Instâncias de roteamento em VPNs de camada 3
Este tópico discute a configuração de instâncias de roteamento em VPNs de Camada 3
Instâncias de roteamento em VPNs de camada 3
Uma instância de roteamento é uma coleção de tabelas de roteamento, interfaces e parâmetros de protocolo de roteamento. O conjunto de interfaces pertence às tabelas de roteamento, e os parâmetros de protocolo de roteamento controlam as informações nas tabelas de roteamento. Cada instância de roteamento tem um nome único e uma tabela ip unicast correspondente.
Para implementar VPNs de camada 3 no software JUNOS, você configura uma instância de roteamento para cada VPN. Você configura apenas as instâncias de roteamento em roteadores PE. Cada instância de roteamento VPN consiste nos seguintes componentes:
Tabela VRF — Em cada roteador PE, você configura uma tabela VRF para cada VPN.
Conjunto de interfaces que usam a tabela VRF — A interface lógica para cada roteador CE conectado diretamente deve ser associada a uma tabela VRF. Você pode associar mais de uma interface com a mesma tabela VRF se mais de um roteador CE em uma VPN estiver diretamente conectado ao roteador PE.
Regras de política — elas controlam a importação de rotas para dentro e a exportação de rotas a partir da tabela VRF.
Um ou mais protocolos de roteamento que instalam rotas de roteadores CE na tabela VRF — você pode usar os protocolos BGP, OSPF e rip de roteamento, e pode usar rotas estáticas.
Configuração de unidades lógicas na interface de loopback para instâncias de roteamento em VPNs de camada 3
Para VPNs de Camada 3 (instâncias de roteamento VRF), você pode configurar uma unidade lógica na interface de loopback em cada instância de roteamento VRF que você configurou no roteador. Associar uma instância de roteamento VRF com uma unidade lógica na interface de loopback permite que você identifique facilmente a instância de roteamento VRF.
Fazer isso é útil para a resolução de problemas:
-
Ele permite que você pinge um roteador CE remoto de um roteador PE local em uma VPN de Camada 3. Para obter mais informações, veja Exemplo: Resolução de problemas de VPNs de Camada 3.
-
Ele garante que uma unidade de transmissão máxima de caminho (MTU) verifique se o tráfego originado em uma instância de roteamento VRF ou roteador virtual funciona corretamente. Para obter mais informações, veja Configuração de verificações de MTU de caminho para instâncias de roteamento VPN.
Você também pode configurar um filtro de firewall para a unidade lógica na interface de loopback; essa configuração permite filtrar o tráfego para a instância de roteamento VRF associada a ela.
Nos switches da Série EX (exceto switches da Série EX9200) e switches da Série QFX5000, a filtragem de loopback por VRF não é suportada. Mesmo que configuremos diferentes filtros para cada IFL em loopback, eles se aplicam à interface de loopback como um todo e não separadamente por VRF.
O seguinte descreve como os filtros de firewall afetam a instância de roteamento VRF, dependendo se eles estão configurados na interface de loopback padrão, na instância de roteamento VRF ou em alguma combinação dos dois. A "interface de loopback padrão" refere-se lo0.0 (associada à tabela de roteamento padrão), e a "interface de loopback VRF" refere-se lo0.n, que está configurada na instância de roteamento VRF.
-
Se você configurar o Filtro A na interface de loopback padrão e o Filtro B na interface de loopback VRF, a instância de roteamento VRF usa o Filtro B.
-
Se você configurar o Filtro A na interface de loopback padrão, mas não configurar um filtro na interface de loopback VRF, a instância de roteamento VRF não usará um filtro.
-
Se você configurar o Filtro A na interface de loopback padrão, mas não configurar uma interface de loopback VRF, a instância de roteamento VRF usa o Filtro A. Para dispositivos MX80, o comportamento é um pouco diferente: se você configurar filtros na interface de loopback padrão, mas não configurar uma interface de loopback VRF, a instância de roteamento VRF usa apenas os filtros de entrada atribuídos ao loopback padrão (ele não usa filtros de saída do loopback padrão).
