VPNs de operadora
Entendendo as VPNs de operadoras
O cliente de um provedor de serviços VPN pode ser um provedor de serviços para o cliente final. Os dois principais tipos de VPNs de operadora (conforme descrito na RFC 4364:
Provedor de serviços de Internet como cliente — o cliente VPN é um ISP que usa a rede do provedor de serviços VPN para conectar suas redes regionais geograficamente distintas. O cliente não precisa configurar MPLS em suas redes regionais.
Provedor de serviços vpn como cliente — o cliente VPN é um provedor de serviços VPN que oferece serviços VPN aos seus clientes. O cliente de serviços VPN de operadoras depende do provedor de serviços de VPN de backbone para conectividade entre sites. O provedor de serviços VPN do cliente é obrigado a executar MPLS em suas redes regionais.
A Figura 1 ilustra a arquitetura de rede usada para um serviço VPN de operadoras.
vpn de operadoras
Este tópico abrange o seguinte:
Provedor de serviços de Internet como cliente
Nesse tipo de configuração de VPN de operadoras, o ISP A configura sua rede para fornecer serviço de Internet ao ISP B. O ISP B fornece a conexão ao cliente que deseja serviço de Internet, mas o serviço de Internet real é fornecido pelo ISP A.
Esse tipo de configuração de VPN de operadoras tem as seguintes características:
O cliente de serviços VPN da operadora (ISP B) não precisa configurar MPLS em sua rede.
O provedor de serviços VPN (ISP A) da operadora deve configurar o MPLS em sua rede.
O MPLS também deve ser configurado nos roteadores CE e roteadores PE conectados juntos nas redes de provedores de serviços VPN de operadoras e operadoras.
Provedor de serviços vpn como cliente
Um provedor de serviços VPN pode ter clientes que são provedores de serviços VPN. Nesse tipo de configuração, também chamada de VPN hierárquica ou recursiva, as rotas VPN-IPv4 do provedor de serviços VPN do cliente são consideradas rotas externas, e o provedor de serviços VPN de backbone não as importa em sua tabela VRF. O provedor de serviços VPN de backbone importa apenas as rotas internas do provedor de serviços VPN ao cliente em sua tabela VRF.
As semelhanças e diferenças entre VPNs entre provedores e operadoras são mostradas na Tabela 1.
Recurso |
Cliente ISP |
Cliente provedor de serviços VPN |
|---|---|---|
Dispositivo de borda do cliente |
Roteador de borda AS |
Roteador PE |
Sessões do IBGP |
Transporte de rotas IPv4 |
Transporte de rotas VPN-IPv4 externas com rótulos associados |
Encaminhamento na rede do cliente |
MPLS é opcional |
O MPLS é necessário |
Suporte para o serviço VPN, pois o cliente tem suporte para switches QFX10000 a partir do Junos OS Release 17.1R1.
Configuração de VPNs de operadoras para clientes que fornecem serviços de Internet
Você pode configurar um serviço VPN de operadoras para clientes que desejam fornecer serviços básicos de Internet. O provedor de serviços VPN de operadoras deve configurar o MPLS em sua rede, embora essa configuração seja opcional para o cliente de serviços de operadora. A arquitetura vpn da operadora mostra como os roteadores ou switches nesse tipo de interconexão de serviços.
Para configurar uma VPN de operadoras, execute as tarefas descritas nas seguintes seções:
- Configuração do roteador CE do cliente de serviços de operadora de operadora
- Configuração dos roteadores PE do provedor de serviços VPN de operadoras
Configuração do roteador CE do cliente de serviços de operadora de operadora
O roteador (ou switch) do cliente de serviços VPN da operadora atua como um roteador CE em relação ao roteador ou switch PE do provedor de serviços. As seções a seguir descrevem como configurar o roteador ou switch CE do cliente de serviços de operadoras:
Configuração de MPLS
Para configurar MPLS no roteador ou switch CE do cliente, inclua a mpls declaração:
mpls {
traffic-engineering bgp-igp;
interface interface-name;
}
Você pode incluir esta declaração nos seguintes níveis de hierarquia:
[edit protocols][edit logical-systems logical-system-name protocols]
Configuração do BGP
Para configurar um grupo para reunir as rotas internas do cliente, inclua a bgp declaração:
bgp {
group group-name {
type internal;
local-address address;
neighbor address;
}
}
Você pode incluir esta declaração nos seguintes níveis de hierarquia:
[edit protocols][edit logical-systems logical-system-name protocols]
O roteador CE (ou switch) do cliente deve ser capaz de enviar rótulos para o roteador do provedor de serviços VPN. Habilite isso incluindo a labeled-unicast declaração na configuração do grupo BGP:
bgp {
group group-name {
export internal;
peer-as as-number;
neighbor address {
family inet {
labeled-unicast;
}
}
}
}
Você pode incluir a bgp declaração nos seguintes níveis de hierarquia:
[edit protocols][edit logical-systems logical-system-name protocols]
Configuração do OSPF
Para configurar o OSPF no roteador ou switch CE do cliente, inclua a ospf declaração:
ospf {
area area-id {
interface interface-name {
passive;
}
interface interface-name;
}
}
Você pode incluir esta declaração nos seguintes níveis de hierarquia:
[edit protocols][edit logical-systems logical-system-name protocols]
Configuração de opções de políticas
Para configurar opções de política no roteador ou switch CE do cliente, inclua a policy-statement declaração:
policy-statement statement-name {
term term-name {
from protocol [ospf direct ldp];
then accept;
}
term term-name {
then reject;
}
}
Você pode incluir esta declaração nos seguintes níveis de hierarquia:
[edit policy-options][edit logical-systems logical-system-name policy-options]
Configuração dos roteadores PE do provedor de serviços VPN de operadoras
Os roteadores PE do provedor de serviços se conectam aos roteadores CE do cliente e encaminham o tráfego VPN do cliente pela rede do provedor.
