Hub-and-Spoke VPNs
Configuração das topologias de VPN hub-and-spoke: uma interface
Use uma configuração de uma interface para anunciar uma rota padrão de um hub ou hubs.
A Figura 1 ilustra um aplicativo hub-and-spoke VPN de Camada 3 onde há apenas uma interface entre o hub CE (CE1) e o hub PE (PE1). Esta é a maneira recomendada de configurar topologias hub-and-spoke.
Nesta configuração, uma rota padrão é anunciada do hub para os spokes. Se as rotas CE de spoke mais específicas precisarem ser trocadas entre roteadores CE spoke, então são necessárias duas interfaces entre o hub CE e o hub PE. Veja a configuração das topologias de VPN hub-and-spoke: duas interfaces para um exemplo de duas interfaces.
Neste exemplo de configuração, a distribuição de rota spoke é a seguinte:
-
Spoke CE2 anuncia suas rotas para falar PE2.
-
O Spoke PE2 instala rotas do CE2 em sua tabela de roteamento e encaminhamento VPN (VRF).
-
O Spoke PE2 verifica sua política de exportação VRF, adiciona a comunidade alvo de rotas e anuncia as rotas para o hub PE1.
-
O Hub PE1 verifica sua política de importação VRF e instala rotas que combinam com a política de importação na tabela bgp.l3vpn.0.
-
O Hub PE1 instala rotas da tabela bgp.l3vpn.0 para a tabela VRF do hub.
-
O Hub PE1 anuncia rotas da tabela VRF hub para o hub CE1.
Neste exemplo de configuração, a distribuição de rota padrão é a seguinte:
-
O Hub CE1 anuncia uma rota padrão para o hub PE1.
-
O Hub PE1 instala a rota padrão na tabela VRF do hub.
-
O Hub PE1 verifica sua política de exportação VRF, adiciona a comunidade alvo de rotas e anuncia a rota padrão para falar pe2 e PE3.
-
Spoke PE2 e PE3 verificam sua política de importação VRF e instalam a rota padrão na tabela bgp.l3vpn.0.
-
Spoke PE2 e PE3 instalam as rotas da tabela bgp.l3vpn.0 em suas tabelas VRF spoke.
-
Spoke PE2 e PE3 anunciam a rota padrão da tabela VRF spoke para falar CE2 e CE3.
As seções a seguir descrevem como configurar uma topologia hub-and-spoke com uma interface baseada na topologia ilustrada na Figura 1:
- Configuração do Hub CE1
- Configuração do Hub PE1
- Configuração do roteador P
- Configuração do Spoke PE2
- Configuração do Spoke PE3
- Configuração do Spoke CE2
- Configuração do Spoke CE3
- Habilitação de recursos de saída no roteador Hub PE
Configuração do Hub CE1
Configure o hub CE1 da seguinte forma:
[edit routing-options]
static {
route 0.0.0.0/0 discard;
}
autonomous-system 100;
[edit protocols]
bgp {
group hub {
type external;
export default;
peer-as 200;
neighbor 10.49.4.1;
}
}
[edit policy-options]
policy-statement default {
term 1 {
from {
protocol static;
route-filter 0.0.0.0/0 exact;
}
then accept;
}
term 2 {
then reject;
}
}
Configuração do Hub PE1
Configure o hub PE1 da seguinte forma:
[edit]
routing-instances {
hub {
instance-type vrf;
interface t3-0/0/0;
route-distinguisher 10.255.14.176:2;
vrf-target {
import target:200:100;
export target:200:101;
}
protocols {
bgp {
group hub {
type external;
peer-as 100;
as-override;
neighbor 10.49.4.2;
}
}
}
}
}
Configuração do roteador P
Configure o roteador P da seguinte forma:
[edit]
interfaces {
t3-0/1/1 {
unit 0 {
family inet {
address 10.49.2.1/30;
}
family mpls;
}
}
t3-0/1/3 {
unit 0 {
family inet {
address 10.49.0.2/30;
}
family mpls;
}
}
t1-0/2/0 {
unit 0 {
family inet {
address 10.49.1.2/30;
}
family mpls;
}
}
}
[edit]
protocols {
ospf {
area 0.0.0.0 {
interface t3-0/1/3.0;
interface t1-0/2/0.0;
interface t3-0/1/1.0;
interface lo0.0 {
passive;
}
}
}
ldp {
interface t3-0/1/1.0;
interface t3-0/1/3.0;
interface t1-0/2/0.0;
}
}
Configuração do Spoke PE2
Configure o SPOKE PE2 da seguinte forma:
[edit]
interfaces {
t3-0/0/0 {
unit 0 {
family inet {
address 10.49.0.1/30;
}
family mpls;
}
}
t1-0/1/2 {
unit 0 {
family inet {
address 10.49.3.1/30;
}
}
}
}
[edit protocols]
bgp {
group ibgp {
type internal;
local-address 10.255.14.182;
peer-as 200;
neighbor 10.255.14.176 {
family inet-vpn {
unicast;
}
}
}
}
ospf {
area 0.0.0.0 {
interface t3-0/0/0.0;
interface lo0.0 {
passive;
}
}
}
