NESTA PÁGINA
VPNs de operadoras de operadora
Entendendo as VPNs de operadoras de operadoras
O cliente de um provedor de serviços VPN pode ser um provedor de serviços para o cliente final. Os seguintes são os dois principais tipos de VPNs de operadoras (conforme descrito na RFC 4364:
Provedor de serviços de Internet como cliente — o cliente VPN é um ISP que usa a rede do provedor de serviços VPN para conectar suas redes regionais geograficamente distintas. O cliente não precisa configurar o MPLS em suas redes regionais.
Provedor de serviços vpn como cliente — o cliente VPN é um provedor de serviços VPN que oferece serviços de VPN aos seus clientes. O cliente de serviços VPN de operadoras conta com o provedor de serviços de VPN de backbone para conectividade entre sites. O provedor de serviços VPN do cliente é obrigado a executar o MPLS em suas redes regionais.
A Figura 1 ilustra a arquitetura de rede usada para um serviço vpn de operadoras.
Este tópico aborda o seguinte:
Provedor de serviços de Internet como cliente
Nesse tipo de configuração de VPN de operadoras de operadoras, o ISP A configura sua rede para fornecer serviço de Internet ao ISP B. O ISP B fornece a conexão ao cliente que deseja um serviço de Internet, mas o serviço de Internet real é fornecido pelo ISP A.
Esse tipo de configuração de VPN de operadora tem as seguintes características:
O cliente de serviços VPN (ISP B) de operadoras não precisa configurar o MPLS em sua rede.
O provedor de serviços VPN (ISP A) da operadora deve configurar o MPLS em sua rede.
O MPLS também deve ser configurado nos roteadores CE e roteadores PE conectados juntos nas redes de provedores de serviços VPN do cliente de operadora e operadora de operadoras.
Provedor de serviços vpn como cliente
Um provedor de serviços VPN pode ter clientes que são eles mesmos provedores de serviços VPN. Nesse tipo de configuração, também chamada de VPN hierárquica ou recursiva, as rotas VPN-IPv4 do provedor de serviços VPN do cliente são consideradas rotas externas, e o provedor de serviços VPN de backbone não as importa em sua tabela VRF. O provedor de serviços VPN de backbone importa apenas as rotas internas do provedor de serviços VPN do cliente em sua tabela VRF.
As semelhanças e diferenças entre VPNs entre provedores e operadoras são mostradas na Tabela 1.
Característica |
Cliente ISP |
Cliente provedor de serviços VPN |
|---|---|---|
Dispositivo de borda do cliente |
Roteador de borda AS |
Roteador PE |
Sessões do IBGP |
Carregue rotas IPv4 |
Carregue rotas VPN-IPv4 externas com rótulos associados |
Encaminhamento dentro da rede do cliente |
MPLS é opcional |
O MPLS é necessário |
Suporte para o serviço VPN, pois o cliente é suportado em switches QFX10000 a partir do Junos OS Release 17.1R1.
Configuração de VPNs de operadoras para clientes que fornecem serviços de Internet
Você pode configurar um serviço VPN de operadora de operadoras para clientes que desejam fornecer serviços básicos de Internet. O provedor de serviços VPN de operadoras deve configurar o MPLS em sua rede, embora essa configuração seja opcional para o cliente de serviços de operadora. A arquitetura de VPN de operadoras mostra como os roteadores ou switches nesse tipo de interconexão de serviços.
Para configurar uma VPN de operadora de operadora, execute as tarefas descritas nas seguintes seções:
- Configuração do roteador CE do cliente de serviços de operadora de operadora
- Configurando os roteadores PE do provedor de serviços de VPN de operadoras
Configuração do roteador CE do cliente de serviços de operadora de operadora
O roteador (ou switch) de atendimento VPN para operadoras atua como um roteador CE em relação ao roteador ou switch PE do provedor de serviços. As seções a seguir descrevem como configurar o roteador ou switch CE do cliente de serviços de operadora de operadoras:
Configuração do MPLS
Para configurar o MPLS no roteador ou switch CE do cliente, inclua a mpls declaração:
mpls {
traffic-engineering bgp-igp;
interface interface-name;
}
Você pode incluir essa declaração nos seguintes níveis de hierarquia:
[edit protocols][edit logical-systems logical-system-name protocols]
Configuração do BGP
Para configurar um grupo para reunir as rotas internas do cliente, inclua a bgp declaração:
bgp {
group group-name {
type internal;
local-address address;
neighbor address;
}
}
Você pode incluir essa declaração nos seguintes níveis de hierarquia:
[edit protocols][edit logical-systems logical-system-name protocols]
O roteador CE (ou switch) do cliente deve ser capaz de enviar rótulos para o roteador do provedor de serviços VPN. Habilite isso incluindo a labeled-unicast declaração na configuração do grupo BGP:
bgp {
group group-name {
export internal;
peer-as as-number;
neighbor address {
family inet {
labeled-unicast;
}
}
}
}
Você pode incluir a bgp declaração nos seguintes níveis de hierarquia:
[edit protocols][edit logical-systems logical-system-name protocols]
Configuração do OSPF
Para configurar o OSPF no roteador ou switch CE do cliente, inclua a ospf declaração:
ospf {
area area-id {
interface interface-name {
passive;
}
interface interface-name;
}
}
Você pode incluir essa declaração nos seguintes níveis de hierarquia:
[edit protocols][edit logical-systems logical-system-name protocols]
Configuração de opções de política
Para configurar opções de política no roteador ou switch CE do cliente, inclua a policy-statement declaração:
policy-statement statement-name {
term term-name {
from protocol [ospf direct ldp];
then accept;
}
term term-name {
then reject;
}
}
Você pode incluir essa declaração nos seguintes níveis de hierarquia:
[edit policy-options][edit logical-systems logical-system-name policy-options]
Configurando os roteadores PE do provedor de serviços de VPN de operadoras
Os roteadores PE do provedor de serviços se conectam aos roteadores CE do cliente e encaminham o tráfego vpn do cliente por toda a rede do provedor.
