Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Exemplo: interconectar uma VPN de Camada 2 com uma VPN de Camada 3

Este exemplo fornece um procedimento passo a passo e comandos para interconectar e verificar uma VPN de Camada 2 com uma VPN de Camada 3. Ele contém as seguintes seções:

Requisitos

Este exemplo usa os seguintes componentes de hardware e software:

  • Junos OS Versão 9.3 ou posterior

  • Cinco roteadores da Série MX

  • Três roteadores da Série M

  • Dois roteadores da Série T

Visão geral e topologia

Uma VPN de Camada 2 é um tipo de VPN (Virtual Private Network, rede privada virtual) que usa rótulos MPLS para transportar dados. A comunicação ocorre entre os roteadores de borda (PE) do provedor.

As VPNs de Camada 2 usam o BGP como protocolo de sinalização e, consequentemente, têm um design mais simples e exigem menos sobrecarga de provisionamento do que as VPNs tradicionais em circuitos de Camada 2. A sinalização BGP também permite a recuperação automática dos pares de VPN de Camada 2. As VPNs de Camada 2 podem ter uma topologia de malha completa ou hub-and-spoke. O mecanismo de tunelamento na rede de núcleo é, normalmente, MPLS. No entanto, as VPNs de Camada 2 também podem usar outros protocolos de tunelamento, como o GRE.

As VPNs de Camada 3 são baseadas em RFC 2547bis, BGP/MPLS IP VPNs. O RFC 2547bis define um mecanismo pelo qual os provedores de serviços podem usar seus backbones IP para fornecer serviços VPN aos seus clientes. Uma VPN de Camada 3 é um conjunto de sites que compartilham informações comuns de roteamento e cuja conectividade é controlada por uma coleção de políticas. Os sites que compõem uma VPN de Camada 3 estão conectados pelo backbone da Internet pública existente de um provedor. As VPNs RFC 2547bis também são conhecidas como VPNs BGP/MPLS porque o BGP é usado para distribuir informações de roteamento VPN no backbone do provedor, e o MPLS é usado para encaminhar o tráfego de VPN através do backbone para sites vpn remotos.

As redes de clientes, por serem privadas, podem usar endereços públicos ou endereços privados, conforme definido no RFC 1918, alocação de endereços para Internets privadas. Quando as redes de clientes que usam endereços privados se conectam à infraestrutura de Internet pública, os endereços privados podem se sobrepor aos mesmos endereços privados usados por outros usuários da rede. As VPNs MPLS/BGP resolvem esse problema adicionando um diferencial de rota. Um diferencial de rota é um prefixo identificador de VPN que é adicionado a cada endereço a partir de um determinado site vpn, criando assim um endereço exclusivo tanto dentro da VPN quanto dentro da Internet.

Além disso, cada VPN tem sua própria tabela de roteamento específica para VPN que contém as informações de roteamento apenas para essa VPN. Para separar as rotas de uma VPN das rotas na Internet pública ou de outras VPNs, o roteador PE cria uma tabela de roteamento separada para cada VPN chamada tabela de roteamento e encaminhamento VPN (VRF). O roteador PE cria uma tabela VRF para cada VPN que tem uma conexão com um roteador de borda do cliente (CE). Qualquer cliente ou site que pertence à VPN pode acessar apenas as rotas nas tabelas VRF para essa VPN. Cada tabela VRF tem um ou mais atributos de comunidade estendidos associados a ela que identificam a rota como pertencente a uma coleção específica de roteadores. Um deles, o atributo alvo da rota , identifica uma coleção de sites (tabelas VRF) aos quais um roteador PE distribui rotas. O roteador PE usa o alvo de rota para restringir a importação de rotas remotas em suas tabelas VRF.

Quando um roteador PE de entrada recebe rotas anunciadas de um roteador CE conectado diretamente, ele verifica a rota recebida contra a política de exportação vrF para essa VPN.

  • Se for compatível, a rota é convertida em formato VPN-IPv4— ou seja, o distintivo de rotas é adicionado à rota. Em seguida, o roteador PE anuncia a rota no formato VPN-IPv4 para os roteadores PE remotos. Ele também anexa um alvo de rota a cada rota aprendida com os sites diretamente conectados. O alvo de rota conectado à rota baseia-se no valor da política de destino de exportação configurada da tabela VRF. As rotas são então distribuídas usando sessões de IBGP, que estão configuradas na rede principal do provedor.