Para alguns roteadores metro universais da Série ACX (ACX1000, ACX2000, ACX4000 e ACX5000), o filtro de loopback padrão deve estar no mesmo roteamento, ou roteamento e encaminhamento virtual (VRF), caso do tráfego de entrada que filtra. Ou seja, nesses dispositivos, o filtro de loopback padrão não pode ser usado para tráfego atravessando uma interface que pertence a uma instância de roteamento diferente.
Para configurar uma unidade lógica na interface de loopback, inclua a unit declaração:
unit number {
family inet {
address address;
}
}
Você pode incluir essa declaração nos seguintes níveis de hierarquia:
-
[edit interfaces lo0] -
[edit logical-systems logical-system-name interfaces lo0]
Para associar um filtro de firewall à unidade lógica na interface de loopback, inclua a filter declaração:
filter {
input filter-name;
}
Você pode incluir essa declaração nos seguintes níveis de hierarquia:
-
[edit interfaces lo0 unit unit-number family inet] -
[edit logical-systems logical-system-name interfaces lo0 unit unit-number family inet]
Para incluir a lo0.n interface (onde n especifica a unidade lógica) na configuração para a instância de roteamento VRF, inclua a seguinte declaração:
interface lo0.n;
Você pode incluir essa declaração nos seguintes níveis de hierarquia:
-
[edit routing-instances routing-instance-name] -
[edit logical-systems logical-system-name routing-instances routing-instance-name]
Configuração de instâncias de roteamento em roteadores PE em VPNs
Você precisa configurar uma instância de roteamento para cada VPN em cada um dos roteadores PE que participam da VPN. Os procedimentos de configuração descritos nesta seção são aplicáveis às VPNs de Camada 2, VPNs de Camada 3 e VPLS. Os procedimentos de configuração específicos para cada tipo de VPN são descritos nas seções correspondentes nos outros capítulos de configuração.
Para configurar instâncias de roteamento para VPNs, inclua as seguintes declarações:
description text; instance-type type; interface interface-name; route-distinguisher (as-number:number | ip-address:number); vrf-import [ policy-names ]; vrf-export [ policy-names ]; vrf-target { export community-name; import community-name; }
Você pode incluir essas declarações nos seguintes níveis de hierarquia:
[edit routing-instances routing-instance-name][edit logical-systems logical-system-name routing-instances routing-instance-name]
Para configurar instâncias de roteamento VPN, você executa as etapas nas seguintes seções:
- Configurando o nome da instância de roteamento para uma VPN
- Configurando a descrição
- Configuração do tipo de instância
- Configuração de interfaces para roteamento VPN
- Configurando o diferencial de rota
- Configuração de distindores de rota automáticos
Configurando o nome da instância de roteamento para uma VPN
O nome da instância de roteamento para UMA VPN pode ser de no máximo 128 caracteres e pode conter letras, números e hífens. No Junos OS Release 9.0 e posterior, você não pode mais especificar default como o nome real da instância de roteamento. Você também não pode usar caracteres especiais (! @ # $ % ^ &* , +< >: ;) em nome de uma instância de roteamento.
No Junos OS Release 9.6 e posterior, você pode incluir uma barra (/) em um nome de instância de roteamento apenas se um sistema lógico não estiver configurado. Ou seja, você não pode incluir o caractere de corte em um nome de instância de roteamento se um sistema lógico diferente do padrão estiver explicitamente configurado.
Especifique o nome da instância de roteamento com a routing-instance declaração:
routing-instance routing-instance-name {...}
Você pode incluir essa declaração nos seguintes níveis de hierarquia:
[edit][edit logical-systems logical-system-name]
Configurando a descrição
Para fornecer uma descrição do texto para a instância de roteamento, inclua a description declaração. Se o texto incluir um ou mais espaços, coloque-os entre aspas (" "). Qualquer texto descritivo que você incluir é exibido na saída do show route instance detail comando e não tem efeito sobre a operação da instância de roteamento.