As seções a seguir descrevem como configurar os roteadores PE do provedor de serviços VPN de operadoras:
- Configuração do MPLS
- Configuração do BGP
- Configuração do IS-IS
- Configuração do LDP
- Configuração de uma instância de roteamento
- Configuração de opções de política
Configuração do MPLS
Para configurar o MPLS nos roteadores ou switches PE do provedor, inclua a mpls declaração:
mpls {
interface interface-name;
interface interface-name;
}
Você pode incluir essa declaração nos seguintes níveis de hierarquia:
[edit protocols][edit logical-systems logical-system-name protocols]
Configuração do BGP
Para configurar uma sessão BGP com o roteador PE do provedor na outra ponta da rede do provedor, inclua a bgp declaração:
bgp {
group group-name {
type internal;
local-address address;
family inet-vpn {
any;
}
neighbor address;
}
}
Você pode incluir essa declaração nos seguintes níveis de hierarquia:
[edit protocols][edit logical-systems logical-system-name protocols]
Configuração do IS-IS
Para configurar o IS-IS nos roteadores ou switches PE do provedor, inclua a isis declaração:
isis {
interface interface-name;
interface interface-name {
passive;
}
}
Você pode incluir essa declaração nos seguintes níveis de hierarquia:
[edit protocols][edit logical-systems logical-system-name protocols]
Configuração do LDP
Para configurar o LDP nos roteadores ou switches PE do provedor, inclua a ldp declaração:
ldp {
interface interface-name;
}
Você pode incluir essa declaração nos seguintes níveis de hierarquia:
[edit protocols][edit logical-systems logical-system-name protocols]
Configuração de uma instância de roteamento
Para configurar o serviço VPN de Camada 3 com o roteador ou switch CE do cliente, inclua a labeled-unicast declaração na configuração para a instância de roteamento para que o roteador PE (ou switch) possa enviar rótulos para o roteador ou switch CE do cliente:
routing-instance-name {
instance-type vrf;
interface interface-name;
route-distinguisher address;
vrf-import policy-name;
vrf-export policy-name;
protocols {
bgp {
group group-name {
peer-as as-number;
neighbor address {
family inet {
labeled-unicast;
}
}
}
}
}
}
Você pode incluir essas declarações nos seguintes níveis de hierarquia:
[edit routing-instances][edit logical-systems logical-system-name routing-instances]
Configuração de opções de política
Para configurar uma declaração de política para importar rotas do roteador ou switch CE do cliente, inclua a policy-statement declaração:
policy-statement policy-name {
term term-name {
from {
protocol bgp;
community community-name;
}
then accept;
}
term term-name {
then reject;
}
}
Você pode incluir essa declaração nos seguintes níveis de hierarquia:
[edit policy-options][edit logical-systems logical-system-name policy-options]
Para configurar uma declaração de política para as rotas de exportação para o roteador ou switch CE do cliente, inclua as declarações e community as policy-statement declarações:
policy-statement policy-name {
term term-name {
from protocol bgp;
then {
community add community-name;
accept;
}
}
term term-name {
then reject;
}
}
community community-name members value;
Você pode incluir essas declarações nos seguintes níveis de hierarquia:
[edit policy-options][edit logical-systems logical-system-name policy-options]
Veja também
Exemplo de VPN para operadoras — o cliente fornece serviço de Internet
Neste exemplo, o cliente da operadora não é obrigado a configurar MPLS e LDP em sua rede. No entanto, o provedor de operadora deve configurar o MPLS e o LDP em sua rede.
Para obter informações de configuração, veja as seguintes seções:
- Topologia de rede para serviços de operadoras de operadoras
- Configuração para roteador A
- Configuração para roteador B
- Configuração para roteador C
- Configuração para roteador D
- Configuração para roteador E
- Configuração para roteador F
- Configuração para roteador G
- Configuração para roteador H
- Configuração para roteador I
- Configuração para roteador J
- Configuração para roteador K
- Configuração para roteador L
Topologia de rede para serviços de operadoras de operadoras
Um serviço de operadora de operadoras permite que um provedor de serviços de Internet (ISP) se conecte a um backbone terceirizado transparente em vários locais.
A Figura 2 mostra a topologia da rede neste exemplo de operadora de operadoras.
Configuração para roteador A
Neste exemplo, o Roteador A representa um cliente final. Você configura este roteador como um dispositivo CE.
