Habilitando o acesso à Internet para VPNs de camada 3
Este tópico fornece exemplos sobre a configuração de um roteador de borda (PE) para fornecer acesso à Internet a roteadores de borda do cliente (CE) em uma VPN e configurar um roteador para rotear o tráfego de Internet para roteadores CE por meio de um tradutor de endereços de rede (NAT). O método que você usa depende das necessidades e especificações da rede individual.
Acesso à Internet não-VRF por VPNs de camada 3
O Junos OS oferece suporte ao acesso à Internet a partir de uma rede virtual privada (VPN) de Camada 3. Você também precisa configurar a next-table declaração no nível de [edit routing-instances routing-instance-name routing-options static route] hierarquia. Quando configurada, essa declaração pode apontar uma rota padrão da tabela VPN (instância de roteamento) para a tabela de roteamento principal (instância padrão) inet.0. A tabela de roteamento principal armazena todas as rotas da Internet e é onde a resolução final da rota ocorre.
As seções a seguir descrevem maneiras de fornecer acesso à Internet a um roteador CE em uma VPN de Camada 3 sem usar a interface de roteamento e encaminhamento VPN (VRF). Como esses métodos ignoram efetivamente a VPN de Camada 3, eles não são discutidos em detalhes.
- Roteador CE acessa a Internet independentemente do roteador PE
- Roteador PE fornece serviço de Internet de Camada 2
Roteador CE acessa a Internet independentemente do roteador PE
Nesta configuração, o roteador PE não fornece acesso à Internet. O roteador CE envia tráfego de Internet para outro provedor de serviços ou para o mesmo provedor de serviços, mas para um roteador diferente. O roteador PE lida apenas com tráfego VPN de Camada 3 (ver Figura 1).
Internet
Roteador PE fornece serviço de Internet de Camada 2
Nesta configuração, o roteador PE atua como um dispositivo de Camada 2, fornecendo uma conexão de Camada 2 (como circuito cross-connect [CCC]) a outro roteador que tem um conjunto completo de rotas de Internet. O roteador CE pode usar apenas uma interface física e duas interfaces lógicas para o roteador PE, ou pode usar várias interfaces físicas para o roteador PE (ver Figura 2).
Acesso à Internet distribuído por VPNs de camada 3
Nesse cenário, os roteadores PE fornecem acesso à Internet aos roteadores CE. Nos exemplos a seguir, assume-se que as rotas de Internet (ou padrões) estão presentes na tabela inet.0 dos roteadores PE que fornecem acesso à Internet a roteadores CE selecionados.
Ao acessar a Internet a partir de uma VPN, a tradução de endereços de rede (NAT) deve ser realizada entre os endereços privados da VPN e os endereços públicos usados na Internet, a menos que a VPN esteja usando o espaço de endereço público. Esta seção inclui vários exemplos de como fornecer acesso à Internet para VPNs, a maioria das quais exigem que os roteadores CE realizem a tradução de endereços. No entanto, o roteamento do tráfego de Internet por um exemplo de dispositivo NAT separado exige que o provedor de serviços forneça a funcionalidade NAT usando um dispositivo NAT conectado ao roteador PE.
Em todos os exemplos, o pool de endereços IP públicos da VPN (cujas entradas correspondem aos endereços privados traduzidos) deve ser adicionado à tabela inet.0 e propagado aos roteadores da Internet para receber tráfego reverso de destinos públicos.
Roteamento de VPN e tráfego de Internet por diferentes interfaces para VPNs de camada 3
Neste exemplo, VPN e tráfego de Internet são roteado por diferentes interfaces. O roteador CE envia o tráfego VPN pela interface VPN e envia o tráfego da Internet por uma interface separada que faz parte da tabela de roteamento principal do Roteador PE1 (o roteador CE pode usar uma interface física com duas unidades lógicas ou duas interfaces físicas). O NAT também ocorre no roteador CE (ver Figura 3).
O roteador PE está configurado para instalar e anunciar o pool público de endereços IP para a VPN para outros roteadores de núcleo (para tráfego de retorno). O tráfego vpn é roteado normalmente. A Figura 4 ilustra a configuração VPN do roteador PE.
A configuração neste exemplo tem os seguintes recursos:
-
O roteador PE1 usa duas interfaces lógicas para se conectar ao Roteador CE1 usando o encapsulamento Frame Relay.
-
O protocolo de roteamento entre o Roteador PE1 e o Roteador CE1 é EBGP.
-
O pool de endereços IP públicos do Roteador CE1 acabou
10.12.1.110.12.1.254(10.12.1.0/24). -
A
next-hop-selfconfiguração é derivada dafix-nh policydeclaração do Roteador PE1. Os roteadores PE são forçados a usarnext-hop-selfpara que a resolução de próximo salto seja feita apenas para o endereço loopback do roteador PE para rotas não VPN (por padrão, as rotas VPN-Protocolo internet 4 [IPv4] são enviadas por meio denext-hop-self).
Você pode configurar o Roteador CE1 com uma rota padrão estática apontando para sua interface pública para todo o resto.
