Hub-and-Spoke VPNs
Configuração das topologias de VPN hub-and-spoke: uma interface
Use uma configuração de uma interface para anunciar uma rota padrão de um hub ou hubs.
A Figura 1 ilustra um aplicativo hub-and-spoke VPN de Camada 3 onde há apenas uma interface entre o hub CE (CE1) e o hub PE (PE1). Essa é a maneira recomendada de configurar topologias hub-and-spoke.
Nesta configuração, uma rota padrão é anunciada desde o hub até os spokes. Se as rotas CE spoke mais específicas precisarem ser trocadas entre roteadores CE spoke, então são necessárias duas interfaces entre o hub CE e o hub PE. Veja a configuração das topologias de VPN hub-and-spoke: duas interfaces para um exemplo de duas interfaces.
Neste exemplo de configuração, a distribuição de rotas spoke é a seguinte:
Spoke CE2 anuncia suas rotas para o SPOKE PE2.
O Spoke PE2 instala rotas do CE2 em sua tabela de roteamento e encaminhamento VPN (VRF).
O Spoke PE2 verifica sua política de exportação de VRF, adiciona a comunidade alvo de rotas e anuncia as rotas para o hub PE1.
O Hub PE1 verifica sua política de importação de VRF e instala rotas que combinam a política de importação com a tabela bgp.l3vpn.0.
O Hub PE1 instala rotas da tabela bgp.l3vpn.0 na tabela VRF do hub.
O Hub PE1 anuncia rotas da tabela VRF do hub até o hub CE1.
Neste exemplo de configuração, a distribuição padrão de rotas é a seguinte:
O Hub CE1 anuncia uma rota padrão para o hub PE1.
O Hub PE1 instala a rota padrão na tabela VRF do hub.
O Hub PE1 verifica sua política de exportação de VRF, adiciona a comunidade alvo de rotas e anuncia a rota padrão para pe2 e PE3.
Spoke PE2 e PE3 verificam sua política de importação de VRF e instalam a rota padrão na tabela bgp.l3vpn.0.
Spoke PE2 e PE3 instalam as rotas da tabela bgp.l3vpn.0 em suas tabelas VRF spoke.
Spoke PE2 e PE3 anunciam a rota padrão da tabela spoke VRF para os spoke CE2 e CE3.
As seções a seguir descrevem como configurar uma topologia hub-and-spoke com uma interface baseada na topologia ilustrada na Figura 1:
- Configuração do Hub CE1
- Configuração do Hub PE1
- Configuração do roteador P
- Configuração do Spoke PE2
- Configuração do Spoke PE3
- Configuração do Spoke CE2
- Configuração do Spoke CE3
- Habilitação de recursos de saída no roteador Hub PE
Configuração do Hub CE1
Configure o hub CE1 da seguinte forma:
[edit routing-options]
static {
route 0.0.0.0/0 discard;
}
autonomous-system 100;
[edit protocols]
bgp {
group hub {
type external;
export default;
peer-as 200;
neighbor 10.49.4.1;
}
}
[edit policy-options]
policy-statement default {
term 1 {
from {
protocol static;
route-filter 0.0.0.0/0 exact;
}
then accept;
}
term 2 {
then reject;
}
}
Configuração do Hub PE1
Configure o hub PE1 da seguinte forma:
[edit]
routing-instances {
hub {
instance-type vrf;
interface t3-0/0/0;
route-distinguisher 10.255.14.176:2;
vrf-target {
import target:200:100;
export target:200:101;
}
protocols {
bgp {
group hub {
type external;
peer-as 100;
as-override;
neighbor 10.49.4.2;
}
}
}
}
}
Configuração do roteador P
Configure o roteador P da seguinte forma:
[edit]
interfaces {
t3-0/1/1 {
unit 0 {
family inet {
address 10.49.2.1/30;
}
family mpls;
}
}
t3-0/1/3 {
unit 0 {
family inet {
address 10.49.0.2/30;
}
family mpls;
}
}
t1-0/2/0 {
unit 0 {
family inet {
address 10.49.1.2/30;
}
family mpls;
}
}
}
[edit]
protocols {
ospf {
area 0.0.0.0 {
interface t3-0/1/3.0;
interface t1-0/2/0.0;
interface t3-0/1/1.0;
interface lo0.0 {
passive;
}
}
}
ldp {
interface t3-0/1/1.0;
interface t3-0/1/3.0;
interface t1-0/2/0.0;
}
}
Configuração do Spoke PE2
Configure o PE2 spoke da seguinte forma:
[edit]
interfaces {
t3-0/0/0 {
unit 0 {
family inet {
address 10.49.0.1/30;
}
family mpls;
}
}
t1-0/1/2 {
unit 0 {
family inet {
address 10.49.3.1/30;
}
}
}
}
[edit protocols]
bgp {
group ibgp {
type internal;
local-address 10.255.14.182;
peer-as 200;
neighbor 10.255.14.176 {
family inet-vpn {
unicast;
}
}
}
}
ospf {
area 0.0.0.0 {
interface t3-0/0/0.0;
interface lo0.0 {
passive;
}
}
}