[edit]
protocols {
bgp {
group to-routerB {
export attached;
peer-as 21;
as-override;
neighbor 192.168.197.169;
}
}
}
policy-options {
policy-statement attached {
from protocol direct;
then accept;
}
}
Configuração para roteador B
O roteador B pode atuar como o roteador de gateway, responsável por agregar clientes finais e conectá-los à rede. Se uma sessão de IBGP de malha completa estiver configurada, você pode usar refletores de rota.
[edit]
protocols {
bgp {
group int {
type internal;
local-address 10.255.14.179;
neighbor 10.255.14.175;
neighbor 10.255.14.181;
neighbor 10.255.14.176;
neighbor 10.255.14.178;
neighbor 10.255.14.177;
}
group to-vpn-blue {
peer-as 1;
neighbor 192.168.197.170;
}
}
ospf {
area 0.0.0.0 {
interface lo0.0 {
passive;
}
interface fe-1/0/3.0;
interface fe-1/0/2.0 {
passive;
}
}
}
}
Configuração para roteador C
Configure o roteador C:
[edit]
protocols {
bgp {
group int {
type internal;
local-address 10.255.14.176;
neighbor 10.255.14.179;
neighbor 10.255.14.175;
neighbor 10.255.14.177;
neighbor 10.255.14.178;
neighbor 10.255.14.181;
}
}
ospf {
area 0.0.0.0 {
interface lo0.0 {
passive;
}
interface fe-0/3/3.0;
interface fe-0/3/0.0;
}
}
}
Configuração para roteador D
O roteador D é o roteador CE em relação ao AS 10023. Em uma VPN de operadora de operadoras, o roteador CE deve ser capaz de enviar rótulos para o provedor de operadoras; isso é feito com a labeled-unicast declaração em grupo to-isp-red.
[edit]
protocols {
mpls {
interface t3-0/0/0.0;
}
bgp {
group int {
type internal;
local-address 10.255.14.175;
neighbor 10.255.14.179;
neighbor 10.255.14.176;
neighbor 10.255.14.177;
neighbor 10.255.14.178;
neighbor 10.255.14.181;
}
group to-isp-red {
export internal;
peer-as 10023;
neighbor 192.168.197.13 {
family inet {
labeled-unicast;
}
}
}
}
ospf {
area 0.0.0.0 {
interface lo0.0 {
passive;
}
interface fe-0/3/0.0;
interface t3-0/0/0.0 {
passive;
}
}
}
}
policy options {
policy-statement internal {
term a {
from protocol [ ospf direct ];
then accept;
}
term b {
then reject;
}
}
}
Configuração para roteador E
Essa configuração configura a sessão do IBGP com o inet-vpn roteador H e a parte do roteador PE da VPN com o Roteador D. Como o Roteador D é necessário para enviar rótulos neste exemplo, configure a sessão BGP com a labeled-unicast declaração dentro da tabela de roteamento e encaminhamento virtual (VRF).
[edit]
protocols {
mpls {
interface t3-0/2/0.0;
interface at-0/1/0.0;
}
bgp {
group pe-pe {
type internal;
local-address 10.255.14.171;
family inet-vpn {
any;
}
neighbor 10.255.14.173;
}
}
isis {
interface at-0/1/0.0;
interface lo0.0 {
passive;
}
}
ldp {
interface at-0/1/0.0;
}
}
routing-instances {
vpn-isp1 {
instance-type vrf;
interface t3-0/2/0.0;
route-distinguisher 10.255.14.171:21;
vrf-import vpn-isp1-import;
vrf-export vpn-isp1-export;
protocols {
bgp {
group to-isp1 {
peer-as 21;
neighbor 192.168.197.14 {
family inet {
labeled-unicast;
}
}
}
}
}
}
}
policy-options {
policy-statement vpn-isp1-import {
term a {
from {
protocol bgp;
community vpn-isp1-comm;
}
then accept;
}
term b {
then reject;
}
}
policy-statement vpn-isp1-export {
term a {
from protocol bgp;
then {
community add vpn-isp1-comm;
accept;
}
}
term b {
then reject;
}
}
community vpn-isp1-comm members target:69:21;
}
Configuração para roteador F
Configure o roteador F para atuar como um roteador de troca de rótulos:
[edit]
protocols {
isis {
interface so-0/2/0.0;
interface at-0/3/0.0;
interface lo0.0 {
passive;
}
}
ldp {
interface so-0/2/0.0;
interface at-0/3/0.0;
}
}
Configuração para roteador G
Configure o Roteador G para atuar como um roteador de troca de rótulos:
[edit]
protocols {
isis {
interface so-0/0/0.0;
interface so-1/0/0.0;
interface lo0.0 {
passive;
}
}
ldp {
interface so-0/0/0.0;
interface so-1/0/0.0;
}
}
Configuração para roteador H
