Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
NESTA PÁGINA
 

VPNs e VPLS

Uma VPN é uma conexão criptografada pela Internet de um dispositivo para uma rede que evita escutas de acesso não autorizadas no tráfego, e permite que o usuário realize o trabalho remotamente. Para obter mais informações, veja os seguintes tópicos:

Introdução ao VPLS

VPLS é uma VPN de Camada 2 baseada em Ethernet. Ele permite que você conecte sites de redes locais (LAN) Ethernet geograficamente dispersos entre si em um backbone MPLS. Para os clientes que implementam VPLS, todos os sites parecem estar na mesma LAN Ethernet, embora o tráfego viaje pela rede do provedor de serviços.

O VPLS, em sua implementação e configuração, tem muito em comum com uma VPN de Camada 2. No VPLS, um pacote originado na rede de um cliente provedor de serviços é enviado primeiro para um dispositivo de borda do cliente (CE) (por exemplo, um roteador ou switch Ethernet). Em seguida, ele é enviado para um roteador de borda (PE) de provedor dentro da rede do provedor de serviços. O pacote atravessa a rede do provedor de serviços por um caminho comutador de rótulos MPLS (LSP). Ele chega ao roteador PE de saída, que depois encaminha o tráfego para o dispositivo CE no local do cliente de destino.

Nota:

Na documentação do VPLS, a palavra roteador em termos como roteador PE é usada para se referir a qualquer dispositivo que forneça funções de roteamento.

A diferença é que, para VPLS, os pacotes podem atravessar a rede do provedor de serviços de forma ponto a multiponto, o que significa que um pacote originado de um dispositivo CE pode ser transmitido para todos os roteadores PE que participam de uma instância de roteamento VPLS. Por outro lado, uma VPN de Camada 2 encaminha pacotes apenas de forma ponto a ponto.

Os caminhos que transportam tráfego VPLS entre cada roteador PE que participa de uma instância de roteamento são chamados de pseudowires. Os pseudowires são sinalizados usando BGP ou LDP.

Exemplo: usar sistemas lógicos para configurar roteadores provedores de borda e provedor em um cenário de VPN e VPLS de Camada 3

Este exemplo fornece procedimentos passo a passo para configurar roteadores de borda (PE) e provedores (P) em um cenário de VPN e VPLS usando sistemas lógicos.

Requisitos

Neste exemplo, nenhuma configuração especial além da inicialização do dispositivo é necessária.

Visão geral

Neste exemplo, as VPNs são usadas para separar o tráfego do cliente em um backbone do provedor.

Topologia

A Figura 1 mostra quatro pares de roteadores CE conectados em um backbone MPLS:

  • Os roteadores CE1 e CE5 fazem parte da VPN vermelha.

  • Os roteadores CE2 e CE6 estão na VPN azul.

  • Os roteadores CE3 e CE7 pertencem a um domínio VPLS.

  • Os roteadores CE4 e CE8 estão conectados com protocolos padrão.

Dois sistemas lógicos estão configurados nos roteadores PE1 e PE2 e no roteador principal P0 do provedor. Cada um desses três roteadores tem dois sistemas lógicos: LS1 e LS2. Para ilustrar o conceito de um sistema lógico, ambas as VPNs fazem parte do Logical System LS1, a instância VPLS pertence ao Logical System LS2 e os roteadores restantes usam a porção principal do roteador dos roteadores PE1, P0 e PE2.

Figura 1: Diagrama da topologia do sistema lógico de borda e provedor de provedores Provider Edge and Provider Logical System Topology Diagram

No Roteador PE1, duas instâncias de roteamento e encaminhamento de VPN (VRF) são criadas no Logical System LS1. As instâncias de roteamento são chamadas de vermelho e azul. O exemplo configura as interfaces lógicas voltadas para a borda do cliente (CE) para que o tráfego do Roteador CE1 seja colocado na VPN vermelha, e o tráfego do Roteador CE2 seja colocado na VPN azul. Uma interface lógica em fe-0/0/1.1 se conecta ao Logical System LS1 no roteador P0. Uma instância de roteamento VPLS está no Logical System LS2. A interface lógica está configurada para que o tráfego do Roteador CE3 seja enviado para o domínio VPLS. Essa interface lógica se conecta ao Logical System LS2 no roteador P0. O exemplo também contém um administrador para o Logical System LS1. O administrador de sistema lógico é responsável pela manutenção desse sistema lógico. Por fim, o exemplo mostra como configurar uma interface lógica para interconectar o Roteador CE4 com a porção principal do roteador PE1.