  • Se a rota do roteador CE não for compatível, ela não é exportada para outros roteadores PE, mas ainda pode ser usada localmente para roteamento, por exemplo, se dois roteadores CE na mesma VPN estiverem diretamente conectados ao mesmo roteador PE.

Quando um roteador PE de saída recebe uma rota, ele verifica-a contra a política de importação na sessão do IBGP entre os roteadores PE. Se for aceito, o roteador coloca a rota em sua tabela bgp.l3vpn.0. Ao mesmo tempo, o roteador verifica a rota contra a política de importação de VRF para a VPN. Se for compatível, o distintivo de rota é removido da rota e a rota é colocada na tabela VRF (a routing-instance-nametabela .inet.0) em formato IPv4.

Topologia

A Figura 1 mostra a topologia física de uma interconexão VPN-to-Layer 3 de Camada 2.

Figura 1: Topologia física de uma VPN de Camada 2 terminando em uma VPN Physical Topology of a Layer 2 VPN Terminating into a Layer 3 VPN de Camada 3

A topologia lógica de uma interconexão VPN de Camada 2 para Camada 3 é mostrada na Figura 2.

Figura 2: Topologia lógica de uma VPN de Camada 2 terminando em uma VPN Logical Topology of a Layer 2 VPN Terminating into a Layer 3 VPN de Camada 3

As definições a seguir descrevem o significado das abreviaturas do dispositivo usadas na Figura 1 e na Figura 2.

  • Dispositivo de borda do cliente (CE) — um dispositivo nas instalações do cliente que fornece acesso à VPN do provedor de serviços por meio de um link de dados para um ou mais roteadores de borda de provedor (PE).

    Normalmente, o dispositivo CE é um roteador IP que estabelece uma adjacência com seus roteadores PE conectados diretamente. Depois que a adjacência é estabelecida, o roteador CE anuncia as rotas VPN locais do site para o roteador PE e aprende rotas VPN remotas do roteador PE.

  • Dispositivo de borda (PE) do provedor — um dispositivo ou conjunto de dispositivos na borda da rede do provedor que apresenta a visão do provedor do site do cliente.

    Os roteadores PE trocam informações de roteamento com roteadores CE. Os roteadores PE estão cientes das VPNs que se conectam por elas, e os roteadores PE mantêm o estado vpn. Um roteador PE só é necessário para manter rotas VPN para essas VPNs às quais ele está diretamente conectado. Depois de aprender rotas VPN locais de roteadores CE, um roteador PE troca informações de roteamento VPN com outros roteadores PE usando IBGP. Por fim, ao usar o MPLS para encaminhar o tráfego de dados de VPN pelo backbone do provedor, o roteador PE de entrada funciona como o roteador de comutação de rótulos (LSR) de entrada e o roteador PE de saída funciona como o LSR de saída.

  • Dispositivo de provedor (P) — um dispositivo que opera dentro da rede principal do provedor e não interface diretamente com nenhum CE.

    Embora o dispositivo P seja uma parte essencial da implementação de VPNs para os clientes do provedor de serviços e possa fornecer roteamento para muitos túneis operados por provedores que pertencem a diferentes VPNs, ele não está ciente de VPN e não mantém o estado VPN. Sua função principal é permitir que o provedor de serviços dimensione suas ofertas de VPN, por exemplo, atuando como um ponto de agregação para vários roteadores PE.

    Os roteadores P funcionam como LSRs de trânsito MPLS ao encaminhar o tráfego de dados VPN entre roteadores PE. Os roteadores P são necessários apenas para manter rotas para os roteadores PE do provedor; eles não são obrigados a manter informações específicas de roteamento VPN para cada site do cliente.

Configuração

Para interconectar uma VPN de Camada 2 com uma VPN de Camada 3, execute essas tarefas:

Configuração dos protocolos e interfaces de base

Procedimento passo a passo

  1. Em cada roteador PE e P, configure o OSPF com extensões de engenharia de tráfego em todas as interfaces. Desativar o OSPF na interface fxp0.0.

  2. Em todos os roteadores de núcleo, habilite o MPLS em todas as interfaces. Desativar o MPLS na interface fxp0.0.

  3. Em todos os roteadores principais, crie um grupo de peer BGP interno e especifique o endereço refletor de rota (192.0.2.7) como vizinho. Também permita que o BGP carregue mensagens de informações de alcance da camada de rede (NLRI) de camada 2 para esse grupo de pares, incluindo a signaling declaração no nível de [edit protocols bgp group group-name family l2vpn] hierarquia.