As seções a seguir mostram como rotear o tráfego de VPN e Internet por diferentes interfaces:
- Configuração de interfaces no roteador PE1
- Configuração de opções de roteamento no roteador PE1
- Configuração de protocolos BGP, IS-IS e LDP no roteador PE1
- Configuração de uma instância de roteamento no roteador PE1
- Configuração de opções de política no roteador PE1
- Tráfego roteado por diferentes interfaces: configuração resumida por roteador
Configuração de interfaces no roteador PE1
Configure uma interface para lidar com o tráfego VPN e uma interface para lidar com o tráfego da Internet:
[edit]
interfaces {
t3-0/2/0 {
dce;
encapsulation frame-relay;
unit 0 {
description "to CE1 VPN interface";
dlci 10;
family inet {
address 192.168.197.13/30;
}
}
unit 1 {
description "to CE1 public interface";
dlci 20;
family inet {
address 192.168.198.201/30;
}
}
}
}
Configuração de opções de roteamento no roteador PE1
Configure uma rota estática no Roteador PE1 para instalar uma rota para o pool de endereços IP público do roteador CE em inet.0:
[edit]
routing-options {
static {
route 10.12.1.0/24 next-hop 192.168.198.202;
}
}
Configuração de protocolos BGP, IS-IS e LDP no roteador PE1
Configure o BGP no Roteador PE1 para permitir peering não VPN e VPN e anunciar o pool de endereços IP públicos da VPN:
[edit]
protocols {
bgp {
group pe-pe {
type internal;
local-address 10.255.14.171;
family inet {
any;
}
family inet-vpn {
any;
}
export [fix-nh redist-static];
neighbor 10.255.14.177;
neighbor 10.255.14.179;
}
}
}
Configure o IS-IS no roteador PE1 para permitir o acesso a rotas internas:
[edit protocols]
isis {
level 1 disable;
interface so-0/0/0.0;
interface lo0.0;
}
Configure o LDP no Roteador PE1 para rotas vpn de túnel:
[edit protocols]
ldp {
interface so-0/0/0.0;
}
Configuração de uma instância de roteamento no roteador PE1
Configure uma instância de roteamento no Roteador PE1:
[edit]
routing-instances {
vpna {
instance-type vrf;
interface t3-0/2/0.0;
route-distinguisher 10.255.14.171:100;
vrf-import vpna-import;
vrf-export vpna-export;
protocols {
bgp {
group to-CE1 {
peer-as 63001;
neighbor 192.168.197.14;
}
}
}
}
}
Configuração de opções de política no roteador PE1
Você precisa configurar opções de política no Roteador PE1. A fix-nh declaração de política define next-hop-self todas as rotas que não são VPN:
[edit]
policy-options {
policy-statement fix-nh {
then {
next-hop self;
}
}
}
A redist-static declaração de política anuncia o pool de endereços IP público da VPN:
[edit policy-options]
policy-statement redist-static {
term a {
from {
protocol static;
route-filter 10.12.1.0/24 exact;
}
then accept;
}
term b {
then reject;
}
}
Configure políticas de importação e exportação para vpna:
[edit policy-options]
policy-statement vpna-import {
term a {
from {
protocol bgp;
community vpna-comm;
}
then accept;
}
term b {
then reject;
}
}
policy-statement vpna-export {
term a {
from protocol bgp;
then {
community add vpna-comm;
accept;
}
}
term b {
then reject;
}
}
community vpna-comm members target:63000:100;
Tráfego roteado por diferentes interfaces: configuração resumida por roteador
Roteador PE1
Interfaces
interfaces {
t3-0/2/0 {
dce;
encapsulation frame-relay;
unit 0 {
description "to CE1 VPN interface";
dlci 10;
family inet {
address 192.168.197.13/30;
}
}
unit 1 {
description "to CE1 public interface";
dlci 20;
family inet {
address 192.168.198.201/30;
}
}
}
}
Opções de roteamento
routing-options {
static {
route 10.12.1.0/24 next-hop 192.168.198.202;
}
}
Protocolo BGP
protocols {
bgp {
group pe-pe {
type internal;
local-address 10.255.14.171;
family inet {
any;
}
family inet-vpn {
any;
}
export [ fix-nh redist-static];
neighbor 10.255.14.177;
neighbor 10.255.14.179;
}
}
}
Protocolo IS-IS
isis {
level 1 disable;
interface so-0/0/0.0;
interface lo0.0;
}
Protocolo LDP
ldp {
interface so-0/0/0.0;
}
Instância de roteamento
routing-instances {
vpna {
instance-type vrf;
interface t3-0/2/0.0;
route-distinguisher 10.255.14.171:100;
vrf-import vpna-import;
vrf-export vpna-export;
protocols {
bgp {
group to-CE1 {
peer-as 63001;
neighbor 192.168.197.14;
}
}
}
}
}
Opções de políticas/declarações de políticas
policy-options {
policy-statement fix-nh {
then {
next-hop self;
}
}
policy-statement redist-static {
term a {
from {
protocol static;
route-filter 10.12.1.0/24 exact;
}
then accept;
}
term b {
then reject;
}
}
}
Políticas de importação e exportação
policy-statement vpna-import {
term a {
from {
protocol bgp;
community vpna-comm;
}
then accept;
}
term b {
then reject;
}
}
policy-statement vpna-export {
term a {
from protocol bgp;
then {
community add vpna-comm;
accept;
}
}
term b {
then reject;
}
}
community vpna-comm members target:63000:100;
Roteamento de VPN e tráfego de internet de saída pela mesma interface e roteamento devolvem o tráfego da Internet por uma interface diferente
Neste exemplo, o roteador CE envia VPN e tráfego de Internet pela mesma interface, mas recebe tráfego de Internet de volta por uma interface diferente. O roteador PE tem uma rota padrão na tabela VRF apontando para a tabela de roteamento principal inet.0. Ele roteia o pool de endereços IP públicos (retorno do tráfego da Internet) por uma interface diferente em inet.0 (ver Figura 5). O roteador CE ainda executa funções NAT.