O roteador H atua como roteador PE para AS 10023. A configuração a seguir é semelhante à do roteador F:
[edit]
protocols {
mpls {
interface fe-1/1/0.0;
interface so-1/0/0.0;
}
bgp {
group pe-pe {
type internal;
local-address 10.255.14.173;
family inet-vpn {
any;
}
neighbor 10.255.14.171;
}
}
isis {
interface so-1/0/0.0;
interface lo0.0 {
passive;
}
}
ldp {
interface so-1/0/0.0;
}
}
routing-instances {
vpn-isp1 {
instance-type vrf;
interface fe-1/1/0.0;
route-distinguisher 10.255.14.173:21;
vrf-import vpn-isp1-import;
vrf-export vpn-isp1-export;
protocols {
bgp {
group to-isp1 {
peer-as 21;
neighbor 192.168.197.94 {
family inet {
labeled-unicast;
}
}
}
}
}
}
}
policy-options {
policy-statement vpn-isp1-import {
term a {
from {
protocol bgp;
community vpn-isp1-comm;
}
then accept;
}
term b {
then reject;
}
}
policy-statement vpn-isp1-export {
term a {
from protocol bgp;
then {
community add vpn-isp1-comm;
accept;
}
}
term b {
then reject;
}
}
community vpn-isp1-comm members target:69:21;
}
Configuração para roteador I
Configure o roteador I para me conectar ao cliente básico de serviços de Internet (Roteador L):
[edit]
protocols {
mpls {
interface fe-1/0/1.0;
interface fe-1/1/3.0;
}
bgp {
group int {
type internal;
local-address 10.255.14.181;
neighbor 10.255.14.177;
neighbor 10.255.14.179;
neighbor 10.255.14.175;
neighbor 10.255.14.176;
neighbor 10.255.14.178;
}
group to-vpn-green {
peer-as 1;
neighbor 192.168.197.198;
}
}
ospf {
area 0.0.0.0 {
interface lo0.0 {
passive;
}
interface fe-1/0/1.0 {
passive;
}
interface fe-1/1/3.0;
}
}
}
Configuração para roteador J
Configure o Roteador J como um roteador de troca de rótulos:
[edit]
protocols {
bgp {
group int {
type internal;
local-address 10.255.14.178;
neighbor 10.255.14.177;
neighbor 10.255.14.181;
neighbor 10.255.14.175;
neighbor 10.255.14.176;
neighbor 10.255.14.179;
}
}
}
ospf {
area 0.0.0.0 {
interface lo0.0 {
passive;
}
interface fe-1/0/2.0;
interface fe-1/0/3.0;
}
}
Configuração para roteador K
O roteador K atua como o roteador CE no final da conexão com o provedor de operadoras. Como na configuração do Roteador D, inclua a labeled-unicast declaração para a sessão de EBGP:
[edit]
protocols {
mpls {
interface fe-1/1/2.0;
interface fe-1/0/2.0;
}
bgp {
group int {
type internal;
local-address 10.255.14.177;
neighbor 10.255.14.181;
neighbor 10.255.14.178;
neighbor 10.255.14.175;
neighbor 10.255.14.176;
neighbor 10.255.14.179;
}
group to-isp-red {
export internal;
peer-as 10023;
neighbor 192.168.197.93 {
family inet {
labeled-unicast;
}
}
}
}
ospf {
area 0.0.0.0 {
interface lo0.0 {
passive;
}
interface fe-1/0/2.0;
interface fe-1/1/2.0 {
passive;
}
}
}
}
policy-options {
policy-statement internal {
term a {
from protocol [ ospf direct ];
then accept;
}
term b {
then reject;
}
}
}
Configuração para roteador L
Configure o Roteador L para atuar como o cliente final do serviço VPN de operadora de operadoras:
[edit]
protocols {
bgp {
group to-routerI {
export attached;
peer-as 21;
neighbor 192.168.197.197;
}
}
}
policy-options {
policy-statement attached {
from protocol direct;
then accept;
}
}
Veja também
Configuração de VPNs de operadoras para clientes que fornecem serviços de VPN
Você pode configurar um serviço VPN de operadora de operadoras para clientes que desejam um serviço VPN.
Para configurar os roteadores (ou switches) nas redes do cliente e do provedor para permitir que o serviço VPN de operadoras de operadoras execute as etapas nas seguintes seções:
- Configuração do roteador PE do cliente operadora de operadoras
- Configuração do roteador CE (ou switch) do cliente da operadora das operadoras
- Configuração do roteador ou switch PE do provedor
Configuração do roteador PE do cliente operadora de operadoras
O roteador PE (ou switch) do cliente da operadora de operadoras está conectado ao roteador CE (ou switch) do cliente final.