  4. No Roteador PE3, crie um grupo de peer BGP interno e especifique o endereço IP do refletor de rota (192.0.2.7) como vizinho. Permita que o BGP carregue mensagens NLRI de VPLS de Camada 2 para esse grupo de pares e habilite o processamento de endereços VPN-IPv4, incluindo a unicast declaração no nível de [edit protocols bgp group group-name family inet-vpn] hierarquia.

  5. Para o domínio vpn de Camada 3 no Roteador PE3 e roteador PE5, habilite o RSVP em todas as interfaces. Desativar RSVP na interface fxp0.0.

  6. No Roteador PE3 e no Roteador PE5, crie caminhos comutados por rótulos (LSPs) até o refletor de rota e os outros roteadores PE. O exemplo a seguir mostra a configuração do Roteador PE5.

  7. Nos roteadores PE1, PE2, PE3 e PE5, configure as interfaces de núcleo com um endereço IPv4 e habilite a família de endereços MPLS. O exemplo a seguir mostra a configuração da interface xe-0/1/0 no Roteador PE2.

  8. No Roteador PE2 e no Roteador PE3, configure o LDP para o protocolo de sinalização VPN MPLS de Camada 2 para todas as interfaces. Desativar LDP na interface fxp0.0. (RSVP também pode ser usado.)

  9. No refletor de rotas, crie um grupo de peer BGP interno e especifique os endereços IP dos roteadores PE como os vizinhos.

  10. No refletor de rota, configure LSPs MPLS em direção aos roteadores PE3 e PE5 para resolver o BGP próximo hops da tabela de roteamento inet.3.

Configurando as interfaces VPN

Procedimento passo a passo

O Roteador PE2 é uma das extremidades da VPN de Camada 2. O roteador PE3 está realizando a costura de VPN de Camada 2 entre a VPN de Camada 2 e a VPN de Camada 3. O roteador PE3 usa a interface lógica de túnel (interface lt) configurada com diferentes unidades de interface lógica aplicadas em duas instâncias VPN de Camada 2 diferentes. O pacote é looped embora a interface lt configurada no Roteador PE3. A configuração do Roteador PE5 contém a interface PE-CE.

  1. No Roteador PE2, configure o encapsulamento da interface ge-1/0/2. Inclua a declaração de encapsulamento e especifique a opção ethernet-ccc (vlan-ccc encapsulamento também é suportado) no nível de [edit interfaces ge-1/0/2] hierarquia. O encapsulamento deve ser o mesmo em todo um domínio VPN de Camada 2 (Roteadores PE2 e PE3). Além disso, configure o lo0 da interface.

  2. No Roteador PE2, configure a instância de roteamento no nível [edit routing-instances] hierarquia. Além disso, configure o protocolo VPN de Camada 2 no nível [edit routing-instances routing-instances-name protocols] hierarquia. Configure o ID do site remoto como 3. O Site ID 3 representa o Roteador PE3 (Hub-PE). A VPN de Camada 2 está usando o LDP como protocolo de sinalização. Esteja ciente de que, no exemplo a seguir, tanto a instância de roteamento quanto o protocolo são nomeados l2vpn.

  3. No Roteador PE5, configure a interface Gigabit Ethernet para o enlace ge-2/0/0 PE-CE e configure a lo0 interface.

  4. No Roteador PE5, configure a instância de roteamento VPN de Camada 3 (L3VPN) no nível de [edit routing-instances] hierarquia. Configure também o BGP no nível de [edit routing-instances L3VPN protocols] hierarquia.

  5. Em um roteador da Série MX, como o Roteador PE3, você deve criar a interface de serviços de túnel para ser usada para serviços de túnel. Para criar a interface de serviço de túnel, inclua a bandwidth declaração e especifique a quantidade de largura de banda para reservar para serviços de túnel em gigabits por segundo no nível de [edit chassis fpc slot-number pic slot-number tunnel-services] hierarquia.

  6. No Roteador PE3, configure a interface Gigabit Ethernet.

    Inclua a address declaração no nível da [edit interfaces ge-1/0/1.0 family inet] hierarquia e especifique 198.51.100.9/24 como o endereço IP.

  7. No Roteador PE3, configure a interface lógica do lt-1/1/10.0 túnel no nível de [edit interfaces lt-1/1/10 unit 0] hierarquia. O roteador PE3 é o roteador que está costurando a VPN de Camada 2 à VPN de Camada 3 usando a interface lógica do túnel. A configuração das interfaces de unidade de peer é o que faz a interconexão.