ldp {
interface t3-0/0/0.0;
}
[edit]
routing-instances {
spoke {
instance-type vrf;
interface t1-0/1/2.0;
route-distinguisher 10.255.14.182:20;
vrf-target {
import target:200:101;
export target:200:100;
}
protocols {
bgp {
group spoke {
type external;
peer-as 100;
as-override;
neighbor 10.49.3.2;
}
}
}
}
}
Configuração do Spoke PE3
Configure o SPOKE PE3 da seguinte forma:
[edit]
interfaces {
t3-0/0/0 {
unit 0 {
family inet {
address 10.49.6.1/30;
}
}
}
t3-0/0/1 {
unit 0 {
family inet {
address 10.49.2.2/30;
}
family mpls;
}
}
}
[edit protocols}
bgp {
group ibgp {
type internal;
local-address 10.255.14.178;
peer-as 200;
neighbor 10.255.14.176 {
family inet-vpn {
unicast;
}
}
}
}
ospf {
area 0.0.0.0 {
interface t3-0/0/1.0;
interface lo0.0 {
passive;
}
}
}
ldp {
interface t3-0/0/1.0;
}
[edit]
routing-instances {
spoke {
instance-type vrf;
interface t3-0/0/0.0;
route-distinguisher 10.255.14.178:30;
vrf-target {
import target:200:101;
export target:200:100;
}
protocols {
bgp {
group spoke {
type external;
peer-as 100;
as-override;
neighbor 10.49.6.2;
}
}
}
}
}
Configuração do Spoke CE2
Configure o CE2 spoke da seguinte forma:
[edit routing-options]
autonomous-system 100;
{edit protocols]
bgp {
group spoke {
type external;
export loopback;
peer-as 200;
neighbor 10.49.3.1;
}
}
Configuração do Spoke CE3
Configure o CE3 spoke da seguinte forma:
[edit routing-options]
autonomous-system 100;
[edit protocols]
bgp {
group spoke {
type external;
export loopback;
peer-as 200;
neighbor 10.49.6.1;
}
}
Neste exemplo de configuração, o encaminhamento de tráfego é o seguinte entre o CE2 e o hub CE1:
O CE2 spoke encaminha o tráfego usando a rota padrão aprendida com o spoke PE2 até o BGP.
0.0.0.0/0 *[BGP/170] 02:24:15, localpref 100 AS path: 200 200 I > to 10.49.3.1 via t1-3/0/1.0O Spoke PE2 realiza uma pesquisa de rota na tabela spoke VRF e encaminha o tráfego para o hub PE2 (pelo roteador P — PE2 empurra dois rótulos) usando a rota padrão aprendida através do BGP.
0.0.0.0/0 *[BGP/170] 01:35:45, localpref 100, from 10.255.14.176 AS path: 100 I > via t3-0/0/1.0, Push 100336, Push 100224(top)O Hub PE1 faz uma busca de rotas na tabela mpls.0 para o rótulo
100336VPN.100336 *[VPN/170] 01:37:03 > to 10.49.4.2 via t3-0/0/0.0, PopO Hub PE1 encaminha o tráfego para fora da interface
t3-0/0/0.0para o hub CE1.
Neste exemplo de configuração, o encaminhamento de tráfego é o seguinte entre o HUB CE1 e o CE2 spoke:
O Hub CE1 encaminha o tráfego para o hub PE1 usando a rota aprendida através do BGP.
10.49.10.250/32 *[BGP/170] 02:28:46, localpref 100 AS path: 200 200 I > to 10.49.4.1 via t3-3/1/0.0O Hub PE1 faz uma busca de roteamento na tabela VRF do hub e encaminha o tráfego para o PE2 falado (pelo roteador P — o PE1 empurra dois rótulos).
10.49.10.250/32 *[BGP/170] 01:41:05, localpref 100, from 10.255.14.182 AS path: 100 I > via t1-0/1/0.0, Push 100352, Push 100208(top)Spoke PE2 faz uma busca de rota na tabela mpls.0 para o rótulo
100352VPN.100352 *[VPN/170] 02:31:39 > to 10.49.3.2 via t1-0/1/2.0, PopO SPOKE PE2 encaminha o tráfego para fora da interface
t1-0/1/2.0para falar ce2.
Neste exemplo de configuração, o encaminhamento de tráfego é o seguinte entre o CE2 e o CE3 spoke:
O CE2 spoke encaminha o tráfego usando a rota padrão aprendida com o spoke PE2 até o BGP.
0.0.0.0/0 *[BGP/170] 02:24:15, localpref 100 AS path: 200 200 I > to 10.49.3.1 via t1-3/0/1.0O Spoke PE2 faz uma pesquisa de rota na tabela spoke VRF e encaminha o tráfego para o hub PE1 (pelo roteador P — PE2 empurra dois rótulos) usando a rota padrão aprendida através do BGP.
0.0.0.0/0 *[BGP/170] 01:35:45, localpref 100, from 10.255.14.176 AS path: 100 I > via t3-0/0/1.0, Push 100336, Push 100224(top)O Hub PE1 faz uma busca de rotas na tabela mpls.0 para o rótulo
100336VPN.100336 *[VPN/170] 01:37:03 > to 10.49.4.2 via t3-0/0/0.0, PopO Hub PE1 encaminha o tráfego para fora da interface
t3-0/0/0.0para o hub CE1.O Hub CE1 encaminha o tráfego para o hub PE1 usando o roteador aprendido através do BGP.