ldp {
interface t3-0/0/0.0;
}
[edit]
routing-instances {
spoke {
instance-type vrf;
interface t1-0/1/2.0;
route-distinguisher 10.255.14.182:20;
vrf-target {
import target:200:101;
export target:200:100;
}
protocols {
bgp {
group spoke {
type external;
peer-as 100;
as-override;
neighbor 10.49.3.2;
}
}
}
}
}
Configuração do Spoke PE3
Configure o SPOKE PE3 da seguinte forma:
[edit]
interfaces {
t3-0/0/0 {
unit 0 {
family inet {
address 10.49.6.1/30;
}
}
}
t3-0/0/1 {
unit 0 {
family inet {
address 10.49.2.2/30;
}
family mpls;
}
}
}
[edit protocols}
bgp {
group ibgp {
type internal;
local-address 10.255.14.178;
peer-as 200;
neighbor 10.255.14.176 {
family inet-vpn {
unicast;
}
}
}
}
ospf {
area 0.0.0.0 {
interface t3-0/0/1.0;
interface lo0.0 {
passive;
}
}
}
ldp {
interface t3-0/0/1.0;
}
[edit]
routing-instances {
spoke {
instance-type vrf;
interface t3-0/0/0.0;
route-distinguisher 10.255.14.178:30;
vrf-target {
import target:200:101;
export target:200:100;
}
protocols {
bgp {
group spoke {
type external;
peer-as 100;
as-override;
neighbor 10.49.6.2;
}
}
}
}
}
Configuração do Spoke CE2
Configure o SPOKE CE2 da seguinte forma:
[edit routing-options]
autonomous-system 100;
{edit protocols]
bgp {
group spoke {
type external;
export loopback;
peer-as 200;
neighbor 10.49.3.1;
}
}
Configuração do Spoke CE3
Configure o SPOKE CE3 da seguinte forma:
[edit routing-options]
autonomous-system 100;
[edit protocols]
bgp {
group spoke {
type external;
export loopback;
peer-as 200;
neighbor 10.49.6.1;
}
}
Neste exemplo de configuração, o encaminhamento de tráfego é o seguinte entre o CE2 e o hub CE1:
-
Spoke CE2 encaminha tráfego usando a rota padrão aprendida com spoke PE2 até BGP.
0.0.0.0/0 *[BGP/170] 02:24:15, localpref 100 AS path: 200 200 I > to 10.49.3.1 via t1-3/0/1.0 -
O Spoke PE2 realiza uma pesquisa de rota na tabela VRF spoke e encaminha o tráfego para o hub PE1 (pelo roteador P — PE2 empurra duas etiquetas) usando a rota padrão aprendida através do BGP.
0.0.0.0/0 *[BGP/170] 01:35:45, localpref 100, from 10.255.14.176 AS path: 100 I > via t3-0/0/1.0, Push 100336, Push 100224(top) -
O Hub PE1 faz uma busca de rota na tabela mpls.0 para o rótulo
100336VPN.100336 *[VPN/170] 01:37:03 > to 10.49.4.2 via t3-0/0/0.0, Pop -
O Hub PE1 encaminha o tráfego para fora da interface
t3-0/0/0.0para o hub CE1.
Neste exemplo de configuração, o encaminhamento de tráfego é o seguinte entre o HUB CE1 e o CE2:
-
O Hub CE1 encaminha o tráfego para o hub PE1 usando a rota aprendida através do BGP.
10.49.10.250/32 *[BGP/170] 02:28:46, localpref 100 AS path: 200 200 I > to 10.49.4.1 via t3-3/1/0.0 -
O Hub PE1 faz uma busca de rota na tabela VRF do hub e encaminha o tráfego para o SPOKE PE2 (pelo roteador P — o PE1 empurra duas etiquetas).
10.49.10.250/32 *[BGP/170] 01:41:05, localpref 100, from 10.255.14.182 AS path: 100 I > via t1-0/1/0.0, Push 100352, Push 100208(top) -
O Spoke PE2 faz uma busca de rota na tabela mpls.0 para o rótulo
100352VPN.100352 *[VPN/170] 02:31:39 > to 10.49.3.2 via t1-0/1/2.0, Pop -
O SPOKE PE2 encaminha o tráfego para fora da interface
t1-0/1/2.0para falar CE2.
Neste exemplo de configuração, o encaminhamento de tráfego é o seguinte entre o SPOKE CE2 e o CE3:
-
Spoke CE2 encaminha tráfego usando a rota padrão aprendida com spoke PE2 até BGP.
0.0.0.0/0 *[BGP/170] 02:24:15, localpref 100 AS path: 200 200 I > to 10.49.3.1 via t1-3/0/1.0 -
O Spoke PE2 faz uma pesquisa de rota na tabela VRF spoke e encaminha o tráfego para o hub PE1 (pelo roteador P — PE2 empurra duas etiquetas) usando a rota padrão aprendida através do BGP.
0.0.0.0/0 *[BGP/170] 01:35:45, localpref 100, from 10.255.14.176 AS path: 100 I > via t3-0/0/1.0, Push 100336, Push 100224(top) -
O Hub PE1 faz uma busca de rota na tabela mpls.0 para o rótulo
100336VPN.100336 *[VPN/170] 01:37:03 > to 10.49.4.2 via t3-0/0/0.0, Pop -
O Hub PE1 encaminha o tráfego para fora da interface
t3-0/0/0.0para o hub CE1. -
O Hub CE1 encaminha o tráfego para o hub PE1 usando o roteador aprendido através do BGP.