As seções a seguir descrevem como configurar os roteadores PE do provedor de serviços VPN de operadoras:
- Configuração de MPLS
- Configuração do BGP
- Configuração do IS-IS
- Configuração do LDP
- Configuração de uma instância de roteamento
- Configuração de opções de políticas
Configuração de MPLS
Para configurar o MPLS nos roteadores ou switches PE do provedor, inclua a mpls declaração:
mpls {
interface interface-name;
interface interface-name;
}
Você pode incluir esta declaração nos seguintes níveis de hierarquia:
[edit protocols][edit logical-systems logical-system-name protocols]
Configuração do BGP
Para configurar uma sessão BGP com o roteador PE do provedor na outra extremidade da rede do provedor, inclua a bgp declaração:
bgp {
group group-name {
type internal;
local-address address;
family inet-vpn {
any;
}
neighbor address;
}
}
Você pode incluir esta declaração nos seguintes níveis de hierarquia:
[edit protocols][edit logical-systems logical-system-name protocols]
Configuração do IS-IS
Para configurar o IS-IS nos roteadores ou switches PE do provedor, inclua a isis declaração:
isis {
interface interface-name;
interface interface-name {
passive;
}
}
Você pode incluir esta declaração nos seguintes níveis de hierarquia:
[edit protocols][edit logical-systems logical-system-name protocols]
Configuração do LDP
Para configurar o LDP nos roteadores ou switches PE do provedor, inclua a ldp declaração:
ldp {
interface interface-name;
}
Você pode incluir esta declaração nos seguintes níveis de hierarquia:
[edit protocols][edit logical-systems logical-system-name protocols]
Configuração de uma instância de roteamento
Para configurar o serviço VPN de Camada 3 com o roteador ou switch CE do cliente, inclua a labeled-unicast declaração na configuração para a instância de roteamento para que o roteador PE (ou switch) possa enviar rótulos para o roteador ou switch CE do cliente:
routing-instance-name {
instance-type vrf;
interface interface-name;
route-distinguisher address;
vrf-import policy-name;
vrf-export policy-name;
protocols {
bgp {
group group-name {
peer-as as-number;
neighbor address {
family inet {
labeled-unicast;
}
}
}
}
}
}
Você pode incluir essas declarações nos seguintes níveis de hierarquia:
[edit routing-instances][edit logical-systems logical-system-name routing-instances]
Configuração de opções de políticas
Para configurar uma declaração de política para importar rotas do roteador ou switch CE do cliente, inclua a policy-statement declaração:
policy-statement policy-name {
term term-name {
from {
protocol bgp;
community community-name;
}
then accept;
}
term term-name {
then reject;
}
}
Você pode incluir esta declaração nos seguintes níveis de hierarquia:
[edit policy-options][edit logical-systems logical-system-name policy-options]
Para configurar uma declaração de política para as rotas de exportação para o roteador ou switch CE do cliente, inclua o e community as policy-statement declarações:
policy-statement policy-name {
term term-name {
from protocol bgp;
then {
community add community-name;
accept;
}
}
term term-name {
then reject;
}
}
community community-name members value;
Você pode incluir essas declarações nos seguintes níveis de hierarquia:
[edit policy-options][edit logical-systems logical-system-name policy-options]
Veja também
Exemplo de VPN da operadora — o cliente oferece serviços de Internet
Neste exemplo, o cliente da operadora não é obrigado a configurar MPLS e LDP em sua rede. No entanto, o provedor de operadora deve configurar MPLS e LDP em sua rede.
Para obter informações de configuração, veja as seguintes seções:
- Topologia de rede para serviços de operadoras
- Configuração para roteador A
- Configuração para roteador B
- Configuração para roteador C
- Configuração para roteador D
- Configuração para roteador E
- Configuração para roteador F
- Configuração para roteador G
- Configuração para roteador H
- Configuração para roteador I
- Configuração para roteador J
- Configuração para roteador K
- Configuração para roteador L
Topologia de rede para serviços de operadoras
Um serviço de operadora de operadoras permite que um provedor de serviços de Internet (ISP) se conecte a um backbone terceirizado transparente em vários locais.
A Figura 2 mostra a topologia da rede neste exemplo de operadoras.
Configuração para roteador A
Neste exemplo, o roteador A representa um cliente final. Você configura este roteador como um dispositivo CE.