10.49.10.253/32 *[BGP/170] 02:40:03, localpref 100 AS path: 200 200 I > to 10.49.4.1 via t3-3/1/0.0O Hub PE1 faz uma busca de rota na tabela VRF do hub e encaminha o tráfego para o PE3 falado (pelo roteador P — o PE1 empurra dois rótulos).
10.49.10.253/32 *[BGP/170] 01:41:05, localpref 100, from 10.255.14.178 AS path: 100 I > via t1-0/1/0.0, Push 100128, Push 100192(top)Spoke PE3 faz uma busca de rota na tabela mpls.0 para o rótulo
100128VPN.100128 *[VPN/170] 02:41:30 > to 10.49.6.2 via t3-0/0/0.0, PopO SPOKE PE3 encaminha o tráfego para fora da interface
t3-0/0/0.0para falar ce3.
Se forem necessários recursos de saída no hub PE que exijam uma olhada no encaminhamento ip na tabela de roteamento VRF do hub, consulte recursos de habilitação de saída no roteador Hub PE.
Habilitação de recursos de saída no roteador Hub PE
Este exemplo é fornecido em conjunto com a configuração de topologias de VPN hub-and-spoke: uma interface. Este exemplo também usa a topologia ilustrada na Figura 1.
Se forem necessários recursos de saída no hub PE que exijam uma pesquisa de encaminhamento IP na tabela de roteamento VRF do hub, a configuração detalhada na configuração das topologias de VPN hub-and-spoke: uma interface não funcionará. Aplicar a vrf-table-label declaração na instância de roteamento de hub força o tráfego de um PE de spoke remoto a ser encaminhado ao hub PE e força uma busca ip a ser realizada. Como as rotas spoke específicas estão na tabela VRF do hub, o tráfego será encaminhado para um PE spoke sem passar pelo hub CE.
O hub PE anuncia a rota padrão da seguinte forma, usando o rótulo VPN 1028:
hub.inet.0: 7 destinations, 7 routes (7 active, 0 holddown, 0 hidden)
* 0.0.0.0/0 (1 entry, 1 announced)
BGP group ibgp type Internal
Route Distinguisher: 10.255.14.176:2
VPN Label: 1028
Nexthop: Self
Localpref: 100
AS path: 100 I
Communities: target:200:101
O tráfego de entrada é encaminhado usando o rótulo VPN 1028. A tabela mpls.0 mostra que é necessária uma pesquisa ip no hub de tabela.inet.0:
1028 *[VPN/0] 00:00:27
to table hub.inet.0, Pop
No entanto, o hub de tabela VRF.inet.0 contém rotas spoke específicas:
10.49.10.250/32 *[BGP/170] 00:00:05, localpref 100, from 10.255.14.182
AS path: 100 I
> via t1-0/1/0.0, Push 100352, Push 100208(top)
10.49.10.253/32 *[BGP/170] 00:00:05, localpref 100, from 10.255.14.178
AS path: 100 I
> via t1-0/1/0.0, Push 100128, Push 100192(top)
Por causa disso, o tráfego é encaminhado diretamente para os PEs spoke sem passar pelo hub CE. Para evitar isso, você deve configurar uma instância de roteamento secundário para tráfego downstream no hub PE1.
Configuração do Hub PE1
Configure o hub PE1 da seguinte forma:
[edit]
routing-instances {
hub {
instance-type vrf;
interface t3-0/0/0.0;
route-distinguisher 10.255.14.176:2;
vrf-target {
import target:200:100;
export target:200:101;
}
no-vrf-advertise;
routing-options {
auto-export;
}
protocols {
bgp {
group hub {
type external;
peer-as 100;
as-override;
neighbor 10.49.4.2;
}
}
}
}
hub-downstream {
instance-type vrf;
route-guisher 10.255.14.176:3;
vrf-target target:200:101;
vrf-table-label;
routing-options {
auto-export;
}
}
}
Quando a no-vrf-advertise declaração é usada no nível da [edit routing-instances hub] hierarquia, não são necessários grupos de tabela de roteamento ou políticas de exportação de VRF. A no-vrf-advertise declaração configura o hub PE para não anunciar rotas VPN a partir da instância hubprimária de roteamento. Em vez disso, essas rotas são anunciadas a partir da instância hub_downstreamde roteamento secundário. Consulte a Junos OS Routing Protocols Library para obter mais informações sobre a no-vrf-advertise declaração.
A auto-export declaração no nível de [edit routing-instances hub-downstream routing-options] hierarquia identifica rotas exportadas desde a instância do hub até a instância de hub downstream, analisando as metas de rota definidas para cada instância de roteamento. Consulte a Junos OS Routing Protocols Library para obter mais informações sobre o uso da auto-export declaração. Veja configuração de VPNs sobrepostas usando a exportação automática de rotas para obter mais exemplos de política de exportação.
Com essa configuração no hub PE, o tráfego CE spoke-to-spoke passa pelo hub CE e permite que recursos de saída (como a filtragem) sejam habilitados no hub PE.
Neste exemplo de configuração, o encaminhamento de tráfego é o seguinte entre o CE2 e o CE3 spoke:
O CE2 spoke encaminha o tráfego usando a rota padrão aprendida com o spoke PE2 até o BGP.
