregado

No

VLAN

No

Nota:

La vrf-table-label instrucción no se admite para interfaces físicas de Gigabit Ethernet agregadas, 10 Gigabit Ethernet y VLAN en enrutadores M120.

Soporte en interfaces ATM y Frame Relay para filtrado basado en IP

La compatibilidad con la instrucción a través del vrf-table-label modo de transferencia asíncrona (ATM) y las interfaces de Frame Relay está disponible en los enrutadores que se resumen en la tabla 2.

Tabla 2: Soporte para interfaces ATM y Frame Relay

Interfaces

Enrutador de la serie M sin una FPC mejorada

Enrutador serie M con una FPC mejorada

Enrutador M320

Enrutador serie T

ATM1

No

No

No

No

Cola inteligente ATM2 (IQ)

No

Frame Relay

No

Canalizado

No

No

No

No

Cuando incluya la vrf-table-label instrucción, tenga en cuenta las siguientes limitaciones con interfaces ATM o Frame Relay:

  • La vrf-table-label instrucción se admite en interfaces ATM, pero con las siguientes limitaciones:

    • Las interfaces ATM se pueden configurar en el enrutador M320 y en los enrutadores serie T, y en los enrutadores serie M con una FPC mejorada.

    • La interfaz solo puede ser una interfaz de enrutador de PE que recibe tráfico de un enrutador P.

    • El enrutador debe tener una PIC IQ ATM2.

  • La vrf-table-label instrucción también se admite en interfaces encapsuladas Frame Relay, pero con las siguientes limitaciones:

    • Las interfaces Frame Relay se pueden configurar en el enrutador M320 y en los enrutadores serie T, y en los enrutadores serie M con una FPC mejorada.

    • La interfaz solo puede ser una interfaz de enrutador de PE que recibe tráfico de un enrutador P.

Soporte en interfaces Ethernet, SONET/SDH y T1/T3/E3 para filtrado basado en IP

La compatibilidad con la vrf-table-label instrucción mediante interfaces Ethernet, SONET/SDH y T1/T3/E3 está disponible en los enrutadores que se resumen en la Tabla 3.

Tabla 3: Soporte para interfaces Ethernet, SONET/SDH y T1/T3/E3

Interfaces

Enrutador de la serie M sin una FPC mejorada

Enrutador serie M con una FPC mejorada

Enrutador M320

Enrutador serie T

Ethernet

SONET/SDH

T1/T3/E3

Solo las siguientes PIC Ethernet admiten la vrf-table-label instrucción en enrutadores serie M sin una FPC mejorada:

  • Gigabit Ethernet de 1 puerto

  • Gigabit Ethernet de 2 puertos

  • Ethernet rápida de 4 puertos

Soporte para interfaces de cola inteligente mejoradas canalizadas SONET/SDH y DS3/E3 para filtrado basado en IP

La compatibilidad con la vrf-table-label instrucción para las interfaces IQE canalizadas especificadas solo está disponible en enrutadores M120 y M320 con FPC III mejoradas, como se resume en la Tabla 4.

Tabla 4: Soporte para interfaces IQE canalizadas en enrutadores M320 con FPC III mejoradas

Interfaces

Enrutadores M120 con FPC III mejoradas

Enrutadores M320 con FPC III mejoradas

OC12

STM4

OC3

STM1

DS3

E3

Se admiten las siguientes PIC tipo 1 IQE:

  • IQE OC12/STM4 de 1 puerto con SFP

  • IQE OC3/STM1 de 4 puertos con SFP

  • IQE DS3/E3 de 4 puertos con BNC

  • IQE OC3/STM1 canalizado de 2 puertos con SFP, sin particiones SONET

  • IQE OC12/STM4 canalizado de 1 puerto con SFP, sin particiones SONET

Las siguientes restricciones son aplicables con respecto a la configuración de un enrutador que utiliza sistemas lógicos:

  • Restricciones de interfaces PIC IQE multiporte: en PIC IQE multipuerto, como la IQE OC3/STM1 canalizada de 2 puertos con SFP, si la interfaz del puerto 1 está configurada como un sistema lógico con su propia instancia de enrutamiento y la interfaz de puerto 2 se configura como un sistema lógico diferente con sus propias instancias de enrutamiento, de modo que haya interfaces lógicas orientadas al núcleo en los puertos 1 y 2, entonces no puede configurar la instrucción en la vrf-table-label instancia de enrutamiento en ambos sistemas lógicos. Solo se admite un conjunto de etiquetas LSI; la última instancia de enrutamiento con la vrf-table-label instrucción configurada se confirma.

