VPN basé sur BGP
Comprendre les VPN Carrier-of-Carrier
Le client d’un fournisseur de services VPN peut être un fournisseur de services pour le client final. Voici les deux principaux types de VPN Carrier-of-carriers (comme décrit dans la RFC 4364 :
fournisseur de services Internet en tant que clientLe client VPN est un FAI qui utilise le réseau du fournisseur de services VPN pour connecter ses réseaux régionaux géographiquement disparates. Le client n’a pas besoin de configurer MPLS au sein de ses réseaux régionaux.
Fournisseur de services VPN en tant que client—Le client VPN est lui-même un fournisseur de services VPN offrant un service VPN à ses clients. Le client du service VPN opérateur des opérateurs s’appuie sur le fournisseur de services VPN de la dorsale pour la connectivité intersites. Le fournisseur de services VPN du client est tenu d’exécuter MPLS au sein de ses réseaux régionaux.
Figure 1 illustre l’architecture réseau utilisée pour un service VPN de type carrier-of-carriers.
Cette rubrique aborde les points suivants :
fournisseur de services Internet en tant que client
Dans ce type de configuration VPN de type opérateur, le FAI A configure son réseau pour fournir le service Internet au FAI B. Le FAI B fournit la connexion au client qui souhaite le service Internet, mais le service Internet réel est fourni par le FAI A.
Ce type de configuration VPN de type carrier-of-carriers présente les caractéristiques suivantes :
Le client du service VPN (FAI B) n’a pas besoin de configurer MPLS sur son réseau.
Le fournisseur de services VPN (FAI A) doit configurer MPLS sur son réseau.
MPLS doit également être configuré sur les routeurs CE et les routeurs PE connectés ensemble dans les réseaux du client du service VPN du fournisseur de services VPN et du fournisseur de services VPN du fournisseur de services du transporteur.
Fournisseur de services VPN en tant que client
Un fournisseur de services VPN peut avoir des clients qui sont eux-mêmes des fournisseurs de services VPN. Dans ce type de configuration, également appelée VPN hiérarchique ou récursive, les routes VPN-IPv4 du fournisseur de services VPN client sont considérées comme des routes externes, et le fournisseur de services VPN de la dorsale ne les importe pas dans sa table VRF. Le fournisseur de services VPN de la dorsale importe uniquement les routes internes du fournisseur de services VPN du client dans sa table VRF.
Les similitudes et les différences entre les VPN interfournisseurs et les VPN porte-opérateurs sont illustrées à la section Tableau 1.
Fonctionnalité |
Client FAI |
Client fournisseur de services VPN |
|---|---|---|
Appareil périphérique client |
Routeur de bordure AS |
Routeur PE |
Sessions de l’IBGP |
Transporter des routes IPv4 |
Transporter des routes VPN-IPv4 externes avec les étiquettes associées |
Transfert au sein du réseau client |
MPLS est facultatif |
MPLS requis |
Prise en charge du service VPN, car le client est pris en charge sur les commutateurs QFX10000 à partir de Junos OS version 17.1R1.
Comprendre les VPN Interprovider et Carrier-of-Carrier
Tous les VPN interfournisseurs et opérateurs partagent les caractéristiques suivantes :
Chaque client VPN interfournisseur ou opérateur doit faire la distinction entre les routes client internes et externes.
Les routes client internes doivent être gérées par le fournisseur de services VPN dans ses routeurs PE.
Les routes client externes sont transportées uniquement par les plates-formes de routage du client, et non par les plates-formes de routage du fournisseur de services VPN.
La principale différence entre les VPN interfournisseurs et les VPN Carrier-of-Carriers est que les sites clients appartiennent au même AS ou à des AS distincts :
VPN interfournisseurs : les sites clients appartiennent à des systèmes d’exploitation différents. Vous devez configurer EBGP pour échanger les routes externes du client.
Comprendre les VPN Carrier-of-Carriers : les sites clients appartiennent au même AS. Vous devez configurer IBGP pour échanger les routes externes du client.
En général, chaque fournisseur de services dans une hiérarchie VPN est tenu de maintenir ses propres routes internes dans ses routeurs P, et les routes internes de ses clients dans ses routeurs PE. En appliquant récursivement cette règle, il est possible de créer une hiérarchie de VPN.
Vous trouverez ci-dessous les définitions des types de routeurs PE spécifiques aux VPN interfournisseurs et opérateurs :
Le routeur de bordure AS est situé à la frontière de l’AS et gère le trafic entrant et sortant de l’AS.
Le routeur PE final est le routeur PE dans le VPN client ; il est connecté au routeur CE sur le site du client final.
Configuration des VPN Carrier-of-Carriers pour les clients qui fournissent un service VPN
Vous pouvez configurer un service VPN de transporteur pour les clients qui souhaitent un service VPN.
Pour configurer les routeurs (ou commutateurs) des réseaux du client et du fournisseur afin d’activer le service VPN de l’opérateur des opérateurs, effectuez les étapes décrites dans les sections suivantes :
- Configuration du routeur PE du client Carrier-of-Carriers
- Configuration du routeur (ou commutateur) CE du client Carrier-of-Carriers
- Configuration du routeur ou du commutateur PE du fournisseur
Configuration du routeur PE du client Carrier-of-Carriers
Le routeur (ou commutateur) PE du client transporteur est connecté au routeur (ou commutateur) CE du client final.