10.49.10.253/32 *[BGP/170] 02:40:03, localpref 100 AS path: 200 200 I > to 10.49.4.1 via t3-3/1/0.0 -
O Hub PE1 faz uma busca de rota na tabela VRF do hub e encaminha o tráfego para o SPOKE PE3 (pelo roteador P — o PE1 empurra duas etiquetas).
10.49.10.253/32 *[BGP/170] 01:41:05, localpref 100, from 10.255.14.178 AS path: 100 I > via t1-0/1/0.0, Push 100128, Push 100192(top) -
O Spoke PE3 faz uma busca de rota na tabela mpls.0 para o rótulo
100128VPN.100128 *[VPN/170] 02:41:30 > to 10.49.6.2 via t3-0/0/0.0, Pop -
O Spoke PE3 encaminha o tráfego para fora da interface
t3-0/0/0.0para falar CE3.
Se forem necessários recursos de saída no hub PE que exijam uma observação de encaminhamento IP na tabela de roteamento VRF hub, veja Ativando recursos de saída no roteador Hub PE.
Habilitação de recursos de saída no roteador Hub PE
Este exemplo é fornecido em conjunto com a configuração de topologias de VPN hub-and-spoke: uma interface. Este exemplo também usa a topologia ilustrada na Figura 1.
Se forem necessários recursos de saída no hub PE que exijam uma pesquisa de encaminhamento IP na tabela de roteamento VRF do hub, a configuração detalhada na configuração das topologias de VPN hub-and-spoke: uma interface não funcionará. A aplicação da vrf-table-label declaração sobre a instância de roteamento de hub força o tráfego de um PE de spoke remoto a ser encaminhado para o hub PE e força uma busca por IP a ser realizada. Como as rotas de spoke específicas estão na tabela VRF do hub, o tráfego será encaminhado para um spoke PE sem passar pelo hub CE.
O hub PE anuncia a rota padrão da seguinte forma, usando o rótulo VPN 1028:
hub.inet.0: 7 destinations, 7 routes (7 active, 0 holddown, 0 hidden)
* 0.0.0.0/0 (1 entry, 1 announced)
BGP group ibgp type Internal
Route Distinguisher: 10.255.14.176:2
VPN Label: 1028
Nexthop: Self
Localpref: 100
AS path: 100 I
Communities: target:200:101
O tráfego de entrada é encaminhado usando o rótulo VPN 1028. A tabela mpls.0 mostra que é necessária uma pesquisa de IP no hub de tabela.inet.0:
1028 *[VPN/0] 00:00:27
to table hub.inet.0, Pop
No entanto, o hub de tabela VRF.inet.0 contém rotas de spoke específicas:
10.49.10.250/32 *[BGP/170] 00:00:05, localpref 100, from 10.255.14.182
AS path: 100 I
> via t1-0/1/0.0, Push 100352, Push 100208(top)
10.49.10.253/32 *[BGP/170] 00:00:05, localpref 100, from 10.255.14.178
AS path: 100 I
> via t1-0/1/0.0, Push 100128, Push 100192(top)
Por causa disso, o tráfego é encaminhado diretamente para os PEs spoke sem passar pelo hub CE. Para evitar isso, você deve configurar uma instância de roteamento secundária para tráfego downstream no hub PE1.
Configuração do Hub PE1
Configure o hub PE1 da seguinte forma:
[edit]
routing-instances {
hub {
instance-type vrf;
interface t3-0/0/0.0;
route-distinguisher 10.255.14.176:2;
vrf-target {
import target:200:100;
export target:200:101;
}
no-vrf-advertise;
routing-options {
auto-export;
}
protocols {
bgp {
group hub {
type external;
peer-as 100;
as-override;
neighbor 10.49.4.2;
}
}
}
}
hub-downstream {
instance-type vrf;
route-guisher 10.255.14.176:3;
vrf-target target:200:101;
vrf-table-label;
routing-options {
auto-export;
}
}
}
Quando a no-vrf-advertise declaração é usada no nível de [edit routing-instances hub] hierarquia, não são necessários grupos de tabela de roteamento ou políticas de exportação de VRF. A no-vrf-advertise declaração configura o hub PE para não anunciar rotas de VPN a partir da instância hubprimária de roteamento. Em vez disso, essas rotas são anunciadas a partir da instância hub_downstreamde roteamento secundário. Consulte a Biblioteca de protocolos de roteamento do Junos OS para obter mais informações sobre a no-vrf-advertise declaração.
A auto-export declaração no nível de [edit routing-instances hub-downstream routing-options] hierarquia identifica rotas exportadas da instância do hub para a instância de hub downstream analisando as metas de rota definidas para cada instância de roteamento. Consulte a Biblioteca de protocolos de roteamento do Junos OS para obter mais informações sobre o uso da auto-export declaração. Veja configuração de VPNs sobrepostas usando a exportação automática de rotas para mais exemplos de política de exportação.
Com essa configuração no hub PE, o tráfego ce spoke-to-spoke passa pelo hub CE e permite que recursos de saída (como filtragem) sejam habilitados no hub PE.
Neste exemplo de configuração, o encaminhamento de tráfego é o seguinte entre o SPOKE CE2 e o CE3:
-
Spoke CE2 encaminha tráfego usando a rota padrão aprendida com spoke PE2 até BGP.
