Configuração de instâncias de roteamento em roteadores PE em VPNs
Você precisa configurar uma instância de roteamento para cada VPN em cada um dos roteadores PE que participam da VPN. Os procedimentos de configuração descritos nesta seção são aplicáveis às VPNs de Camada 2, VPNs de Camada 3 e VPLS. Os procedimentos de configuração específicos para cada tipo de VPN são descritos nas seções correspondentes nos outros capítulos de configuração.
Para configurar instâncias de roteamento para VPNs, inclua as seguintes declarações:
description text; instance-type type; interface interface-name; route-distinguisher (as-number:number | ip-address:number); vrf-import [ policy-names ]; vrf-export [ policy-names ]; vrf-target { export community-name; import community-name; }
Você pode incluir essas declarações nos seguintes níveis de hierarquia:
[edit routing-instances routing-instance-name][edit logical-systems logical-system-name routing-instances routing-instance-name]
Para configurar instâncias de roteamento VPN, você executa as etapas nas seguintes seções:
Configurando o nome da instância de roteamento para uma VPN
O nome da instância de roteamento para UMA VPN pode ser de no máximo 128 caracteres e pode conter letras, números e hífens. No Junos OS Release 9.0 e posterior, você não pode mais especificar default como o nome real da instância de roteamento. Você também não pode usar caracteres especiais (! @ # $ % ^ &* , +< >: ;) em nome de uma instância de roteamento.
No Junos OS Release 9.6 e posterior, você pode incluir uma barra (/) em um nome de instância de roteamento apenas se um sistema lógico não estiver configurado. Ou seja, você não pode incluir o caractere de corte em um nome de instância de roteamento se um sistema lógico diferente do padrão estiver explicitamente configurado.
Especifique o nome da instância de roteamento com a routing-instance declaração:
routing-instance routing-instance-name {...}
Você pode incluir essa declaração nos seguintes níveis de hierarquia:
[edit][edit logical-systems logical-system-name]
Configurando a descrição
Para fornecer uma descrição do texto para a instância de roteamento, inclua a description declaração. Se o texto incluir um ou mais espaços, coloque-os entre aspas (" "). Qualquer texto descritivo que você incluir é exibido na saída do show route instance detail comando e não tem efeito sobre a operação da instância de roteamento.
Para configurar uma descrição do texto, inclua a description declaração:
description text;
Você pode incluir essa declaração nos seguintes níveis de hierarquia:
[edit routing-instances routing-instance-name][edit logical-systems logical-system-name routing-instances routing-instance-name]
Configuração do tipo de instância
O tipo de instância que você configura varia dependendo se você está configurando VPNs de Camada 2, VPNs de Camada 3, VPLS ou roteadores virtuais. Especifique o tipo de instância incluindo a instance-type declaração:
Para habilitar o roteamento VPN de Camada 2 em um roteador PE, inclua a
instance-typedeclaração e especifique o valorl2vpn:instance-type l2vpn;
Para habilitar o roteamento VPLS em um roteador PE, inclua a
instance-typedeclaração e especifique o valorvpls:instance-type vpls;
As VPNs de camada 3 exigem que cada roteador PE tenha uma tabela de roteamento e encaminhamento VPN (VRF) para distribuir rotas dentro da VPN. Para criar a tabela VRF no roteador PE, inclua a
instance-typedeclaração e especifique o valorvrf:instance-type vrf;
Nota:A amostragem baseada em mecanismos de roteamento não é suportada em instâncias de roteamento VRF.
Para habilitar a instância de roteamento de roteador virtual, inclua a
instance-typedeclaração e especifique o valorvirtual-router:instance-type virtual-router;
Você pode incluir essa declaração nos seguintes níveis de hierarquia:
[edit routing-instances routing-instance-name][edit logical-systems logical-system-name routing-instances routing-instance-name]
Configuração de interfaces para roteamento VPN
Em cada roteador PE, você deve configurar uma interface sobre a qual o tráfego de VPN viaja entre os roteadores PE e CE.
As seções a seguir descrevem como configurar interfaces para VPNs:
- Configuração geral para roteamento VPN
- Configuração de interfaces para VPNs de camada 3
- Configuração de interfaces para VPNs de operadoras
- Configuração do Unicast RPF em interfaces VPN
Configuração geral para roteamento VPN
A configuração descrita nesta seção se aplica a todos os tipos de VPNs. Para VPNs de camada 3 e VPNs de operadoras, preencha a configuração descrita nesta seção antes de prosseguir para as seções de configuração de interface específicas desses tópicos.
Para configurar interfaces para roteamento vpn, inclua a interface declaração:
interface interface-name;
Você pode incluir essa declaração nos seguintes níveis de hierarquia:
[edit routing-instances routing-instance-name][edit logical-systems logical-system-name routing-instances routing-instance-name]
Especifique as partes físicas e lógicas do nome da interface no formato a seguir:
physical.logical
Por exemplo, em at-1/2/1.2, at-1/2/1 é a parte física do nome da interface e 2 é a parte lógica. Se você não especificar a parte lógica do nome da interface, o valor 0 será definido por padrão.
Uma interface lógica pode ser associada a apenas uma instância de roteamento. Se você habilitar um protocolo de roteamento em todas as instâncias especificando interfaces all ao configurar a instância mestre do protocolo no [edit protocols] nível de hierarquia, e se você configurar uma interface específica para o [edit routing-instances routing-instance-name] roteamento vpn no nível de hierarquia ou no [edit logical-systems logical-system-name routing-instances routing-instance-name] nível de hierarquia, esta última declaração de interface tem precedência e a interface é usada exclusivamente para a VPN.