diferente
A seção a seguir mostra como rotear VPN e o tráfego de Internet de saída pela mesma interface e roteamento de retorno do tráfego da Internet por uma interface diferente:
Configuração para O PE1 do roteador
Este exemplo tem a mesma configuração do Roteador PE1 no roteamento de VPN e tráfego de Internet por meio de diferentes interfaces para VPNs de camada 3. Ele usa a topologia mostrada no roteamento de VPN e tráfego de Internet por diferentes interfaces para VPNs de camada 3. A rota padrão para a tabela de roteamento VPN é configurada de forma diferente. No nível de [edit routing-instances routing-instance-name routing-options] hierarquia, você configura uma rota estática padrão instalada em vpna.inet.0 e aponta para inet.0 para resolução:
[edit]
routing-instances {
vpna {
instance-type vrf;
interface t3-0/2/0.0;
route-distinguisher 10.255.14.171:100;
vrf-import vpna-import;
vrf-export vpna-export;
routing-options {
static {
route 0.0.0.0/0 next-table inet.0;
}
}
protocols {
bgp {
group to-CE1 {
peer-as 63001;
neighbor 192.168.197.14;
}
}
}
}
}
Você também precisa alterar a configuração do Roteador CE1 (a partir da configuração que funciona com a configuração do Roteador PE1 descrito no roteamento de VPN e tráfego de Internet por diferentes interfaces para VPNs de Camada 3) para explicar as diferenças na configuração dos roteadores PE.
Roteamento de VPN e tráfego de Internet pela mesma interface bidirecionalmente (VPN tem endereços públicos)
Esta seção mostra como configurar uma única interface lógica para lidar com VPN e tráfego de Internet viajando de e para a Internet e do roteador CE. Essa interface pode lidar com o tráfego vpn e internet, desde que não haja endereços privados na VPN. As rotas VPN recebidas do roteador CE são adicionadas à tabela de roteamento principal inet.0 por meio de grupos de tabela de roteamento. Isso permite que o roteador PE atraia o tráfego de retorno da Internet (ver Figura 6).
de Internet e VPN
Neste exemplo, o roteador CE não precisa realizar NAT, pois todas as rotas de VPN são públicas. O roteador CE tem uma única interface para o roteador PE, para o qual anuncia rotas de VPN. O roteador PE tem uma rota padrão na tabela VRF apontando para a tabela de roteamento principal inet.0. O roteador PE também importa as rotas de VPN recebidas do roteador CE para inet.0 por meio de grupos de tabela de roteamento.
A configuração a seguir para o Roteador PE1 usa a mesma topologia que no roteamento de VPN e tráfego de Internet por diferentes interfaces para VPNs de camada 3. Essa configuração usa uma única interface lógica (em vez de duas) entre o Roteador PE1 e o Roteador CE1.
As seções a seguir mostram como rotear o tráfego de VPN e Internet pela mesma interface bidirecionalmente (VPN tem endereços públicos):
- Configuração de opções de roteamento no roteador PE1
- Configuração de protocolos de roteamento no roteador PE1
- Configuração da instância de roteamento no roteador PE1
- Tráfego roteado pela mesma interface bidirecionalmente: Configuração resumida por roteador
Configuração de opções de roteamento no roteador PE1
Configure uma definição de grupo de tabela de roteamento para a instalação de rotas VPN em grupos de tabela de roteamento vpna.inet.0 e inet.0:
[edit]
routing-options {
rib-groups {
vpna-to-inet0 {
import-rib [ vpna.inet.0 inet.0 ];
}
}
}
Configuração de protocolos de roteamento no roteador PE1
Configure protocolos MPLS, BGP, IS-IS e LDP no Roteador PE1. Essa configuração não inclui a policy redist-static declaração no nível de [edit protocols bgp group pe-pe] hierarquia. As rotas de VPN são enviadas diretamente para o IBGP.
Configure o BGP no Roteador PE1 para permitir peering não VPN e VPN e anunciar o pool de endereços IP públicos da VPN:
[edit]
protocols {
mpls {
interface so-0/0/0.0;
}
bgp {
group pe-pe {
type internal;
local-address 10.255.14.171;
family inet {
any;
}
family inet-vpn {
any;
}
export fix-nh;
neighbor 10.255.14.177;
neighbor 10.255.14.173;
}
}
isis {
level 1 disable;
interface so-0/0/0.0;
interface lo0.0;
}
ldp {
interface so-0/0/0.0;
}
}
Configuração da instância de roteamento no roteador PE1
Esta seção descreve como configurar a instância de roteamento no Roteador PE1. A rota estática definida na declaração direciona o routing-options tráfego da Internet do roteador CE para a tabela de roteamento inet.0. O grupo de tabela de roteamento definido pela rib-group vpna-to-inet0 declaração adiciona as rotas de VPN ao inet.0.
Configure a instância de roteamento no Roteador PE1:
[edit]
routing-instances {
vpna {
instance-type vrf;
interface t3-0/2/0.0;
route-distinguisher 10.255.14.171:100;
vrf-import vpna-import;
vrf-export vpna-export;
routing-options {
static {
route 0.0.0.0/0 next-table inet.0;
}
}
protocols {
bgp {
group to-CE1 {
family inet {
unicast {
rib-group vpna-to-inet0;
}
}
peer-as 63001;
neighbor 192.168.197.14;
}
}
}
}
}
Você deve configurar o Roteador CE1 para encaminhar todo o tráfego ao Roteador PE1 usando uma rota padrão. Como alternativa, a rota padrão pode ser anunciada do Roteador PE1 ao Roteador CE1 com EBGP.
