Configuração de instâncias de roteamento em roteadores PE em VPNs
Você precisa configurar uma instância de roteamento para cada VPN em cada um dos roteadores PE que participam da VPN. Os procedimentos de configuração descritos nesta seção são aplicáveis a VPNs de Camada 2, VPNs de Camada 3 e VPLS. Os procedimentos de configuração específicos para cada tipo de VPN são descritos nas seções correspondentes nos outros capítulos de configuração.
Para configurar instâncias de roteamento para VPNs, inclua as seguintes declarações:
description text; instance-type type; interface interface-name; route-distinguisher (as-number:number | ip-address:number); vrf-import [ policy-names ]; vrf-export [ policy-names ]; vrf-target { export community-name; import community-name; }
Você pode incluir essas instruções nos seguintes níveis de hierarquia:
[edit routing-instances routing-instance-name][edit logical-systems logical-system-name routing-instances routing-instance-name]
Para configurar instâncias de roteamento VPN, execute as etapas nas seguintes seções:
Configurando o nome da instância de roteamento para uma VPN
O nome da instância de roteamento de uma VPN pode ter no máximo 128 caracteres e pode conter letras, números e hífens. Nas versões modernas do Junos OS, você não pode especificar default como o nome real da instância de roteamento. Você também não pode usar caracteres especiais (! @ # $ % ^ & * , +< > : ;) dentro do nome de uma instância de roteamento.
Você pode incluir uma barra (/) em um nome de instância de roteamento somente se um sistema lógico não estiver configurado. Ou seja, você não pode incluir o caractere de barra em um nome de instância de roteamento se um sistema lógico diferente do padrão estiver configurado explicitamente.
Especifique o nome da instância de roteamento com a routing-instance instrução:
routing-instance routing-instance-name {...}
Você pode incluir essa instrução nos seguintes níveis de hierarquia:
[edit][edit logical-systems logical-system-name]
Configurando a descrição
Para fornecer uma descrição de texto para a instância de roteamento, inclua a description instrução. Se o texto incluir um ou mais espaços, coloque-os entre aspas (" "). Qualquer texto descritivo incluído é exibido na saída do show route instance detail comando e não tem efeito sobre a operação da instância de roteamento.
Para configurar uma descrição de texto, inclua a description declaração:
description text;
Você pode incluir essa instrução nos seguintes níveis de hierarquia:
[edit routing-instances routing-instance-name][edit logical-systems logical-system-name routing-instances routing-instance-name]
Configurando o tipo de instância
O tipo de instância que você configura varia dependendo se você está configurando VPNs de camada 2, VPNs de camada 3, VPLS ou roteadores virtuais. Especifique o tipo de instância incluindo a instance-type instrução:
Para habilitar o roteamento VPN de Camada 2 em um roteador PE, inclua a
instance-typedeclaração e especifique o valorl2vpn:instance-type l2vpn;
Para habilitar o roteamento VPLS em um roteador PE, inclua a
instance-typedeclaração e especifique o valorvpls:instance-type vpls;
As VPNs de camada 3 exigem que cada roteador PE tenha uma tabela de roteamento e encaminhamento de VPN (VRF) para distribuir rotas dentro da VPN. Para criar a tabela VRF no roteador PE, inclua a
instance-typedeclaração e especifique o valorvrf:instance-type vrf;
Observação:A amostragem baseada no Mecanismo de Roteamento não é suportada em instâncias de roteamento VRF.
Para habilitar a instância de roteamento do roteador virtual, inclua a
instance-typedeclaração e especifique o valorvirtual-router:instance-type virtual-router;
Você pode incluir essa instrução nos seguintes níveis de hierarquia:
[edit routing-instances routing-instance-name][edit logical-systems logical-system-name routing-instances routing-instance-name]
Configuração de interfaces para roteamento VPN
Em cada roteador PE, você deve configurar uma interface pela qual o tráfego VPN viaje entre os roteadores PE e CE.
As seções a seguir descrevem como configurar interfaces para VPNs:
- Configuração geral para roteamento VPN
- Configuração de interfaces para VPNs de camada 3
- Configuração de interfaces para VPNs de operadoras de operadoras
- Configuração de RPF unicast em interfaces VPN
Configuração geral para roteamento VPN
A configuração descrita nesta seção se aplica a todos os tipos de VPNs. Para VPNs de Camada 3 e VPNs de operadoras de operadoras, conclua a configuração descrita nesta seção antes de prosseguir para as seções de configuração de interface específicas para esses tópicos.
Para configurar interfaces para roteamento de VPN, inclua a interface declaração:
interface interface-name;
Você pode incluir essa instrução nos seguintes níveis de hierarquia:
[edit routing-instances routing-instance-name][edit logical-systems logical-system-name routing-instances routing-instance-name]
Especifique as partes física e lógica do nome da interface, no seguinte formato:
physical.logical
Por exemplo, em at-1/2/1.2, at-1/2/1 é a parte física do nome da interface e 2 é a parte lógica. Se você não especificar a parte lógica do nome da interface, o valor 0 será definido por padrão.
Uma interface lógica pode ser associada a apenas uma instância de roteamento. Se você habilitar um protocolo de roteamento em todas as instâncias especificando interfaces all ao configurar a instância mestre do protocolo no [edit protocols] nível de hierarquia e se configurar uma interface específica para roteamento de VPN no nível de [edit routing-instances routing-instance-name] hierarquia ou no nível de [edit logical-systems logical-system-name routing-instances routing-instance-name] hierarquia, a última interface declaração terá precedência e a interface será usada exclusivamente para a VPN.