0.0.0.0/0 *[BGP/170] 02:24:15, localpref 100 AS path: 200 200 I > to 10.49.3.1 via t1-3/0/1.0O Spoke PE2 faz uma pesquisa de rota na tabela spoke VRF e encaminha o tráfego para o hub PE1 (pelo roteador P — PE2 empurra dois rótulos) usando a rota padrão aprendida através do BGP.
spoke.inet.0: 5 destinations, 5 routes (5 active, 0 holddown, 0 hidden) + = Active Route, - = Last Active, * = Both 0.0.0.0/0 *[BGP/170] 00:00:09, localpref 100, from 10.255.14.176 AS path: 100 I > via t3-0/0/0.0, Push 1029, Push 100224(top)O Hub PE1 faz uma busca de rotas na tabela mpls.0 para o rótulo
1029VPN.mpls.0: 5 destinations, 5 routes (5 active, 0 holddown, 0 hidden) + = Active Route, - = Last Active, * = Both 1029 *[VPN/0] 00:11:49 to table hub_downstream.inet.0, PopO rótulo
1029VPN é anunciado porque:A
vrf-table-labeldeclaração é aplicada no nível de[edit routing-instances hub_downsteam]hierarquia na configuração do hub PE1.A
no-vrf-advertisedeclaração é aplicada no nível de[edit routing-instances hub]hierarquia, instruindo o roteador a anunciar a rota a partir da tabela secundária.
Portanto, as buscas por IP são realizadas na tabela hub_downstream.inet.0, não na tabela hub.inet.0.
Emita o
show route advertising-protocolcomando no hub PE para um PE spoke para verificar o anúncio do rótulo1029VPN:user@host> show route advertising-protocol hub_downstream.inet.0: 2 destinations, 2 routes (2 active, 0 holddown, 0 hidden) * 0.0.0.0/0 (1 entry, 1 announced) BGP group ibgp type Internal Route Distinguisher: 10.255.14.176:3 VPN Label: 1029 Nexthop: Self Localpref: 100 AS path: 100 I Communities: target:200:101O Hub PE1 realiza uma busca por IP na
hub_downstream.inet.0tabela e encaminha a interfacet3-0/0/0.0de tráfego para o hub CE1.hub_downstream.inet.0: 2 destinations, 2 routes (2 active, 0 holddown, 0 hidden) 0.0.0.0/0 (1 entry, 1 announced) *BGP Preference: 170/-101 Next-hop reference count: 4 Source: 10.49.4.2 Next hop: 10.49.4.2 via t3-0/0/0.0, selected State: <Secondary Active Ext> Peer AS: 100 Age: 3:03 Task: BGP_100.10.49.4.2+1707 Announcement bits (2): 0-KRT 2-BGP.0.0.0.0+179 AS path: 100 I Communities: target:200:101 Localpref: 100 Router ID: 10.49.10.251 Primary Routing Table hub.inet.0A tabela de roteamento primário indica
hub.inet.0que essa rota foi exportada da tabelahub.inet.0para esta tabela hub_downstream.inet.0 como resultado da declaração no[edit routing-instances hub]nível deno-vrf-advertisehierarquia e daauto-exportdeclaração no nível de[edit routing-instances hub-downstream routing-options]hierarquia na configuração do HUB PE1.O Hub CE1 encaminha o tráfego de volta ao hub PE1 usando o roteador aprendido através do BGP.
10.49.10.253/32 *[BGP/170] 02:40:03, localpref 100 AS path: 200 200 I > to 10.49.4.1 via t3-3/1/0.0O Hub PE1 realiza uma busca de rotas na tabela VRF do hub e encaminha o tráfego para o PE3 falado (pelo roteador P — o PE1 empurra dois rótulos).
10.49.10.253/32 *[BGP/170] 01:41:05, localpref 100, from 10.255.14.178 AS path: 100 I > via t1-0/1/0.0, Push 100128, Push 100192(top)O Spoke PE3 realiza uma busca por rotas na tabela mpls.0 para o rótulo
100128VPN.100128 *[VPN/170] 02:41:30 > to 10.49.6.2 via t3-0/0/0.0, PopO SPOKE PE3 encaminha a interface
t3-0/0/0.0de tráfego para o CE3.
Configuração das topologias de VPN hub-and-spoke: duas interfaces
Use uma configuração de duas interfaces para propagar rotas de spoke a spoke.
O exemplo nesta seção configura uma topologia hub-and-spoke com duas interfaces usando os seguintes componentes (veja a Figura 2):
Um roteador PE de hub (Roteador D).
Um roteador CE de hub conectado ao roteador HUB PE. Para que essa topologia vpn hub-and-spoke funcione corretamente, deve haver duas interfaces conectando o roteador HUB PE ao roteador CE do hub, e cada interface deve ter sua própria tabela VRF no roteador PE:
A primeira interface (aqui, interface ge-0/0/0.0) é usada para anunciar rotas spoke para o roteador CE do hub. A tabela VRF associada a esta interface contém as rotas que estão sendo anunciadas pelos roteadores SPOKE PE para o roteador CE do hub.