  • Encapsulación de Frame Relay e interfaces lógicas a través de restricciones de sistemas lógicos: similar a la PIC multipuerto con sistemas lógicos, si intenta configurar una interfaz lógica de una PIC IQE con encapsulación Frame Relay en un sistema lógico y configura otra interfaz lógica en la misma PIC IQE en el segundo sistema lógico, la configuración no funcionará para todas las instancias configuradas de instrucción vrf-table-label . Solo funcionará para las instancias configuradas en uno de los sistemas lógicos.

Ambas restricciones anteriores se producen porque la configuración del enrutador mantiene un árbol de LSI en el motor de reenvío de paquetes por sistema lógico, que es común en todas las secuencias. A continuación, la búsqueda de tabla de canal de flujo se ajusta para que apunte al árbol de LSI. En el caso de las PIC IQE multipuerto tipo 1, todas las interfaces físicas comparten la misma secuencia. Por lo tanto, las interfaces lógicas (multipuerto o no) obviamente comparten la misma secuencia. Por lo tanto, el enlace LSI está en el nivel de la secuencia. Por lo tanto, no se admite el aprovisionamiento de interfaces lógicas bajo la misma secuencia aprovisionada para que estén orientadas al núcleo y admitan un conjunto diferente de instancias de enrutamiento con la vrf-table-label instrucción.

Soporte en interfaces PPP y Multilink Frame Relay multilink para filtrado basado en IP

La compatibilidad con la vrf-table-label instrucción a través de las interfaces de protocolo punto a punto multilink (MLPPP) y Multilink Frame Relay (MLFR) está disponible en los enrutadores que se resumen en la tabla 5.

Tabla 5: Soporte para interfaces PPP y Multilink Frame Relay multilink

Interfaces

Enrutador de la serie M sin una FPC mejorada

Enrutador serie M con una FPC mejorada

M320

Enrutador serie T

Enrutador serie MX

MLPPP

No

No

No

No

MLFR de extremo a extremo (FRF.15)

No

No

No

No

MLFR UNI/NNI (FRF.16)

No

No

No

No

No

Los enrutadores serie M deben tener una PIC de AS para admitir la vrf-table-label instrucción a través de interfaces MLPPP y MLFR. La vrf-table-label instrucción a través de interfaces MLPPP no se admite en enrutadores M120.

Compatibilidad con el filtrado basado en IP de paquetes con etiquetas superiores nulas

Puede incluir la vrf-table-label instrucción en la configuración para interfaces orientadas al núcleo que reciben paquetes MPLS con una etiqueta superior nula, que puede ser transmitida por el equipo de algunos proveedores. Estos paquetes solo se pueden recibir en el enrutador M320, el enrutador M10i y los enrutadores de núcleo de la serie T mediante una de las siguientes PIC:

  • Gigabit Ethernet de 1 puerto con SFP

  • Gigabit Ethernet de 2 puertos con SFP

  • Gigabit Ethernet de 4 puertos con SFP

  • Gigabit Ethernet de 10 puertos con SFP

  • SONET STM4 de 1 puerto

  • SONET STM4 de 4 puertos

  • SONET STM16 de 1 puerto

  • SONET STM16 de 1 puerto (no SFP)

  • SONET STM16 de 4 puertos

  • SONET STM64 de 1 puerto

Las siguientes PIC pueden recibir paquetes con etiquetas superiores nulas, pero solo cuando se instalan en un enrutador M120 o en un enrutador M320 con una FPC ENHANCED III:

  • 1 puerto 10 Gigabit Ethernet

  • IQ2 de 1 puerto 10 Gigabit Ethernet

Limitaciones generales del filtrado basado en IP

Las siguientes limitaciones se aplican cuando se incluye la vrf-table-label instrucción:

  • Los filtros de firewall no se pueden aplicar a las interfaces incluidas en una instancia de enrutamiento en la que haya configurado la vrf-table-label instrucción.

  • El valor de tiempo de vida real (TTL) en el encabezado MPLS no se copia al encabezado IP de los paquetes enviados desde el enrutador de PE al enrutador CE.

  • No puede incluir la vrf-table-label instrucción en una configuración de instancia de enrutamiento que también incluya una interfaz de túnel de circuito cerrado virtual; en este caso, se producirá un error en la operación de confirmación.

  • Cuando se incluye la instrucción, los paquetes MPLS con etiquetas de interfaz conmutada por etiquetas (LSI) que llegan a interfaces orientadas al núcleo no se cuentan en el nivel de interfaz lógica si la interfaz orientada al núcleo es cualquiera de los siguientes:

    • CAJERO

    • Frame Relay

    • Ethernet configurado con REDES VLAN

    • Ethernet agregada configurada con REDES VLAN

  • En el caso de los motores de reenvío de paquetes basados en LMNR, Stoli y I-Chip, no puede incluir la instrucción en la configuración de una instancia de enrutamiento VRF si la interfaz pe-enrutador-a-P-enrutador es cualquiera de las siguientes interfaces:

    Nota:

    La vrf-table-label instrucción se admite cuando la interfaz pe-enrutador-a-P-enrutador es una interfaz de túnel en un motor de reenvío de paquetes basado en Junos Trio, por lo que no se aplica ninguna limitación.