O roteador PE2 tem as duas instâncias de roteamento VRF no Logical System LS1: vermelho e azul. As interfaces lógicas voltadas para CE permitem que o tráfego do Roteador CE5 seja colocado na VPN vermelha e o tráfego do Roteador CE6 na VPN azul. Uma interface lógica no so-1/2/0.1 se conecta ao Logical System LS1 no roteador P0. A instância de roteamento VPLS está configurada no Logical System LS2. Uma interface lógica permite que o tráfego do Roteador CE7 seja enviado para o domínio VPLS e se conecte ao Sistema Lógico LS2 no roteador P0. O exemplo mostra como configurar uma interface lógica para interconectar o Roteador CE8 com a porção principal do roteador P0. Por fim, você pode criar opcionalmente um administrador de sistema lógico que tenha privilégios de configuração para o Logical System LS1 e privilégios de visualização para o Logical System LS2.

No roteador P0, o exemplo mostra como configurar sistemas lógicos LS1, LS2 e o roteador principal. Você deve configurar propriedades de interface física no nível da hierarquia do roteador [edit interfaces] principal. Em seguida, o exemplo mostra como configurar protocolos (como RSVP, MPLS, BGP e IS-IS), opções de roteamento e opções de política para sistemas lógicos. Por último, o exemplo mostra como configurar o mesmo administrador para o Logical System LS1 configurado no Roteador PE1. Este administrador de sistema do Logical System LS2 tem permissão para visualizar a configuração LS2, mas não alterar a configuração do Logical System LS2.

O Logical System LS1 transporta tráfego para a VPN vermelha que existe entre os roteadores CE1 e CE5. O Logical System LS1 também conecta a VPN azul que existe entre roteadores CE2 e CE6. O Logical System LS2 transporta tráfego VPLS entre roteadores CE3 e CE7. Para o roteador principal no Roteador P0, você pode configurar o roteador como de costume. O roteador principal transporta tráfego entre roteadores CE4 e CE8. O exemplo mostra como configurar as interfaces e os protocolos de roteamento (OSPF, BGP) para se conectar à porção principal do roteador dos roteadores PE1 e PE2.

Configuração

Configurar os roteadores PE e P em sistemas lógicos envolve realizar as seguintes tarefas:

Configuração de interfaces nos dispositivos de borda do cliente

Procedimento passo a passo

O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter informações sobre como navegar pela CLI, consulte o uso do Editor de CLI no modo de configuração no guia de usuário da CLI.

  1. No roteador CE1, configure o OSPF para se conectar à VPN vermelha no Logical System LS1 no Roteador PE1.

  2. No roteador CE2, configure o BGP para se conectar à VPN azul no Logical System LS1 no Roteador PE1.

  3. No roteador CE3, configure a interface Fast Ethernet no VLAN 600 para se conectar com a instância de roteamento VPLS no Logical System LS2 no Roteador PE1.

  4. No roteador CE4, configure a interface Fast Ethernet para se conectar com o roteador principal no Roteador PE1.

  5. No roteador CE5, configure o OSPF para se conectar à VPN vermelha no Logical System LS1 no Roteador PE2.

  6. No roteador CE6, configure o BGP para se conectar à VPN azul no Logical System LS1 no Roteador PE2.

  7. No roteador CE7, configure a interface Fast Ethernet no VLAN 600 para se conectar com a instância de roteamento VPLS no Logical System LS2 no Roteador PE2.