Tráfego roteado pela mesma interface bidirecionalmente: Configuração resumida por roteador
Roteador PE1
Este exemplo usa a mesma configuração que no roteamento de VPN e tráfego de Internet por diferentes interfaces para VPNs de camada 3. Essa configuração usa uma única interface lógica (em vez de duas) entre o Roteador PE1 e o Roteador CE1.
Opções de roteamento
routing-options {
rib-groups {
vpna-to-inet0 {
import-rib [ vpna.inet.0 inet.0 ];
}
}
}
Protocolos de roteamento
protocols {
mpls {
interface so-0/0/0.0;
}
bgp {
group pe-pe {
type internal;
local-address 10.255.14.171;
family inet {
any;
}
family inet-vpn {
any;
}
export fix-nh;
neighbor 10.255.14.177;
neighbor 10.255.14.173;
}
}
isis {
level 1 disable;
interface so-0/0/0.0;
interface lo0.0;
}
ldp {
interface so-0/0/0.0;
}
}
Instância de roteamento
routing-instances {
vpna {
instance-type vrf;
interface t3-0/2/0.0;
route-distinguisher 10.255.14.171:100;
vrf-import vpna-import;
vrf-export vpna-export;
routing-options {
static {
route 0.0.0.0/0 next-table inet.0;
}
}
protocols {
bgp {
group to-CE1 {
family inet {
unicast {
rib-group vpna-to-inet0;
}
}
peer-as 63001;
neighbor 192.168.197.14;
}
}
}
}
}
Roteamento de VPN e tráfego de Internet pela mesma interface bidirecional (VPN tem endereços privados)
O exemplo nesta seção mostra como rotear o tráfego de VPN e Internet pela mesma interface em ambas as direções (desde o roteador CE até a Internet e da Internet até o roteador CE). A VPN neste exemplo tem endereços privados. Se você pode configurar o EBGP no roteador CE, você pode configurar um roteador PE usando a configuração descrita no roteamento vpn e tráfego de Internet através da mesma interface bidirecionalmente (VPN tem endereços públicos), mesmo que a VPN tenha endereços privados.
No exemplo descrito nesta seção, o roteador CE usa comunidades separadas para anunciar suas rotas de VPN e rotas públicas. O roteador PE importa seletivamente apenas as rotas públicas para a tabela de roteamento inet.0. Essa configuração garante que o tráfego de retorno da Internet use a mesma interface entre os roteadores PE e CE que os usados pelo tráfego VPN indo para endereços públicos da Internet (ver Figura 7).
Neste exemplo, o roteador CE tem uma interface e uma sessão BGP com o roteador PE, e ele marca rotas de VPN e rotas de Internet com diferentes comunidades. O roteador PE tem uma interface, importa seletivamente rotas para o pool de endereços IP públicos da VPN em inet.0, e tem uma rota padrão na tabela de roteamento VRF apontando para inet.0.
As seções a seguir mostram como rotear o tráfego de VPN e Internet pela mesma interface bidirecionalmente (VPN tem endereços privados):
- Configuração de opções de roteamento para o roteador PE1
- Configuração de uma instância de roteamento para o roteador PE1
- Configuração de opções de políticas para o roteador PE1
- Tráfego roteado pela mesma interface bidirecionalmente (VPN tem endereços privados): Configuração resumida por roteador
Configuração de opções de roteamento para o roteador PE1
No Roteador PE1, configure um grupo de tabela de roteamento para instalar rotas de VPN nas tabelas de roteamento vpna.inet.0 e inet.0:
[edit]
routing-options {
rib-groups {
vpna-to-inet0 {
import-policy import-public-addr-to-inet0;
import-rib [ vpna.inet.0 inet.0 ];
}
}
}
Configuração de uma instância de roteamento para o roteador PE1
No Roteador PE1, configure uma instância de roteamento. Como parte da configuração para a instância de roteamento, configure uma rota estática que é instalada em vpna.inet.0 e é indicada para inet.0 para resolução.