A segunda interface (aqui, interface ge-0/0/1.0) é usada para receber anúncios de rotas do HUB CE destinados aos roteadores hub-and-spoke. A tabela VRF associada a esta interface contém as rotas anunciadas pelo roteador CE hub para os roteadores SPOKE PE. Por exemplo, são usadas duas interfaces físicas separadas. Também funcionaria se você configurasse duas interfaces lógicas separadas compartilhando a mesma interface física entre o roteador HUB PE e o roteador CE do hub.
Dois roteadores PE spoke (roteador E e roteador F).
Dois roteadores CE falados (CE1 e CE2), um conectado a cada roteador PE spoke.
LDP como protocolo de sinalização.
Nesta configuração, a distribuição de rotas do spoke CE Router CE1 ocorre da seguinte forma:
Spoke Router CE1 anuncia suas rotas para o spoke PE Router E.
O roteador E instala as rotas do CE1 em sua tabela VRF.
Depois de verificar sua política de exportação VRF, o Roteador E adiciona a comunidade de alvos spoke às rotas do Roteador CE1 que passaram pela política e as anuncia ao roteador DE HUB, Roteador D.
O roteador D verifica a política de importação de VRF associada à interface ge-0/0/0.0 e coloca todas as rotas de roteadores SPOKE PE que correspondem à política em sua tabela de roteamento bgp.l3vpn. (Quaisquer rotas que não correspondam são descartadas.)
O roteador D verifica sua política de importação de VRF associada à interface ge-0/0/0.0 e instala todas as rotas compatíveis com sua tabela VRF spoke. As rotas são instaladas com a comunidade de alvos spoke.
O roteador D anuncia rotas para o hub CE por meio da interface ge-0/0/0.
O roteador HUB CE anuncia as rotas de volta ao hub PE Router D na segunda interface para o roteador hub, a interface ge-0/0/1.
O roteador HUB PE instala as rotas aprendidas com o roteador CE hub em sua tabela VRF hub, associada à interface ge-0/0/1.
O roteador HUB PE verifica a política de exportação de VRF associada à interface ge-0/0/1.0 e anuncia todas as rotas que correspondem a todos os spokes depois de adicionar a comunidade alvo do hub.
A Figura 3 ilustra como as rotas são distribuídas deste roteador spoke para o outro roteador CE, o Roteador CE2. O mesmo caminho é seguido se você emitir um traceroute comando do Roteador CE1 ao Roteador CE2.
A seção final deste exemplo, a configuração de VPN hub-and-spoke resumida pelo roteador, consolida as declarações necessárias para configurar a funcionalidade vpn para cada um dos roteadores de provedores de serviços mostrados na Figura 2.
spoke
As seções a seguir explicam como configurar a funcionalidade VPN para uma topologia hub-and-spoke nos roteadores PE hub-and-spoke. Os roteadores CE não têm nenhuma informação sobre a VPN, então você os configura normalmente.
- Habilitando um IGP nos roteadores PE hub-and-spoke
- Configuração de LDP nos roteadores PE hub-and-spoke
- Configuração do IBGP nos roteadores PE
- Configuração de instâncias de roteamento VPN nos roteadores PE hub-and-spoke
- Configuração da política de VPN nos roteadores PE
- Configuração de VPN hub-and-spoke resumida por roteador
Habilitando um IGP nos roteadores PE hub-and-spoke
Para permitir que os roteadores PE hub-and-spoke troquem informações de roteamento, você deve configurar um IGP em todos esses roteadores ou configurar rotas estáticas. Você configura o IGP na instância primária do processo de protocolo de roteamento (rpd) (ou seja, no nível da [edit protocols] hierarquia), não dentro da instância de roteamento (ou seja, não no nível da [edit routing-instances] hierarquia).
Você configura o IGP da maneira padrão. Este exemplo de configuração não inclui esta parte da configuração.
Na distribuição de rotas em uma topologia hub-and-spoke, se o protocolo usado entre os roteadores CE e PE no local do hub for BGP, o roteador HUB CE anuncia todas as rotas recebidas do roteador hub PE e os roteadores spoke de volta ao roteador PE hub e todos os roteadores spoke. Isso significa que os roteadores PE hub-and-spoke recebem rotas que contêm seu número AS. Normalmente, quando uma rota contém essas informações, ela indica que ocorreu um loop de roteamento e que o roteador rejeita as rotas. No entanto, para que a configuração de VPN funcione, o roteador hub PE e os roteadores spoke devem aceitar essas rotas. Para habilitar isso, inclua a opção loops ao configurar o AS no nível de [edit routing-options] hierarquia no roteador HUB PE e todos os roteadores spoke. Para esta configuração de exemplo, você especifica um valor de 1. Você pode especificar um número de 0 a 10.
[edit routing-options] autonomous-system as-number loops 1;
Configuração de LDP nos roteadores PE hub-and-spoke
Configure o LDP nas interfaces entre os roteadores PE hub-and-spoke que participam da VPN.
