Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Visão geral da VPN de Camada 3 BGP sobre túneis IP-IP

Os serviços de VPN tradicionais usam a técnica de encaminhamento baseada em rótulos do MPLS. Algumas redes podem fazer a transição da rede MPLS para a rede núcleo da malha IP. O rótulo VPN não é suportado na rede de núcleo de malha IP.

Apresentamos suporte para túneis VPN de Camada 3 BGP sobre IP sobre IP (IP-IP) para criar um novo serviço de transporte que não exija um rótulo VPN para identificar o VRF na Saída PE. Essa oferta transporta diferentes tipos de tráfego usando a mesma infraestrutura e a mesma topologia BGP com RD e alvos de rota na rede IP-IP. Os túneis IP-IP terminam em VRF de camada de serviço, para que você não precise usar um rótulo de serviço. Esse recurso permite a interoperabilidade entre o novo VRF e o VRF tradicional, para que ambos os tipos de overlays possam coexistir em sua rede. Você pode usar esse recurso para fazer a transição de uma rede MPLS para uma rede núcleo de malha IP e proteger sua rede contra ataques de negação de serviço distribuídos (DDoS).

Figura 1: Rede de amostra que mostra a coexistência de VRFs Sample Network That Shows Coexistence of New and Traditional VRFs novos e tradicionais

Na Figura 1, o PE1 é uma saída PE que oferece suporte a tipos tradicionais e novos de túneis, por isso anunciará esses dois tipos de túneis em suas rotas L3VPN. PE2 é um PE de entrada que usa um novo tipo de túnel para chegar ao CE1 e PE3 é um PE de entrada que usa túnel tradicional para chegar ao CE1. Se um túnel IP-IP for selecionado para encaminhar o tráfego, o rótulo de serviço do aplicativo é ignorado e um filtro de firewall é usado para desmultipler o tráfego. O tráfego L3VPN é descapsulado e depois faz uma busca de rota no VRF, enquanto o tráfego IPv4/IPv6 é descapsulado e faz uma busca de rota na tabela inet.0/inet6.0.

Os prefixos do sistema de mitigação de ameaças são trocados via BGP inetvpn ou atualizações unicast de inet6vpn. Essas atualizações BGP transportam atributos de encapsulamento de túnel. O BGP L3VPN separa o prefixo de mitigação de ameaças das rotas da Internet e não afeta a melhor seleção de caminho da rota da Internet, minimizando assim a probabilidade de formar um loop de roteamento. No Junos OS 20.3R1 e versões posteriores, você pode optar por usar VPN em vez de transporte MPLS ou switch para IP sobre túnel IP de acordo com o atributo do túnel. Se o roteador receptor estiver sendo executado no Junos OS 20.2 ou versões anteriores, o atributo de caminho é ignorado e usa o serviço de transporte MPLS tradicional.

Para usar VPN em um túnel IP-IP, você precisa configurar um atributo de túnel. Quando as rotas são anunciadas diretamente da tabela VRF, você pode usar uma política de exportação BGP ou VRF para anexar o atributo do túnel. Quando a declaração de tabelas de vpn-principal é habilitada, ou quando o dispositivo atua como um refletor de rota ou um roteador de limite AS, você deve anexar o atributo do túnel usando uma política de exportação BGP sob BGP.

Você pode configurar o receptor para programar o túnel dinâmico usando o atributo do túnel para permitir atributos de túnel em peers BGP confiáveis. O refletor de rota é capaz de refletir a rota com o atributo do túnel mesmo que isso não esteja configurado.