As seções a seguir descrevem como configurar o roteador PE (ou switch) do cliente da operadora de operadoras):
- Configuração do MPLS
- Configuração do BGP
- Configuração do OSPF
- Configuração do LDP
- Configuração do serviço VPN na instância de roteamento
- Configuração de opções de política
Configuração do MPLS
Para configurar o MPLS no roteador PE (ou switch) do cliente da operadora de operadoras, inclua a mpls declaração:
mpls {
interface interface-name;
interface interface-name;
}
Você pode incluir essa declaração nos seguintes níveis de hierarquia:
[edit protocols][edit logical-systems logical-system-name protocols]
Configuração do BGP
Inclua a labeled-unicast declaração na configuração da sessão do IBGP para o roteador CE (ou switch) do cliente de operadoras e inclua a family-inet-vpn declaração na configuração da sessão do IBGP para o roteador PE (ou switch) da operadora de operadoras do outro lado da rede:
bgp {
group group-name {
type internal;
local-address address;
neighbor address {
family inet {
labeled-unicast;
resolve-vpn;
}
}
}
neighbor address {
family inet-vpn {
any;
}
}
}
Você pode incluir essas declarações nos seguintes níveis de hierarquia:
[edit protocols][edit logical-systems logical-system-name protocols]
Configuração do OSPF
Para configurar o OSPF no roteador PE (ou switch) do cliente da operadora de operadoras, inclua a ospf declaração:
ospf {
area area-id {
interface interface-name {
passive;
}
interface interface-name;
}
}
Você pode incluir essa declaração nos seguintes níveis de hierarquia:
[edit protocols][edit logical-systems logical-system-name protocols]
Configuração do LDP
Para configurar o LDP no roteador PE (ou switch) do cliente da operadora de operadoras, inclua a ldp declaração:
ldp {
interface interface-name;
}
Você pode incluir essa declaração nos seguintes níveis de hierarquia:
[edit protocols][edit logical-systems logical-system-name protocols]
Configuração do serviço VPN na instância de roteamento
Para configurar o serviço VPN para o roteador CE (ou switch) do cliente final no roteador PE (ou switch) do cliente da operadora de operadoras, inclua as seguintes declarações:
instance-type vrf;
interface interface-name;
route-distinguisher address;
vrf-import policy-name;
vrf-export policy-name;
protocols {
bgp {
group group-name {
peer-as as-number;
neighbor address;
}
}
}
Você pode incluir essas declarações nos seguintes níveis de hierarquia:
[edit routing-instances routing-instance-name][edit logical-systems logical-system-name routing-instances routing-instance-name]
Configuração de opções de política
Para configurar opções de políticas para rotas de importação e exportação de e para o roteador CE do cliente final (ou switch), inclua as declarações e community as policy-statement declarações:
policy-statement policy-name {
term term-name {
from {
protocol bgp;
community community-name;
}
then accept;
}
term term-name {
then reject;
}
}
policy-statement policy-name {
term term-name {
from protocol bgp;
then {
community add community-name;
accept;
}
}
term term-name {
then reject;
}
}
community community-name members value;
Você pode incluir essas declarações nos seguintes níveis de hierarquia:
[edit policy-options][edit logical-systems logical-system-name policy-options]
Configuração do roteador CE (ou switch) do cliente da operadora das operadoras
O roteador CE (ou switch) do cliente da operadora de operadoras se conecta ao roteador PE (ou switch) do provedor. Preencha as instruções nas seções a seguir para configurar o roteador CE (ou switch) dos clientes da operadora de operadoras):
- Configuração do MPLS
- Configuração do BGP
- Configuração de OSPF e LDP
- Configuração de opções de política
Configuração do MPLS
Na configuração MPLS para o roteador CE (ou switch) do cliente da operadora de operadoras, inclua as interfaces para o roteador PE (ou switch) do provedor e para um roteador P (ou switch) na rede do cliente:
mpls {
traffic-engineering bgp-igp;
interface interface-name;
interface interface-name;
}
Você pode incluir essas declarações nos seguintes níveis de hierarquia:
[edit protocols][edit logical-systems logical-system-name protocols]
Configuração do BGP
Na configuração BGP para o roteador CE (ou switch) do cliente de operadoras, configure um grupo que inclui a declaração de estender o labeled-unicast serviço VPN ao roteador PE (ou switch) conectado ao roteador CE do cliente final (ou switch):
bgp {
group group-name {
type internal;
local-address address;
neighbor address {
family inet {
labeled-unicast;
}
}
}
}
Você pode incluir a bgp declaração nos seguintes níveis de hierarquia:
[edit protocols][edit logical-systems logical-system-name protocols]
Para configurar um grupo para enviar rotas internas rotuladas para o roteador PE (ou switch) do provedor, inclua a bgp declaração:
bgp {
group group-name {
export internal;
peer-as as-number;
neighbor address {
family inet {
labeled-unicast;
}
}
}
}
Você pode incluir essa declaração nos seguintes níveis de hierarquia:
[edit protocols][edit logical-systems logical-system-name protocols]
Configuração de OSPF e LDP
Para configurar o OSPF e o LDP no roteador CE (ou switch) do cliente da operadora de operadoras, incluem as declarações e ldp as ospf declarações:
ospf {
area area-id {
interface interface-name {
passive;
}
interface interface-name;
}
}
ldp {
interface interface-name;
}
Você pode incluir essas declarações nos seguintes níveis de hierarquia:
[edit protocols][edit logical-systems logical-system-name protocols]
Configuração de opções de política
Para configurar as opções de política no roteador CE (ou switch) do cliente da operadora de operadoras, inclua a policy-statement declaração:
policy-statement policy-statement-name {
term term-name {
from protocol [ ospf direct ldp ];
then accept;
}
term term-name {
then reject;
}
}
Você pode incluir essa declaração nos seguintes níveis de hierarquia:
[edit policy-options][edit logical-systems logical-system-name policy-options]
Configuração do roteador ou switch PE do provedor
Os roteadores PE (ou switches) do provedor de operadoras de operadoras se conectam aos roteadores CE (ou switches) do cliente da operadora. Preencha as instruções nas seguintes seções para configurar o roteador PE (ou switch) do provedor):
- Configuração do MPLS
- Configuração de uma sessão BGP pe-to-PE
- Configuração de IS-IS e LDP
- Configuração de opções de política
- Configurando uma instância de roteamento para enviar rotas para o roteador CE
Configuração do MPLS
Na configuração MPLS, especifique pelo menos duas interfaces — uma para o roteador CE (ou switch) do cliente e outra para se conectar ao roteador PE (ou switch) do provedor do outro lado da rede do provedor:
interface interface-name; interface interface-name;
Você pode incluir essas declarações nos seguintes níveis de hierarquia:
[edit protocols mpls][edit logical-systems logical-system-name protocols mpls]
Configuração de uma sessão BGP pe-to-PE
Para configurar uma sessão BGP pe-to-PE nos roteadores PE (ou switches) do provedor para permitir que as rotas VPN-IPv4 passem entre os roteadores PE (ou switches, incluam a bgp declaração:
bgp {
group group-name {
type internal;
local-address address;
family inet-vpn {
any;
}
neighbor address;
}
}
Você pode incluir essa declaração nos seguintes níveis de hierarquia:
[edit protocols][edit logical-systems logical-system-name protocols]
Configuração de IS-IS e LDP
Para configurar IS-IS e LDP nos roteadores PE (ou switches) do provedor, inclua as declarações e ldp as isis declarações:
isis {
interface interface-name;
interface interface-name {
passive;
}
}
ldp {
interface interface-name;
}
Você pode incluir essas declarações nos seguintes níveis de hierarquia:
[edit protocols][edit logical-systems logical-system-name protocols]
Configuração de opções de política
Para configurar declarações de políticas no roteador PE (ou switch) do provedor para rotas de exportação para e importar rotas da rede do cliente da operadora, inclua as declarações e community as policy-statement declarações:
policy-statement statement-name {
term term-name {
from {
protocol bgp;
community community-name;
}
then accept;
}
term term-name {
then reject;
}
}
policy-statement statement-name {
term term-name {
from protocol bgp;
then {
community add community-name;
accept;
}
}
term term-name {
then reject;
}
}
community community-name members value;
Você pode incluir essas declarações nos seguintes níveis de hierarquia:
[edit policy-options][edit logical-systems logical-system-name policy-options]
Configurando uma instância de roteamento para enviar rotas para o roteador CE
Para configurar a instância de roteamento no roteador PE (ou switch) do provedor para enviar rotas rotuladas para o roteador CE (ou switch) do cliente da operadora, inclua as seguintes declarações:
instance-type vrf;
interface interface-name;
route-distinguisher value;
vrf-import policy-name;
vrf-export policy-name;
protocols {
bgp {
group group-name {
peer-as as-number;
neighbor address {
family inet {
labeled-unicast;
}
}
}
}
}
Você pode incluir essas declarações nos seguintes níveis de hierarquia:
[edit routing-instances routing-instance-name][edit logical-systems logical-system-name routing-instances routing-instance-name]
Veja também
Exemplo de VPN para operadoras — o cliente oferece serviço VPN
Neste exemplo, o cliente da operadora deve executar alguma forma de MPLS (Resource Reservation Protocol [RSVP] ou LDP) em sua rede para fornecer serviços VPN ao cliente final. No exemplo abaixo, o Roteador B e o Roteador I atuam como roteadores PE (ou switches), e um caminho MPLS em funcionamento é necessário entre esses roteadores se eles trocarem rotas VPN-IPv4.
Para obter informações de configuração, veja as seguintes seções:
- Topologia de rede para serviços de operadoras de operadoras
- Configuração para roteador A
- Configuração para roteador B
- Configuração para roteador C
- Configuração para roteador D
- Configuração para roteador E
- Configuração para roteador F
- Configuração para roteador G
- Configuração para roteador H
- Configuração para roteador I
- Configuração para roteador J
- Configuração para roteador K
- Configuração para roteador L
Topologia de rede para serviços de operadoras de operadoras
Um serviço de operadora de operadoras permite que um provedor de serviços de Internet (ISP) se conecte a um backbone terceirizado transparente em vários locais.
A Figura 3 mostra a topologia da rede neste exemplo de operadora de operadoras.