Para configurar uma descrição do texto, inclua a description declaração:
description text;
Você pode incluir essa declaração nos seguintes níveis de hierarquia:
[edit routing-instances routing-instance-name][edit logical-systems logical-system-name routing-instances routing-instance-name]
Configuração do tipo de instância
O tipo de instância que você configura varia dependendo se você está configurando VPNs de Camada 2, VPNs de Camada 3, VPLS ou roteadores virtuais. Especifique o tipo de instância incluindo a instance-type declaração:
Para habilitar o roteamento VPN de Camada 2 em um roteador PE, inclua a
instance-typedeclaração e especifique o valorl2vpn:instance-type l2vpn;
Para habilitar o roteamento VPLS em um roteador PE, inclua a
instance-typedeclaração e especifique o valorvpls:instance-type vpls;
As VPNs de camada 3 exigem que cada roteador PE tenha uma tabela de roteamento e encaminhamento VPN (VRF) para distribuir rotas dentro da VPN. Para criar a tabela VRF no roteador PE, inclua a
instance-typedeclaração e especifique o valorvrf:instance-type vrf;
Nota:A amostragem baseada em mecanismos de roteamento não é suportada em instâncias de roteamento VRF.
Para habilitar a instância de roteamento de roteador virtual, inclua a
instance-typedeclaração e especifique o valorvirtual-router:instance-type virtual-router;
Você pode incluir essa declaração nos seguintes níveis de hierarquia:
[edit routing-instances routing-instance-name][edit logical-systems logical-system-name routing-instances routing-instance-name]
Configuração de interfaces para roteamento VPN
Em cada roteador PE, você deve configurar uma interface sobre a qual o tráfego de VPN viaja entre os roteadores PE e CE.
As seções a seguir descrevem como configurar interfaces para VPNs:
- Configuração geral para roteamento VPN
- Configuração de interfaces para VPNs de camada 3
- Configuração de interfaces para VPNs de operadoras
- Configuração do Unicast RPF em interfaces VPN
Configuração geral para roteamento VPN
A configuração descrita nesta seção se aplica a todos os tipos de VPNs. Para VPNs de camada 3 e VPNs de operadoras, preencha a configuração descrita nesta seção antes de prosseguir para as seções de configuração de interface específicas desses tópicos.
Para configurar interfaces para roteamento vpn, inclua a interface declaração:
interface interface-name;
Você pode incluir essa declaração nos seguintes níveis de hierarquia:
[edit routing-instances routing-instance-name][edit logical-systems logical-system-name routing-instances routing-instance-name]
Especifique as partes físicas e lógicas do nome da interface no formato a seguir:
physical.logical
Por exemplo, em at-1/2/1.2, at-1/2/1 é a parte física do nome da interface e 2 é a parte lógica. Se você não especificar a parte lógica do nome da interface, o valor 0 será definido por padrão.
Uma interface lógica pode ser associada a apenas uma instância de roteamento. Se você habilitar um protocolo de roteamento em todas as instâncias especificando interfaces all ao configurar a instância mestre do protocolo no [edit protocols] nível de hierarquia, e se você configurar uma interface específica para o [edit routing-instances routing-instance-name] roteamento vpn no nível de hierarquia ou no [edit logical-systems logical-system-name routing-instances routing-instance-name] nível de hierarquia, esta última declaração de interface tem precedência e a interface é usada exclusivamente para a VPN.
Se você configurar explicitamente o mesmo nome da interface no nível de [edit protocols] hierarquia e nos [edit routing-instances routing-instance-name] níveis de hierarquia ou [edit logical-systems logical-system-name routing-instances routing-instance-name] ou na hierarquia, uma tentativa de confirmar a configuração falhará.