    • Interfaz SONET/SDH agregada

    • Interfaz canalizada

    • Interfaz de túnel (por ejemplo, encapsulación de enrutamiento genérico [GRE] o seguridad IP [IPsec])

    • Interfaz encapsulada de conexión cruzada de circuito (CCC) o de conexión cruzada de traducción (TCC)

    • Interfaz de túnel lógico

    • Interfaz encapsulada del servicio LAN privada virtual (VPLS)

      Nota:

      Se admiten todas las interfaces ce-enrutador-a-PE-enrutador y PE-enrutador-a-CE-enrutador.

  • No puede incluir la vrf-table-label instrucción en la configuración de una instancia de enrutamiento VRF si la PIC de enrutador de PE a P es una de las siguientes PIC:

    • E1 de 10 puertos

    • Ethernet rápida de 8 puertos

    • Ethernet rápida de 12 puertos

    • Ethernet rápida de 48 puertos

    • PIC ATM distinta del IQ ATM2

  • Las estadísticas de tráfico de interfaz conmutada de etiquetas (LSI) no son compatibles con las PIC de la cola inteligente 2 (IQ2), IQ mejorada (IQE) y IQ2 mejorada (IQ2E) en enrutadores serie M.

Configuración de una política de asignación y sustitución de etiquetas para VPN

Puede controlar los anuncios de etiquetas en enrutadores de entrada MPLS y borde de AS (ASBR). Las etiquetas se pueden asignar por salto siguiente (de forma predeterminada) o por tabla (mediante la configuración de la instrucción vrf-table-label ). Esta opción afecta a todas las rutas de una instancia de enrutamiento dada. También puede configurar una política para generar etiquetas por ruta especificando una política de asignación de etiquetas.

Para especificar una política de asignación de etiquetas para la instancia de enrutamiento, configure la label instrucción y especifique una política de asignación de etiquetas mediante la opción de asignación :

Puede configurar esta instrucción en los siguientes niveles jerárquicos:

  • [edit routing-instances routing-instance-name routing-options]

  • [edit logical-systems logical-system-name routing-instances routing-instance-name routing-options]

Nota:

El [edit logical-systems] nivel de jerarquía no es aplicable en los enrutadores de la serie ACX.

Para configurar la política de asignación de etiquetas, incluya la label-allocation instrucción en el [edit policy-options policy-statement policy-statement-name term term-name then] nivel jerárquico. Puede configurar el modo de asignación de etiquetas como por siguiente o por tabla.

Para una opción de VPN B ASBR, las etiquetas de las rutas de tránsito se sustituyen por una etiqueta de túnel virtual local o una etiqueta vrf-table-label. Cuando se configura una tabla VRF en el ASBR (este tipo de configuración es poco común para el modelo de opción B), el ASBR no genera el intercambio MPLS ni el estado de intercambio e inserción para rutas de tránsito. En su lugar, el ASBR anuncia de nuevo una etiqueta de virtual-tunnel o vrf-table-label local y reenvía ese tráfico de tránsito según las tablas de reenvío IP. La sustitución de etiquetas ayuda a conservar etiquetas en los enrutadores de Juniper Networks.

Sin embargo, este tipo de sustitución de etiquetas rompe efectivamente la ruta de reenvío MPLS, que se hace visible cuando se usa un comando MPLS OAM como ping LSP. Puede configurar la forma en que se sustituyen las etiquetas por ruta especificando una política de sustitución de etiquetas.

Para especificar una política de sustitución de etiquetas para la instancia de enrutamiento, configure la label instrucción y especifique una política de sustitución de etiquetas mediante la opción de sustitución :

Puede configurar esta instrucción en los siguientes niveles jerárquicos:

  • [edit routing-instances routing-instance-name routing-options]

  • [edit logical-systems logical-system-name routing-instances routing-instance-name routing-options]

Nota:

El [edit logical-systems] nivel de jerarquía no es aplicable en los enrutadores de la serie ACX.

La política de sustitución de etiquetas se utiliza para determinar si se debe sustituir o no una etiqueta en un enrutador ASBR. Los resultados de la operación de política se aceptan (se realiza la sustitución de etiquetas) o se rechazan (no se realiza la sustitución de etiquetas). El comportamiento predeterminado es aceptado. En el siguiente ejemplo de comando set se muestra cómo configurar una política de sustitución de etiquetas de rechazo : set policy-options policy-statement no-label-substitution term default then reject.