Configuração para roteador A
Neste exemplo, o Roteador A atua como o roteador CE para o cliente final. Configure uma sessão BGP padrão family inet no roteador A:
[edit]
protocols {
bgp {
group to-routerB {
export attached;
peer-as 21;
neighbor 192.168.197.169;
}
}
}
policy-options {
policy-statement attached {
from protocol direct;
then accept;
}
}
Configuração para roteador B
Como o roteador B é o roteador PE para o roteador CE (Roteador A) do cliente final, você precisa configurar uma instância de roteamento (vpna). Configure a labeled-unicast declaração na sessão do IBGP para o roteador D e configure family-inet-vpn para a sessão do IBGP para o outro lado da rede com o roteador I:
[edit]
protocols {
mpls {
interface fe-1/0/2.0;
interface fe-1/0/3.0;
}
bgp {
group int {
type internal;
local-address 10.255.14.179;
neighbor 10.255.14.175 {
family inet {
labeled-unicast {
resolve-vpn;
}
}
}
}
neighbor 10.255.14.181 {
family inet-vpn {
any;
}
}
}
ospf {
area 0.0.0.0 {
interface lo0.0 {
passive;
}
interface fe-1/0/3.0;
}
}
ldp {
interface fe-1/0/3.0;
}
}
routing-instances {
vpna {
instance-type vrf;
interface fe-1/0/2.0;
route-distinguisher 10.255.14.179:21;
vrf-import vpna-import;
vrf-export vpna-export;
protocols {
bgp {
group vpna-06 {
peer-as 1;
neighbor 192.168.197.170;
}
}
}
}
}
policy-options {
policy-statement vpna-import {
term a {
from {
protocol bgp;
community vpna-comm;
}
then accept;
}
term b {
then reject;
}
}
policy-statement vpna-export {
term a {
from protocol bgp;
then {
community add vpna-comm;
accept;
}
}
term b {
then reject;
}
}
community vpna-comm members target:100:1001;
}
Configuração para roteador C
Configure o roteador C como um roteador de troca de rótulos dentro do AS local:
[edit]
protocols {
mpls {
traffic-engineering bgp-igp;
}
ospf {
area 0.0.0.0 {
interface lo0.0 {
passive;
}
interface fe-0/3/3.0;
interface fe-0/3/0.0;
}
}
ldp {
interface fe-0/3/0.0;
interface fe-0/3/3.0;
}
}
Configuração para roteador D
O roteador D atua como o roteador CE para os serviços vpn fornecidos pela rede AS 10023. Na configuração do grupo BGP para grupo int, que lida com o tráfego para o Roteador B (10.255.14.179), você inclui a labeled-unicast declaração. Você também precisa configurar o grupo to-isp-red BGP para enviar rotas internas rotuladas para o roteador PE (Roteador E).
[edit]
protocols {
mpls {
traffic-engineering bgp-igp;
interface fe-0/3/0.0;
interface t3-0/0/0.0;
}
bgp {
group int {
type internal;
local-address 10.255.14.175;
neighbor 10.255.14.179 {
family inet {
labeled-unicast;
}
}
}
group to-isp-red {
export internal;
peer-as 10023;
neighbor 192.168.197.13 {
family inet {
labeled-unicast;
}
}
}
}
ospf {
area 0.0.0.0 {
interface lo0.0 {
passive;
}
interface fe-0/3/0.0;
}
}
ldp {
interface fe-0/3/0.0;
}
}
policy-options {
policy-statement internal {
term a {
from protocol [ ospf direct ];
then accept;
}
term b {
then reject;
}
}
}
Configuração para roteador E
Roteador E e roteador H são roteadores PE. Configure uma sessão BGP de roteador PE para PE para permitir que as rotas VPN-IPv4 passem entre esses dois roteadores PE. Configure a instância de roteamento no Roteador E para enviar rotas rotuladas para o roteador CE (Roteador D).
Configure o roteador E:
[edit]
protocols {
mpls {
interface t3-0/2/0.0;
interface at-0/1/0.0;
}
bgp {
group pe-pe {
type internal;
local-address 10.255.14.171;
family inet-vpn {
any;
}
neighbor 10.255.14.173;
}
}
isis {
interface at-0/1/0.0;
interface lo0.0 {
passive;
}
}
ldp {
interface at-0/1/0.0;
}
}
policy-options {
policy-statement vpn-isp1-import {
term a {
from {
protocol bgp;
community vpn-isp1-comm;
}
then accept;
}
term b {
then reject;
}
}
policy-statement vpn-isp1-export {
term a {
from protocol bgp;
then {
community add vpn-isp1-comm;
accept;
}
}
term b {
then reject;
}
}
community vpn-isp1-comm members target:69:21;
}
routing-instances {
vpn-isp1 {
instance-type vrf;
interface t3-0/2/0.0;
route-distinguisher 10.255.14.171:21;
vrf-import vpn-isp1-import;
vrf-export vpn-isp1-export;
protocols {
bgp {
group to-isp1 {
peer-as 21;
neighbor 192.168.197.14 {
as-override;
family inet {
labeled-unicast;
}
}
}
}
}
}
}
Configuração para roteador F
Configure o roteador F para trocar rótulos por rotas em execução por suas interfaces:
[edit]
protocols {
isis {
interface so-0/2/0.0;
interface at-0/3/0.0;
interface lo0.0 {
passive;
}
}
ldp {
interface so-0/2/0.0;
interface at-0/3/0.0;
}
}
Configuração para roteador G
Configure o roteador G:
[edit]
protocols {
isis {
interface so-0/0/0.0;
interface so-1/0/0.0;
interface lo0.0 {
passive;
}
}
ldp {
interface so-0/0/0.0;
interface so-1/0/0.0;
