Tunnels dynamiques basés sur les sauts suivants
Exemple : Configuration des tunnels dynamiques MPLS sur UDP basés sur les sauts suivants
Cet exemple montre comment configurer un tunnel MPLS sur UDP dynamique qui inclut un tronçon suivant composite de tunnel. La fonctionnalité MPLS sur UDP offre un avantage d’évolutivité sur le nombre de tunnels IP pris en charge sur un appareil.
À partir de Junos OS version 18.3R1, les tunnels MPLS sur UDP sont pris en charge sur les routeurs PTX Series et les commutateurs QFX Series. Pour chaque tunnel dynamique configuré sur un routeur PTX ou un commutateur QFX, un tronçon suivant composite de tunnel, un tronçon suivant indirect et un tronçon suivant de transfert sont créés pour résoudre l’itinéraire de destination du tunnel. Vous pouvez également utiliser le contrôle de stratégie pour résoudre le tunnel dynamique sur certains préfixes en incluant l’instruction de configuration forwarding-rib au niveau de la [edit routing-options dynamic-tunnels] hiérarchie.
Conditions préalables
Cet exemple utilise les composants matériels et logiciels suivants :
-
Cinq routeurs MX Series avec MPC et MIC.
-
Junos OS version 16.2 ou ultérieure s’exécute sur les routeurs Provider Edge (PE).
Avant de commencer :
-
Configurez les interfaces des périphériques, y compris l’interface de bouclage.
-
Configurez l’ID de routeur et le numéro de système autonome de l’appareil.
-
Établissez une session BGP interne (IBGP) avec l’équipement PE distant.
-
Établissez un appairage OSPF entre les appareils.
Présentation
À partir de Junos OS version 16.2, un tunnel UDP dynamique prend en charge la création d’un prochain saut composite pour chaque tunnel UDP configuré. Ces tunnels UDP dynamiques basés sur le saut suivant sont appelés tunnels MPLS sur UDP. Les sauts suivants composites du tunnel sont activés par défaut pour les tunnels MPLS sur UDP.
Les tunnels MPLS sur UDP peuvent être bidirectionnels ou unidirectionnels par nature.
-
Bidirectionnel : lorsque les périphériques PE sont connectés via des tunnels MPLS sur UDP dans les deux sens, on parle de tunnel MPLS sur UDP bidirectionnel.
-
Unidirectionnel : lorsque deux périphériques PE sont connectés via un tunnel MPLS-sur-UDP dans un sens et sur MPLS/IGP dans l’autre sens, on parle de tunnel MPLS-sur-UDP unidirectionnel.
Les tunnels MPLS sur UDP unidirectionnels sont utilisés dans les scénarios de migration ou dans les cas où deux équipements PE fournissent une connectivité l’un à l’autre sur deux réseaux disjoints. Étant donné qu’il n’existe pas de tunnel dans le sens inverse pour les tunnels MPLS sur UDP unidirectionnels, vous devez configurer une décapsulation MPLS sur UDP basée sur un filtre sur le périphérique PE distant pour transférer le trafic.
À partir de Junos OS version 18.2R1, sur les routeurs PTX Series et QFX10000 avec des tunnels MPLS sur UDP unidirectionnels, vous devez configurer le périphérique PE distant avec un filtre d’entrée pour les paquets MPLS sur UDP et une action de décapsulation des en-têtes IP et UDP pour transférer les paquets dans le sens inverse du tunnel.
Par exemple, sur le périphérique PE distant, Device PE2, la configuration suivante est requise pour les tunnels MPLS sur UDP unidirectionnels :
PE2
[edit firewall filter] user@host# set Decap_Filter term udp_decap from protocol udp user@host# set Decap_Filter term udp_decap from destination-port 6635 user@host# set Decap_Filter term udp_decap then count UDP_PKTS user@host# set Decap_Filter term udp_decap then decapsulate mpls-in-udp user@host# set Decap_Filter term def then count def_pkt user@host# set Decap_Filter term def then accept
Dans l’exemple de configuration ci-dessus, Decap_Filter se trouve le nom du filtre de pare-feu utilisé pour la décapsulation MPLS sur UDP. udp_decap Il s’agit du filtre d’entrée permettant d’accepter les paquets UDP sur l’interface centrale de l’équipement PE2, puis de décapsuler les paquets MPLS sur UDP en paquets MPLS sur IP pour le transfert.
Vous pouvez utiliser les commandes existantes du mode opérationnel du pare-feu, par exemple show firewall filter pour afficher la décapsulation MPLS sur UDP basée sur les filtres.
Par exemple :
user@host >show firewall filter Decap_Filter Filter: Decap_Filter Counters: Name Bytes Packets UDP_PKTS 16744 149 def_pkt 13049 136
Pour les tunnels MPLS sur UDP unidirectionnels :
-
Seule l’adresse IPv4 est prise en charge en tant qu’en-tête externe. La décapsulation MPLS sur UDP basée sur un filtre ne prend pas en charge l’adresse IPv6 dans l’en-tête externe.
-
Seule l’instance de routage par défaut est prise en charge après la décapsulation.
À partir de Junos OS version 17.1, sur les routeurs MX Series avec MPC et MIC, la limite d’évolutivité des tunnels MPLS sur UDP est augmentée.