No hub PE Router D, configure LDP:
[edit protocols]
ldp {
interface so-1/0/0.0;
interface t3-1/1/0.0;
}
No spoke PE Router E, configure LDP:
[edit protocols]
ldp {
interface fe-0/1/2.0;
}
No roteador PE spoke F, configure LDP:
[edit protocols]
ldp {
interface fe-1/0/0.0;
}
Configuração do IBGP nos roteadores PE
Nos roteadores PE hub-and-spoke, configure uma sessão de IBGP com as seguintes propriedades:
Família VPN — Para indicar que a sessão do IBGP é para a VPN, inclua a
family inet-vpndeclaração.Endereço de loopback — inclua a
local-addressdeclaração, especificando o endereço de loopback do roteador PE local. A sessão do IBGP para VPNs passa pelo endereço de loopback. Você também deve configurar alo0interface no nível de[edit interfaces]hierarquia. O exemplo não inclui essa parte da configuração do roteador.Endereço do vizinho — inclua a
neighbordeclaração. No roteador de hub, especifique o endereço IP de cada roteador PE spoke e, no roteador spoke, especifique o endereço do roteador PE do hub.
Para o roteador de hub, você configura uma sessão de IBGP com cada spoke e, para cada roteador spoke, você configura uma sessão de IBGP com o hub. Não há sessões de IBGP entre os dois roteadores spoke.
No roteador D do hub, configure o IBGP. A primeira neighbor declaração configura uma sessão do IBGP para o spoke Router E, e a segunda configura uma sessão para o roteador F.
[edit protocols]
bgp {
group Hub-to-Spokes {
type internal;
local-address 10.255.14.174;
family inet-vpn {
unicast;
}
neighbor 10.255.14.180;
neighbor 10.255.14.182;
}
}
No roteador E spoke, configure uma sessão de IBGP para o roteador hub:
[edit protocols]
bgp {
group Spoke-E-to-Hub {
type internal;
local-address 10.255.14.180;
neighbor 10.255.14.174 {
family inet-vpn {
unicast;
}
}
}
}
No roteador F spoke, configure uma sessão de IBGP para o roteador hub:
[edit protocols]
bgp {
group Spoke-F-to-Hub {
type internal;
local-address 10.255.14.182;
neighbor 10.255.14.174 {
family inet-vpn {
unicast;
}
}
}
}
Configuração de instâncias de roteamento VPN nos roteadores PE hub-and-spoke
Para que o roteador HUB PE seja capaz de distinguir entre os pacotes que vão e vêm dos roteadores PE spoke, você deve configurá-lo com duas instâncias de roteamento:
Uma instância de roteamento (neste exemplo
Spokes-to-Hub-CE) está associada à interface que transporta pacotes do roteador HUB PE até o roteador CE do hub (neste exemplo, interfacege-0/0/0.0). Sua tabela VRF contém as rotas que estão sendo anunciadas pelos roteadores spoke PE e pelo roteador HUB PE até o roteador CE hub.A segunda instância de roteamento (neste exemplo
Hub-CE-to-Spokes) está associada à interface que transporta pacotes do roteador CE do hub até o roteador HUB PE (neste exemplo, interfacege-0/0/1.0). Sua tabela VRF contém as rotas que estão sendo anunciadas desde o roteador HUB CE até os roteadores PE hub-and-spoke.
Em cada roteador spoke, você deve configurar uma instância de roteamento.
Você deve definir o seguinte na instância de roteamento:
Distinguidor de rotas, que é usado para distinguir os endereços em uma VPN daqueles de outra VPN.
Tipo de
vrfinstância, que cria a tabela VRF no roteador PE.Interfaces que fazem parte da VPN e que conectam os roteadores PE aos seus roteadores CE.
Políticas de importação e exportação de VRF. Ambas as políticas de importação devem incluir referência a uma comunidade. Caso contrário, quando você tenta comprometer a configuração, o commit falha. (A exceção a isso é se a política de importação contém apenas uma
then rejectdeclaração.) Na política de exportação de VRF, os roteadores PE spoke anexam a comunidade de alvos spoke.O roteamento entre os roteadores PE e CE é necessário para que o roteador PE distribua rotas relacionadas a VPN de e para roteadores CE conectados. Você pode configurar um protocolo de roteamento — BGP, OSPF ou RIP — ou configurar o roteamento estático.
Para uma topologia hub-and-spoke, você deve configurar políticas diferentes em cada instância de roteamento no roteador CE do hub. Para a instância de roteamento associada à interface que transporta pacotes do roteador HUB PE para o roteador CE hub (neste exemplo), Spokes-to-Hub-CEa política de importação deve aceitar todas as rotas recebidas na sessão do IBGP entre os roteadores PE hub-and-spoke, e a política de exportação deve rejeitar todas as rotas recebidas do roteador CE do hub. Para a instância de roteamento associada à interface que transporta pacotes do roteador HUB CE para o roteador HUB PE (neste exemplo, Hub-CE-to-Spokes), a política de importação deve rejeitar todas as rotas recebidas dos roteadores spoke PE, e a política de exportação deve exportar para todos os roteadores spoke.
No hub PE Router D, configure as seguintes instâncias de roteamento. O roteador D usa o OSPF para distribuir rotas de e para o roteador CE do hub.