Se você configurar explicitamente o mesmo nome da interface no nível de [edit protocols] hierarquia e nos [edit routing-instances routing-instance-name] níveis de hierarquia ou [edit logical-systems logical-system-name routing-instances routing-instance-name] ou na hierarquia, uma tentativa de confirmar a configuração falhará.
Configuração de interfaces para VPNs de camada 3
Quando você configura as interfaces VPN de Camada 3 no nível de [edit interfaces] hierarquia, você também deve configurar family inet ao configurar a interface lógica:
[edit interfaces]
interface-name {
unit logical-unit-number {
family inet;
}
}
Configuração de interfaces para VPNs de operadoras
Quando você configura VPNs de operadoras, você precisa configurar a family mpls declaração, além da family inet declaração para as interfaces entre os roteadores PE e CE. Para VPNs de operadoras, configure a interface lógica da seguinte forma:
[edit interfaces]
interface-name {
unit logical-unit-number {
family inet;
family mpls;
}
}
Se você configurar family mpls na interface lógica e então configurar essa interface para uma instância de roteamento não operadora de operadoras, a family mpls declaração será removida automaticamente da configuração para a interface lógica, uma vez que não é necessária.
Configuração do Unicast RPF em interfaces VPN
Para interfaces VPN que transportam tráfego ip versão 4 ou versão 6 (IPv4 ou IPv6), você pode reduzir o impacto de ataques de negação de serviço (DoS) configurando o encaminhamento de caminho reverso unicast (RPF). O Unicast RPF ajuda a determinar a origem dos ataques e rejeita pacotes de endereços de origem inesperados em interfaces onde o RPF unicast é habilitado.
Você pode configurar RPF unicast em uma interface VPN, permitindo RPF unicast na interface e incluindo a interface declaração no nível hierárquico [edit routing-instances routing-instance-name] .
Você não pode configurar RPF unicast nas interfaces voltadas para o núcleo. Você só pode configurar RPF unicast nas interfaces de roteador CE para PE no roteador PE. No entanto, para instâncias de roteamento de roteador virtual, o RPF unicast é suportado em todas as interfaces que você especifica na instância de roteamento.
Para obter informações sobre como configurar o RPF unicast em interfaces VPN, consulte Understanding Unicast RPF (Roteadores).
Configurando o diferencial de rota
Cada instância de roteamento que você configura em um roteador PE deve ter um diferencial de rota único associado a ele. As instâncias de roteamento vpn precisam de um diferencial de rota para ajudar o BGP a distinguir entre as mensagens de alcance de camada de rede (NLRI) potencialmente idênticas recebidas de diferentes VPNs. Se você configurar diferentes instâncias de roteamento VPN com o mesmo diferencial de rota, o commit falha.
Para VPNs de camada 2 e VPLS, se você tiver configurado a l2vpn-use-bgp-rules declaração, você deve configurar um diferencial de rota exclusivo para cada roteador PE que participa em uma instância de roteamento específica.
Para outros tipos de VPNs, recomendamos que você use um diferencial de rota exclusivo para cada roteador PE participante na instância de roteamento. Embora você possa usar o mesmo diferenciador de rota em todos os roteadores PE para a mesma instância de roteamento VPN (exceto para VPNs de Camada 2 e VPLS), se você usar um diferencial de rota único, você pode determinar o roteador CE de qual rota se originou dentro da VPN.
Para configurar um diferencial de rota em um roteador PE, inclua a route-distinguisher declaração:
route-distinguisher (as-number:number | ip-address:number);
Para obter uma lista de níveis de hierarquia em que você possa incluir esta declaração, veja a seção de resumo da declaração para esta declaração.
O diferencial de rota é um valor de 6 byte que você pode especificar em um dos seguintes formatos:
as-number:number, ondeas-numberestá um número de sistema autônomo (AS) (um valor de 2 byte) enumberqualquer valor de 4 byte. O número AS pode estar na faixa de 1 a 65.535. Recomendamos que você use uma Autoridade de Números Atribuídos à Internet (IANA) designada, número AS nãoprivado, de preferência do próprio provedor de serviços de Internet (ISP) ou do próprio número AS do cliente.ip-address:number, ondeip-addressestá um endereço IP (um valor de 4 byte) enumberqualquer valor de 2 byte. O endereço IP pode ser qualquer endereço unicast único globalmente. Recomendamos que você use o endereço que configura narouter-iddeclaração, que é um endereço não determinado em sua faixa de prefixo atribuída.
Configuração de distindores de rota automáticos
Se você configurar a route-distinguisher-id declaração no nível de [edit routing-options] hierarquia, um diferencial de rota é atribuído automaticamente à instância de roteamento. Se você também configurar a route-distinguisher declaração, além da route-distinguisher-id declaração, o valor configurado para route-distinguisher substitui o valor gerado route-distinguisher-id.
Para atribuir automaticamente um diferencial de rota, inclua a route-distinguisher-id declaração:
route-distinguisher-id ip-address;
Você pode incluir essa declaração nos seguintes níveis de hierarquia:
[edit routing-options][edit logical-systems logical-system-name routing-options]
Um diferencial de rota tipo 1 é automaticamente atribuído à instância de roteamento usando o formato ip-address:number. O endereço IP é especificado pela route-distinguisher-id declaração e o número é exclusivo para a instância de roteamento.