Instâncias de roteamento em VPNs de Camada 3
Este tópico discute a configuração de instâncias de roteamento em VPNs de Camada 3
Instâncias de roteamento em VPNs de Camada 3
Uma instância de roteamento é uma coleção de tabelas de roteamento, interfaces e parâmetros de protocolo de roteamento. O conjunto de interfaces pertence às tabelas de roteamento, e os parâmetros de protocolo de roteamento controlam as informações nas tabelas de roteamento. Cada instância de roteamento tem um nome único e uma tabela ip unicast correspondente.
Para implementar VPNs de Camada 3 no software JUNOS, você configura uma instância de roteamento para cada VPN. Você configura apenas as instâncias de roteamento em roteadores PE. Cada instância de roteamento VPN consiste nos seguintes componentes:
Tabela VRF — Em cada roteador PE, você configura uma tabela VRF para cada VPN.
Conjunto de interfaces que usam a tabela VRF — a interface lógica para cada roteador CE conectado diretamente deve ser associada a uma tabela VRF. Você pode associar mais de uma interface com a mesma tabela VRF se mais de um roteador CE em uma VPN estiver diretamente conectado ao roteador PE.
Regras de política — elas controlam a importação de rotas e a exportação de rotas da tabela VRF.
Um ou mais protocolos de roteamento que instalam rotas de roteadores CE na tabela VRF — você pode usar os protocolos BGP, OSPF e RIP de roteamento, e você pode usar rotas estáticas.
Configuração de unidades lógicas na interface de loopback para instâncias de roteamento em VPNs de Camada 3
Para VPNs de Camada 3 (instâncias de roteamento VRF), você pode configurar uma unidade lógica na interface de loopback em cada instância de roteamento VRF configurada no roteador. Associar uma instância de roteamento VRF com uma unidade lógica na interface de loopback permite que você identifique facilmente a instância de roteamento VRF.
Fazer isso é útil para a solução de problemas:
Ele permite que você pinge um roteador CE remoto de um roteador PE local em uma VPN de Camada 3. Para obter mais informações, veja Exemplo: solução de problemas VPNs de Camada 3.
Ele garante que uma unidade de transmissão máxima de caminho (MTU) verifique se o tráfego originado em uma instância de roteamento vrF ou roteador virtual funciona corretamente. Para obter mais informações, consulte configuração de verificações de caminho MTU para instâncias de roteamento VPN.
Você também pode configurar um filtro de firewall para a unidade lógica na interface de loopback; essa configuração permite filtrar o tráfego para a instância de roteamento VRF associada a ela.
A seguir, descreve como os filtros de firewall afetam a instância de roteamento VRF, dependendo se eles estão configurados na interface de loopback padrão, na instância de roteamento VRF ou em alguma combinação dos dois. A "interface de loopback padrão" refere-se lo0.0 (associada à tabela de roteamento padrão), e a "interface de loopback VRF" refere-se a lo0.n, que está configurada na instância de roteamento VRF.
Se você configurar o Filtro A na interface de loopback padrão e filtrar B na interface de loopback VRF, a instância de roteamento VRF usa Filtro B.
Se você configurar o Filtro A na interface de loopback padrão, mas não configurar um filtro na interface de loopback VRF, a instância de roteamento VRF não usará um filtro.
Se você configurar o Filtro A na interface de loopback padrão, mas não configurar uma interface de loopback VRF, a instância de roteamento VRF usa o Filtro A. Para dispositivos MX80, o comportamento é um pouco diferente: se você configurar filtros na interface de loopback padrão, mas não configurar uma interface de loopback VRF, a instância de roteamento VRF usa apenas os filtros de entrada atribuídos ao loopback padrão (ele não usa filtros de saída do loopback padrão).
Para alguns roteadores metro universais da Série ACX (ACX1000, ACX2000, ACX4000 e ACX5000), o filtro de loopback padrão deve estar no mesmo roteamento, ou roteamento e encaminhamento virtual (VRF), instância que o tráfego de entrada filtra. Ou seja, nesses dispositivos, o filtro de loopback padrão não pode ser usado para o tráfego atravessar uma interface que pertence a uma instância de roteamento diferente.