[edit]
protocols {
bgp {
group to-routerB {
export attached;
peer-as 21;
as-override;
neighbor 192.168.197.169;
}
}
}
policy-options {
policy-statement attached {
from protocol direct;
then accept;
}
}
Configuração para roteador B
O roteador B pode atuar como o roteador de gateway, responsável por agregar clientes finais e conectá-los à rede. Se uma sessão de IBGP de malha completa estiver configurada, você pode usar refletors de rota.
[edit]
protocols {
bgp {
group int {
type internal;
local-address 10.255.14.179;
neighbor 10.255.14.175;
neighbor 10.255.14.181;
neighbor 10.255.14.176;
neighbor 10.255.14.178;
neighbor 10.255.14.177;
}
group to-vpn-blue {
peer-as 1;
neighbor 192.168.197.170;
}
}
ospf {
area 0.0.0.0 {
interface lo0.0 {
passive;
}
interface fe-1/0/3.0;
interface fe-1/0/2.0 {
passive;
}
}
}
}
Configuração para roteador C
Configure o roteador C:
[edit]
protocols {
bgp {
group int {
type internal;
local-address 10.255.14.176;
neighbor 10.255.14.179;
neighbor 10.255.14.175;
neighbor 10.255.14.177;
neighbor 10.255.14.178;
neighbor 10.255.14.181;
}
}
ospf {
area 0.0.0.0 {
interface lo0.0 {
passive;
}
interface fe-0/3/3.0;
interface fe-0/3/0.0;
}
}
}
Configuração para roteador D
O roteador D é o roteador CE em relação ao AS 10023. Em uma VPN de operadoras, o roteador CE deve ser capaz de enviar rótulos para o provedor de operadoras; isso é feito com a labeled-unicast declaração em grupo to-isp-red.
[edit]
protocols {
mpls {
interface t3-0/0/0.0;
}
bgp {
group int {
type internal;
local-address 10.255.14.175;
neighbor 10.255.14.179;
neighbor 10.255.14.176;
neighbor 10.255.14.177;
neighbor 10.255.14.178;
neighbor 10.255.14.181;
}
group to-isp-red {
export internal;
peer-as 10023;
neighbor 192.168.197.13 {
family inet {
labeled-unicast;
}
}
}
}
ospf {
area 0.0.0.0 {
interface lo0.0 {
passive;
}
interface fe-0/3/0.0;
interface t3-0/0/0.0 {
passive;
}
}
}
}
policy options {
policy-statement internal {
term a {
from protocol [ ospf direct ];
then accept;
}
term b {
then reject;
}
}
}
Configuração para roteador E
Essa configuração configura a sessão do IBGP com o inet-vpn roteador H e a parte do roteador PE da VPN com o Roteador D. Como o roteador D é obrigado a enviar rótulos neste exemplo, configure a sessão BGP com a labeled-unicast declaração dentro da tabela de roteamento e encaminhamento virtual (VRF).
[edit]
protocols {
mpls {
interface t3-0/2/0.0;
interface at-0/1/0.0;
}
bgp {
group pe-pe {
type internal;
local-address 10.255.14.171;
family inet-vpn {
any;
}
neighbor 10.255.14.173;
}
}
isis {
interface at-0/1/0.0;
interface lo0.0 {
passive;
}
}
ldp {
interface at-0/1/0.0;
}
}
routing-instances {
vpn-isp1 {
instance-type vrf;
interface t3-0/2/0.0;
route-distinguisher 10.255.14.171:21;
vrf-import vpn-isp1-import;
vrf-export vpn-isp1-export;
protocols {
bgp {
group to-isp1 {
peer-as 21;
neighbor 192.168.197.14 {
family inet {
labeled-unicast;
}
}
}
}
}
}
}
policy-options {
policy-statement vpn-isp1-import {
term a {
from {
protocol bgp;
community vpn-isp1-comm;
}
then accept;
}
term b {
then reject;
}
}
policy-statement vpn-isp1-export {
term a {
from protocol bgp;
then {
community add vpn-isp1-comm;
accept;
}
}
term b {
then reject;
}
}
community vpn-isp1-comm members target:69:21;
}
Configuração para roteador F
Configure o roteador F para atuar como um roteador de troca de rótulos:
[edit]
protocols {
isis {
interface so-0/2/0.0;
interface at-0/3/0.0;
interface lo0.0 {
passive;
}
}
ldp {
interface so-0/2/0.0;
interface at-0/3/0.0;
}
}
Configuração para roteador G
Configure o roteador G para atuar como um roteador de troca de rótulos:
[edit]
protocols {
isis {
interface so-0/0/0.0;
interface so-1/0/0.0;
interface lo0.0 {
passive;
}
}
ldp {
interface so-0/0/0.0;
interface so-1/0/0.0;
}
}
Configuração para roteador H
