Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Configuração de um AS para VPNs de Camada 3

Configuração de VPNs de Camada 3 para transportar tráfego IBGP

Um domínio AS independente é separado do domínio da instância de roteamento principal. Um AS é um conjunto de roteadores que estão sob uma única administração técnica e que geralmente usam um único IGP e métricas para propagar informações de roteamento dentro do conjunto de roteadores. Um AS parece para outros ASs ter um único plano de roteamento interior coerente e apresenta uma imagem consistente de quais destinos são alcançáveis através dele.

Configurar um domínio independente permite que você mantenha os caminhos de AS do domínio independente de serem compartilhados com os atributos de caminho AS e AS de outros domínios, incluindo o domínio da instância de roteamento mestre.

Se você estiver usando BGP no roteador, você deve configurar um número AS.

Quando você configura o BGP como o protocolo de roteamento entre um roteador PE e um roteador CE em uma VPN de Camada 3, você normalmente configura sessões externas de peering entre o provedor de serviços VPN de Camada 3 e o ASs da rede do cliente.

Se a rede do cliente tiver vários sites anunciando rotas por uma sessão BGP externa para a rede de provedores de serviços e se o mesmo AS for usado por todos os sites de clientes, os roteadores CE rejeitarão as rotas dos outros roteadores CE. Eles detectam um loop no atributo de caminho BGP AS.

Para evitar que os roteadores CE rejeitem as rotas uns dos outros, você pode configurar o seguinte:

  • As rotas de publicidade dos roteadores PE recebidas de roteadores PE remotos podem remapear o número AS da rede do cliente para o seu próprio número AS.

  • OS loops de caminho podem ser configurados.

  • A rede do cliente pode ser configurada com números DE diferentes em cada site.

Esses tipos de configurações podem funcionar quando não há trocas de roteamento BGP entre a rede do cliente e outras redes. No entanto, eles têm limitações para redes de clientes que usam o BGP internamente para fins que não sejam transportar tráfego entre os roteadores CE e os roteadores PE. Quando essas rotas são anunciadas fora da rede do cliente, as ASs do provedor de serviços estão presentes no caminho do AS.

Para melhorar a transparência dos serviços de VPN de Camada 3 para redes de clientes, você pode configurar a instância de roteamento para a VPN de Camada 3 para isolar os atributos de rede do cliente dos atributos de rede do provedor de serviços.

Quando você inclui a independent-domain declaração na configuração da instância de roteamento VPN de Camada 3, os atributos BGP recebidos da rede do cliente (do roteador CE) são armazenados em um atributo BGP (ATTRSET) que funciona como uma pilha. Quando essa rota é anunciada desde o roteador PE remoto até o roteador CE remoto, os atributos BGP originais são restaurados. Esse é o comportamento padrão das rotas BGP anunciadas para VPNs de Camada 3 localizadas em diferentes domínios.

Essa funcionalidade é descrita no rascunho da Internet draft-marques-ppvpn-ibgp-version.txt, RFC 2547bis Networks usando BGP interno como protocolo PE-CE.

Para permitir que uma VPN de Camada 3 transporte tráfego IBGP, inclua a independent-domain declaração:

Você pode incluir esta declaração nos seguintes níveis de hierarquia:

  • [edit routing-instances routing-instance-name routing-options autonomous-system number]

  • [edit logical-systems logical-system-name routing-instances routing-instance-name routing-options autonomous-system number]

    Nota:

    Todos os roteadores PE que participam de uma VPN de Camada 3 com a independent-domain declaração em sua configuração devem estar executando o Junos OS Release 6.3 ou posterior.

Nota:

O [edit logical-systems] nível de hierarquia não é aplicável em roteadores da Série ACX.

O domínio independente usa o atributo de caminho transitivo 128 (conjunto de atributos) para tunelar os atributos BGP do domínio independente através do núcleo BGP interno (IBGP). No Junos OS Release 10.3 e posterior, se o BGP receber o atributo 128 e você não configurar um domínio independente em nenhuma instância de roteamento, o BGP trata o atributo recebido 128 como um atributo desconhecido.

Existe um limite de 16 ASs para cada domínio.

Exemplo: configurar uma VPN de Camada 3 com reflexão de rotas e substituição de AS

Suponha que você seja um provedor de serviços que oferece um serviço gerenciado de VPN de Camada 3 baseado em MPLS. Seu cliente tem vários sites e requer o roteamento BGP para dispositivos de borda do cliente (CE) em cada site.

Requisitos

Nenhuma configuração especial além da inicialização do dispositivo é necessária antes de configurar este exemplo.

Visão geral

Este exemplo tem dois dispositivos CE, dois dispositivos de borda de provedor (PE) e vários dispositivos de núcleo de provedores. A rede do provedor também está usando o IS-IS para oferecer suporte a LDP e a acessibilidade de loopback BGP O dispositivo P2 está funcionando como um refletor de rotas (RR). Ambos os dispositivos CE estão no sistema autônomo (AS) 64512. A rede do provedor está no AS 65534.