[edit]
routing-instances {
vpna {
instance-type vrf;
interface t3-0/2/0.0;
route-distinguisher 10.255.14.171:100;
vrf-import vpna-import;
vrf-export vpna-export;
routing-options {
static {
route 0.0.0.0/0 next-table inet.0;
}
}
}
}
No ] nível de [edit routing-instances vpna protocols bgphierarquia, configure uma política (import-public-addr-to-inet0) para importar rotas públicas para inet.0 e um grupo de tabela de roteamento (vpna-to-inet0) para permitir que o BGP instale rotas em várias tabelas de roteamento (vpna.inet.0 e inet.0):
[edit routing-instances vpna]
protocols {
bgp {
group to-CE1 {
import import-public-addr-to-inet0;
family inet {
unicast {
rib-group vpna-to-inet0;
}
}
peer-as 63001;
neighbor 192.168.197.14;
}
}
}
Configuração de opções de políticas para o roteador PE1
Configure as opções de política para que o Roteador PE1 aceite todas as rotas inicialmente (term a) e depois instale rotas com uma public-comm comunidade na tabela de roteamento inet.0 (term b):
[edit]
policy-options {
policy-statement import-public-addr-to-inet0 {
term a {
from {
protocol bgp;
rib vpna.inet.0;
community [ public-comm private-comm ];
}
then accept;
}
term b {
from {
protocol bgp;
community public-comm;
}
to rib inet.0;
then accept;
}
term c {
then reject;
}
}
community private-comm members target:1:333;
community public-comm members target:1:111;
community vpna-comm members target:63000:100;
}
Tráfego roteado pela mesma interface bidirecionalmente (VPN tem endereços privados): Configuração resumida por roteador
Roteador PE1
Opções de roteamento
[edit]
routing-options {
rib-groups {
vpna-to-inet0 {
import-policy import-public-addr-to-inet0;
import-rib [ vpna.inet.0 inet.0 ];
}
}
}
Instâncias de roteamento
[edit]
routing-instances {
vpna {
instance-type vrf;
interface t3-0/2/0.0;
route-distinguisher 10.255.14.171:100;
vrf-import vpna-import;
vrf-export vpna-export;
routing-options {
static {
route 0.0.0.0/0 next-table inet.0;
}
}
}
}
Protocolos de instâncias de roteamento BGP
[edit routing-instances vpna]
protocols {
bgp {
group to-CE1 {
family inet {
unicast {
rib-group vpna-to-inet0;
}
}
peer-as 63001;
neighbor 192.168.197.14;
}
}
}
Opções de políticas
[edit]
policy-options {
policy-statement import-public-addr-to-inet0 {
term a {
from {
protocol bgp;
rib vpna.inet.0;
community [ public-comm private-comm ];
}
then accept;
}
term b {
from {
protocol bgp;
community public-comm;
}
to rib inet.0;
then accept;
}
term c {
then reject;
}
}
community private-comm members target:1:333;
community public-comm members target:1:111;
community vpna-comm members target:63000:100;
}
Roteamento do tráfego de Internet por um dispositivo NAT separado
Neste exemplo, o roteador CE não executa NAT. Ele envia tanto o tráfego VPN quanto a Internet pela mesma interface para o roteador PE. O roteador PE é conectado a um dispositivo NAT por meio de duas interfaces. Uma interface está configurada na tabela VRF do roteador PE e aponta para uma interface VPN no dispositivo NAT, que pode rotear o tráfego de Internet para a VPN. A outra interface está em uma instância padrão; por exemplo, parte da tabela de roteamento público inet.0. Pode haver uma única conexão física entre o roteador PE e o dispositivo NAT e várias conexões lógicas — uma para cada tabela VRF e outra interface — como parte da tabela de roteamento global (ver Figura 8).
NAT separado
Requisitos
Este exemplo usa os seguintes componentes de hardware e software:
-
Roteadores da Série M
-
Versão 9.3 ou posterior do Junos OS
Visão geral
A topologia deste exemplo se expande com a ilustração em VPN de roteamento e tráfego de Internet por diferentes interfaces para VPNs de camada 3. O roteador CE envia tanto o tráfego VPN quanto a Internet para o Roteador PE1. O tráfego vpn é roteado com base nas rotas vpn recebidas pelo Roteador PE1. O tráfego para todo o resto é enviado para o dispositivo NAT usando a interface privada do Roteador PE1 para o dispositivo NAT, que então traduz os endereços privados e envia o tráfego de volta para o Roteador PE1 usando a interface pública do roteador (ver Figura 9).
Topologia
de exemplo de NAT
Configuração
Para rotear o tráfego da Internet por um dispositivo NAT separado, execute essas tarefas:
- Configuração de interfaces no roteador PE1
- Configuração de opções de roteamento para o roteador PE1
- Configuração de protocolos de roteamento no roteador PE1
- Configuração de uma instância de roteamento no roteador PE1
- Resultados
Configuração de interfaces no roteador PE1
Procedimento passo a passo
-
Configure uma interface para tráfego VPN a partir do Roteador CE1:
[edit] interfaces { t3-0/2/0 { dce; encapsulation frame-relay; unit 0 { description "to CE1 VPN interface"; dlci 10; family inet { address 192.168.197.13/30; } } } } -
Configure uma interface para tráfego VPN de e para o dispositivo NAT (unidade 0) e uma interface para tráfego de Internet de e para o dispositivo NAT (unidade 1):
[edit] interfaces { at-1/3/1 { atm-options { vpi 1 maximum-vcs 255; } unit 0 { description "to NAT VPN interface"; vci 1.100; family inet { address 10.23.0.2/32 { destination 10.23.0.1; } } } unit 1 { description "to NAT public interface"; vci 1.101; family inet { address 10.23.0.6/32 { destination 10.23.0.5; } } } } }
Configuração de opções de roteamento para o roteador PE1
Procedimento passo a passo
-
Configure uma rota estática no Roteador PE1 para direcionar o tráfego de Internet para o roteador CE através do dispositivo NAT. O roteador PE1 distribui essa rota para a Internet.
[edit] routing-options { static { route 10.12.1.0/24 next-hop 10.23.0.5; } }
Configuração de protocolos de roteamento no roteador PE1
Procedimento passo a passo
Configure os seguintes protocolos de roteamento no Roteador PE1:
-
Configure MPLS no roteador PE1. Inclua a interface VPN do dispositivo NAT na tabela VRF.