0.0.0.0/0 *[BGP/170] 02:24:15, localpref 100 AS path: 200 200 I > to 10.49.3.1 via t1-3/0/1.0 -
O Spoke PE2 faz uma pesquisa de rota na tabela VRF spoke e encaminha o tráfego para o hub PE1 (pelo roteador P — PE2 empurra duas etiquetas) usando a rota padrão aprendida através do BGP.
spoke.inet.0: 5 destinations, 5 routes (5 active, 0 holddown, 0 hidden) + = Active Route, - = Last Active, * = Both 0.0.0.0/0 *[BGP/170] 00:00:09, localpref 100, from 10.255.14.176 AS path: 100 I > via t3-0/0/0.0, Push 1029, Push 100224(top) -
O Hub PE1 faz uma busca de rota na tabela mpls.0 para o rótulo
1029VPN.mpls.0: 5 destinations, 5 routes (5 active, 0 holddown, 0 hidden) + = Active Route, - = Last Active, * = Both 1029 *[VPN/0] 00:11:49 to table hub_downstream.inet.0, PopO rótulo
1029VPN é anunciado porque:-
A
vrf-table-labeldeclaração é aplicada no nível de[edit routing-instances hub_downsteam]hierarquia na configuração do hub PE1. -
A
no-vrf-advertisedeclaração é aplicada no nível de[edit routing-instances hub]hierarquia, instruindo o roteador a anunciar a rota a partir da tabela secundária.
Portanto, as buscas de IP são realizadas na tabela hub_downstream.inet.0, não na tabela hub.inet.0.
Emita o
show route advertising-protocolcomando no hub PE para um SPOKE PE para verificar o anúncio do rótulo1029vpn:user@host> show route advertising-protocol hub_downstream.inet.0: 2 destinations, 2 routes (2 active, 0 holddown, 0 hidden) * 0.0.0.0/0 (1 entry, 1 announced) BGP group ibgp type Internal Route Distinguisher: 10.255.14.176:3 VPN Label: 1029 Nexthop: Self Localpref: 100 AS path: 100 I Communities: target:200:101 -
-
O Hub PE1 realiza uma busca por IP na
hub_downstream.inet.0tabela e encaminha a interfacet3-0/0/0.0de tráfego para o hub CE1.hub_downstream.inet.0: 2 destinations, 2 routes (2 active, 0 holddown, 0 hidden) 0.0.0.0/0 (1 entry, 1 announced) *BGP Preference: 170/-101 Next-hop reference count: 4 Source: 10.49.4.2 Next hop: 10.49.4.2 via t3-0/0/0.0, selected State: <Secondary Active Ext> Peer AS: 100 Age: 3:03 Task: BGP_100.10.49.4.2+1707 Announcement bits (2): 0-KRT 2-BGP.0.0.0.0+179 AS path: 100 I Communities: target:200:101 Localpref: 100 Router ID: 10.49.10.251 Primary Routing Table hub.inet.0A tabela primária de roteamento indica
hub.inet.0que essa rota foi exportada da tabelahub.inet.0para esta tabela de hub_downstream.inet.0 como resultado da declaração no[edit routing-instances hub]nível deno-vrf-advertisehierarquia e daauto-exportdeclaração no[edit routing-instances hub-downstream routing-options]nível de hierarquia na configuração do HUB PE1. -
O Hub CE1 encaminha o tráfego de volta ao hub PE1 usando o roteador aprendido através do BGP.
10.49.10.253/32 *[BGP/170] 02:40:03, localpref 100 AS path: 200 200 I > to 10.49.4.1 via t3-3/1/0.0 -
O Hub PE1 realiza uma busca de rota na tabela VRF hub e encaminha o tráfego para o SPOKE PE3 (pelo roteador P — o PE1 empurra duas etiquetas).
10.49.10.253/32 *[BGP/170] 01:41:05, localpref 100, from 10.255.14.178 AS path: 100 I > via t1-0/1/0.0, Push 100128, Push 100192(top) -
O Spoke PE3 realiza uma busca de rota na tabela mpls.0 para o rótulo
100128VPN.100128 *[VPN/170] 02:41:30 > to 10.49.6.2 via t3-0/0/0.0, Pop -
O SPOKE PE3 encaminha a interface
t3-0/0/0.0de tráfego para falar CE3.
Configuração das topologias de VPN hub-and-spoke: duas interfaces
Use uma configuração de duas interfaces para propagar rotas de spoke para spoke.
O exemplo nesta seção configura uma topologia hub-and-spoke com duas interfaces usando os seguintes componentes (ver Figura 2):
-
Um roteador hub PE (Roteador D).
-
Um roteador CE de hub conectado ao roteador HUB PE. Para que essa topologia de VPN hub-and-spoke funcione corretamente, deve haver duas interfaces conectando o roteador HUB PE ao roteador HUB CE, e cada interface deve ter sua própria tabela VRF no roteador PE:
-
A primeira interface (aqui, interface ge-0/0/0.0) é usada para anunciar rotas de spoke para o roteador HUB CE. A tabela VRF associada a esta interface contém as rotas que estão sendo anunciadas pelos roteadores SPOKE PE para o roteador HUB CE.