Configuração de interfaces para VPNs de camada 3
Quando você configura as interfaces VPN de Camada 3 no nível de [edit interfaces] hierarquia, você também deve configurar family inet ao configurar a interface lógica:
[edit interfaces]
interface-name {
unit logical-unit-number {
family inet;
}
}
Configuração de interfaces para VPNs de operadoras
Quando você configura VPNs de operadoras, você precisa configurar a family mpls declaração, além da family inet declaração para as interfaces entre os roteadores PE e CE. Para VPNs de operadoras, configure a interface lógica da seguinte forma:
[edit interfaces]
interface-name {
unit logical-unit-number {
family inet;
family mpls;
}
}
Se você configurar family mpls na interface lógica e então configurar essa interface para uma instância de roteamento não operadora de operadoras, a family mpls declaração será removida automaticamente da configuração para a interface lógica, uma vez que não é necessária.
Configuração do Unicast RPF em interfaces VPN
Para interfaces VPN que transportam tráfego ip versão 4 ou versão 6 (IPv4 ou IPv6), você pode reduzir o impacto de ataques de negação de serviço (DoS) configurando o encaminhamento de caminho reverso unicast (RPF). O Unicast RPF ajuda a determinar a origem dos ataques e rejeita pacotes de endereços de origem inesperados em interfaces onde o RPF unicast é habilitado.
Você pode configurar RPF unicast em uma interface VPN, permitindo RPF unicast na interface e incluindo a interface declaração no nível hierárquico [edit routing-instances routing-instance-name] .
Você não pode configurar RPF unicast nas interfaces voltadas para o núcleo. Você só pode configurar RPF unicast nas interfaces de roteador CE para PE no roteador PE. No entanto, para instâncias de roteamento de roteador virtual, o RPF unicast é suportado em todas as interfaces que você especifica na instância de roteamento.
Para obter informações sobre como configurar o RPF unicast em interfaces VPN, consulte Understanding Unicast RPF (Roteadores).
Configurando o diferencial de rota
Cada instância de roteamento que você configura em um roteador PE deve ter um diferencial de rota único associado a ele. As instâncias de roteamento vpn precisam de um diferencial de rota para ajudar o BGP a distinguir entre as mensagens de alcance de camada de rede (NLRI) potencialmente idênticas recebidas de diferentes VPNs. Se você configurar diferentes instâncias de roteamento VPN com o mesmo diferencial de rota, o commit falha.
Para VPNs de camada 2 e VPLS, se você tiver configurado a l2vpn-use-bgp-rules declaração, você deve configurar um diferencial de rota exclusivo para cada roteador PE que participa em uma instância de roteamento específica.
Para outros tipos de VPNs, recomendamos que você use um diferencial de rota exclusivo para cada roteador PE participante na instância de roteamento. Embora você possa usar o mesmo diferenciador de rota em todos os roteadores PE para a mesma instância de roteamento VPN (exceto para VPNs de Camada 2 e VPLS), se você usar um diferencial de rota único, você pode determinar o roteador CE de qual rota se originou dentro da VPN.
Para configurar um diferencial de rota em um roteador PE, inclua a route-distinguisher declaração:
route-distinguisher (as-number:number | ip-address:number);
Para obter uma lista de níveis de hierarquia em que você possa incluir esta declaração, veja a seção de resumo da declaração para esta declaração.
O diferencial de rota é um valor de 6 byte que você pode especificar em um dos seguintes formatos:
as-number:number, ondeas-numberestá um número de sistema autônomo (AS) (um valor de 2 byte) enumberqualquer valor de 4 byte. O número AS pode estar na faixa de 1 a 65.535. Recomendamos que você use uma Autoridade de Números Atribuídos à Internet (IANA) designada, número AS nãoprivado, de preferência do próprio provedor de serviços de Internet (ISP) ou do próprio número AS do cliente.ip-address:number, ondeip-addressestá um endereço IP (um valor de 4 byte) enumberqualquer valor de 2 byte. O endereço IP pode ser qualquer endereço unicast único globalmente. Recomendamos que você use o endereço que configura narouter-iddeclaração, que é um endereço não determinado em sua faixa de prefixo atribuída.