[edit] protocols { mpls { interface so-0/0/0.0; interface at-1/3/1.0; } } -
Configure o BGP no Roteador PE1. Inclua uma política para anunciar o pool de endereços IP públicos:
[edit] protocols { bgp { group pe-pe { type internal; local-address 10.255.14.171; family inet { any; } family inet-vpn { any; } export [ fix-nh redist-static ]; neighbor 10.255.14.177; neighbor 10.255.14.173; } } } -
Configure o IS-IS no roteador PE1:
[edit] protocols { isis { level 1 disable; interface so-0/0/0.0; interface lo0.0; } } -
Configure o LDP no roteador PE1:
[edit] protocols { ldp { interface so-0/0/0.0; } }
Configuração de uma instância de roteamento no roteador PE1
Procedimento passo a passo
Configure a instância de roteamento VPN de Camada 3 no Roteador PE1:
-
Configure uma instância de roteamento no Roteador PE1. Como parte da configuração de instância de roteamento, em
routing-options, configure uma rota padrão estática em vpna.inet.0 apontando para a interface VPN do dispositivo NAT (isso direciona todo o tráfego não-VPN para o dispositivo NAT):[edit] routing-instances { vpna { instance-type vrf; interface t3-0/2/0.0; interface at-1/3/1.0; route-distinguisher 10.255.14.171:100; vrf-import vpna-import; vrf-export vpna-export; routing-options { static { route 0.0.0.0/0 next-hop 10.23.0.1; } } protocols { bgp { group to-CE1 { peer-as 63001; neighbor 192.168.197.14; } } } } } -
Configure a política de roteamento para a instância de roteamento VPN de Camada 3 no Roteador PE1:
policy-options { policy-statement fix-nh { then { next-hop self; } } policy-statement redist-static { term a { from { protocol static; route-filter 10.12.1.0/24 exact; } then accept; } term b { from protocol bgp; then accept; } term c { then accept; } } policy-statement vpna-import { term a { from { protocol bgp; community vpna-comm; } then accept; } term b { then reject; } } policy-statement vpna-export { term a { from protocol bgp; then { community add vpna-comm; accept; } } term b { then reject; } } community vpna-comm members target:63000:100; }
Resultados
Desde o modo de configuração no Roteador PE1, confirme sua configuração entrando nas interfaces de exibição, mostre opções de roteamento, mostre protocolos, mostre instâncias de roteamento e mostre comandos de opções de políticas. Se a saída não exibir a configuração pretendida, repita as instruções neste exemplo para corrigir a configuração.
user@PE1# show interfaces
interfaces {
t3-0/2/0 {
dce;
encapsulation frame-relay;
unit 0 {
description "to CE1 VPN interface";
dlci 10;
family inet {
address 192.168.197.13/30;
}
}
}
at-1/3/1 {
atm-options {
vpi 1 maximum-vcs 255;
}
unit 0 {
description "to NAT VPN interface";
vci 1.100;
family inet {
address 10.23.0.2/32 {
destination 10.23.0.1;
}
}
}
unit 1 {
description "to NAT public interface";
vci 1.101;
family inet {
address 10.23.0.6/32 {
destination 10.23.0.5;
}
}
}
}
}
user@PE1# show routing-options
routing-options {
static {
route 10.12.1.0/24 next-hop 10.23.0.5;
}
}
user@PE1# show protocols
protocols {
mpls {
interface so-0/0/0.0;
interface at-1/3/1.0;
}
bgp {
group pe-pe {
type internal;
local-address 10.255.14.171;
family inet {
any;
}
family inet-vpn {
any;
}
export [ fix-nh redist-static ];
neighbor 10.255.14.177;
neighbor 10.255.14.173;
}
}
isis {
level 1 disable;
interface so-0/0/0.0;
interface lo0.0;
}
ldp {
interface so-0/0/0.0;
}
}
user@PE1# show routing-instances
routing-instances {
vpna {
instance-type vrf;
interface t3-0/2/0.0;
interface at-1/3/1.0;
route-distinguisher 10.255.14.171:100;
vrf-import vpna-import;
vrf-export vpna-export;
routing-options {
static {
route 0.0.0.0/0 next-hop 10.23.0.1;
}
}
protocols {
bgp {
group to-CE1 {
peer-as 63001;
neighbor 192.168.197.14;
}
}
}
}
}
user@PE1# show policy-options
policy-options {
policy-statement fix-nh {
then {
next-hop self;
}
}
policy-statement redist-static {
term a {
from {
protocol static;
route-filter 10.12.1.0/24 exact;
}
then accept;
}
term b {
from protocol bgp;
then accept;
}
term c {
then accept;
}
}
policy-statement vpna-import {
term a {
from {
protocol bgp;
community vpna-comm;
}
then accept;
}
term b {
then reject;
}
}
policy-statement vpna-export {
term a {
from protocol bgp;
then {
community add vpna-comm;
accept;
}
}
term b {
then reject;
}
}
community vpna-comm members target:63000:100;
}
Acesso à Internet centralizado por VPNs de camada 3
Esta seção descreve várias maneiras de configurar um roteador CE para agir como um site central para acesso à Internet. O tráfego de Internet de outros locais (roteadores CE) é roteado para o roteador HUB CE (que também executa NAT) usando a interface VPN do roteador. O roteador HUB CE então encaminha o tráfego para um roteador PE conectado à Internet por meio de outra interface identificada na tabela inet.0. O roteador HUB CE pode anunciar uma rota padrão para os roteadores CE spoke. A desvantagem desse tipo de configuração é que todo o tráfego precisa passar pelo roteador CE central antes de ir para a Internet, causando atrasos na rede se este roteador receber muito tráfego. No entanto, em uma rede corporativa, o tráfego pode ter que ser roteado para um site central, porque a maioria das redes corporativas separa a VPN da Internet por meio de um único firewall.