O roteador H atua como o roteador PE para AS 10023. A configuração a seguir é semelhante à do roteador F:
[edit]
protocols {
mpls {
interface fe-1/1/0.0;
interface so-1/0/0.0;
}
bgp {
group pe-pe {
type internal;
local-address 10.255.14.173;
family inet-vpn {
any;
}
neighbor 10.255.14.171;
}
}
isis {
interface so-1/0/0.0;
interface lo0.0 {
passive;
}
}
ldp {
interface so-1/0/0.0;
}
}
routing-instances {
vpn-isp1 {
instance-type vrf;
interface fe-1/1/0.0;
route-distinguisher 10.255.14.173:21;
vrf-import vpn-isp1-import;
vrf-export vpn-isp1-export;
protocols {
bgp {
group to-isp1 {
peer-as 21;
neighbor 192.168.197.94 {
family inet {
labeled-unicast;
}
}
}
}
}
}
}
policy-options {
policy-statement vpn-isp1-import {
term a {
from {
protocol bgp;
community vpn-isp1-comm;
}
then accept;
}
term b {
then reject;
}
}
policy-statement vpn-isp1-export {
term a {
from protocol bgp;
then {
community add vpn-isp1-comm;
accept;
}
}
term b {
then reject;
}
}
community vpn-isp1-comm members target:69:21;
}
Configuração para roteador I
Configure o roteador I para me conectar ao cliente básico de serviços de Internet (Roteador L):
[edit]
protocols {
mpls {
interface fe-1/0/1.0;
interface fe-1/1/3.0;
}
bgp {
group int {
type internal;
local-address 10.255.14.181;
neighbor 10.255.14.177;
neighbor 10.255.14.179;
neighbor 10.255.14.175;
neighbor 10.255.14.176;
neighbor 10.255.14.178;
}
group to-vpn-green {
peer-as 1;
neighbor 192.168.197.198;
}
}
ospf {
area 0.0.0.0 {
interface lo0.0 {
passive;
}
interface fe-1/0/1.0 {
passive;
}
interface fe-1/1/3.0;
}
}
}
Configuração para roteador J
Configure o Roteador J como um roteador de troca de rótulos:
[edit]
protocols {
bgp {
group int {
type internal;
local-address 10.255.14.178;
neighbor 10.255.14.177;
neighbor 10.255.14.181;
neighbor 10.255.14.175;
neighbor 10.255.14.176;
neighbor 10.255.14.179;
}
}
}
ospf {
area 0.0.0.0 {
interface lo0.0 {
passive;
}
interface fe-1/0/2.0;
interface fe-1/0/3.0;
}
}
Configuração para roteador K
O roteador K atua como o roteador CE no final da conexão com o provedor de operadoras. Como na configuração do Roteador D, inclua a labeled-unicast declaração para a sessão de EBGP:
[edit]
protocols {
mpls {
interface fe-1/1/2.0;
interface fe-1/0/2.0;
}
bgp {
group int {
type internal;
local-address 10.255.14.177;
neighbor 10.255.14.181;
neighbor 10.255.14.178;
neighbor 10.255.14.175;
neighbor 10.255.14.176;
neighbor 10.255.14.179;
}
group to-isp-red {
export internal;
peer-as 10023;
neighbor 192.168.197.93 {
family inet {
labeled-unicast;
}
}
}
}
ospf {
area 0.0.0.0 {
interface lo0.0 {
passive;
}
interface fe-1/0/2.0;
interface fe-1/1/2.0 {
passive;
}
}
}
}
policy-options {
policy-statement internal {
term a {
from protocol [ ospf direct ];
then accept;
}
term b {
then reject;
}
}
}
Configuração para roteador L
Configure o roteador L para atuar como o cliente final do serviço VPN de operadoras:
[edit]
protocols {
bgp {
group to-routerI {
export attached;
peer-as 21;
neighbor 192.168.197.197;
}
}
}
policy-options {
policy-statement attached {
from protocol direct;
then accept;
}
}
Veja também
Configuração de VPNs de operadoras para clientes que fornecem serviço VPN
Você pode configurar um serviço VPN de operadoras para clientes que desejam um serviço VPN.
Para configurar os roteadores (ou switches) nas redes do cliente e do provedor para permitir que o serviço VPN de operadoras realize as etapas nas seguintes seções:
- Configuração do roteador PE do cliente operadora de operadora
- Configuração do roteador CE (ou switch) do cliente da operadora das operadoras
- Configuração do roteador ou switch PE do provedor
Configuração do roteador PE do cliente operadora de operadora
O roteador PE (ou switch) do cliente da operadora de operadora está conectado ao roteador CE (ou switch) do cliente final.