Configuração de distindores de rota automáticos
Se você configurar a route-distinguisher-id declaração no nível de [edit routing-options] hierarquia, um diferencial de rota é atribuído automaticamente à instância de roteamento. Se você também configurar a route-distinguisher declaração, além da route-distinguisher-id declaração, o valor configurado para route-distinguisher substitui o valor gerado route-distinguisher-id.
Para atribuir automaticamente um diferencial de rota, inclua a route-distinguisher-id declaração:
route-distinguisher-id ip-address;
Você pode incluir essa declaração nos seguintes níveis de hierarquia:
[edit routing-options][edit logical-systems logical-system-name routing-options]
Um diferencial de rota tipo 1 é automaticamente atribuído à instância de roteamento usando o formato ip-address:number. O endereço IP é especificado pela route-distinguisher-id declaração e o número é exclusivo para a instância de roteamento.
Configuração de instâncias de roteamento de roteador virtual em VPNs
Uma instância de roteamento de roteador virtual, como uma instância de roteamento VRF, mantém tabelas separadas de roteamento e encaminhamento para cada instância. No entanto, muitas das etapas de configuração necessárias para instâncias de roteamento VRF não são necessárias para instâncias de roteamento de roteador virtual. Especificamente, você não precisa configurar um diferencial de rota, uma política de tabela de roteamento (a vrf-export, vrf-importe route-distinguisher as declarações) ou MPLS entre os roteadores de provedores de serviços.
Configure uma instância de roteamento de roteador virtual, incluindo as seguintes declarações:
description text; instance-type virtual-router; interface interface-name; protocols { ... }
Você pode incluir essas declarações nos seguintes níveis de hierarquia:
[edit routing-instances routing-instance-name][edit logical-systems logical-system-name routing-instances routing-instance-name]
As seções a seguir explicam como configurar uma instância de roteamento de roteador virtual:
- Configuração de um protocolo de roteamento entre os roteadores de provedores de serviços
- Configuração de interfaces lógicas entre roteadores participantes
Configuração de um protocolo de roteamento entre os roteadores de provedores de serviços
Os roteadores de provedores de serviços precisam ser capazes de trocar informações de roteamento. Você pode configurar os seguintes protocolos para a configuração de declaração de instância protocols de roteamento de roteador virtual no nível de [edit routing-instances routing-instance-name] hierarquia:
BGP
IS-IS
LDP
OSPF
Protocolo independente multicast (PIM)
RASGAR
Você também pode configurar rotas estáticas.
A reflexão de rota do IBGP não é suportada para instâncias de roteamento de roteador virtual.
Se você configurar o LDP em uma instância de roteador virtual, as rotas LDP serão colocadas por padrão nas tabelas de roteamento inet.0 e inet.3 da instância de roteamento (por exemplo, sample.inet.0 e sample.inet.3). Para restringir as rotas de LDP apenas à tabela inet.3 da instância de roteamento, inclua a no-forwarding declaração:
no-forwarding;
Você pode incluir essa declaração nos seguintes níveis de hierarquia:
[edit routing-instances routing-instance-name protocols ldp][edit logical-systems logical-system-name routing-instances routing-instance-name protocols ldp]
Quando você restringe as rotas de LDP apenas para a tabela de roteamento inet.3, a rota IGP correspondente na tabela de roteamento inet.0 pode ser redistribuída e anunciada em outros protocolos de roteamento.
Para obter informações sobre tabelas de roteamento, veja Entenda as tabelas de roteamento do Junos OS.