-
A segunda interface (aqui, interface ge-0/0/1.0) é usada para receber anúncios de rota do hub CE que são destinados aos roteadores hub-and-spoke. A tabela VRF associada a esta interface contém as rotas anunciadas pelo roteador HUB CE para os roteadores spoke PE. Para este exemplo, são usadas duas interfaces físicas separadas. Também funcionaria se você configurasse duas interfaces lógicas separadas compartilhando a mesma interface física entre o roteador HUB PE e o roteador HUB CE.
-
-
Dois roteadores PE de spoke (Roteador E e roteador F).
-
Dois roteadores CE de spoke (CE1 e CE2), um conectado a cada roteador PE spoke.
-
LDP como protocolo de sinalização.
Nesta configuração, a distribuição de rota do spoke CE Router CE1 ocorre da seguinte forma:
-
Spoke Router CE1 anuncia suas rotas para o spoke PE Router E.
-
O roteador E instala as rotas do CE1 em sua tabela VRF.
-
Depois de verificar sua política de exportação VRF, o Router E adiciona a comunidade-alvo spoke às rotas do Roteador CE1 que aprovaram a política e as anuncia para o roteador HUB PE, Roteador D.
-
O roteador D verifica a política de importação de VRF associada à interface ge-0/0/0.0 e coloca todas as rotas de roteadores SPOKE PE que combinam com a política em sua tabela de roteamento bgp.l3vpn. (Quaisquer rotas que não correspondam são descartadas.)
-
O roteador D verifica sua política de importação VRF associada à interface ge-0/0/0.0 e instala todas as rotas que se comparam à sua tabela VRF spoke. As rotas são instaladas com a comunidade alvo spoke.
-
O roteador D anuncia rotas para o hub CE por interface ge-0/0/0.
-
O roteador hub CE anuncia as rotas de volta para o hub PE Router D pela segunda interface para o roteador hub, interface ge-0/0/1.
-
O roteador hub PE instala as rotas aprendidas com o roteador HUB CE em sua tabela VRF hub, que está associada à interface ge-0/0/1.
-
O roteador HUB PE verifica a política de exportação VRF associada à interface ge-0/0/1.0 e anuncia todas as rotas que se comparam a todos os spokes depois de adicionar a comunidade-alvo do hub.
A Figura 3 ilustra como as rotas são distribuídas deste roteador spoke para o outro roteador CE spoke, o Roteador CE2. O mesmo caminho é seguido se você emitir um traceroute comando do Roteador CE1 para o Roteador CE2.
A seção final deste exemplo, a configuração de VPN hub-and-spoke resumida pelo roteador, consolida as declarações necessárias para configurar a funcionalidade vpn para cada um dos roteadores de provedores de serviços mostrados na Figura 2.
spoke
As seções a seguir explicam como configurar a funcionalidade VPN para uma topologia hub-and-spoke nos roteadores PE hub-and-spoke. Os roteadores CE não têm nenhuma informação sobre a VPN, então você os configura normalmente.
- Habilitando um IGP nos roteadores PE hub-and-spoke
- Configuração do LDP nos roteadores PE hub-and-spoke
- Configuração do IBGP nos roteadores PE
- Configuração de instâncias de roteamento VPN nos roteadores PE hub-and-spoke
- Configuração da política de VPN nos roteadores PE
- Configuração de VPN hub-and-spoke resumida por roteador
Habilitando um IGP nos roteadores PE hub-and-spoke
Para permitir que os roteadores PE hub-and-spoke troquem informações de roteamento, você deve configurar um IGP em todos esses roteadores ou configurar rotas estáticas. Você configura o IGP na instância primária do processo de protocolo de roteamento (rpd) (ou seja, no nível da [edit protocols] hierarquia), não dentro da instância de roteamento (ou seja, não no nível de [edit routing-instances] hierarquia).
Você configura o IGP da maneira padrão. Este exemplo de configuração não inclui essa parte da configuração.
Na distribuição de rotas em uma topologia hub-and-spoke, se o protocolo usado entre os roteadores CE e PE no local do hub for BGP, o roteador HUB CE anuncia todas as rotas recebidas do roteador hub PE e os roteadores spoke de volta para o roteador HUB PE e todos os roteadores spoke. Isso significa que os roteadores PE hub-and-spoke recebem rotas que contêm seu número AS. Normalmente, quando uma rota contém essas informações, ela indica que ocorreu um loop de roteamento e o roteador rejeita as rotas. No entanto, para que a configuração de VPN funcione, o roteador hub PE e os roteadores spoke devem aceitar essas rotas. Para habilitar isso, inclua a opção loops ao configurar o AS no nível de [edit routing-options] hierarquia no roteador HUB PE e todos os roteadores spoke. Para esta configuração de exemplo, você especifica um valor de 1. Você pode especificar um número de 0 a 10.
[edit routing-options] autonomous-system as-number loops 1;
Configuração do LDP nos roteadores PE hub-and-spoke
Configure o LDP nas interfaces entre os roteadores PE hub-and-spoke que participam da VPN.