Esta seção inclui os seguintes exemplos:
- Roteamento do tráfego de Internet por um roteador Hub CE
- Roteamento do tráfego de Internet por vários roteadores CE
Roteamento do tráfego de Internet por um roteador Hub CE
Neste exemplo, o tráfego de Internet é roteado por um roteador HUB CE. O roteador hub CE tem duas interfaces para o roteador hub PE: uma interface VPN e uma interface pública. Ele executa NAT no tráfego encaminhado do roteador hub PE através da interface VPN e encaminha esse tráfego de sua interface pública de volta para o roteador HUB PE. O roteador hub PE tem uma rota padrão estática em sua tabela VRF apontando para a interface VPN do roteador HUB CE. Ele anuncia essa rota padrão para o resto da VPN, atraindo todo o tráfego não VPN para a rota HUB CE. O roteador HUB PE também instala e distribui o espaço de endereço IP público da VPN (ver Figura 10).
A configuração para este exemplo é quase idêntica à descrita no roteamento do tráfego da Internet por meio de um dispositivo NAT separado. A diferença é que o Roteador PE1 está configurado para anunciar uma rota padrão estática para os outros roteadores CE (ver Figura 11).
HUB CE
As seções a seguir mostram como configurar o acesso centralizado à Internet roteando o tráfego da Internet por meio de um roteador HUB CE:
- Configuração de uma instância de roteamento no roteador PE1
- Configuração de opções de política no roteador PE1
- Tráfego de Internet roteado por um roteador Hub CE: Configuração resumida por roteador
Configuração de uma instância de roteamento no roteador PE1
Configure uma instância de roteamento para o Roteador PE1. Como parte dessa configuração, em routing-options, configure uma rota estática padrão (route 0.0.0.0/0) a ser instalada em vpna.inet.0 e aponte a rota para a interface VPN do roteador HUB CE ().10.23.0.1 Além disso, configure o BGP sob a instância de roteamento para exportar a rota padrão para o roteador CE local:
[edit]
routing-instances {
vpna {
instance-type vrf;
interface t3-0/2/0.0;
interface at-1/3/1.0;
route-distinguisher 10.255.14.171:100;
vrf-import vpna-import;
vrf-export vpna-export;
routing-options {
static {
route 0.0.0.0/0 next-hop 10.23.0.1;
}
}
protocols {
bgp {
group to-CE1 {
export export-default;
peer-as 63001;
neighbor 192.168.197.14;
}
}
}
}
}
Configuração de opções de política no roteador PE1
Configure opções de política no Roteador PE1. Como parte dessa configuração, o Roteador PE1 deve exportar a rota padrão estática para todos os roteadores PE remotos vpna (configurado na policy-statement vpna-export declaração abaixo term b):
[edit]
policy-options {
policy-statement vpna-export {
term a {
from protocol bgp;
then {
community add vpna-comm;
accept;
}
}
term b {
from {
protocol static;
route-filter 0.0.0.0/0 exact;
}
then {
community add vpna-comm;
accept;
}
}
term c {
then reject;
}
}
policy-statement export-default {
term a {
from {
protocol static;
route-filter 0.0.0.0/0 exact;
}
then accept;
}
term b {
from protocol bgp;
then accept;
}
term c {
then reject;
}
}
}
Tráfego de Internet roteado por um roteador Hub CE: Configuração resumida por roteador
Roteador PE1
A configuração do Roteador PE1 é quase idêntica à que, por exemplo, no roteamento do tráfego de Internet por um dispositivo NAT separado. A diferença é que o Roteador PE1 está configurado para anunciar uma rota padrão estática para os outros roteadores CE.
Instância de roteamento
routing-instances {
vpna {
instance-type vrf;
interface t3-0/2/0.0;
interface at-1/3/1.0;
route-distinguisher 10.255.14.171:100;
vrf-import vpna-import;
vrf-export vpna-export;
routing-options {
static {
route 0.0.0.0/0 next-hop 10.23.0.1;
}
}
protocols {
bgp {
group to-CE1 {
export export-default;
peer-as 63001;
neighbor 192.168.197.14;
}
}
}
}
}
Opções de políticas
policy-options {
policy-statement vpna-export {
term a {
from protocol bgp;
then {
community add vpna-comm;
accept;
}
}
term b {
from {
protocol static;
route-filter 0.0.0.0/0 exact;
}
then {
community add vpna-comm;
accept;
}
}
term c {
then reject;
}
}
policy-statement export-default {
term a {
from {
protocol static;
route-filter 0.0.0.0/0 exact;
}
then accept;
}
term b {
from protocol bgp;
then accept;
}
term c {
then reject;
}
}
}
Roteamento do tráfego de Internet por vários roteadores CE
O exemplo nesta seção é uma extensão da descrita em acesso centralizado à Internet através de VPNs de camada 3. Este exemplo oferece diferentes pontos de saída para diferentes locais por meio de vários roteadores CE de hub que executam funções semelhantes. Cada roteador CE de hub marca a rota padrão com um alvo de rota diferente e permite que os roteadores CE spoke selecionem o site do hub que deve ser usado para acesso à Internet (ver Figura 12).
Este exemplo usa dois roteadores HUB CE que lidam com o tráfego NAT e Internet:
-
Tags
0/0de roteador Hub1 CE com comunidadepublic-comm1(alvo:1:111) -
Tags
0/0de roteador HUB2 CE com comunidadepublic-comm2(alvo:1:112)
O roteador CE spoke neste exemplo está configurado para ter um viés em relação ao Hub2 para acesso à Internet.