À partir de Junos version 19.2R1, sur les routeurs MX Series avec MPC et MIC, l’architecture CSC (Carrier Supporting Carrier) peut être déployée avec des tunnels MPLS sur UDP transportant le trafic MPLS sur des tunnels UDP IPv4 dynamiques établis entre les périphériques PE de l’opérateur de support. Grâce à cette amélioration, l’avantage d’évolutivité fourni par les tunnels MPLS sur UDP est encore accru. La prise en charge CSC avec le tunnel MPLS sur UDP n’est pas prise en charge pour le tunnel UDP IPv6.
La fonctionnalité de tunnel dynamique existante nécessite une configuration statique complète. Actuellement, les informations de tunnel reçues des périphériques homologues dans les routes annoncées sont ignorées. À partir de Junos OS version 17.4R1, sur les routeurs MX Series, les tunnels dynamiques MPLS sur UDP basés sur le saut suivant sont signalés à l’aide de la communauté étendue d’encapsulation BGP. La stratégie d’exportation BGP permet de spécifier les types de tunnel, d’annoncer les informations de tunnel côté expéditeur, et d’analyser et transmettre les informations de tunnel côté récepteur. Un tunnel est créé en fonction de la communauté de tunnel de type reçu.
BGP prend en charge plusieurs encapsulations de tunnel. En cas de fonctionnalité multiple, le tunnel dynamique basé sur le tronçon suivant est créé en fonction de la stratégie BGP configurée et des préférences de tunnel. La préférence de tunnel doit être cohérente aux deux extrémités du tunnel à mettre en place. Par défaut, le tunnel MPLS sur UDP est préféré aux tunnels GRE. S’il existe une configuration de tunnel dynamique, elle est prioritaire sur la communauté de tunnels reçus.
Lors de la configuration d’un tunnel MPLS sur UDP dynamique basé sur le saut suivant, tenez compte des considérations suivantes :
-
Une session IBGP doit être configurée entre les appareils PE.
-
Un basculement entre les encapsulations de tunnel dynamiques basées sur le saut suivant (UDP et GRE) est autorisé, ce qui peut avoir un impact sur les performances du réseau en termes de valeurs de mise à l’échelle des tunnels IP prises en charge dans chaque mode.
-
Le fait d’avoir à la fois des types d’encapsulation de tunnel dynamiques GRE et UDP basés sur le next-hop pour la même destination de tunnel entraîne un échec de validation.
-
Pour les tunnels MPLS sur UDP unidirectionnels, vous devez configurer explicitement la décapsulation MPLS sur UDP basée sur un filtre sur le périphérique PE distant pour les paquets à transférer.
-
Le basculement GRES (Graceful moteur de routage Switchover) est pris en charge avec MPLS-sur-UDP, et les indicateurs de type de tunnel MPLS-sur-UDP sont unifiés conformes aux normes ISSU et NSR.
-
Les tunnels MPLS sur UDP sont pris en charge sur Virtual MX (vMX) en mode Lite.
-
Les tunnels MPLS sur UDP prennent en charge la création de tunnels GRE dynamiques basés sur les nouveaux sauts suivants IPv6 mappés IPv4.
-
Les tunnels MPLS-sur-UDP sont pris en charge dans le cadre de l’interopérabilité avec Contrail, dans laquelle les tunnels MPLS-sur-UDP sont créés à partir du routeur virtuel Contrail vers une passerelle MX. Pour ce faire, la communauté suivante doit être annoncée dans le routage entre le routeur MX Series et le routeur Contrail :
[edit policy-options community] udp members 0x030c:64512:13;
À un moment donné, un seul type de tunnel est pris en charge sur le routeur virtuel contrail : les tunnels GRE dynamiques basés sur le saut suivant, les tunnels MPLS sur UDP ou VXLAN.
-
Les fonctionnalités suivantes ne sont pas prises en charge avec la configuration de tunnel MPLS sur UDP dynamique basée sur le saut suivant :
-
Maillage automatique RSVP
-
Configuration simple de tunnel IPV6 GRE et UDP
-
Systèmes logiques
-
Topologie
Figure 1 illustre un scénario VPN de couche 3 sur des tunnels dynamiques MPLS sur UDP. Les périphériques CE (Customer Edge), CE1 et CE2, se connectent aux périphériques PE (Provider Edge), PE1 et PE2, respectivement. Les équipements PE sont connectés à un périphérique fournisseur (équipement P1) et une session BGP interne (IBGP) interconnecte les deux équipements PE. Un tunnel MPL sur UDP bidirectionnel dynamique basé sur le saut suivant est configuré entre les équipements PE.
Le tunnel MPLS sur UDP est géré comme suit :
-
Une fois qu’un tunnel MPLS sur UDP est configuré, un itinéraire de masque de destination de tunnel avec un tronçon suivant composite de tunnel est créé pour le tunnel dans la table de routage inet.3. Cette route de tunnel IP n’est supprimée que lorsque la configuration du tunnel dynamique est supprimée.
Les attributs next-hop composites du tunnel sont les suivants :
-
Lorsque le saut suivant composite VPN de couche 3 est désactivé : adresse source et de destination, chaîne d’encapsulation et étiquette VPN.
-
Lorsque le saut suivant composite VPN de couche 3 et l’attribution d’étiquettes VPN par préfixe sont activés : adresse source, adresse de destination et chaîne d’encapsulation.
-
Lorsque le saut suivant composite VPN de couche 3 est activé et que l’attribution d’étiquettes VPN par préfixe est désactivée : adresse source, adresse de destination et chaîne d’encapsulation. Dans ce cas, l’itinéraire est ajouté à l’autre table d’instances de routage et de transfert virtuel avec une route secondaire.