  8. No roteador CE8, configure a interface Fast Ethernet para se conectar com o roteador principal no Roteador PE2.

Configuração do roteador PE1

Procedimento passo a passo

  1. Configure o roteador principal no Roteador PE1.

  2. Configure o Sistema Lógico LS1 no roteador PE1.

  3. Configure o Sistema Lógico LS2 no roteador PE1.

Configuração do roteador PE2

Procedimento passo a passo

  1. Configure o roteador principal no Roteador PE2.

  2. Configure o Sistema Lógico LS1 no roteador PE2.

  3. Configure o Sistema Lógico LS2 no roteador PE2.

Configuração do roteador P0

Procedimento passo a passo

  1. Configure o roteador principal no roteador P0.

  2. Configure o Sistema Lógico LS1 no roteador P0.

  3. Configure o Sistema Lógico LS2 no roteador P0.

Resultados

No roteador CE1, configure o OSPF para se conectar à VPN vermelha no Logical System LS1 no roteador PE1:

Roteador CE1

No roteador CE2, configure o BGP para se conectar à VPN azul no Logical System LS1 no Roteador PE1:

Roteador CE2

No roteador CE3, configure a interface Fast Ethernet no VLAN 600 para se conectar com a instância de roteamento VPLS no Logical System LS2 no Roteador PE1:

Roteador CE3

No Roteador CE4, configure a interface Fast Ethernet para se conectar com o roteador principal no Roteador PE1:

Roteador CE4

No Roteador PE1, crie duas instâncias de roteamento e encaminhamento VPN (VRF) no Logical System LS1: vermelho e azul. Configure as interfaces lógicas voltadas para CE para que o tráfego do Roteador CE1 seja colocado na VPN vermelha, e o tráfego do Roteador CE2 seja colocado na VPN azul. Em seguida, crie uma interface lógica em fe-0/0/1.1 para se conectar ao Sistema Lógico LS1 no roteador P0.

Também no Roteador PE1, crie uma instância de roteamento VPLS no Logical System LS2. Configure uma interface lógica para que o tráfego do Roteador CE3 seja enviado para o domínio VPLS e se conecte ao Sistema Lógico LS2 no roteador P0.

Crie um administrador para o Logical System LS1. O administrador de sistema lógico pode ser responsável pela manutenção desse sistema lógico.

Por fim, configure uma interface lógica para interconectar o Roteador CE4 com a porção principal do roteador P0.

Roteador PE1

No roteador P0, configure a Logical Systems LS1, LS2 e o roteador principal. Para o sistema lógico, você deve configurar propriedades de interface física no nível da hierarquia do roteador principal e atribuir [edit interfaces] as interfaces lógicas aos sistemas lógicos. Em seguida, você deve configurar protocolos (como RSVP, MPLS, BGP e IS-IS), opções de roteamento e opções de política para os sistemas lógicos. Por último, configure o mesmo administrador para Logical System LS1 configurado no Roteador PE1. Configure esse mesmo administrador para o Logical System LS2 para ter permissão para visualizar a configuração LS2, mas não alterar a configuração para LS2.

Neste exemplo, o Logical System LS1 transporta tráfego para a VPN vermelha que existe entre roteadores CE1 e CE5. O Logical System LS1 também conecta a VPN azul que existe entre roteadores CE2 e CE6. O Logical System LS2 transporta tráfego VPLS entre roteadores CE3 e CE7.

Para o roteador principal no Roteador P0, você pode configurar o roteador como de costume. Neste exemplo, o roteador principal transporta tráfego entre roteadores CE4 e CE8. Como resultado, configure as interfaces e os protocolos de roteamento (OSPF, BGP) para se conectar à porção principal do roteador dos roteadores PE1 e PE2.

Roteador P0

No Roteador PE2, crie duas instâncias de roteamento VRF no Logical System LS1: vermelho e azul. Configure as interfaces lógicas voltadas para CE para que o tráfego do Roteador CE5 seja colocado na VPN vermelha e o tráfego do Roteador CE6 seja colocado na VPN azul. Em seguida, crie uma interface lógica no 1/2/0.1 para se conectar ao Sistema Lógico LS1 no roteador P0.

Também no Roteador PE2, crie uma instância de roteamento VPLS no Logical System LS2. Configure uma interface lógica para que o tráfego do Roteador CE7 seja enviado para o domínio VPLS e se conecte ao Sistema Lógico LS2 no roteador P0.