Para configurar uma unidade lógica na interface de loopback, inclua a unit declaração:
unit number {
family inet {
address address;
}
}
Você pode incluir esta declaração nos seguintes níveis de hierarquia:
[edit interfaces lo0][edit logical-systems logical-system-name interfaces lo0]
Para associar um filtro de firewall à unidade lógica na interface de loopback, inclua a filter declaração:
filter {
input filter-name;
}
Você pode incluir esta declaração nos seguintes níveis de hierarquia:
[edit interfaces lo0 unit unit-number family inet][edit logical-systems logical-system-name interfaces lo0 unit unit-number family inet]
Para incluir a lo0.n interface (onde n especifica a unidade lógica) na configuração para a instância de roteamento VRF, inclua a seguinte declaração:
interface lo0.n;
Você pode incluir esta declaração nos seguintes níveis de hierarquia:
[edit routing-instances routing-instance-name][edit logical-systems logical-system-name routing-instances routing-instance-name]
Configuração de instâncias de roteamento em roteadores PE em VPNs
Você precisa configurar uma instância de roteamento para cada VPN em cada um dos roteadores PE participantes da VPN. Os procedimentos de configuração descritos nesta seção são aplicáveis a VPNs de Camada 2, VPNs de Camada 3 e VPLS. Os procedimentos de configuração específicos de cada tipo de VPN são descritos nas seções correspondentes nos outros capítulos de configuração.
Para configurar instâncias de roteamento para VPNs, inclua as seguintes declarações:
description text; instance-type type; interface interface-name; route-distinguisher (as-number:number | ip-address:number); vrf-import [ policy-names ]; vrf-export [ policy-names ]; vrf-target { export community-name; import community-name; }
Você pode incluir essas declarações nos seguintes níveis de hierarquia:
[edit routing-instances routing-instance-name][edit logical-systems logical-system-name routing-instances routing-instance-name]
Para configurar instâncias de roteamento VPN, você executa as etapas nas seguintes seções:
- Configurando o nome da instância de roteamento para uma VPN
- Configurando a descrição
- Configurando o tipo de instância
- Configuração de interfaces para roteamento vpn
- Configurando o distinguidor de rotas
- Configuração de distindores de rotas automáticos
Configurando o nome da instância de roteamento para uma VPN
O nome da instância de roteamento para uma VPN pode ter no máximo 128 caracteres e pode conter letras, números e hífens. No Junos OS Release 9.0 e posterior, você não pode mais especificar default como o nome real da instância de roteamento. Você também não pode usar caracteres especiais (! @ # $ % ^ & * , +< >: ;) em nome de uma instância de roteamento.
No Junos OS Release 9.6 e posterior, você pode incluir uma barra (/) em um nome de instância de roteamento apenas se um sistema lógico não estiver configurado. Ou seja, você não pode incluir o personagem de corte em um nome de instância de roteamento se um sistema lógico diferente do padrão estiver configurado explicitamente.
Especifique o nome da instância de roteamento com a routing-instance declaração:
routing-instance routing-instance-name {...}
Você pode incluir esta declaração nos seguintes níveis de hierarquia:
[edit][edit logical-systems logical-system-name]
Configurando a descrição
Para fornecer uma descrição de texto para a instância de roteamento, inclua a description declaração. Se o texto incluir um ou mais espaços, inclua-os entre aspas (" "). Qualquer texto descritivo que você incluir é exibido na saída do show route instance detail comando e não tem efeito na operação da instância de roteamento.
Para configurar uma descrição do texto, inclua a description declaração:
description text;
Você pode incluir esta declaração nos seguintes níveis de hierarquia:
[edit routing-instances routing-instance-name][edit logical-systems logical-system-name routing-instances routing-instance-name]
Configurando o tipo de instância
O tipo de instância configurado varia dependendo se você está configurando VPNs de Camada 2, VPNs de Camada 3, VPLS ou roteadores virtuais. Especifique o tipo de instância incluindo a instance-type declaração:
Para habilitar o roteamento VPN de Camada 2 em um roteador PE, inclua a
instance-typedeclaração e especifique o valorl2vpn:instance-type l2vpn;
Para habilitar o roteamento VPLS em um roteador PE, inclua a
instance-typedeclaração e especifique o valorvpls:instance-type vpls;
As VPNs de Camada 3 exigem que cada roteador PE tenha uma tabela de roteamento e encaminhamento VPN (VRF) para distribuir rotas dentro da VPN. Para criar a tabela VRF no roteador PE, inclua a
instance-typedeclaração e especifique o valorvrf:instance-type vrf;
Nota:A amostragem baseada em mecanismos de roteamento não é suportada em instâncias de roteamento VRF.
Para habilitar a instância de roteamento de roteador virtual, inclua a
instance-typedeclaração e especifique o valorvirtual-router:instance-type virtual-router;
Você pode incluir esta declaração nos seguintes níveis de hierarquia:
[edit routing-instances routing-instance-name][edit logical-systems logical-system-name routing-instances routing-instance-name]
Configuração de interfaces para roteamento vpn
Em cada roteador PE, você deve configurar uma interface sobre a qual o tráfego vpn viaja entre os roteadores PE e CE.