-
-
Les appareils PE sont interconnectés à l’aide d’une session IBGP. Le tronçon suivant de la route IBGP vers un voisin BGP distant est le tronçon suivant du protocole, qui est résolu à l’aide de la route du masque de tunnel avec le tronçon suivant du tunnel.
-
Une fois que le tronçon suivant du protocole est résolu sur le tronçon suivant composite du tunnel, des tronçons suivants indirects avec transfert de tronçons suivants sont créés.
-
Le prochain saut composite du tunnel est utilisé pour transférer les sauts suivants des sauts suivants indirects.
Configuration
Configuration rapide de l’interface de ligne de commande
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à la configuration de votre réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit] hiérarchie, puis passez commit en mode de configuration.
CE1
set interfaces ge-0/0/0 unit 0 family inet address 10.0.0.1/8 set interfaces lo0 unit 0 family inet address 10.127.0.1/32 set routing-options router-id 10.127.0.1 set routing-options autonomous-system 65200 set protocols bgp group ce1-pe1 export export-loopback-direct set protocols bgp group ce1-pe1 peer-as 100 set protocols bgp group ce1-pe1 neighbor 10.0.0.2 set policy-options policy-statement export-loopback-direct term term-1 from interface lo0.0 set policy-options policy-statement export-loopback-direct term term-1 from route-filter 10.127.0.1/32 exact set policy-options policy-statement export-loopback-direct term term-1 then accept
CE2
set interfaces ge-0/0/0 unit 0 family inet address 203.0.113.2/24 set interfaces lo0 unit 0 family inet address 10.127.0.5/32 set routing-options router-id 10.127.0.5 set routing-options autonomous-system 65200 set protocols bgp group ce1-pe1 export export-loopback-direct set protocols bgp group ce1-pe1 peer-as 65100 set protocols bgp group ce1-pe1 neighbor 203.0.113.1 set policy-options policy-statement export-loopback-direct term term-1 from interface lo0.0 set policy-options policy-statement export-loopback-direct term term-1 from route-filter 10.127.0.5/32 exact set policy-options policy-statement export-loopback-direct term term-1 then accept
PE1
set interfaces ge-0/0/0 unit 0 family inet address 10.0.0.2/8 set interfaces ge-0/0/1 unit 0 family inet address 192.0.2.1/24 set interfaces ge-0/0/1 unit 0 family mpls set interfaces lo0 unit 0 family inet address 10.127.0.2/32 set routing-options static route 10.33.0/16 next-hop 192.0.2.2 set routing-options router-id 10.127.0.2 set routing-options autonomous-system 65100 set routing-options forwarding-table export pplb set routing-options dynamic-tunnels gre next-hop-based-tunnel set routing-options dynamic-tunnels udp-dyn-tunnel-to-pe2 source-address 10.127.0.2 set routing-options dynamic-tunnels udp-dyn-tunnel-to-pe2 udp set routing-options dynamic-tunnels udp-dyn-tunnel-to-pe2 destination-networks 10.127.0.0/24 set protocols bgp group IBGP type internal set protocols bgp group IBGP local-address 10.127.0.2 set protocols bgp group IBGP family inet-vpn unicast set protocols bgp group IBGP neighbor 10.127.0.4 set protocols ospf area 0.0.0.0 interface ge-0/0/1.0 set protocols ospf area 0.0.0.0 interface lo0.0 passive set routing-instances MPLS-over-UDP-PE1 instance-type vrf set routing-instances MPLS-over-UDP-PE1 interface ge-0/0/0.0 set routing-instances MPLS-over-UDP-PE1 route-distinguisher 10.127.0.2:1 set routing-instances MPLS-over-UDP-PE1 vrf-target target:600:1 set routing-instances MPLS-over-UDP-PE1 protocols bgp group pe1-ce1 peer-as 65200 set routing-instances MPLS-over-UDP-PE1 protocols bgp group pe1-ce1 neighbor 10.0.0.1 as-override
P1
set interfaces ge-0/0/0 unit 0 family inet address 192.0.2.2/24 set interfaces ge-0/0/0 unit 0 family mpls set interfaces ge-0/0/1 unit 0 family inet address 198.51.100.1/24 set interfaces ge-0/0/1 unit 0 family mpls set interfaces lo0 unit 0 family inet address 10.127.0.3/32 set routing-options router-id 10.127.0.3 set routing-options autonomous-system 65100 set protocols ospf area 0.0.0.0 interface ge-0/0/0.0 set protocols ospf area 0.0.0.0 interface ge-0/0/1.0 set protocols ospf area 0.0.0.0 interface lo0.0 passive
PE2
set interfaces ge-0/0/0 unit 0 family inet address 203.0.113.1/24 set interfaces ge-0/0/1 unit 0 family inet address 198.51.100.2/24 set interfaces ge-0/0/1 unit 0 family mpls set interfaces lo0 unit 0 family inet address 10.127.0.4/8 set routing-options nonstop-routing set routing-options router-id 10.127.0.4 set routing-options autonomous-system 65100 set routing-options forwarding-table export pplb set routing-options dynamic-tunnels udp-dyn-tunnel-to-pe1 source-address 10.127.0.4 set routing-options dynamic-tunnels udp-dyn-tunnel-to-pe1 udp set routing-options dynamic-tunnels udp-dyn-tunnel-to-pe1 destination-networks 10.127.0.0/24 set protocols bgp group IBGP type internal set protocols bgp group IBGP local-address 10.127.0.4 set protocols bgp group IBGP family inet-vpn unicast set protocols bgp group IBGP neighbor 10.127.0.2 set protocols ospf area 0.0.0.0 interface ge-0/0/1.0 set protocols ospf area 0.0.0.0 interface lo0.0 passive set routing-instances MPLS-over-UDP-PE2 instance-type vrf set routing-instances MPLS-over-UDP-PE2 interface ge-0/0/0.0 set routing-instances MPLS-over-UDP-PE2 route-distinguisher 10.127.0.4:1 set routing-instances MPLS-over-UDP-PE2 vrf-target target:600:1 set routing-instances MPLS-over-UDP-PE2 protocols bgp group ebgp peer-as 65200 set routing-instances MPLS-over-UDP-PE2 protocols bgp group ebgp neighbor 203.0.113.2 as-override
Procédure
Procédure étape par étape
L’exemple suivant nécessite que vous naviguiez à différents niveaux dans la hiérarchie de configuration. Pour plus d’informations sur la navigation dans l’interface de ligne de commande, reportez-vous à la section Utilisation de l’éditeur CLI en mode de configuration dans le Guide de l’utilisateur de l’interface de ligne de commande.