Se você configurar explicitamente o mesmo nome de interface no nível de [edit protocols] hierarquia e nos [edit routing-instances routing-instance-name] níveis de hierarquia ou [edit logical-systems logical-system-name routing-instances routing-instance-name] , uma tentativa de confirmar a configuração falhará.
Configuração de interfaces para VPNs de camada 3
Ao configurar as interfaces VPN de Camada 3 no nível de [edit interfaces] hierarquia, você também deve configurar family inet ao configurar a interface lógica:
[edit interfaces]
interface-name {
unit logical-unit-number {
family inet;
}
}
Configuração de interfaces para VPNs de operadoras de operadoras
Ao configurar VPNs de operadoras de operadoras, você precisa configurar a family mpls declaração além da family inet declaração para as interfaces entre os roteadores PE e CE. Para VPNs de operadoras de operadoras, configure a interface lógica da seguinte maneira:
[edit interfaces]
interface-name {
unit logical-unit-number {
family inet;
family mpls;
}
}
Se você configurar family mpls na interface lógica e, em seguida, configurar essa interface para uma instância de roteamento que não seja portadora de operadoras, a family mpls declaração será removida automaticamente da configuração da interface lógica, uma vez que não é necessária.
Configuração de RPF unicast em interfaces VPN
Para interfaces VPN que transportam tráfego IP versão 4 ou versão 6 (IPv4 ou IPv6), você pode reduzir o impacto de ataques de negação de serviço (DoS) configurando o encaminhamento de caminho reverso (RPF) unicast. O RPF unicast ajuda a determinar a origem dos ataques e rejeita pacotes de endereços de origem inesperados em interfaces onde o RPF unicast está habilitado.
Você pode configurar o RPF unicast em uma interface VPN habilitando o RPF unicast na interface e incluindo a interface declaração no nível da [edit routing-instances routing-instance-name] hierarquia.
Você não pode configurar RPF unicast nas interfaces voltadas para o núcleo. Você só pode configurar RPF unicast nas interfaces de roteador roteador CE para PE no roteador PE. No entanto, para instâncias de roteamento de roteador virtual, o RPF unicast é suportado em todas as interfaces especificadas na instância de roteamento.
Para obter informações sobre como configurar RPF unicast em interfaces VPN, consulte Entendendo o RPF Unicast (Roteadores).
Configurando o diferenciador de rota
Cada instância de roteamento que você configura em um roteador PE deve ter um diferenciador de rota exclusivo associado a ela. As instâncias de roteamento de VPN precisam de um diferenciador de rota para ajudar o BGP a distinguir entre mensagens de informações de alcance de camada de rede (NLRI) potencialmente idênticas recebidas de VPNs diferentes. Se você configurar diferentes instâncias de roteamento VPN com o mesmo diferenciador de rota, a confirmação falhará.
Para VPNs e VPLS de Camada 2, se você configurou a l2vpn-use-bgp-rules declaração, você deve configurar um diferenciador de rota exclusivo para cada roteador PE que participa de uma instância de roteamento específica.
Para outros tipos de VPNs, recomendamos que você use um diferenciador de rota exclusivo para cada roteador PE que participa da instância de roteamento. Embora você possa usar o mesmo diferenciador de rota em todos os roteadores PE para a mesma instância de roteamento VPN (exceto para VPNs de Camada 2 e VPLS), se você usar um diferenciador de rota exclusivo, poderá determinar o roteador CE do qual uma rota se originou dentro da VPN.
Para configurar um diferenciador de rota em um roteador PE, inclua a route-distinguisher declaração:
route-distinguisher (as-number:number | ip-address:number);
Para obter uma lista de níveis de hierarquia nos quais você pode incluir essa instrução, consulte a seção de resumo da instrução para esta declaração.
O diferenciador de rota é um valor de 6 bytes que você pode especificar em um dos seguintes formatos:
as-number:number, ondeas-numberé um número de sistema autônomo (AS) (um valor de 2 bytes) enumberé qualquer valor de 4 bytes. O número de AS pode estar no intervalo de 1 a 65.535. Recomendamos que você use um número de AS não privado atribuído pela Internet Assigned Numbers Authority (IANA), de preferência do próprio provedor de serviços de Internet (ISP) ou do próprio número de AS do cliente.ip-address:number, ondeip-addressé um endereço IP (um valor de 4 bytes) enumberé qualquer valor de 2 bytes. O endereço IP pode ser qualquer endereço unicast globalmente exclusivo. Recomendamos que você use o endereço configurado na declaração, que é um endereço não privado no intervalo de prefixosrouter-idatribuído.
Configuração de diferenciadores automáticos de rota
Se você configurar a route-distinguisher-id declaração no nível de [edit routing-options] hierarquia, um diferenciador de rota será atribuído automaticamente à instância de roteamento. Se você também configurar a route-distinguisher declaração além da route-distinguisher-id declaração, o valor configurado para route-distinguisher substitui o valor gerado a partir do route-distinguisher-id.
Para atribuir um diferenciador de rota automaticamente, inclua a route-distinguisher-id declaração:
route-distinguisher-id ip-address;
Você pode incluir essa instrução nos seguintes níveis de hierarquia:
[edit routing-options][edit logical-systems logical-system-name routing-options]
Um diferenciador de rota tipo 1 é atribuído automaticamente à instância de roteamento usando o formato ip-address:number. O endereço IP é especificado pela route-distinguisher-id instrução e o número é exclusivo para a instância de roteamento.