[edit]
routing-instance {
Spokes-to-Hub-CE {
instance-type vrf;
interface ge-0/0/0.0;
route-distinguisher 10.255.1.174:65535;
vrf-import spoke;
vrf-export null;
protocols {
ospf {
domain-id disable;
export redistribute-vpn;
domain-vpn-tag 0;
area 0.0.0.0 {
interface ge-0/0/0;
}
}
}
}
Hub-CE-to-Spokes {
instance-type vrf;
interface ge-0/0/1.0;
route-distinguisher 10.255.1.174:65534;
vrf-import null;
vrf-export hub;
protocols {
ospf {
export redistribute-vpn;
area 0.0.0.0 {
interface ge-0/0/1.0;
}
}
}
}
}
No spoke PE Router E, configure as seguintes instâncias de roteamento. O roteador E usa o OSPF para distribuir rotas de e para o CE Router CE1.
[edit]
routing-instance {
Spoke-E-to-Hub {
instance-type vrf;
interface fe-0/1/0.0;
route-distinguisher 10.255.14.80:65035;
vrf-import hub;
vrf-export spoke;
protocols {
ospf {
export redistribute-vpn;
area 0.0.0.0 {
interface fe-0/1/0.0;
}
}
}
}
}
No roteador PE F, configure as seguintes instâncias de roteamento. O roteador F usa o OSPF para distribuir rotas de e para o CE Router CE2.
[edit]
routing-instance {
Spoke-F-to-Hub {
instance-type vrf;
interface fe-1/0/1.0;
route-distinguisher 10.255.14.182:65135;
vrf-import hub;
vrf-export spoke;
protocols {
ospf {
export redistribute-vpn;
area 0.0.0.0 {
interface fe-1/0/1.0;
}
}
}
}
}
Configuração da política de VPN nos roteadores PE
Você deve configurar políticas de importação e exportação de VPN em cada um dos roteadores PE hub-and-spoke para que eles instalem as rotas apropriadas nas tabelas VRF, que eles usam para encaminhar pacotes dentro de cada VPN.
Nos roteadores spoke, você define políticas para trocar rotas com o roteador hub.
No roteador hub, você define políticas para aceitar rotas dos roteadores spoke PE e distribuí-las para o roteador CE hub, e vice-versa. O roteador HUB PE tem duas tabelas VRF:
Tabela VRF spoke-to-hub — Lida com as rotas recebidas dos roteadores spoke e anuncia essas rotas para o roteador CE do hub. Para esta tabela VRF, a política de importação deve verificar se o nome do alvo spoke está presente e que a rota foi recebida da sessão do IBGP entre o hub PE e os roteadores spoke PE. Esta tabela VRF não deve exportar rotas, portanto, sua política de exportação deve rejeitar tudo.
Tabela VRF hub-to-spoke — Lida com as rotas recebidas do roteador CE do hub e as anuncia aos roteadores spoke. Para esta tabela VRF, a política de exportação deve adicionar a comunidade alvo do hub. Esta tabela VRF não deve importar rotas, portanto, sua política de importação deve rejeitar tudo.
Na política de VPN, você também configura as comunidades alvo de VPN.
No hub PE Router D, configure as seguintes políticas a serem aplicadas às tabelas VRF:
spoke— Aceita as rotas recebidas da sessão do IBGP entre ela e os roteadores pe spoke que contêm a metaspokeda comunidade, e rejeita todas as outras rotas.hub— Adiciona o hub-alvo da comunidade a todas as rotas recebidas do OSPF (ou seja, da sessão entre ele e o roteador CE do hub). Ele rejeita todas as outras rotas.null— Rejeita todas as rotas.redistribute-vpn— Redistribui as rotas de OSPF para vizinhos na instância de roteamento.[edit] policy-options { policy-statement spoke { term a { from { protocol bgp; community spoke; } then accept; } term b { then reject; } } policy-statement hub { term a { from protocol ospf; then { community add hub; accept; } } term b { then reject; } } policy-statement null { then reject; } policy-statement redistribute-vpn { term a { from protocol bgp; then accept; } term b { then reject; } } community hub members target:65535:1; community spoke members target:65535:2; }
Para aplicar as políticas de VRF no Roteador D, inclua as e vrf-import as vrf-export declarações quando você configurar as instâncias de roteamento:
[edit]
routing-instance {
Spokes-to-Hub-CE {
vrf-import spoke;
vrf-export null;
}
Hub-CE-to-Spokes {
vrf-import null;
vrf-export hub;
}
}
No spoke PE Router E e roteador F, configure as seguintes políticas a serem aplicadas às tabelas VRF:
hub— Aceita as rotas recebidas da sessão do IBGP entre ela e os roteadores hub PE que contêm a metahubda comunidade e rejeita todas as outras rotas.spoke— Acrescenta que o alvo da comunidade falou de todas as rotas recebidas do OSPF (ou seja, da sessão entre ele e o roteador CE do hub) rejeita todas as outras rotas.redistribute-vpn— Redistribui as rotas de OSPF para vizinhos na instância de roteamento.