Pour configurer l’appareil PE1 :
-
Configurez les interfaces de l’appareil, y compris l’interface de bouclage de l’appareil.
[edit interfaces] user@PE1# set ge-0/0/0 unit 0 family inet address 10.0.0.2/8 user@PE1# set ge-0/0/1 unit 0 family inet address 192.0.2.1/24 user@PE1# set ge-0/0/1 unit 0 family mpls user@PE1# set lo0 unit 0 family inet address 10.127.0.2/8
-
Configurez un itinéraire statique pour les itinéraires de l’appareil PE1 avec l’équipement P1 comme destination du saut suivant.
[edit routing-options] user@PE1# set static route 10.33.0.0/16 next-hop 192.0.2.2
-
Configurez l’ID du routeur et le numéro du système autonome pour l’appareil PE1.
[edit routing-options] user@PE1# set router-id 10.127.0.2 user@PE1# set autonomous-system 65100
-
(PTX Series uniquement) Configurez le contrôle des stratégies pour résoudre le routage de tunnel dynamique MPLS sur UDP sur certains préfixes.
[edit routing-options dynamic-tunnels] user@PTX-PE1# set forwarding-rib inet.0 inet-import dynamic-tunnel-fwd-route-import
-
(PTX Series uniquement) Configurez la stratégie inet-import pour résoudre les routes de destination de tunnel dynamiques sur .
[edit policy-options] user@PTX-PE1# set policy-statement dynamic-tunnel-fwd-route-import term 1 from route-filter 10.127.0.4/32 exact user@PTX-PE1# set policy-statement dynamic-tunnel-fwd-route-import term 1 then accept user@PTX-PE1# set policy-options policy-statement dynamic-tunnel-fwd-route-import then reject
-
Configurez l’appairage IBGP entre les appareils PE.
[edit protocols] user@PE1# set bgp group IBGP type internal user@PE1# set bgp group IBGP local-address 10.127.0.2 user@PE1# set bgp group IBGP family inet-vpn unicast user@PE1# set bgp group IBGP neighbor 10.127.0.4
-
Configurez OSPF sur toutes les interfaces de l’appareil PE1, à l’exception de l’interface de gestion.
[edit protocols] user@PE1# set ospf area 0.0.0.0 interface ge-0/0/1.0 user@PE1# set ospf area 0.0.0.0 interface lo0.0 passive
-
Activez la configuration dynamique du tunnel GRE basée sur le saut suivant sur l’équipement PE1.
REMARQUE :Cette étape est requise uniquement pour illustrer la différence d’implémentation entre les tunnels GRE dynamiques basés sur le saut suivant et les tunnels MPLS sur UDP.
[edit routing-options] user@PE1# set dynamic-tunnels gre next-hop-based-tunnel
-
Configurez les paramètres du tunnel MPLS sur UDP de l’équipement PE1 vers l’équipement PE2.
[edit routing-options] user@PE1# set dynamic-tunnels udp-dyn-tunnel-to-pe2 source-address 10.127.0.2 user@PE1# set dynamic-tunnels udp-dyn-tunnel-to-pe2 udp user@PE1# set dynamic-tunnels udp-dyn-tunnel-to-pe2 destination-networks 10.127.0.0/24
-
Configurez une instance de routage VRF sur l’appareil PE1 et d’autres paramètres d’instance de routage.
[edit routing-instances] user@PE1# set MPLS-over-UDP-PE1 instance-type vrf user@PE1# set MPLS-over-UDP-PE1 interface ge-0/0/0.0 user@PE1# set MPLS-over-UDP-PE1 route-distinguisher 10.127.0.2:1 user@PE1# set MPLS-over-UDP-PE1 vrf-target target:600:1
-
Activez BGP dans la configuration de l’instance de routage pour l’appairage avec l’appareil CE1.