No hub PE Router D, configure o LDP:
[edit protocols]
ldp {
interface so-1/0/0.0;
interface t3-1/1/0.0;
}
No spoke PE Router E, configure o LDP:
[edit protocols]
ldp {
interface fe-0/1/2.0;
}
No roteador PE de spoke F, configure o LDP:
[edit protocols]
ldp {
interface fe-1/0/0.0;
}
Configuração do IBGP nos roteadores PE
Nos roteadores PE hub-and-spoke, configure uma sessão do IBGP com as seguintes propriedades:
-
Família VPN — Para indicar que a sessão do IBGP é para a VPN, inclua a
family inet-vpndeclaração. -
Endereço loopback — inclua a
local-addressdeclaração, especificando o endereço de loopback do roteador PE local. A sessão do IBGP para VPNs é executado pelo endereço de loopback. Você também deve configurar alo0interface no nível de[edit interfaces]hierarquia. O exemplo não inclui essa parte da configuração do roteador. -
Endereço do vizinho — Inclua a
neighbordeclaração. No roteador hub, especifique o endereço IP de cada roteador SPOKE PE e, no roteador spoke, especifique o endereço do roteador HUB PE.
Para o roteador hub, você configura uma sessão de IBGP com cada spoke e, para cada roteador spoke, você configura uma sessão de IBGP com o hub. Não há sessões de IBGP entre os dois roteadores spoke.
No roteador D do hub, configure o IBGP. A primeira neighbor declaração configura uma sessão do IBGP para falar o Roteador E, e a segunda configura uma sessão para falar roteador F.
[edit protocols]
bgp {
group Hub-to-Spokes {
type internal;
local-address 10.255.14.174;
family inet-vpn {
unicast;
}
neighbor 10.255.14.180;
neighbor 10.255.14.182;
}
}
No spoke Router E, configure uma sessão do IBGP para o roteador hub:
[edit protocols]
bgp {
group Spoke-E-to-Hub {
type internal;
local-address 10.255.14.180;
neighbor 10.255.14.174 {
family inet-vpn {
unicast;
}
}
}
}
No roteador F de spoke, configure uma sessão do IBGP para o roteador hub:
[edit protocols]
bgp {
group Spoke-F-to-Hub {
type internal;
local-address 10.255.14.182;
neighbor 10.255.14.174 {
family inet-vpn {
unicast;
}
}
}
}
Configuração de instâncias de roteamento VPN nos roteadores PE hub-and-spoke
Para que o roteador HUB PE possa distinguir entre os pacotes que vão e vêm dos roteadores spoke PE, você deve configurá-lo com duas instâncias de roteamento:
-
Uma instância de roteamento (neste exemplo
Spokes-to-Hub-CE) está associada à interface que transporta pacotes do roteador HUB PE para o roteador HUB CE (neste exemplo, interfacege-0/0/0.0). Sua tabela VRF contém as rotas que estão sendo anunciadas pelos roteadores spoke PE e pelo roteador HUB PE até o roteador HUB CE. -
A segunda instância de roteamento (neste exemplo
Hub-CE-to-Spokes) está associada à interface que transporta pacotes do roteador HUB CE para o roteador HUB PE (neste exemplo, interfacege-0/0/1.0). Sua tabela VRF contém as rotas que estão sendo anunciadas desde o roteador HUB CE até os roteadores PE hub-and-spoke.
Em cada roteador spoke, você deve configurar uma instância de roteamento.
Você deve definir o seguinte na instância de roteamento:
-
Diferenciador de rotas, que é usado para distinguir os endereços em uma VPN daqueles em outra VPN.
-
Tipo de instância
vrf, que cria a tabela VRF no roteador PE. -
Interfaces que fazem parte da VPN e que conectam os roteadores PE aos seus roteadores CE.
-
Políticas de importação e exportação de VRF. Ambas as políticas de importação devem incluir referência a uma comunidade. Caso contrário, quando você tenta confirmar a configuração, o commit falha. (A exceção a isso é se a política de importação contém apenas uma
then rejectdeclaração.) Na política de exportação de VRF, os roteadores SPOKE PE anexam a comunidade alvo spoke. -
Roteamento entre os roteadores PE e CE, que é necessário para que o roteador PE distribua rotas relacionadas a VPN de e para roteadores CE conectados. Você pode configurar um protocolo de roteamento — BGP, OSPF ou RIP — ou configurar o roteamento estático.
Para uma topologia hub-and-spoke, você deve configurar políticas diferentes em cada instância de roteamento no roteador HUB CE. Para a instância de roteamento associada à interface que transporta pacotes do roteador HUB PE para o roteador HUB CE (neste exemplo), Spokes-to-Hub-CEa política de importação deve aceitar todas as rotas recebidas na sessão do IBGP entre os roteadores PE hub-and-spoke, e a política de exportação deve rejeitar todas as rotas recebidas do roteador HUB CE. Para a instância de roteamento associada à interface que transporta pacotes do roteador HUB CE para o roteador HUB PE (neste exemplo), Hub-CE-to-Spokesa política de importação deve rejeitar todas as rotas recebidas dos roteadores spoke PE, e a política de exportação deve exportar para todos os roteadores spoke.
No hub PE Router D, configure as seguintes instâncias de roteamento. O roteador D usa OSPF para distribuir rotas de e para o roteador HUB CE.