No spoke PE Router E e roteador F, configure as seguintes políticas de importação e exportação de VPN:
[edit]
policy-options {
policy-statement hub {
term a {
from {
protocol bgp;
community hub;
}
then accept;
}
term b {
then reject;
}
}
policy-statement spoke {
term a {
from protocol ospf;
then {
community add spoke;
accept;
}
}
term b {
then reject;
}
}
policy-statement redistribute-vpn {
term a {
from protocol bgp;
then accept;
}
term b {
then reject;
}
}
community hub members target:65535:1;
community spoke members target 65535:2;
}
Para aplicar as políticas de VRF nos roteadores spoke, inclua as e vrf-import as vrf-export declarações quando você configurar as instâncias de roteamento:
[edit]
routing-instance {
Spoke-E-to-Hub {
vrf-import hub;
vrf-export spoke;
}
}
[edit]
routing-instance {
Spoke-F-to-Hub {
vrf-import hub;
vrf-export spoke;
}
}
Configuração de VPN hub-and-spoke resumida por roteador
Roteador D (roteador Hub PE)
Instância de roteamento para distribuição de rotas spoke para Hub CE
Spokes-to-Hub-CE {
instance-type vrf;
interface fe-0/0/0.0;
route-distinguisher 10.255.1.174:65535;
vrf-import spoke;
vrf-export null;
}
Protocolo de roteamento de instâncias
protocols {
ospf {
domain-id disable;
domain-vpn-tag 0;
export redistribute-vpn;
area 0.0.0.0 {
interface ge-0/0/0.0;
}
}
}
Instância de roteamento para distribuição de rotas hub CE para spokes
Hub-CE-to-Spokes {
instance-type vrf;
interface ge-0/0/1.0;
route-distinguisher 10.255.1.174:65534;
vrf-import null;
vrf-export hub;
}
Protocolos de roteamento de instâncias de roteamento
protocols {
ospf {
export redistribute-vpn;
area 0.0.0.0 {
interface ge-0/0/1.0;
}
}
}
Opções de roteamento (instância primária )
routing-options {
autonomous-system 1 loops 1;
}
Protocolos (Instância Primária )
protocols {
}
Habilite o LDP
ldp {
interface so-1/0/0.0;
interface t3-1/1/0.0;
}
Configure IBGP
bgp {
group Hub-to-Spokes {
type internal;
local-address 10.255.14.174;
family inet-vpn {
unicast;
}
neighbor 10.255.14.180;
neighbor 10.255.14.182;
}
}
Configure a política de VPN
policy-options {
policy-statement spoke {
term a {
from {
protocol bgp;
community spoke;
}
then accept;
}
term b {
then reject;
}
}
policy-statement hub {
term a {
from protocol ospf;
then {
community add hub;
accept;
}
}
term b {
then reject;
}
}
policy-statement null {
then reject;
}
policy-statement redistribute-vpn {
term a {
from protocol bgp;
then accept;
}
term b {
then reject;
}
}
community hub members target:65535:1;
community spoke members target:65535:2;
}
Roteador E (Roteador Spoke PE)
Instância de roteamento
routing-instance {
Spoke-E-to-Hub {
instance-type vrf;
interface fe-0/1/0.0;
route-distinguisher 10.255.14.80:65035;
vrf-import hub;
vrf-export spoke;
}
}
Protocolo de roteamento de instâncias
protocols {
ospf {
export redistribute-vpn;
area 0.0.0.0 {
interface fe-0/1/0.0;
}
}
}
Opções de roteamento (instância primária )
routing-options {
autonomous-system 1 loops 1;
}
Protocolos (Instância Primária )
protocols {
}
Habilite o LDP
ldp {
interface fe-0/1/2.0;
}
Configure IBGP
bgp {
group Spoke-E-to-Hub {
type internal;
local-address 10.255.14.180;
neighbor 10.255.14.174 {
family inet-vpn {
unicast;
}
}
}
}
Configure a política de VPN
policy-options {
policy-statement hub {
term a {
from {
protocol bgp;
community hub;
}
then accept;
}
term b {
then reject;
}
}
policy-statement spoke {
term a {
from protocol ospf;
then {
community add spoke;
accept;
}
}
term b {
then reject;
}
}
policy-statement redistribute-vpn {
term a {
from protocol bgp;
then accept;
}
term b {
then reject;
}
}
community hub members target:65535:1;
community spoke members target:65535:2;
}
Roteador F (Roteador Spoke PE)
Instância de roteamento
routing-instance {
Spoke-F-to-Hub {
instance-type vrf;
interface fe-1/0/1.0;
route-distinguisher 10.255.14.182:65135;
vrf-import hub;
vrf-export spoke;
}
}
Protocolo de roteamento de instâncias
protocols {
ospf {
export redistribute-vpn;
area 0.0.0.0 {
interface fe-1/0/1.0;
}
}
}
Opções de roteamento (instância primária )
routing-options {
autonomous-system 1 loops 1;
}
Protocolos (Instância Primária )
protocols {
}
Habilite o LDP
ldp {
interface fe-1/0/0.0;
}
Configure IBGP
bgp {
group Spoke-F-to-Hub {
type internal;
local-address 10.255.14.182;
neighbor 10.255.14.174 {
family inet-vpn {
unicast;
}
}
}
}
Configure a política de VPN
policy-options {
policy-statement hub {
term a {
from {
protocol bgp;
community hub;
}
then accept;
}
term b {
then reject;
}
}
policy-statement spoke {
term a {
from protocol ospf;
then {
community add spoke;
accept;
}
}
term b {
then reject;
}
}
policy-statement redistribute-vpn {
term a {
from {
protocol bgp;
}
then accept;
}
term b {
then reject;
}
}
community hub members target:65535:1;
community spoke members target:65535:2;
}