}
}
Configuração para roteador H
A configuração do Roteador H é semelhante à configuração do roteador E:
[edit]
protocols {
mpls {
interface fe-1/1/0.0;
interface so-1/0/0.0;
}
bgp {
group pe-pe {
type internal;
local-address 10.255.14.173;
family inet-vpn {
any;
}
neighbor 10.255.14.171;
}
}
isis {
interface so-1/0/0.0;
interface lo0.0 {
passive;
}
}
ldp {
interface so-1/0/0.0;
}
}
routing-instances {
vpn-isp1 {
instance-type vrf;
interface fe-1/1/0.0;
route-distinguisher 10.255.14.173:21;
vrf-import vpn-isp1-import;
vrf-export vpn-isp1-export;
protocols {
bgp {
group to-isp1 {
peer-as 21;
neighbor 192.168.197.94 {
as-override;
family inet {
labeled-unicast;
}
}
}
}
}
}
}
policy-options {
policy-statement vpn-isp1-import {
term a {
from {
protocol bgp;
community vpn-isp1-comm;
}
then accept;
}
term b {
then reject;
}
}
policy-statement vpn-isp1-export {
term a {
from protocol bgp;
then {
community add vpn-isp1-comm;
accept;
}
}
term b {
then reject;
}
}
community vpn-isp1-comm members target:69:21;
}
Configuração para roteador I
Roteador que atuo como roteador PE para o cliente final. A configuração a seguir é semelhante à configuração do roteador B:
[edit]
protocols {
mpls {
interface fe-1/0/1.0;
interface fe-1/1/3.0;
}
bgp {
group int {
type internal;
local-address 10.255.14.181;
neighbor 10.255.14.177 {
family inet {
labeled-unicast {
resolve-vpn;
}
}
}
neighbor 10.255.14.179 {
family inet-vpn {
any;
}
}
}
}
ospf {
area 0.0.0.0 {
interface lo0.0 {
passive;
}
interface fe-1/1/3.0;
}
}
ldp {
interface fe-1/1/3.0;
}
}
routing-instances {
vpna {
instance-type vrf;
interface fe-1/0/1.0;
route-distinguisher 10.255.14.181:21;
vrf-import vpna-import;
vrf-export vpna-export;
protocols {
bgp {
group vpna-0 {
peer-as 1;
neighbor 192.168.197.198;
}
}
}
}
}
policy-options {
policy-statement vpna-import {
term a {
from {
protocol bgp;
community vpna-comm;
}
then accept;
}
term b {
then reject;
}
}
policy-statement vpna-export {
term a {
from protocol bgp;
then {
community add vpna-comm;
accept;
}
}
term b {
then reject;
}
}
community vpna-comm members target:100:1001;
}
Configuração para roteador J
Configure o Roteador J para trocar rótulos por rotas em execução por suas interfaces:
[edit]
protocols {
mpls {
traffic-engineering bgp-igp;
}
ospf {
area 0.0.0.0 {
interface lo0.0 {
passive;
}
interface fe-1/0/2.0;
interface fe-1/0/3.0;
}
}
ldp {
interface fe-1/0/2.0;
interface fe-1/0/3.0;
}
}
Configuração para roteador K
A configuração do Roteador K é semelhante à configuração do roteador D:
[edit]
protocols {
mpls {
traffic-engineering bgp-igp;
interface fe-1/1/2.0;
interface fe-1/0/2.0;
}
bgp {
group int {
type internal;
local-address 10.255.14.177;
neighbor 10.255.14.181 {
family inet {
labeled-unicast;
}
}
}
group to-isp-red {
export internal;
peer-as 10023;
neighbor 192.168.197.93 {
family inet {
labeled-unicast;
}
}
}
}
ospf {
area 0.0.0.0 {
interface lo0.0 {
passive;
}
interface fe-1/0/2.0;
}
}
ldp {
interface fe-1/0/2.0;
}
}
policy-options {
policy-statement internal {
term a {
from protocol [ ospf direct ];
then accept;
}
term b {
then reject;
}
}
}
Configuração para roteador L
Neste exemplo, o Roteador L é o roteador CE do cliente final. Configure uma sessão BGP padrão da família inet no roteador L:
[edit]
protocols {
bgp {
group to-I {
export attached;
peer-as 21;
neighbor 192.168.197.197;
}
}
}
policy-options {
policy-statement attached {
from protocol direct;
then accept;
}
}
Veja também
Várias instâncias para VPNs LDP e Carrier-of-Carriers
Ao configurar várias instâncias de roteamento LDP, você pode usar o LDP para anunciar rótulos em uma VPN de operadora de operadoras de um roteador PE de provedor principal para um roteador CE de operadora do cliente. Ter rótulos anunciados pelo LDP dessa maneira é especialmente útil quando o cliente da operadora é um ISP básico e quer restringir rotas completas de Internet para seus roteadores PE. Ao usar o LDP em vez de BGP, o cliente da operadora protege seus outros roteadores internos da Internet em geral. O LDP de várias instâncias também é útil quando um cliente de operadora deseja fornecer VPN de Camada 3 ou serviços VPN de Camada 2 para seus clientes.
Para um exemplo de como configurar várias instâncias de roteamento LDP para VPNs de operadoras, veja https://www.juniper.net/documentation/us/en/software/junos/mpls/topics/example/multiple-instance-ldp-configuring-detailed-solutions.html.
Veja também
Tabela de histórico de mudanças
O suporte de recursos é determinado pela plataforma e versão que você está usando. Use o Feature Explorer para determinar se um recurso é suportado em sua plataforma.