[edit]
routing-instance {
Spokes-to-Hub-CE {
instance-type vrf;
interface ge-0/0/0.0;
route-distinguisher 10.255.1.174:65535;
vrf-import spoke;
vrf-export null;
protocols {
ospf {
domain-id disable;
export redistribute-vpn;
domain-vpn-tag 0;
area 0.0.0.0 {
interface ge-0/0/0;
}
}
}
}
Hub-CE-to-Spokes {
instance-type vrf;
interface ge-0/0/1.0;
route-distinguisher 10.255.1.174:65534;
vrf-import null;
vrf-export hub;
protocols {
ospf {
export redistribute-vpn;
area 0.0.0.0 {
interface ge-0/0/1.0;
}
}
}
}
}
No spoke PE Router E, configure as seguintes instâncias de roteamento. O roteador E usa OSPF para distribuir rotas de e para o CE Router CE1.
[edit]
routing-instance {
Spoke-E-to-Hub {
instance-type vrf;
interface fe-0/1/0.0;
route-distinguisher 10.255.14.80:65035;
vrf-import hub;
vrf-export spoke;
protocols {
ospf {
export redistribute-vpn;
area 0.0.0.0 {
interface fe-0/1/0.0;
}
}
}
}
}
No spoke PE Router F, configure as seguintes instâncias de roteamento. O roteador F usa OSPF para distribuir rotas de e para o CE Router CE2.
[edit]
routing-instance {
Spoke-F-to-Hub {
instance-type vrf;
interface fe-1/0/1.0;
route-distinguisher 10.255.14.182:65135;
vrf-import hub;
vrf-export spoke;
protocols {
ospf {
export redistribute-vpn;
area 0.0.0.0 {
interface fe-1/0/1.0;
}
}
}
}
}
Configuração da política de VPN nos roteadores PE
Você deve configurar as políticas de importação e exportação de VPN em cada um dos roteadores PE hub-and-spoke para que eles instalem as rotas apropriadas nas tabelas VRF, que eles usam para encaminhar pacotes em cada VPN.
Nos roteadores spoke, você define políticas para trocar rotas com o roteador hub.
No roteador hub, você define políticas para aceitar rotas dos roteadores spoke PE e distribuí-las para o roteador HUB CE, e vice-versa. O roteador hub PE tem duas tabelas VRF:
-
Tabela VRF com spoke-to-hub — lida com as rotas recebidas dos roteadores spoke e anuncia essas rotas para o roteador HUB CE. Para esta tabela VRF, a política de importação deve verificar se o nome-alvo spoke está presente e que a rota foi recebida da sessão do IBGP entre o hub PE e os roteadores spoke PE. Esta tabela VRF não deve exportar nenhuma rota, de modo que sua política de exportação deve rejeitar tudo.
-
Tabela VRF hub-to-spoke — lida com as rotas recebidas do roteador HUB CE e as anuncia aos roteadores spoke. Para esta tabela VRF, a política de exportação deve adicionar a comunidade-alvo do hub. Esta tabela VRF não deve importar nenhuma rota, por isso sua política de importação deve rejeitar tudo.
Na política de VPN, você também configura as comunidades-alvo de VPN.
No hub PE Router D, configure as seguintes políticas a serem aplicadas às tabelas VRF:
-
spoke— Aceita as rotas recebidas da sessão do IBGP entre ela e os roteadores pe spoke que contêm a metaspokeda comunidade, e rejeita todas as outras rotas. -
hub— Adiciona o hub de metas da comunidade a todas as rotas recebidas do OSPF (ou seja, a partir da sessão entre ele e o roteador HUB CE). Ele rejeita todas as outras rotas. -
null— Rejeita todas as rotas. -
redistribute-vpn— Redistribui as rotas de OSPF para vizinhos dentro da instância de roteamento.[edit] policy-options { policy-statement spoke { term a { from { protocol bgp; community spoke; } then accept; } term b { then reject; } } policy-statement hub { term a { from protocol ospf; then { community add hub; accept; } } term b { then reject; } } policy-statement null { then reject; } policy-statement redistribute-vpn { term a { from protocol bgp; then accept; } term b { then reject; } } community hub members target:65535:1; community spoke members target:65535:2; }
Para aplicar as políticas VRF no Roteador D, inclua as declarações e vrf-import as vrf-export declarações quando você configurar as instâncias de roteamento:
[edit]
routing-instance {
Spokes-to-Hub-CE {
vrf-import spoke;
vrf-export null;
}
Hub-CE-to-Spokes {
vrf-import null;
vrf-export hub;
}
}
No spoke PE Router E e Router F, configure as seguintes políticas para aplicar às tabelas VRF:
-
hub— Aceita as rotas recebidas da sessão do IBGP entre ela e os roteadores HUB PE que contêm a metahubda comunidade e rejeita todas as outras rotas. -
spoke— Acrescenta que o alvo da comunidade falou de todas as rotas recebidas do OSPF (ou seja, da sessão entre ele e o roteador HUB CE) rejeita todas as outras rotas. -
redistribute-vpn— Redistribui as rotas de OSPF para vizinhos dentro da instância de roteamento.