[edit routing-instances] user@PE1# set MPLS-over-UDP-PE1 protocols bgp group pe1-ce1 peer-as 65200 user@PE1# set MPLS-over-UDP-PE1 protocols bgp group pe1-ce1 neighbor 10.0.0.1 as-override
Résultats
À partir du mode de configuration, confirmez votre configuration en saisissant les show interfacescommandes , show routing-options, show protocolset show routing-instances . Si la sortie n’affiche pas la configuration prévue, répétez les instructions de cet exemple pour corriger la configuration.
user@PE1# show interfaces
ge-0/0/0 {
unit 0 {
family inet {
address 10.0.0.2/8;
}
}
}
ge-0/0/1 {
unit 0 {
family inet {
address 192.0.2.1/24;
}
family mpls;
}
}
lo0 {
unit 0 {
family inet {
address 10.127.0.2/32;
}
}
}
user@PE1# show routing-options
static {
route 10.33.0.0/16 next-hop 192.0.2.2;
}
router-id 10.127.0.2;
autonomous-system 65100;
forwarding-table {
export pplb;
}
dynamic-tunnels {
gre next-hop-based-tunnel;
udp-dyn-tunnel-to-pe2 {
source-address 10.127.0.2;
udp;
destination-networks {
10.127.0.0/24;
}
}
}
user@PE1# show protocols
bgp {
group IBGP {
type internal;
local-address 10.127.0.2;
family inet-vpn {
unicast;
}
neighbor 10.127.0.4;
}
}
ospf {
area 0.0.0.0 {
interface ge-0/0/1.0;
interface lo0.0 {
passive;
}
}
}
user@PE1# show routing-instances
MPLS-over-UDP-PE1 {
instance-type vrf;
interface ge-0/0/0.0;
route-distinguisher 10.127.0.2:1;
vrf-target target:600:1;
protocols {
bgp {
group pe1-ce1 {
peer-as 65200;
neighbor 10.0.0.1 {
as-override;
}
}
}
}
}
Si vous avez terminé de configurer l’appareil, passez commit en mode de configuration.
Vérification
Vérifiez que la configuration fonctionne correctement.
- Vérification de la connexion entre les appareils PE
- Vérifier les routes de tunnel dynamiques sur l’équipement PE1
- Vérifier les routes de tunnel dynamiques sur l’équipement PE2
- Vérification que les routes ont l’indicateur indirect-next-hop attendu
Vérification de la connexion entre les appareils PE
But
Vérifiez l’état d’appairage BGP entre l’équipement PE1 et l’équipement PE2, ainsi que les routes BGP reçues de l’équipement PE2.
Action
À partir du mode opérationnel, exécutez les show bgp summary commandes and show route receive-protocol bgp ip-address table bgp.l3vpn.0 .
user@PE1> show bgp summary
Groups: 2 Peers: 2 Down peers: 0
Table Tot Paths Act Paths Suppressed History Damp State Pending
bgp.l3vpn.0
2 2 0 0 0 0
Peer AS InPkt OutPkt OutQ Flaps Last Up/Dwn State|#Active/Received/Accepted/Damped...
10.127.0.4 65100 139 136 0 0 58:23 Establ
bgp.l3vpn.0: 2/2/2/0
MPLS-over-UDP-PE1.inet.0: 2/2/2/0
10.10.0.1 65200 135 136 0 0 58:53 Establ
MPLS-over-UDP-PE1.inet.0: 1/1/1/0user@PE1> show route receive-protocol bgp 10.127.0.4 table bgp.l3vpn.0 bgp.l3vpn.0: 2 destinations, 2 routes (2 active, 0 holddown, 0 hidden) Prefix Nexthop MED Lclpref AS path 10.127.0.4:1:127.0.0.5/8 * 10.127.0.4 65100 65200 I
Sens
-
Dans la première sortie, l’état de session BGP est
Establ, ce qui signifie que la session est active et que les périphériques PE sont appairés. -
Dans la deuxième sortie, l’équipement PE1 a appris une route BGP à partir de l’équipement PE2.
Vérifier les routes de tunnel dynamiques sur l’équipement PE1
But
Vérifiez les routes dans la table de routage inet.3 et les informations de la base de données de tunnel dynamique sur le périphérique PE1.
Action
En mode opérationnel, exécutez les show route table inet.3commandes , show dynamic-tunnels database terse, show dynamic-tunnels database, et show dynamic-tunnels database summary .
user@PE1> show route table inet.3
inet.3: 2 destinations, 2 routes (2 active, 0 holddown, 0 hidden)
+ = Active Route, - = Last Active, * = Both
10.127.0.0/24 *[Tunnel/300] 00:21:18
Tunnel
127.0.0.4/8 *[Tunnel/300] 00:21:18
Tunnel Compositeuser@PE1> show dynamic-tunnels database terse Table: inet.3 Destination-network: 10.127.0.0/24 Destination Source Next-hop Type Status 10.127.0.4/8 10.127.0.2 0xb395b10 nhid 613 udp Up
user@PE1> show dynamic-tunnels database
Table: inet.3
. . .
Tunnel to: 10.127.0.4/32
Reference count: 2
Next-hop type: UDP
Source address: 10.127.0.2 Tunnel Id: 2
Next hop: tunnel-composite, 0xb395b10, nhid 613
VPN Label: Push 299776 Reference count: 3
Traffic Statistics: Packets 0, Bytes 0
State: Upuser@PE1> show dynamic-tunnels database summary Dynamic Tunnels, Total 1 displayed GRE Tunnel: Active Tunnel Mode, Next Hop Base IFL Based, Total 0 displayed, Up 0, Down 0 Nexthop Based, Total 0 displayed, Up 0, Down 0 RSVP Tunnel: Total 0 displayed UDP Tunnel: Total 1 displayed, Up 1, Down 0
Sens
-
Dans la première sortie, étant donné que le périphérique PE1 est configuré avec le tunnel MPLS sur UDP, une route composite de tunnel est créée pour l’entrée de route de la table de routage inet.3.