As seções a seguir descrevem como configurar interfaces para VPNs:
- Configuração geral para roteamento vpn
- Configuração de interfaces para VPNs de Camada 3
- Configuração de interfaces para VPNs de operadoras
- Configuração do Unicast RPF em interfaces VPN
Configuração geral para roteamento vpn
A configuração descrita nesta seção se aplica a todos os tipos de VPNs. Para VPNs de Camada 3 e VPNs de operadoras, preencha a configuração descrita nesta seção antes de prosseguir para as seções de configuração da interface específicas desses tópicos.
Para configurar interfaces para roteamento VPN, inclua a interface declaração:
interface interface-name;
Você pode incluir esta declaração nos seguintes níveis de hierarquia:
[edit routing-instances routing-instance-name][edit logical-systems logical-system-name routing-instances routing-instance-name]
Especifique as partes físicas e lógicas do nome da interface no formato a seguir:
physical.logical
Por exemplo, em at-1/2/1.2, at-1/2/1 a porção física do nome da interface é 2 a porção lógica. Se você não especificar a porção lógica do nome da interface, o valor 0 será definido por padrão.
Uma interface lógica pode ser associada a apenas uma instância de roteamento. Se você habilitar um protocolo de roteamento em todas as instâncias, especificando interfaces all ao configurar a instância principal do protocolo no nível de [edit protocols] hierarquia e se você configurar uma interface específica para o roteamento VPN no nível de [edit routing-instances routing-instance-name] hierarquia ou no [edit logical-systems logical-system-name routing-instances routing-instance-name] nível de hierarquia, esta última declaração de interface tem precedência e a interface é usada exclusivamente para a VPN.
Se você configurar explicitamente o mesmo nome de interface no nível de [edit protocols] hierarquia e nos níveis de [edit routing-instances routing-instance-name] hierarquia ou [edit logical-systems logical-system-name routing-instances routing-instance-name] hierarquia, uma tentativa de cometer a configuração falha.
Configuração de interfaces para VPNs de Camada 3
Quando você configura as interfaces VPN de Camada 3 no nível de [edit interfaces] hierarquia, você também deve configurar family inet ao configurar a interface lógica:
[edit interfaces]
interface-name {
unit logical-unit-number {
family inet;
}
}
Configuração de interfaces para VPNs de operadoras
Quando você configura VPNs de operadoras, você precisa configurar a family mpls declaração, além da family inet declaração para as interfaces entre os roteadores PE e CE. Para VPNs de operadoras, configure a interface lógica da seguinte forma:
[edit interfaces]
interface-name {
unit logical-unit-number {
family inet;
family mpls;
}
}
Se você configurar family mpls na interface lógica e configurar essa interface para uma instância de roteamento não operadora de operadoras, a family mpls declaração será removida automaticamente da configuração para a interface lógica, pois não é necessária.
Configuração do Unicast RPF em interfaces VPN
Para interfaces VPN que transportam tráfego ip versão 4 ou versão 6 (IPv4 ou IPv6), você pode reduzir o impacto de ataques de negação de serviço (DoS) configurando o encaminhamento de caminho reverso unicast (RPF). O Unicast RPF ajuda a determinar a origem dos ataques e rejeita pacotes de endereços de origem inesperados em interfaces onde o RPF unicast é habilitado.
Você pode configurar RPF unicast em uma interface VPN, permitindo RPF unicast na interface e incluindo a interface declaração no nível de [edit routing-instances routing-instance-name] hierarquia.
Você não pode configurar RPF unicast nas interfaces voltadas para o núcleo. Você só pode configurar RPF unicast nas interfaces de roteador CE para PE no roteador PE. No entanto, para instâncias de roteamento de roteador virtual, o RPF unicast é suportado em todas as interfaces que você especifica na instância de roteamento.
Para obter informações sobre como configurar RPF unicast em interfaces VPN, consulte Understanding Unicast RPF (Roteadores).
Configurando o distinguidor de rotas
Cada instância de roteamento que você configura em um roteador PE deve ter um diferencial de rota exclusivo associado a ele. As instâncias de roteamento vpn precisam de um diferencial de rota para ajudar o BGP a distinguir entre as mensagens de alcance da camada de rede (NLRI) potencialmente idênticas recebidas de diferentes VPNs. Se você configurar diferentes instâncias de roteamento VPN com o mesmo diferencial de rota, o commit falha.