No spoke PE Router E e Router F, configure as seguintes políticas de importação e exportação de VPN:
[edit]
policy-options {
policy-statement hub {
term a {
from {
protocol bgp;
community hub;
}
then accept;
}
term b {
then reject;
}
}
policy-statement spoke {
term a {
from protocol ospf;
then {
community add spoke;
accept;
}
}
term b {
then reject;
}
}
policy-statement redistribute-vpn {
term a {
from protocol bgp;
then accept;
}
term b {
then reject;
}
}
community hub members target:65535:1;
community spoke members target 65535:2;
}
Para aplicar as políticas VRF nos roteadores spoke, inclua as declarações e vrf-import as vrf-export declarações quando você configurar as instâncias de roteamento:
[edit]
routing-instance {
Spoke-E-to-Hub {
vrf-import hub;
vrf-export spoke;
}
}
[edit]
routing-instance {
Spoke-F-to-Hub {
vrf-import hub;
vrf-export spoke;
}
}
Configuração de VPN hub-and-spoke resumida por roteador
Roteador D (roteador Hub PE)
Instância de roteamento para distribuição de rotas de spoke para Hub CE
Spokes-to-Hub-CE {
instance-type vrf;
interface fe-0/0/0.0;
route-distinguisher 10.255.1.174:65535;
vrf-import spoke;
vrf-export null;
}
Protocolo de roteamento de instâncias
protocols {
ospf {
domain-id disable;
domain-vpn-tag 0;
export redistribute-vpn;
area 0.0.0.0 {
interface ge-0/0/0.0;
}
}
}
Instância de roteamento para distribuição de rotas hub CE para spokes
Hub-CE-to-Spokes {
instance-type vrf;
interface ge-0/0/1.0;
route-distinguisher 10.255.1.174:65534;
vrf-import null;
vrf-export hub;
}
Protocolos de roteamento de instâncias de roteamento
protocols {
ospf {
export redistribute-vpn;
area 0.0.0.0 {
interface ge-0/0/1.0;
}
}
}
Opções de roteamento (instância primária)
routing-options {
autonomous-system 1 loops 1;
}
Protocolos (Instância primária)
protocols {
}
Habilite o LDP
ldp {
interface so-1/0/0.0;
interface t3-1/1/0.0;
}
Configure o IBGP
bgp {
group Hub-to-Spokes {
type internal;
local-address 10.255.14.174;
family inet-vpn {
unicast;
}
neighbor 10.255.14.180;
neighbor 10.255.14.182;
}
}
Configure a política de VPN
policy-options {
policy-statement spoke {
term a {
from {
protocol bgp;
community spoke;
}
then accept;
}
term b {
then reject;
}
}
policy-statement hub {
term a {
from protocol ospf;
then {
community add hub;
accept;
}
}
term b {
then reject;
}
}
policy-statement null {
then reject;
}
policy-statement redistribute-vpn {
term a {
from protocol bgp;
then accept;
}
term b {
then reject;
}
}
community hub members target:65535:1;
community spoke members target:65535:2;
}
Roteador E (Spoke PE Router)
Instância de roteamento
routing-instance {
Spoke-E-to-Hub {
instance-type vrf;
interface fe-0/1/0.0;
route-distinguisher 10.255.14.80:65035;
vrf-import hub;
vrf-export spoke;
}
}
Protocolo de roteamento de instâncias
protocols {
ospf {
export redistribute-vpn;
area 0.0.0.0 {
interface fe-0/1/0.0;
}
}
}
Opções de roteamento (instância primária)
routing-options {
autonomous-system 1 loops 1;
}
Protocolos (Instância primária)
protocols {
}
Habilite o LDP
ldp {
interface fe-0/1/2.0;
}
Configure o IBGP
bgp {
group Spoke-E-to-Hub {
type internal;
local-address 10.255.14.180;
neighbor 10.255.14.174 {
family inet-vpn {
unicast;
}
}
}
}
Configure a política de VPN
policy-options {
policy-statement hub {
term a {
from {
protocol bgp;
community hub;
}
then accept;
}
term b {
then reject;
}
}
policy-statement spoke {
term a {
from protocol ospf;
then {
community add spoke;
accept;
}
}
term b {
then reject;
}
}
policy-statement redistribute-vpn {
term a {
from protocol bgp;
then accept;
}
term b {
then reject;
}
}
community hub members target:65535:1;
community spoke members target:65535:2;
}
Roteador F (Spoke PE Router)
Instância de roteamento
routing-instance {
Spoke-F-to-Hub {
instance-type vrf;
interface fe-1/0/1.0;
route-distinguisher 10.255.14.182:65135;
vrf-import hub;
vrf-export spoke;
}
}
Protocolo de roteamento de instâncias
protocols {
ospf {
export redistribute-vpn;
area 0.0.0.0 {
interface fe-1/0/1.0;
}
}
}
Opções de roteamento (instância primária)
routing-options {
autonomous-system 1 loops 1;
}
Protocolos (Instância primária)
protocols {
}
Habilite o LDP
ldp {
interface fe-1/0/0.0;
}
Configure o IBGP
bgp {
group Spoke-F-to-Hub {
type internal;
local-address 10.255.14.182;
neighbor 10.255.14.174 {
family inet-vpn {
unicast;
}
}
}
}
Configure a política de VPN
policy-options {
policy-statement hub {
term a {
from {
protocol bgp;
community hub;
}
then accept;
}
term b {
then reject;
}
}
policy-statement spoke {
term a {
from protocol ospf;
then {
community add spoke;
accept;
}
}
term b {
then reject;
}
}
policy-statement redistribute-vpn {
term a {
from {
protocol bgp;
}
then accept;
}
term b {
then reject;
}
}
community hub members target:65535:1;
community spoke members target:65535:2;
}