Configure uma interface lógica para interconectar o Roteador CE8 com a porção principal do roteador P0.

Por fim, você pode criar opcionalmente um administrador de sistema lógico que tenha privilégios de configuração para o Logical System LS1 e privilégios de visualização para o Logical System LS2.

Roteador PE2

No roteador CE5, configure o OSPF para se conectar à VPN vermelha no Logical System LS1 no roteador PE2:

 Roteador CE5

No roteador CE6, configure o BGP para se conectar à VPN azul no Logical System LS1 no roteador PE2:

Roteador CE6

No Roteador CE7, configure a interface Fast Ethernet no VLAN 600 para se conectar com a instância de roteamento VPLS no Logical System LS2 no Roteador PE2:

 Roteador CE7

No Roteador CE8, configure a interface Fast Ethernet para se conectar com o roteador principal no Roteador PE2:

 Roteador CE8

Verificação

Confirme que a configuração está funcionando corretamente executando esses comandos:

  • mostrar resumo bgp (sistema logical-system-namelógico )

  • mostrar adjacência isis (sistema logical-system-namelógico )

  • mostrar mpls lsp (sistema logical-system-namelógico )

  • mostrar (ospf | ospf3) vizinho (sistema logical-system-namelógico)

  • mostrar rota (sistema logical-system-namelógico )

  • mostrar protocolo de rota (sistema logical-system-namelógico)

  • mostrar sessão rsvp (sistema logical-system-namelógico )

As seções a seguir mostram a saída de comandos usados com o exemplo de configuração:

Status do roteador CE1

Propósito

Verifique a conectividade.

Ação

Status do ROTEADOR CE2

Propósito

Verifique a conectividade.

Ação

Status do roteador CE3

Propósito

Verifique a conectividade.

Ação

Status do Roteador PE1: Roteador principal

Propósito

Verifique a operação bgp.

Ação

Status do ROTEADOR PE1: Sistema lógico LS1

Propósito

Verifique a operação bgp.

Ação

VPN vermelha

O administrador primário ou o administrador de sistema lógico podem emitir o seguinte comando para visualizar a saída para um sistema lógico específico.

VPN azul

O administrador primário ou o administrador de sistema lógico podem emitir o seguinte comando para visualizar a saída para um sistema lógico específico.

Status do Roteador PE1: Sistema Lógico LS2

Propósito

Verifique a operação de VPLS.

Ação

Status do roteador P0: roteador principal

Propósito

Verifique a conectividade.

Ação

Status do roteador P0: roteador principal

Propósito

Verifique a operação dos protocolos de roteamento.

Ação

Status do roteador P0: Sistema lógico LS1

Propósito

Verifique a operação dos protocolos de roteamento.

Ação

Status do roteador P0: Sistema lógico LS2

Propósito

Verifique a operação dos protocolos de roteamento.

Ação

Status do ROTEADOR PE2: Roteador principal

Propósito

Verifique a operação dos protocolos de roteamento.

Ação

Status do ROTEADOR PE2: Sistema Lógico LS1

Propósito

Verifique a operação dos protocolos de roteamento.

Ação

VPN vermelha

VPN azul

Status do PE2 do roteador: sistema lógico LS2

Propósito

Verifique a operação dos protocolos de roteamento.

Ação

Status do roteador CE5

Propósito

Verifique a conectividade.

Ação

Status do roteador CE6

Propósito

Verifique a conectividade.

Ação

Status do roteador CE7

Propósito

Verifique a conectividade.

Ação

Saída de verificação do administrador do sistema lógico

Propósito

Como os administradores de sistemas lógicos só têm acesso às informações de configuração dos sistemas lógicos aos quais são atribuídos, a saída de verificação também está limitada a esses sistemas lógicos. A saída a seguir mostra o que o administrador de sistema lógico LS1-administrador nesta configuração de exemplo veria.

Para verificar se cada par de roteadores CE tem conectividade de ponta a ponta, emita o ping comando nos roteadores CE1, CE2 e CE3:

Ação

Do CE1, ping CE5 (a VPN vermelha).

Do CE2, ping CE6 (a VPN azul).

Do CE3, ping CE7 (o VPLS).

Veja também

Documentação relacionada