A as-override declaração é aplicada aos dispositivos PE, substituindo assim o número AS do dispositivo CE pelo do dispositivo PE. Isso impede que o número de AS do cliente apareçam mais de uma vez no atributo de caminho AS.

A Figura 1 mostra a topologia usada neste exemplo.

Figura 1: Topologia AS Override Topology de override AS

A configuração rápida da CLI mostra a configuração para todos os dispositivos na Figura 1. O procedimento passo a passo da seção descreve as etapas do Dispositivo PE1.

Topologia

Configuração

Procedimento

Configuração rápida de CLI

Para configurar este exemplo rapidamente, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com sua configuração de rede e, em seguida, copie e cole os comandos no CLI no nível de [edit] hierarquia.

Dispositivo CE1

Dispositivo P1

P2 do dispositivo

Dispositivo P3

Dispositivo PE1

Dispositivo PE2

Dispositivo CE2

Procedimento passo a passo

O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter informações sobre a navegação na CLI, consulte o uso do Editor de CLI no modo de configuração no Guia de Usuário da CLI.

Para configurar a substituição AS:

  1. Configure as interfaces.

    Para habilitar o MPLS, inclua a família de protocolo na interface para que a interface não descarte o tráfego MPLS recebido.

  2. Adicione a interface ao protocolo MPLS para estabelecer a conectividade do nível do plano de controle.

    Configure o IGP para que os dispositivos do provedor possam se comunicar entre si.

    Para estabelecer um mecanismo para distribuir rótulos MPLS, habilite o LDP. Opcionalmente, para LDP, possibilite a desagregação da classe de equivalência de equivalência (FEC), o que resulta em uma convergência global mais rápida.

  3. Habilite a conexão BGP interna (IBGP) com peer apenas com a RR, usando a família de endereços unicast VPN IPv4.

  4. Configure a instância de roteamento, incluindo a as-override declaração.

    Crie a instância de roteamento (VRF) no dispositivo PE, configurando a configuração BGP para peer com o dispositivo CE1.

  5. Configure o ID do roteador e o número AS.

Resultados

A partir do modo de configuração, confirme sua configuração entrando noshow interfaces, show protocolsshow routing-instancese show routing-options comandos. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.

Se terminar de configurar o dispositivo, entre no commit modo de configuração.

Verificação

Confirme se a configuração está funcionando corretamente.

Verificando o caminho do AS para os dispositivos CE

Propósito

Exibir informações no dispositivo PE1 sobre o atributo de caminho AS para a rota para a interface de loopback do Dispositivo CE2.

Ação

No dispositivo PE1, do modo operacional, entre no show route table VPN-A.inet.0 10.255.6.6 comando.

Significado

A saída mostra que o dispositivo PE1 tem um caminho AS para 10.255,6,6/32, vindo do AS 64512.

Verificando como a rota para o dispositivo CE2 é anunciada

Propósito

Certifique-se de que a rota para o dispositivo CE2 seja anunciada para o dispositivo CE1 como se fosse vinda do núcleo MPLS.

Ação

No dispositivo PE1, do modo operacional, entre no show route advertising-protocol bgp 10.0.0.1 comando.

Significado

A saída indica que o Dispositivo PE1 está anunciando apenas seu próprio número AS no caminho do AS.

Verificando a rota no dispositivo CE1

Propósito

Certifique-se de que o dispositivo CE1 contenha apenas o número AS do provedor no caminho DE para a rota para o dispositivo CE2.

Ação

A partir do modo operacional, entre no show route table inet.0 terse 10.255.6.6 comando.

Significado

A saída indica que o dispositivo CE1 tem uma rota para o dispositivo CE2. O problema do loop é resolvido com o uso da as-override declaração.

Uma rota está escondida no dispositivo CE. Isso porque o Junos OS não executa um horizonte dividido BGP. Geralmente, o horizonte dividido no BGP é desnecessário, porque quaisquer rotas que possam ser recebidas de volta pelo originador são menos preferidas devido ao comprimento do caminho AS (para EBGP), detecção de loop de caminho AS (IBGP) ou outras métricas BGP. As rotas de publicidade de volta ao vizinho das quais foram aprendidas têm um efeito insignificante no desempenho do roteador, e é a coisa correta a fazer.

Configuração do algoritmo que determina a rota ativa para avaliar números AS em caminhos DE para rotas VPN

Por padrão, a terceira etapa do algoritmo que determina a rota ativa avalia o comprimento do caminho as, mas não o conteúdo do caminho AS. Em alguns cenários de VPN com várias rotas de caminho BGP, também pode ser útil comparar os números AS dos caminhos de AS e fazer com que o algoritmo selecione a rota cujos números DE correspondem.

Para configurar o algoritmo que escolhe o caminho ativo para avaliar os números de AS nos caminhos de AS para rotas VPN:

  • Inclua a as-path-compare declaração no nível de [edit routing-instances routing-instance-name routing-options multipath] hierarquia.

Nota:

A as-path-compare declaração não é compatível com a instância de roteamento padrão.