As seções a seguir descrevem como configurar dois roteadores CE de hub para lidar com o tráfego da Internet e o NAT:
- Configuração de uma instância de roteamento no roteador PE1
- Configuração de opções de política no roteador PE1
- Configuração de uma instância de roteamento no roteador PE3
- Configuração de opções de política no roteador PE3
- Roteamento do tráfego de Internet por vários roteadores CE: configuração resumida por roteador
Configuração de uma instância de roteamento no roteador PE1
Configure uma instância de roteamento no Roteador PE1:
[edit]
routing-instances {
vpna {
instance-type vrf;
interface t3-0/2/0.0;
interface at-1/3/1.0;
route-distinguisher 10.255.14.171:100;
vrf-import vpna-import;
vrf-export vpna-export;
routing-options {
static {
route 0.0.0.0/0 next-hop 10.23.0.1;
}
}
protocols {
bgp {
group to-CE1 {
export export-default;
peer-as 63001;
neighbor 192.168.197.14;
}
}
}
}
}
Configuração de opções de política no roteador PE1
As opções de política para o Roteador PE1 são as mesmas do roteamento do tráfego da Internet por meio de um roteador Hub CE, mas a configuração neste exemplo inclui uma comunidade adicional, public-comm1no export comunicado:
[edit]
policy-options {
policy-statement vpna-import {
term a {
from {
protocol bgp;
community vpna-comm;
}
then accept;
}
term b {
then reject;
}
}
policy-statement vpna-export {
term a {
from {
protocol static;
route-filter 0.0.0.0/0 exact;
}
then {
community add public-comm1;
community add vpna-comm;
accept;
}
}
term b {
from protocol bgp;
then {
community add vpna-comm;
accept;
}
}
term c {
then reject;
}
}
community public-comm1 members target:1:111;
community public-comm2 members target:1:112;
community vpna-comm members target:63000:100;
}
A configuração do Roteador PE2 é idêntica à do Roteador PE1, exceto que o Roteador PE2 exporta a rota padrão pela comunidade public-comm2.
Configuração de uma instância de roteamento no roteador PE3
Configure a instância vpna de roteamento no Roteador PE3:
[edit]
routing-instances {
vpna {
instance-type vrf;
interface t1-0/2/0.0;
route-distinguisher 10.255.14.173:100;
vrf-import vpna-import;
vrf-export vpna-export;
protocols {
rip {
group to-vpn12 {
export export-CE;
neighbor t1-0/2/0.0;
}
}
}
}
}
Configuração de opções de política no roteador PE3
Configure a vrf-import política do Roteador PE3 para selecionar o ponto de saída da Internet com base nas comunidades adicionais especificadas na configuração de opções de política no roteador PE1:
[edit]
policy-options {
policy-statement vpna-export {
term a {
from protocol rip;
then {
community add vpna-comm;
accept;
}
}
term b {
then reject;
}
}
policy-statement vpna-import {
term a {
from {
protocol bgp;
community public-comm1;
route-filter 0.0.0.0/0 exact;
}
then reject;
}
term b {
from {
protocol bgp;
community vpna-comm;
}
then accept;
}
term c {
then reject;
}
}
policy-statement export-CE {
from protocol bgp;
then accept;
}
community vpna-comm members target:69:100;
community public-comm1 members target:1:111;
community public-comm2 members target:1:112;
}
Roteamento do tráfego de Internet por vários roteadores CE: configuração resumida por roteador
Roteador PE1
Essa configuração é uma extensão do exemplo no roteamento do tráfego da Internet por um roteador Hub CE. Ele oferece diferentes pontos de saída para vários locais usando vários roteadores HUB CE que executam funções semelhantes.
Instâncias de roteamento
routing-instances {
vpna {
instance-type vrf;
interface t3-0/2/0.0;
interface at-1/3/1.0;
route-distinguisher 10.255.14.171:100;
vrf-import vpna-import;
vrf-export vpna-export;
routing-options {
static {
route 0.0.0.0/0 next-hop 10.23.0.1;
}
}
protocols {
bgp {
group to-CE1 {
export export-default;
peer-as 63001;
neighbor 192.168.197.14;
}
}
}
}
}
Opções de políticas
policy-options {
policy-statement vpna-import {
term a {
from {
protocol bgp;
community vpna-comm;
}
then accept;
}
term b {
then reject;
}
}
policy-statement vpna-export {
term a {
from {
protocol static;
route-filter 0.0.0.0/0 exact;
}
then {
community add public-comm1;
community add vpna-comm;
accept;
}
}
term b {
from protocol bgp;
then {
community add vpna-comm;
accept;
}
}
term c {
then reject;
}
}
community public-comm1 members target:1:111;
community public-comm2 members target:1:112;
community vpna-comm members target:63000:100;
}
Roteador PE2
A configuração do Roteador PE2 é idêntica à do Roteador PE1, exceto que o Roteador PE2 exporta a rota padrão pela comunidade public-comm2.
Roteador PE3
Instâncias de roteamento
routing-instances {
vpna {
instance-type vrf;
interface t1-0/2/0.0;
route-distinguisher 10.255.14.173:100;
vrf-import vpna-import;
vrf-export vpna-export;
protocols {
rip {
group to-vpn12 {
export export-CE;
neighbor t1-0/2/0.0;
}
}
}
}
}
Opções de políticas
policy-options {
policy-statement vpna-export {
term a {
from protocol rip;
then {
community add vpna-comm;
accept;
}
}
term b {
then reject;
}
}
policy-statement vpna-import {
term a {
from {
protocol bgp;
community public-comm1;
route-filter 0.0.0.0/0 exact;
}
then reject;
}
term b {
from {
protocol bgp;
community vpna-comm;
}
then accept;
}
term c {
then reject;
}
}
policy-statement export-CE {
from protocol bgp;
then accept;
}
community vpna-comm members target:69:100;
community public-comm1 members target:1:111;
community public-comm2 members target:1:112;
}