Les sections suivantes décrivent comment configurer le routeur (ou commutateur) PE du client opérateur des opérateurs :
- Configuration de MPLS
- Configuration de BGP
- Configuration d’OSPF
- Configuration de LDP
- Configuration du service VPN dans l’instance de routage
- Configuration des options de stratégie
Configuration de MPLS
Pour configurer MPLS sur le routeur (ou commutateur) PE du client opérateur des opérateurs, incluez l’instruction mpls suivante :
mpls {
interface interface-name;
interface interface-name;
}
Vous pouvez inclure cette instruction aux niveaux hiérarchiques suivants :
[edit protocols][edit logical-systems logical-system-name protocols]
Configuration de BGP
Incluez l’instruction labeled-unicast dans la configuration de la session IBGP sur le routeur CE (ou commutateur) du client opérateur des porteuses et incluez l’instruction family-inet-vpn dans la configuration de la session IBGP sur le routeur PE (ou commutateur) opérateur des porteuses de l’autre côté du réseau :
bgp {
group group-name {
type internal;
local-address address;
neighbor address {
family inet {
labeled-unicast;
resolve-vpn;
}
}
}
neighbor address {
family inet-vpn {
any;
}
}
}
Vous pouvez inclure ces instructions aux niveaux hiérarchiques suivants :
[edit protocols][edit logical-systems logical-system-name protocols]
Configuration d’OSPF
Pour configurer OSPF sur le routeur (ou commutateur) PE du client opérateur des opérateurs, incluez l’instruction ospf suivante :
ospf {
area area-id {
interface interface-name {
passive;
}
interface interface-name;
}
}
Vous pouvez inclure cette instruction aux niveaux hiérarchiques suivants :
[edit protocols][edit logical-systems logical-system-name protocols]
Configuration de LDP
Pour configurer LDP sur le routeur (ou commutateur) PE du client opérateur des opérateurs, incluez l’instruction ldp suivante :
ldp {
interface interface-name;
}
Vous pouvez inclure cette instruction aux niveaux hiérarchiques suivants :
[edit protocols][edit logical-systems logical-system-name protocols]
Configuration du service VPN dans l’instance de routage
Pour configurer le service VPN pour le routeur (ou commutateur) CE du client final sur le routeur (ou commutateur) PE du client opérateur des opérateurs, incluez les instructions suivantes :
instance-type vrf;
interface interface-name;
route-distinguisher address;
vrf-import policy-name;
vrf-export policy-name;
protocols {
bgp {
group group-name {
peer-as as-number;
neighbor address;
}
}
}
Vous pouvez inclure ces instructions aux niveaux hiérarchiques suivants :
[edit routing-instances routing-instance-name][edit logical-systems logical-system-name routing-instances routing-instance-name]
Configuration des options de stratégie
Pour configurer les options de stratégie d’importation et d’exportation de routes vers et depuis le routeur (ou le commutateur) CE du client final, incluez les policy-statement instructions et community :
policy-statement policy-name {
term term-name {
from {
protocol bgp;
community community-name;
}
then accept;
}
term term-name {
then reject;
}
}
policy-statement policy-name {
term term-name {
from protocol bgp;
then {
community add community-name;
accept;
}
}
term term-name {
then reject;
}
}
community community-name members value;
Vous pouvez inclure ces instructions aux niveaux hiérarchiques suivants :
[edit policy-options][edit logical-systems logical-system-name policy-options]
Configuration du routeur (ou commutateur) CE du client Carrier-of-Carriers
Le routeur (ou commutateur) CE du client opérateur se connecte au routeur (ou commutateur) PE du fournisseur. Suivez les instructions des sections suivantes pour configurer le routeur (ou le commutateur) CE des clients de l’opérateur des opérateurs :
- Configuration de MPLS
- Configuration de BGP
- Configuration d’OSPF et de LDP
- Configuration des options de stratégie
Configuration de MPLS
Dans la configuration MPLS du routeur (ou commutateur) CE du client opérateur-of-carriers, incluez les interfaces vers le routeur (ou commutateur) PE du fournisseur et vers un routeur (ou commutateur) P dans le réseau du client :
mpls {
traffic-engineering bgp-igp;
interface interface-name;
interface interface-name;
}
Vous pouvez inclure ces instructions aux niveaux hiérarchiques suivants :
[edit protocols][edit logical-systems logical-system-name protocols]
Configuration de BGP
Dans la configuration BGP pour le routeur (ou commutateur) CE du client opérateur des opérateurs, configurez un groupe qui inclut l’instruction pour étendre le labeled-unicast service VPN au routeur (ou commutateur) PE connecté au routeur (ou commutateur) CE du client final :
bgp {
group group-name {
type internal;
local-address address;
neighbor address {
family inet {
labeled-unicast;
}
}
}
}
Vous pouvez inclure l’instruction bgp aux niveaux hiérarchiques suivants :
[edit protocols][edit logical-systems logical-system-name protocols]