As seções a seguir descrevem como configurar o roteador PE (ou switch) do cliente da operadora de operadoras):
- Configuração de MPLS
- Configuração do BGP
- Configuração do OSPF
- Configuração do LDP
- Configuração do serviço VPN na instância de roteamento
- Configuração de opções de políticas
Configuração de MPLS
Para configurar o MPLS no roteador PE (ou switch) do cliente da operadora de operadora, inclua a mpls declaração:
mpls {
interface interface-name;
interface interface-name;
}
Você pode incluir esta declaração nos seguintes níveis de hierarquia:
[edit protocols][edit logical-systems logical-system-name protocols]
Configuração do BGP
Inclua a labeled-unicast declaração na configuração da sessão do IBGP para o roteador CE (ou switch) do cliente de operadoras e inclua a family-inet-vpn declaração na configuração da sessão do IBGP para o roteador PE (ou switch) da operadora de operadoras do outro lado da rede:
bgp {
group group-name {
type internal;
local-address address;
neighbor address {
family inet {
labeled-unicast;
resolve-vpn;
}
}
}
neighbor address {
family inet-vpn {
any;
}
}
}
Você pode incluir essas declarações nos seguintes níveis de hierarquia:
[edit protocols][edit logical-systems logical-system-name protocols]
Configuração do OSPF
Para configurar o OSPF no roteador PE (ou switch) do cliente da operadora de operadora, inclua a ospf declaração:
ospf {
area area-id {
interface interface-name {
passive;
}
interface interface-name;
}
}
Você pode incluir esta declaração nos seguintes níveis de hierarquia:
[edit protocols][edit logical-systems logical-system-name protocols]
Configuração do LDP
Para configurar o LDP no roteador PE (ou switch) do cliente da operadora de operadora, inclua a ldp declaração:
ldp {
interface interface-name;
}
Você pode incluir esta declaração nos seguintes níveis de hierarquia:
[edit protocols][edit logical-systems logical-system-name protocols]
Configuração do serviço VPN na instância de roteamento
Para configurar o serviço VPN para o roteador CE (ou switch) do cliente final no roteador PE (ou switch) do cliente da operadora de operadoras, inclua as seguintes declarações:
instance-type vrf;
interface interface-name;
route-distinguisher address;
vrf-import policy-name;
vrf-export policy-name;
protocols {
bgp {
group group-name {
peer-as as-number;
neighbor address;
}
}
}
Você pode incluir essas declarações nos seguintes níveis de hierarquia:
[edit routing-instances routing-instance-name][edit logical-systems logical-system-name routing-instances routing-instance-name]
Configuração de opções de políticas
Para configurar opções de políticas para importação e exportação de e para o roteador CE do cliente final (ou switch), inclua o e community as policy-statement declarações:
policy-statement policy-name {
term term-name {
from {
protocol bgp;
community community-name;
}
then accept;
}
term term-name {
then reject;
}
}
policy-statement policy-name {
term term-name {
from protocol bgp;
then {
community add community-name;
accept;
}
}
term term-name {
then reject;
}
}
community community-name members value;
Você pode incluir essas declarações nos seguintes níveis de hierarquia:
[edit policy-options][edit logical-systems logical-system-name policy-options]
Configuração do roteador CE (ou switch) do cliente da operadora das operadoras
O roteador CE (ou switch) do cliente da operadora de operadora se conecta ao roteador PE (ou switch) do provedor. Preencha as instruções nas seções a seguir para configurar o roteador CE (ou switch) dos clientes da operadora de operadoras):
- Configuração de MPLS
- Configuração do BGP
- Configuração de OSPF e LDP
- Configuração de opções de políticas
Configuração de MPLS
Na configuração MPLS para o roteador CE (ou switch) do cliente de operadoras, inclua as interfaces do roteador PE (ou switch) do provedor e para um roteador P (ou switch) na rede do cliente:
mpls {
traffic-engineering bgp-igp;
interface interface-name;
interface interface-name;
}
Você pode incluir essas declarações nos seguintes níveis de hierarquia:
[edit protocols][edit logical-systems logical-system-name protocols]
Configuração do BGP
Na configuração BGP para o roteador CE (ou switch) do cliente de operadoras, configure um grupo que inclui a declaração para estender o labeled-unicast serviço VPN ao roteador PE (ou switch) conectado ao roteador CE (ou switch) do cliente final( ou switch):
bgp {
group group-name {
type internal;
local-address address;
neighbor address {
family inet {
labeled-unicast;
}
}
}
}
Você pode incluir a bgp declaração nos seguintes níveis de hierarquia:
[edit protocols][edit logical-systems logical-system-name protocols]
Para configurar um grupo para enviar rotas internas rotuladas para o roteador PE (ou switch) do provedor, inclua a bgp declaração:
bgp {
group group-name {
export internal;
peer-as as-number;
neighbor address {
family inet {
labeled-unicast;
}
}
}
}
Você pode incluir esta declaração nos seguintes níveis de hierarquia:
[edit protocols][edit logical-systems logical-system-name protocols]
Configuração de OSPF e LDP
Para configurar o OSPF e o LDP no roteador CE (ou switch) do cliente da operadora de operadoras, inclua o e ldp as ospf declarações:
ospf {
area area-id {
interface interface-name {
passive;
}
interface interface-name;
}
}
ldp {
interface interface-name;
}
Você pode incluir essas declarações nos seguintes níveis de hierarquia:
[edit protocols][edit logical-systems logical-system-name protocols]
Configuração de opções de políticas
Para configurar as opções de política no roteador CE (ou switch) do cliente de operadoras, inclua a policy-statement declaração:
policy-statement policy-statement-name {
term term-name {
from protocol [ ospf direct ldp ];
then accept;
}
term term-name {
then reject;
}
}
Você pode incluir esta declaração nos seguintes níveis de hierarquia:
[edit policy-options][edit logical-systems logical-system-name policy-options]
Configuração do roteador ou switch PE do provedor
Os roteadores PE (ou switches) do provedor de operadoras de operadora se conectam aos roteadores CE (ou switches) do cliente da operadora. Preencha as instruções nas seções a seguir para configurar o roteador PE (ou switch) do provedor):
- Configuração de MPLS
- Configuração de uma sessão BGP pe-to-PE
- Configuração de IS-IS e LDP
- Configuração de opções de políticas
- Configurar uma instância de roteamento para enviar rotas ao roteador CE
Configuração de MPLS
Na configuração MPLS, especifique pelo menos duas interfaces — uma para o roteador CE (ou switch) do cliente e outra para se conectar ao roteador PE (ou switch) do provedor do outro lado da rede do provedor:
interface interface-name; interface interface-name;
Você pode incluir essas declarações nos seguintes níveis de hierarquia:
[edit protocols mpls][edit logical-systems logical-system-name protocols mpls]
Configuração de uma sessão BGP pe-to-PE
Para configurar uma sessão BGP pe-to-PE nos roteadores PE (ou switches) do provedor para permitir que as rotas VPN-IPv4 passem entre os roteadores PE (ou switches, inclua a bgp declaração:
bgp {
group group-name {
type internal;
local-address address;
family inet-vpn {
any;
}
neighbor address;
}
}
Você pode incluir esta declaração nos seguintes níveis de hierarquia:
[edit protocols][edit logical-systems logical-system-name protocols]
Configuração de IS-IS e LDP
Para configurar IS-IS e LDP nos roteadores PE (ou switches) do provedor, inclua o e ldp as isis declarações:
isis {
interface interface-name;
interface interface-name {
passive;
}
}
ldp {
interface interface-name;
}
Você pode incluir essas declarações nos seguintes níveis de hierarquia:
[edit protocols][edit logical-systems logical-system-name protocols]
Configuração de opções de políticas
Para configurar declarações de políticas no roteador PE (ou switch) do provedor para rotas de exportação para e importar rotas da rede do cliente da operadora, inclua o e community as policy-statement declarações:
policy-statement statement-name {
term term-name {
from {
protocol bgp;
community community-name;
}
then accept;
}
term term-name {
then reject;
}
}
policy-statement statement-name {
term term-name {
from protocol bgp;
then {
community add community-name;
accept;
}
}
term term-name {
then reject;
}
}
community community-name members value;
Você pode incluir essas declarações nos seguintes níveis de hierarquia:
[edit policy-options][edit logical-systems logical-system-name policy-options]
Configurar uma instância de roteamento para enviar rotas ao roteador CE
Para configurar a instância de roteamento no roteador PE (ou switch) do provedor para enviar rotas rotuladas ao roteador CE (ou switch) do cliente da operadora, inclua as seguintes declarações:
instance-type vrf;
interface interface-name;
route-distinguisher value;
vrf-import policy-name;
vrf-export policy-name;
protocols {
bgp {
group group-name {
peer-as as-number;
neighbor address {
family inet {
labeled-unicast;
}
}
}
}
}
Você pode incluir essas declarações nos seguintes níveis de hierarquia:
[edit routing-instances routing-instance-name][edit logical-systems logical-system-name routing-instances routing-instance-name]
Veja também
Exemplo de VPN da operadora — o cliente oferece serviço VPN
Neste exemplo, o cliente da operadora deve executar alguma forma de MPLS (Resource Reservation Protocol [RSVP] ou LDP) em sua rede para fornecer serviços VPN ao cliente final. No exemplo abaixo, roteador B e roteador eu atuo como roteadores PE (ou switches), e um caminho MPLS funcional é necessário entre esses roteadores se eles trocarem rotas VPN-IPv4.
Para obter informações de configuração, veja as seguintes seções:
- Topologia de rede para serviços de operadoras
- Configuração para roteador A
- Configuração para roteador B
- Configuração para roteador C
- Configuração para roteador D
- Configuração para roteador E
- Configuração para roteador F
- Configuração para roteador G
- Configuração para roteador H
- Configuração para roteador I
- Configuração para roteador J
- Configuração para roteador K
- Configuração para roteador L
Topologia de rede para serviços de operadoras
Um serviço de operadora de operadoras permite que um provedor de serviços de Internet (ISP) se conecte a um backbone terceirizado transparente em vários locais.
A Figura 3 mostra a topologia da rede neste exemplo de operadoras.