    Para configurar a interface, inclua a encapsulation declaração e especifique a opção ethernet-ccc . Inclua a peer-unit declaração e especifique a unidade 1 de interface lógica como a interface de túnel de peer. Inclua a family declaração e especifique a opção ccc .

  8. No Roteador PE3, configure a interface lógica do lt-1/1/10.1 túnel no nível de [edit interfaces lt-1/1/10 unit 1] hierarquia.

    Para configurar a interface, inclua a encapsulation declaração e especifique a opção ethernet . Inclua a peer-unit declaração e especifique a unidade 0 de interface lógica como a interface de túnel de peer. Inclua a family declaração e especifique a opção inet . Inclua a address declaração no nível de [edit interfaces lt-1/1/10 unit 0] hierarquia e especifique 198.51.100.7/24 como o endereço IPv4.

  9. No Roteador PE3, adicione a lt unidade de interface 1 à instância de roteamento no nível de [edit routing-instances L3VPN] hierarquia. Configure o tipo de instância como vrf com lt a unidade peer 1 como uma interface PE-CE para encerrar a VPN de Camada 2 no Roteador PE2 na VPN de Camada 3 no Roteador PE3.

  10. No Roteador PE3, adicione a lt unidade de interface 0 à instância de roteamento no nível de [edit routing-instances protocols l2vpn] hierarquia. Configure também o mesmo alvo vrf para as instâncias de roteamento VPN de Camada 2 e Camada 3, para que as rotas possam ser vazadas entre as instâncias. A configuração de exemplo na etapa anterior mostra o alvo vrf para a L3VPN instância de roteamento. O exemplo a seguir mostra o alvo vrf para a l2vpn instância de roteamento.

  11. No Roteador PE3, configure a policy-statement declaração para exportar as rotas aprendidas com a unidade de interface diretamente conectada lt 1 para todos os roteadores CE para conectividade, se necessário.

Resultados

A saída a seguir mostra a configuração completa do Roteador PE2:

Roteador PE2

A saída a seguir mostra a configuração final do Roteador PE5:

Roteador PE5

A saída a seguir mostra a configuração final do Roteador PE3:

Roteador PE3

Verificação

Verifique a interconexão VPN-to-Layer 3 de VPN de Camada 2:

Verificação da interface VPN PE2 do roteador

Propósito

Verifique se a VPN de Camada 2 está ativa e funcionando na interface PE2 do roteador e que todas as rotas estão lá.

Ação

  1. Use o show l2vpn connections comando para verificar se o ID do site de conexão é 3 para o Roteador PE3 e que o status é Up.

  2. Use o show route table comando para verificar se a rota VPN da Camada 2 está presente e que há um próximo salto através da 10.10.5.2 xe-0/2/0.0 interface. A saída a seguir verifica se as rotas VPN de Camada 2 estão presentes na tabela l2vpn.l2vpn.0. Saída semelhante deve ser exibida para o Roteador PE3.

  3. Verifique se o Roteador PE2 tem um rótulo MPLS VPN de Camada 2 apontando para o rótulo LDP para o Roteador PE3 em ambas as direções (PUSH e POP).

Significado

A l2vpn instância de roteamento está ativa na interface ge-1/0/2 e a rota VPN de Camada 2 é mostrada na tabela l2vpn.l2vpn.0. A tabela mpls.0 mostra as rotas VPN de Camada 2 usadas para encaminhar o tráfego usando um rótulo LDP.

Verificação da interface VPN PE3 do roteador

Propósito

Verifique se a conexão VPN de Camada 2 do Roteador PE2 e do Roteador PE3 está Up funcionando.

Ação

  1. Verifique se a sessão BGP com o refletor de rota para a família l2vpn-signaling e a família inet-vpn está estabelecida.

  2. A saída a seguir verifica a rota VPN de Camada 2 e o rótulo associado a ela.

  3. A saída a seguir mostra a rota L2VPN MPLS.0 na tabela de rotas mpls.0.

  4. Use o show route table mpls.0 comando com a opção detail de ver os atributos BGP da rota, como operações do tipo next-hop e rótulos.

Verificando a conectividade de ponta a ponta desde o roteador CE2 até o roteador CE5 e o roteador CE3

Propósito

Verifique a conectividade entre roteadores CE2, CE3 e CE5.

Ação

  1. Ping o endereço IP CE3 do roteador do roteador CE2.

  2. Ping o endereço IP CE5 do roteador do roteador CE2.