Pour configurer un groupe afin d’envoyer des routes internes étiquetées au routeur (ou commutateur) PE du fournisseur, incluez l’instruction bgp suivante :
bgp {
group group-name {
export internal;
peer-as as-number;
neighbor address {
family inet {
labeled-unicast;
}
}
}
}
Vous pouvez inclure cette instruction aux niveaux hiérarchiques suivants :
[edit protocols][edit logical-systems logical-system-name protocols]
Configuration d’OSPF et de LDP
Pour configurer OSPF et LDP sur le routeur (ou le commutateur) CE du client opérateur des opérateurs, incluez les ospf instructions et ldp :
ospf {
area area-id {
interface interface-name {
passive;
}
interface interface-name;
}
}
ldp {
interface interface-name;
}
Vous pouvez inclure ces instructions aux niveaux hiérarchiques suivants :
[edit protocols][edit logical-systems logical-system-name protocols]
Configuration des options de stratégie
Pour configurer les options de stratégie sur le routeur (ou le commutateur) CE du client opérateur des opérateurs, incluez l’instruction policy-statement suivante :
policy-statement policy-statement-name {
term term-name {
from protocol [ ospf direct ldp ];
then accept;
}
term term-name {
then reject;
}
}
Vous pouvez inclure cette instruction aux niveaux hiérarchiques suivants :
[edit policy-options][edit logical-systems logical-system-name policy-options]
Configuration du routeur ou du commutateur PE du fournisseur
Les routeurs (ou commutateurs) PE du fournisseur opérateur se connectent aux routeurs (ou commutateurs) CE du client opérateur. Suivez les instructions des sections suivantes pour configurer le routeur (ou commutateur) PE du fournisseur :
- Configuration de MPLS
- Configuration d’une session BGP PE-to-PE
- Configuration d’IS-IS et de LDP
- Configuration des options de stratégie
- Configuration d’une instance de routage pour envoyer des routes au routeur CE
Configuration de MPLS
Dans la configuration MPLS, spécifiez au moins deux interfaces, l’une vers le routeur (ou commutateur) CE du client et l’autre pour se connecter au routeur (ou commutateur) PE du fournisseur de l’autre côté du réseau du fournisseur :
interface interface-name; interface interface-name;
Vous pouvez inclure ces instructions aux niveaux hiérarchiques suivants :
[edit protocols mpls][edit logical-systems logical-system-name protocols mpls]
Configuration d’une session BGP PE-to-PE
Pour configurer une session BGP PE-à-PE sur les routeurs (ou commutateurs) PE du fournisseur afin d’autoriser le passage des routes VPN-IPv4 entre les routeurs (ou commutateurs) PE, incluez l’instruction suivante bgp :
bgp {
group group-name {
type internal;
local-address address;
family inet-vpn {
any;
}
neighbor address;
}
}
Vous pouvez inclure cette instruction aux niveaux hiérarchiques suivants :
[edit protocols][edit logical-systems logical-system-name protocols]
Configuration d’IS-IS et de LDP
Pour configurer IS-IS et LDP sur les routeurs (ou commutateurs) PE du fournisseur, incluez les isis instructions et ldp :
isis {
interface interface-name;
interface interface-name {
passive;
}
}
ldp {
interface interface-name;
}
Vous pouvez inclure ces instructions aux niveaux hiérarchiques suivants :
[edit protocols][edit logical-systems logical-system-name protocols]
Configuration des options de stratégie
Pour configurer des instructions de stratégie sur le routeur (ou commutateur) PE du fournisseur afin d’exporter et d’importer des routes à partir du réseau du client opérateur, incluez les policy-statement instructions et community :
policy-statement statement-name {
term term-name {
from {
protocol bgp;
community community-name;
}
then accept;
}
term term-name {
then reject;
}
}
policy-statement statement-name {
term term-name {
from protocol bgp;
then {
community add community-name;
accept;
}
}
term term-name {
then reject;
}
}
community community-name members value;
Vous pouvez inclure ces instructions aux niveaux hiérarchiques suivants :
[edit policy-options][edit logical-systems logical-system-name policy-options]
Configuration d’une instance de routage pour envoyer des routes au routeur CE
Pour configurer l’instance de routage sur le routeur (ou commutateur) PE du fournisseur afin d’envoyer des routes étiquetées au routeur (ou commutateur) CE du client opérateur, incluez les instructions suivantes :
instance-type vrf;
interface interface-name;
route-distinguisher value;
vrf-import policy-name;
vrf-export policy-name;
protocols {
bgp {
group group-name {
peer-as as-number;
neighbor address {
family inet {
labeled-unicast;
}
}
}
}
}
Vous pouvez inclure ces instructions aux niveaux hiérarchiques suivants :
[edit routing-instances routing-instance-name][edit logical-systems logical-system-name routing-instances routing-instance-name]
Voir également
Tableau de l'historique des modifications
La prise en charge des fonctionnalités est déterminée par la plateforme et la version que vous utilisez. Utilisez l' Feature Explorer pour déterminer si une fonctionnalité est prise en charge sur votre plateforme.