Configuração para roteador A
Neste exemplo, o roteador A atua como o roteador CE para o cliente final. Configure uma sessão BGP padrão family inet no roteador A:
[edit]
protocols {
bgp {
group to-routerB {
export attached;
peer-as 21;
neighbor 192.168.197.169;
}
}
}
policy-options {
policy-statement attached {
from protocol direct;
then accept;
}
}
Configuração para roteador B
Como o roteador B é o roteador PE para o roteador CE (Roteador A) do cliente final, você precisa configurar uma instância de roteamento (vpna). Configure a labeled-unicast declaração na sessão do IBGP para o roteador D e configure family-inet-vpn para a sessão do IBGP para o outro lado da rede com o roteador I:
[edit]
protocols {
mpls {
interface fe-1/0/2.0;
interface fe-1/0/3.0;
}
bgp {
group int {
type internal;
local-address 10.255.14.179;
neighbor 10.255.14.175 {
family inet {
labeled-unicast {
resolve-vpn;
}
}
}
}
neighbor 10.255.14.181 {
family inet-vpn {
any;
}
}
}
ospf {
area 0.0.0.0 {
interface lo0.0 {
passive;
}
interface fe-1/0/3.0;
}
}
ldp {
interface fe-1/0/3.0;
}
}
routing-instances {
vpna {
instance-type vrf;
interface fe-1/0/2.0;
route-distinguisher 10.255.14.179:21;
vrf-import vpna-import;
vrf-export vpna-export;
protocols {
bgp {
group vpna-06 {
peer-as 1;
neighbor 192.168.197.170;
}
}
}
}
}
policy-options {
policy-statement vpna-import {
term a {
from {
protocol bgp;
community vpna-comm;
}
then accept;
}
term b {
then reject;
}
}
policy-statement vpna-export {
term a {
from protocol bgp;
then {
community add vpna-comm;
accept;
}
}
term b {
then reject;
}
}
community vpna-comm members target:100:1001;
}
Configuração para roteador C
Configure o roteador C como um roteador de troca de rótulos no AS local:
[edit]
protocols {
mpls {
traffic-engineering bgp-igp;
}
ospf {
area 0.0.0.0 {
interface lo0.0 {
passive;
}
interface fe-0/3/3.0;
interface fe-0/3/0.0;
}
}
ldp {
interface fe-0/3/0.0;
interface fe-0/3/3.0;
}
}
Configuração para roteador D
O roteador D atua como o roteador CE para os serviços vpn fornecidos pela rede AS 10023. Na configuração do grupo BGP para grupo int, que lida com o tráfego para o Roteador B (10.255.14.179), você inclui a labeled-unicast declaração. Você também precisa configurar o grupo to-isp-red BGP para enviar rotas internas rotuladas para o roteador PE (Roteador E).
[edit]
protocols {
mpls {
traffic-engineering bgp-igp;
interface fe-0/3/0.0;
interface t3-0/0/0.0;
}
bgp {
group int {
type internal;
local-address 10.255.14.175;
neighbor 10.255.14.179 {
family inet {
labeled-unicast;
}
}
}
group to-isp-red {
export internal;
peer-as 10023;
neighbor 192.168.197.13 {
family inet {
labeled-unicast;
}
}
}
}
ospf {
area 0.0.0.0 {
interface lo0.0 {
passive;
}
interface fe-0/3/0.0;
}
}
ldp {
interface fe-0/3/0.0;
}
}
policy-options {
policy-statement internal {
term a {
from protocol [ ospf direct ];
then accept;
}
term b {
then reject;
}
}
}
Configuração para roteador E
Roteador E e roteador H são roteadores PE. Configure uma sessão BGP do roteador PE para PE para permitir que as rotas VPN-IPv4 passem entre esses dois roteadores PE. Configure a instância de roteamento no Roteador E para enviar rotas rotuladas para o roteador CE (Roteador D).
Configure o roteador E:
[edit]
protocols {
mpls {
interface t3-0/2/0.0;
interface at-0/1/0.0;
}
bgp {
group pe-pe {
type internal;
local-address 10.255.14.171;
family inet-vpn {
any;
}
neighbor 10.255.14.173;
}
}
isis {
interface at-0/1/0.0;
interface lo0.0 {
passive;
}
}
ldp {
interface at-0/1/0.0;
}
}
policy-options {
policy-statement vpn-isp1-import {
term a {
from {
protocol bgp;
community vpn-isp1-comm;
}
then accept;
}
term b {
then reject;
}
}
policy-statement vpn-isp1-export {
term a {
from protocol bgp;
then {
community add vpn-isp1-comm;
accept;
}
}
term b {
then reject;
}
}
community vpn-isp1-comm members target:69:21;
}
routing-instances {
vpn-isp1 {
instance-type vrf;
interface t3-0/2/0.0;
route-distinguisher 10.255.14.171:21;
vrf-import vpn-isp1-import;
vrf-export vpn-isp1-export;
protocols {
bgp {
group to-isp1 {
peer-as 21;
neighbor 192.168.197.14 {
as-override;
family inet {
labeled-unicast;
}
}
}
}
}
}
}
Configuração para roteador F
Configure o roteador F para trocar rótulos por rotas em execução por suas interfaces:
[edit]
protocols {
isis {
interface so-0/2/0.0;
interface at-0/3/0.0;
interface lo0.0 {
passive;
}
}
ldp {
interface so-0/2/0.0;
interface at-0/3/0.0;
}
}
Configuração para roteador G
Configure o roteador G:
[edit]
protocols {
isis {
interface so-0/0/0.0;