Para VPNs e VPLS de Camada 2, se você tiver configurado a l2vpn-use-bgp-rules declaração, você deve configurar um diferencial de rota exclusivo para cada roteador PE que participa de uma instância de roteamento específica.
Para outros tipos de VPNs, recomendamos que você use um diferencial de rota exclusivo para cada roteador PE que participa na instância de roteamento. Embora você possa usar o mesmo diferencial de rota em todos os roteadores PE para a mesma instância de roteamento VPN (exceto para VPNs e VPLS de Camada 2), se você usar um diferencial de rota exclusivo, você pode determinar o roteador CE de qual rota se originou dentro da VPN.
Para configurar um distintivo de rota em um roteador PE, inclua a route-distinguisher declaração:
route-distinguisher (as-number:number | ip-address:number);
Para obter uma lista de níveis de hierarquia nos quais você pode incluir esta declaração, consulte a seção de resumo da declaração para esta declaração.
O distintivo de roteamento é um valor de 6 byte que você pode especificar em um dos seguintes formatos:
as-number:number, ondeas-numberestá um número de sistema autônomo (AS) (um valor de 2 byte) enumberqualquer valor de 4 byte. O número AS pode estar na faixa de 1 a 65.535. Recomendamos que você use uma Autoridade de Números Atribuídos à Internet (IANA) designada, número AS nãoprivado, de preferência do próprio provedor de serviços de Internet (ISP) ou do próprio número AS do cliente.ip-address:number, ondeip-addressestá um endereço IP (um valor de 4 byte) enumberqualquer valor de 2 byte. O endereço IP pode ser qualquer endereço unicast globalmente exclusivo. Recomendamos que você use o endereço que configura narouter-iddeclaração, que é um endereço nãoprivado na faixa de prefixo atribuído.
Configuração de distindores de rotas automáticos
Se você configurar a route-distinguisher-id declaração no nível de [edit routing-options] hierarquia, um distintivo de rota é atribuído automaticamente à instância de roteamento. Se você também configurar a route-distinguisher declaração, além da route-distinguisher-id declaração, o valor configurado para route-distinguisher substitui o valor gerado route-distinguisher-id.
Para designar um distintivo de rota automaticamente, inclua a route-distinguisher-id declaração:
route-distinguisher-id ip-address;
Você pode incluir esta declaração nos seguintes níveis de hierarquia:
[edit routing-options][edit logical-systems logical-system-name routing-options]
Um distintivo de rota tipo 1 é automaticamente atribuído à instância de roteamento usando o formato ip-address:number. O endereço IP é especificado pela route-distinguisher-id declaração e o número é exclusivo para a instância de roteamento.
Configuração de instâncias de roteamento de roteador virtual em VPNs
Uma instância de roteamento de roteador virtual, como uma instância de roteamento VRF, mantém tabelas de roteamento e encaminhamento separadas para cada instância. No entanto, muitas das etapas de configuração necessárias para instâncias de roteamento VRF não são necessárias para instâncias de roteamento de roteador virtual. Especificamente, você não precisa configurar um diferencial de rota, uma política de tabela de roteamento (o vrf-export, vrf-importe route-distinguisher declarações) ou MPLS entre os roteadores de provedores de serviços.
Configure uma instância de roteamento de roteador virtual incluindo as seguintes declarações:
description text; instance-type virtual-router; interface interface-name; protocols { ... }
Você pode incluir essas declarações nos seguintes níveis de hierarquia:
[edit routing-instances routing-instance-name][edit logical-systems logical-system-name routing-instances routing-instance-name]
As seções a seguir explicam como configurar uma instância de roteamento de roteador virtual:
- Configuração de um protocolo de roteamento entre os roteadores de provedores de serviços
- Configuração de interfaces lógicas entre roteadores participantes
Configuração de um protocolo de roteamento entre os roteadores de provedores de serviços
Os roteadores de provedores de serviços precisam ser capazes de trocar informações de roteamento. Você pode configurar os seguintes protocolos para a configuração da declaração de instância protocols de roteamento virtual no nível de [edit routing-instances routing-instance-name] hierarquia:
BGP
IS-IS
LDP
OSPF
Protocolo Independente Multicast (PIM)
RIP
Você também pode configurar rotas estáticas.
A reflexão de rotas do IBGP não é suportada para instâncias de roteamento de roteador virtual.