-
Dans les autres sorties, le tunnel MPLS sur UDP s’affiche avec le type d’encapsulation du tunnel, les paramètres du prochain saut du tunnel et l’état du tunnel.
Vérifier les routes de tunnel dynamiques sur l’équipement PE2
But
Vérifiez les routes dans la table de routage inet.3 et les informations de la base de données de tunnel dynamique sur l’équipement PE2.
Action
À partir du mode opérationnel, exécutez les show route table inet.3commandes , et les show dynamic-tunnels database terse commandes.
user@PE2> show route table inet.3
inet.3: 2 destinations, 2 routes (2 active, 0 holddown, 0 hidden)
+ = Active Route, - = Last Active, * = Both
10.127.0.0/24 *[Tunnel/300] 00:39:31
Tunnel
10.127.0.2/32 *[Tunnel/300] 00:24:53
Tunnel Compositeuser@PE1> show dynamic-tunnels database terse Table: inet.3 Destination-network: 127.0.0.0/8 Destination Source Next-hop Type Status 10.127.0.2/32 10.127.0.4 0xb395450 nhid 615 udp Up
Sens
Les sorties montrent la création du tunnel MPLS sur UDP et l’ID de saut suivant attribué en tant qu’interface de saut suivant, similaire à l’équipement PE1.
Vérification que les routes ont l’indicateur indirect-next-hop attendu
But
Vérifiez que Device PE1 et Device PE2 sont configurés pour conserver la liaison next hop indirecte vers le transfert next-hop sur le moteur de transfert de paquets table de transfert.
Action
À partir du mode opérationnel, exécutez la commande sur l’appareil PE1 et l’appareil show krt indirect-next-hop PE2.
user@PE1> show krt indirect-next-hop
Indirect Nexthop:
Index: 1048574 Protocol next-hop address: 10.127.0.4
RIB Table: bgp.l3vpn.0
Label: Push 299776
Policy Version: 1 References: 1
Locks: 3 0xb2ab630
Flags: 0x0
INH Session ID: 0x0
INH Version ID: 0
Ref RIB Table: unknown
Tunnel type: UDP, Reference count: 3, nhid: 613
Destination address: 10.127.0.4, Source address: 10.127.0.2
Tunnel id: 2, VPN Label: Push 299776, TTL action: prop-ttl
IGP FRR Interesting proto count : 1
Chain IGP FRR Node Num : 1
IGP Resolver node(hex) : 0xb3c70dc
IGP Route handle(hex) : 0xb1ae688 IGP rt_entry protocol : Tunnel
IGP Actual Route handle(hex) : 0x0 IGP Actual rt_entry protocol : Anyuser@PE2> show krt indirect-next-hop
Indirect Nexthop:
Index: 1048575 Protocol next-hop address: 10.127.0.2
RIB Table: bgp.l3vpn.0
Label: Push 299776
Policy Version: 1 References: 2
Locks: 3 0xb2ab740
Flags: 0x0
INH Session ID: 0x0
INH Version ID: 0
Ref RIB Table: unknown
Tunnel type: UDP, Reference count: 3, nhid: 615
Destination address: 10.127.0.2, Source address: 10.127.0.4
Tunnel id: 1, VPN Label: Push 299776, TTL action: prop-ttl
IGP FRR Interesting proto count : 2
Chain IGP FRR Node Num : 1
IGP Resolver node(hex) : 0xb3d3a28
IGP Route handle(hex) : 0xb1ae634 IGP rt_entry protocol : Tunnel
IGP Actual Route handle(hex) : 0x0 IGP Actual rt_entry protocol : AnySens
Les sorties montrent qu’un tunnel MPLS sur UDP dynamique basé sur le saut suivant est créé entre les périphériques PE.
Dépannage
Pour résoudre les problèmes liés aux tunnels dynamiques basés sur le saut suivant, consultez :
Commandes de dépannage
Problème
La configuration dynamique du tunnel MPLS sur UDP basée sur le saut suivant n’est pas prise en compte.
Solution
Pour résoudre les problèmes liés à la configuration du tunnel MPLS sur UDP basé sur le saut suivant, utilisez les commandes suivantes traceroute dans la [edit routing-options dynamic-tunnels] hiérarchie des instructions :
-
traceoptions file file-name -
traceoptions file size file-size -
traceoptions flag all
Par exemple :
[edit routing-options dynamic-tunnels]
traceoptions {
file udp_dyn_pe1.wri size 4294967295;
flag all;
}
Présentation de la protection contre l’usurpation d’identité pour les tunnels dynamiques basés sur les sauts suivants
Avec l’augmentation du déploiement de tunnels IP à grande échelle dans les centres de données, il est nécessaire d’ajouter des mesures de sécurité permettant aux utilisateurs de limiter le trafic malveillant provenant de machines virtuelles (VM) compromises. Une attaque possible consiste à injecter du trafic dans un VPN client arbitraire à partir d’un serveur compromis via le routeur de passerelle. Dans ce cas, les contrôles anti-usurpation d’identité sur les tunnels IP permettent de s’assurer que seules des sources légitimes injectent du trafic dans les centres de données à partir des tunnels IP désignés.