interface so-1/0/0.0;
interface lo0.0 {
passive;
}
}
ldp {
interface so-0/0/0.0;
interface so-1/0/0.0;
}
}
Configuração para roteador H
A configuração do roteador H é semelhante à configuração do roteador E:
[edit]
protocols {
mpls {
interface fe-1/1/0.0;
interface so-1/0/0.0;
}
bgp {
group pe-pe {
type internal;
local-address 10.255.14.173;
family inet-vpn {
any;
}
neighbor 10.255.14.171;
}
}
isis {
interface so-1/0/0.0;
interface lo0.0 {
passive;
}
}
ldp {
interface so-1/0/0.0;
}
}
routing-instances {
vpn-isp1 {
instance-type vrf;
interface fe-1/1/0.0;
route-distinguisher 10.255.14.173:21;
vrf-import vpn-isp1-import;
vrf-export vpn-isp1-export;
protocols {
bgp {
group to-isp1 {
peer-as 21;
neighbor 192.168.197.94 {
as-override;
family inet {
labeled-unicast;
}
}
}
}
}
}
}
policy-options {
policy-statement vpn-isp1-import {
term a {
from {
protocol bgp;
community vpn-isp1-comm;
}
then accept;
}
term b {
then reject;
}
}
policy-statement vpn-isp1-export {
term a {
from protocol bgp;
then {
community add vpn-isp1-comm;
accept;
}
}
term b {
then reject;
}
}
community vpn-isp1-comm members target:69:21;
}
Configuração para roteador I
Roteador eu atuo como o roteador PE para o cliente final. A configuração a seguir é semelhante à configuração do roteador B:
[edit]
protocols {
mpls {
interface fe-1/0/1.0;
interface fe-1/1/3.0;
}
bgp {
group int {
type internal;
local-address 10.255.14.181;
neighbor 10.255.14.177 {
family inet {
labeled-unicast {
resolve-vpn;
}
}
}
neighbor 10.255.14.179 {
family inet-vpn {
any;
}
}
}
}
ospf {
area 0.0.0.0 {
interface lo0.0 {
passive;
}
interface fe-1/1/3.0;
}
}
ldp {
interface fe-1/1/3.0;
}
}
routing-instances {
vpna {
instance-type vrf;
interface fe-1/0/1.0;
route-distinguisher 10.255.14.181:21;
vrf-import vpna-import;
vrf-export vpna-export;
protocols {
bgp {
group vpna-0 {
peer-as 1;
neighbor 192.168.197.198;
}
}
}
}
}
policy-options {
policy-statement vpna-import {
term a {
from {
protocol bgp;
community vpna-comm;
}
then accept;
}
term b {
then reject;
}
}
policy-statement vpna-export {
term a {
from protocol bgp;
then {
community add vpna-comm;
accept;
}
}
term b {
then reject;
}
}
community vpna-comm members target:100:1001;
}
Configuração para roteador J
Configure o roteador J para trocar rótulos por rotas em execução por suas interfaces:
[edit]
protocols {
mpls {
traffic-engineering bgp-igp;
}
ospf {
area 0.0.0.0 {
interface lo0.0 {
passive;
}
interface fe-1/0/2.0;
interface fe-1/0/3.0;
}
}
ldp {
interface fe-1/0/2.0;
interface fe-1/0/3.0;
}
}
Configuração para roteador K
A configuração do roteador K é semelhante à configuração do roteador D:
[edit]
protocols {
mpls {
traffic-engineering bgp-igp;
interface fe-1/1/2.0;
interface fe-1/0/2.0;
}
bgp {
group int {
type internal;
local-address 10.255.14.177;
neighbor 10.255.14.181 {
family inet {
labeled-unicast;
}
}
}
group to-isp-red {
export internal;
peer-as 10023;
neighbor 192.168.197.93 {
family inet {
labeled-unicast;
}
}
}
}
ospf {
area 0.0.0.0 {
interface lo0.0 {
passive;
}
interface fe-1/0/2.0;
}
}
ldp {
interface fe-1/0/2.0;
}
}
policy-options {
policy-statement internal {
term a {
from protocol [ ospf direct ];
then accept;
}
term b {
then reject;
}
}
}
Configuração para roteador L
Neste exemplo, o roteador L é o roteador CE do cliente final. Configure uma sessão BGP padrão da família inet no roteador L:
[edit]
protocols {
bgp {
group to-I {
export attached;
peer-as 21;
neighbor 192.168.197.197;
}
}
}
policy-options {
policy-statement attached {
from protocol direct;
then accept;
}
}
Veja também
Várias instâncias para VPNs LDP e Carrier-of-Carriers
Ao configurar várias instâncias de roteamento LDP, você pode usar o LDP para anunciar rótulos em uma VPN de operadora de operadoras de um roteador PE de provedor de núcleo para um roteador CE da operadora do cliente. Ter rótulos anunciados pelo LDP dessa maneira é especialmente útil quando o cliente da operadora é um ISP básico e quer restringir as rotas completas de Internet aos seus roteadores PE. Ao usar o LDP em vez de BGP, o cliente da operadora protege seus outros roteadores internos da Internet em geral. O LDP de várias instâncias também é útil quando um cliente da operadora deseja fornecer serviços VPN de Camada 3 ou VPN de Camada 2 para seus clientes.
Por exemplo, como configurar várias instâncias de roteamento LDP para VPNs de operadoras, veja https://www.juniper.net/documentation/us/en/software/junos/mpls/topics/example/multiple-instance-ldp-configuring-detailed-solutions.html.