Se você configurar o LDP em uma instância de roteador virtual, as rotas LDP serão colocadas por padrão nas tabelas de roteamento inet.0 e inet.3 da instância de roteamento (por exemplo, sample.inet.0 e sample.inet.3). Para restringir as rotas de LDP apenas à tabela inet.3 da instância de roteamento, inclua a no-forwarding declaração:
no-forwarding;
Você pode incluir esta declaração nos seguintes níveis de hierarquia:
[edit routing-instances routing-instance-name protocols ldp][edit logical-systems logical-system-name routing-instances routing-instance-name protocols ldp]
Quando você restringe as rotas de LDP a apenas a tabela de roteamento inet.3, a rota IGP correspondente na tabela de roteamento inet.0 pode ser redistribuída e anunciada em outros protocolos de roteamento.
Para obter informações sobre tabelas de roteamento, consulte Entenda as tabelas de roteamento do Junos OS.
Configuração de interfaces lógicas entre roteadores participantes
Você deve configurar uma interface para cada roteador do cliente que participa da instância de roteamento e para cada roteador P participante na instância de roteamento. Cada instância de roteamento de roteador virtual requer suas próprias interfaces lógicas separadas para todos os roteadores P participantes da instância. Para configurar interfaces para instâncias de roteador virtual, inclua a interface declaração:
interface interface-name;
Você pode incluir esta declaração nos seguintes níveis de hierarquia:
[edit routing-instances routing-instance-name][edit logical-systems logical-system-name routing-instances routing-instance-name]
Especifique as partes físicas e lógicas do nome da interface no formato a seguir:
physical.logical
Por exemplo, em at-1/2/1.2, at-1/2/1 a porção física do nome da interface é 2 a porção lógica. Se você não especificar a porção lógica do nome da interface, 0 será definida por padrão.
Você também deve configurar as interfaces no nível de [edit interfaces] hierarquia.
Um método de fornecer essa interface lógica entre os roteadores provedores é configurar túneis entre eles. Você pode configurar segurança IP (IPsec), encapsulamento de roteamento genérico (GRE) ou túneis IP-IP entre os roteadores de provedores, encerrando os túneis na instância do roteador virtual.
Para obter informações sobre como configurar túneis e interfaces, consulte a Junos OS Services Interfaces Library para dispositivos de roteamento.
Configuração de verificações de caminho MTU para instâncias de roteamento VPN
Por padrão, a verificação máxima da unidade de transmissão (MTU) para instâncias de roteamento VPN é desativada em roteadores da Série M (exceto o roteador M320) e habilitada para o roteador M320. Nos roteadores da Série M, você pode configurar verificações de caminho MTU nas interfaces de saída para tráfego unicast roteado em instâncias de roteamento VRF e em instâncias de roteamento de roteador virtual.
Quando você habilita uma verificação de MTU, a plataforma de roteamento envia uma mensagem de Protocolo de Mensagem de Controle de Internet (ICMP) quando um pacote que atravessa a instância de roteamento excede o tamanho do MTU e tem o conjunto de do-not-fragment bits. A mensagem do ICMP usa o endereço local VRF como endereço de origem.
Para uma verificação de MTU funcionar em uma instância de roteamento, você deve incluir a vrf-mtu-check declaração no nível da [edit chassis] hierarquia e atribuir pelo menos uma interface contendo um endereço IP à instância de roteamento.
Para obter mais informações sobre o caminho da verificação do MTU, consulte a Junos OS Administration Library para dispositivos de roteamento.
Para configurar verificações de CAMINHO MTU, faça as tarefas descritas nas seguintes seções:
- Habilitação de verificações de CAMINHO MTU para uma instância de roteamento VPN
- Atribuição de um endereço IP à instância de roteamento VPN
Habilitação de verificações de CAMINHO MTU para uma instância de roteamento VPN
Para habilitar verificações de caminho na interface de saída para tráfego unicast roteado em uma instância de roteamento VRF ou roteador virtual, inclua a vrf-mtu-check declaração no nível de [edit chassis] hierarquia:
[edit chassis] vrf-mtu-check;
Atribuição de um endereço IP à instância de roteamento VPN
Para garantir que o caminho de verificação de MTU funcione corretamente, pelo menos um endereço IP deve ser associado a cada instância de roteamento de VRF ou roteador virtual. Se um endereço IP não estiver associado à instância de roteamento, as mensagens de resposta do ICMP não poderão ser enviadas.
Normalmente, o endereço IP da instância de roteamento virtual ou VRF é extraído entre os endereços IP associados a interfaces configuradas para essa instância de roteamento. Se nenhuma das interfaces associadas a uma instância de roteamento vrf ou roteador virtual for configurada com um endereço IP, você precisa configurar explicitamente uma interface de loopback lógica com um endereço IP. Essa interface deve ser associada à instância de roteamento. Consulte configuração de unidades lógicas na interface de loopback para instâncias de roteamento em VPNs de Camada 3 para obter detalhes.