Les tunnels IP dynamiques basés sur les sauts suivants créent un prochain saut composite pour chaque tunnel dynamique créé sur l’appareil. Étant donné que les tunnels dynamiques basés sur le saut suivant suppriment la dépendance aux interfaces physiques pour chaque nouveau tunnel dynamique configuré, la configuration de tunnels dynamiques basés sur le saut suivant offre un avantage d’évolutivité par rapport au nombre de tunnels dynamiques pouvant être créés sur un équipement. À partir de Junos OS version 17.1, des fonctionnalités anti-usurpation d’identité pour les tunnels IP dynamiques basés sur le saut suivant sont fournies pour les tunnels dynamiques basés sur le saut suivant. Cette amélioration permet d’implémenter une mesure de sécurité pour empêcher l’injection de trafic dans un VPN client arbitraire à partir d’un serveur compromis via le routeur de passerelle.
La lutte contre l’usurpation d’identité est implémentée à l’aide de vérifications de transfert de chemin inverse dans le moteur de transfert de paquets. Les contrôles sont mis en œuvre pour le trafic entrant dans le tunnel vers l’instance de routage. Actuellement, lorsque le routeur de passerelle reçoit le trafic d’un tunnel, seule la recherche de destination est effectuée et le paquet est transféré en conséquence. Lorsque la protection contre l’usurpation d’identité est activée, le routeur de passerelle effectue également une recherche de l’adresse source de l’en-tête IP du paquet d’encapsulation dans le VPN, en plus de la recherche de la destination du tunnel. Cela permet de s’assurer que les sources légitimes injectent du trafic via les tunnels IP qu’elles ont désignés. Par conséquent, la protection contre l’usurpation d’identité garantit que le trafic provient d’une source légitime sur les tunnels désignés.
Figure 2 illustre un exemple de topologie avec les exigences de protection contre l’usurpation d’identité.
Dans cet exemple, le routeur de passerelle est le routeur G. Le routeur G dispose de deux VPN : vert et bleu. Les deux serveurs, le serveur A et le serveur B, peuvent atteindre les VPN vert et bleu sur le routeur G via les tunnels dynamiques basés sur le saut suivant T1 et T2, respectivement. Plusieurs hôtes et machines virtuelles (P, Q, R, S et T) connectés aux serveurs peuvent accéder aux VPN via le routeur de passerelle, le routeur G. Le routeur G contient les tables VRF (virtual routing and forwarding) pour les VPN verts et bleus, chacune remplie avec les informations d’accessibilité des machines virtuelles dans ces VPN.
Par exemple, dans VPN Green, le routeur G utilise le tunnel T1 pour atteindre l’hôte P, le tunnel T2 pour atteindre les hôtes R et S, et l’équilibrage de charge est effectué entre les tunnels T1 et T2 pour atteindre l’hôte multirésident Q. Dans VPN Blue, le routeur G utilise le tunnel T1 pour atteindre les hôtes P et R, et le tunnel T2 pour atteindre les hôtes Q et T.
Le contrôle passe pour le transfert de chemin inverse dans les cas suivants :
Un paquet provient d’une source légitime sur le tunnel qui lui a été désigné.
L’hôte P dans le VPN vert envoie un paquet à l’hôte X en utilisant le tunnel T1. Étant donné que le routeur G peut atteindre l’hôte P via le tunnel T1, il autorise le passage du paquet et le transfère à l’hôte X.
Un paquet provient d’une source multirésidente sur ses tunnels désignés.
L’hôte Q dans le VPN vert est multirésident sur les serveurs A et B, et peut atteindre le routeur G via les tunnels T1 et T2. L’hôte Q envoie un paquet à l’hôte Y à l’aide du tunnel T1 et un paquet à l’hôte X à l’aide du tunnel T2. Étant donné que le routeur G peut atteindre l’hôte Q via les tunnels T1 et T2, il autorise le passage des paquets et les transmet respectivement aux hôtes Y et X.
La protection anti-usurpation d’identité n’est pas activée par défaut sur les VPN de couche 3. Pour activer la protection contre l’usurpation d’identité pour les tunnels dynamiques basés sur le saut suivant, incluez l’instruction ip-tunnel-rpf-check au niveau de la [edit routing-instances routing-instance-name routing-options forwarding-table] hiérarchie. La vérification du transfert de chemin inverse s’applique uniquement à l’instance de routage VRF. Le mode par défaut est défini sur strict, où le paquet provenant d’une source sur un tunnel non désigné ne passe pas la vérification. Le ip-tunnel-rpf-check mode peut être défini sur loose, où la vérification du transfert du chemin inverse échoue lorsque le paquet provient d’une source inexistante. Un filtre de pare-feu facultatif peut être configuré sous l’instruction ip-tunnel-rpf-check pour compter et consigner les paquets qui ont échoué à la vérification du transfert de chemin inverse.
L’exemple de sortie suivant montre une configuration anti-usurpation d’identité :
[edit routing-instances routing-instance-name routing-options forwarding-table]
ip-tunnel-rpf-check {
mode loose;
fail-filter filter-name;
}
Tenez compte des instructions suivantes lors de la configuration de la protection contre l’usurpation d’identité pour les tunnels dynamiques basés sur le saut suivant :
La protection contre l’usurpation d’identité ne peut être activée que pour les tunnels IPv4 et le trafic de données IPv4. Les fonctionnalités anti-usurpation d’identité ne sont pas prises en charge sur les tunnels IPv6 et le trafic de données IPv6.
L’anti-usurpation d’identité pour les tunnels dynamiques basés sur les sauts suivants peut détecter et empêcher une machine virtuelle compromise (vérification du transfert de chemin inverse de la source interne), mais pas un serveur compromis qui usurpe l’étiquette.