Configuração de interfaces lógicas entre roteadores participantes
Você deve configurar uma interface para cada roteador cliente que participa da instância de roteamento e para cada roteador P participante na instância de roteamento. Cada instância de roteamento de roteador virtual requer suas próprias interfaces lógicas separadas para todos os roteadores P participantes da instância. Para configurar interfaces para instâncias de roteador virtual, inclua a interface declaração:
interface interface-name;
Você pode incluir essa declaração nos seguintes níveis de hierarquia:
[edit routing-instances routing-instance-name][edit logical-systems logical-system-name routing-instances routing-instance-name]
Especifique as partes físicas e lógicas do nome da interface no formato a seguir:
physical.logical
Por exemplo, em at-1/2/1.2, at-1/2/1 é a parte física do nome da interface e 2 é a parte lógica. Se você não especificar a parte lógica do nome da interface, 0 será definida por padrão.
Você também deve configurar as interfaces no nível de [edit interfaces] hierarquia.
Um método de fornecer essa interface lógica entre os roteadores do provedor é configurando túneis entre eles. Você pode configurar a segurança ip (IPsec), encapsulamento de roteamento genérico (GRE) ou túneis IP-IP entre os roteadores de provedores, encerrando os túneis na instância do roteador virtual.
Para obter informações sobre como configurar túneis e interfaces, consulte a Biblioteca de interfaces de serviços do Junos OS para dispositivos de roteamento.
Configuração de verificações de CAMINHO MTU para instâncias de roteamento VPN
Por padrão, a verificação da unidade de transmissão máxima (MTU) para instâncias de roteamento VPN é desativada em roteadores da Série M (exceto o roteador M320) e habilitada para o roteador M320. Nos roteadores da Série M, você pode configurar verificações de CAMINHO MTU nas interfaces de saída para tráfego unicast roteado em instâncias de roteamento VRF e em instâncias de roteamento de roteador virtual.
Quando você habilita uma verificação de MTU, a plataforma de roteamento envia uma mensagem de Protocolo de Mensagem de Controle de Internet (ICMP) quando um pacote que atravessa a instância de roteamento excede o tamanho do MTU e tem o conjunto de do-not-fragment bits. A mensagem do ICMP usa o endereço local VRF como endereço de origem.
Para uma verificação de MTU funcionar em uma instância de roteamento, você deve incluir a vrf-mtu-check declaração no nível de [edit chassis] hierarquia e atribuir pelo menos uma interface contendo um endereço IP à instância de roteamento.
Para obter mais informações sobre o caminho de verificação do MTU, consulte a Biblioteca de Administração do Junos OS para dispositivos de roteamento.
Para configurar verificações de MTU de caminho, faça as tarefas descritas nas seguintes seções:
- Habilitação de verificações de MTU de caminho para uma instância de roteamento VPN
- Atribuição de um endereço IP à instância de roteamento VPN
Habilitação de verificações de MTU de caminho para uma instância de roteamento VPN
Para permitir verificações de caminho na interface de saída para tráfego unicast roteado em uma instância de roteamento VRF ou roteador virtual, inclua a vrf-mtu-check declaração no [edit chassis] nível de hierarquia:
[edit chassis] vrf-mtu-check;
Atribuição de um endereço IP à instância de roteamento VPN
Para garantir que o caminho de verificação de MTU funcione corretamente, pelo menos um endereço IP deve ser associado a cada instância de roteamento vrF ou roteador virtual. Se um endereço IP não estiver associado à instância de roteamento, as mensagens de resposta do ICMP não poderão ser enviadas.
Normalmente, o endereço IP da instância de roteamento virtual ou VRF é extraído entre os endereços IP associados a interfaces configuradas para essa instância de roteamento. Se nenhuma das interfaces associadas a uma instância de roteamento de roteador virtual ou VRF estiver configurada com um endereço IP, você precisa configurar explicitamente uma interface de loopback lógica com um endereço IP. Essa interface deve então ser associada à instância de roteamento. Veja a configuração de unidades lógicas na interface de loopback para instâncias de roteamento em VPNs de camada 3 para obter mais detalhes.