Les tunnels IP basés sur le saut suivant peuvent commencer et se terminer sur une table de routage inet.0.
La protection contre l’usurpation d’identité est efficace lorsque l’instance de routage VRF possède des interfaces à commutation d’étiquettes (LSI) (à l’aide de ) ou des
vrf-table-labelinterfaces de tunnel virtuel (VT). Avecper-next-hoplabel sur l’instance de routage VRF, la protection contre l’usurpation d’identité n’est pas prise en charge.Le
rpf fail-filterne s’applique qu’au paquet IP interne.L’activation des vérifications anti-usurpation d’identité n’affecte pas la limite de mise à l’échelle des tunnels dynamiques basés sur le saut suivant sur un appareil.
L’utilisation des ressources système avec la protection anti-usurpation activée pour l’instance de routage VRF est légèrement supérieure à l’utilisation de tunnels dynamiques basés sur le saut suivant sans la protection anti-usurpation activée.
La protection contre l’usurpation d’identité nécessite des vérifications supplémentaires des adresses IP sources, ce qui n’a qu’un impact minimal sur les performances du réseau.
GRES (Graceful moteur de routage Switchover) et ISSU (In-Service Software Upgrade) sont dotés d’une protection contre l’usurpation d’identité.
Exemple : Configuration de la protection contre l’usurpation d’identité pour les tunnels dynamiques basés sur les sauts suivants
Cet exemple montre comment configurer les vérifications de transfert de chemin inverse pour l’instance de routage VRF (Virtual Routing and Forwarding) afin d’activer la protection contre l’usurpation d’identité pour les tunnels dynamiques basés sur le saut suivant. Les vérifications permettent de s’assurer que les sources légitimes injectent du trafic via les tunnels IP qu’elles ont désignés.
Conditions préalables
Cet exemple utilise les composants matériels et logiciels suivants :
Trois routeurs MX Series avec MIC, chacun connecté à un équipement hôte.
Junos OS version 17.1 ou ultérieure s’exécute sur un ou tous les routeurs.
Avant de commencer :
Activez la configuration des services de tunnel sur le concentrateur PIC flexible.
Configurez les interfaces des routeurs.
Configurez l’ID de routeur et attribuez un numéro de système autonome au routeur.
Établissez une session BGP interne (IBGP) avec les points de terminaison du tunnel.
Configurez RSVP sur tous les routeurs.
Configurez OSPF ou tout autre protocole de passerelle intérieure sur tous les routeurs.
Configurez deux tunnels IP dynamiques basés sur le next-hop entre les deux routeurs.
Configurez une instance de routage VRF pour chaque connexion routeur-hôte.
Présentation
À partir de Junos OS version 17.1, des fonctionnalités anti-usurpation d’identité sont ajoutées aux tunnels IP dynamiques basés sur le saut suivant, où des vérifications sont implémentées pour le trafic provenant du tunnel vers l’instance de routage à l’aide du transfert de chemin inverse dans le moteur de transfert de paquets.
Actuellement, lorsque le routeur de passerelle reçoit le trafic d’un tunnel, seule la recherche de l’adresse de destination est effectuée avant le transfert. Grâce à la protection contre l’usurpation d’identité, le routeur de passerelle recherche l’adresse source de l’en-tête IP du paquet d’encapsulation dans le VPN pour s’assurer que les sources légitimes injectent du trafic via les tunnels IP désignés. C’est ce qu’on appelle le mode strict et c’est le comportement par défaut de la protection contre l’usurpation d’identité. Pour transmettre le trafic à partir de tunnels non désignés, la vérification du transfert de chemin inverse est activée en mode perdant. Pour le trafic reçu à partir de sources inexistantes, la vérification du transfert de chemin inverse échoue pour les modes strict et lâche.
L’anti-usurpation d’identité est prise en charge sur les instances de routage VRF. Pour activer la protection contre l’usurpation d’identité pour les tunnels dynamiques, incluez l’instruction ip-tunnel-rpf-check au niveau de la [edit routing-instances routing-instance-name routing-options forwarding-table] hiérarchie.
Topologie
Figure 3 illustre un exemple de topologie de réseau dotée d’une protection contre l’usurpation d’identité. Les routeurs R0, R1 et R2 sont chacun connectés aux hôtes Host0, Host1 et Host2, respectivement. Deux tunnels dynamiques basés sur l’encapsulation de routage générique (GRE), le tunnel 1 et le tunnel 2, connectent respectivement le routeur R0 aux routeurs R1 et R2. L’instance de routage VRF est en cours d’exécution entre chaque routeur et ses périphériques hôtes connectés.
Prenons l’exemple suivant : trois paquets (les paquets A, B et C) sont reçus sur le routeur 0 en provenance du routeur R2 par le biais du tunnel GRE dynamique basé sur le saut suivant (tunnel 2). Les adresses IP sources de ces paquets sont 172.17.0.2 (paquet A), 172.18.0.2 (paquet B) et 172.20.0.2 (paquet C).
L’adresse IP source des paquets A et B appartient respectivement à l’hôte 2 et à l’hôte 1. Le paquet C est un tunnel source inexistant. Dans cet exemple, le tunnel désigné est le tunnel 2 et le tunnel non désigné est le tunnel 1. Par conséquent, les paquets sont traités comme suit :
Packet A—Comme la source provient d’un tunnel désigné (tunnel 2), le paquet A passe le contrôle de transfert du chemin inverse et est traité pour le transfert via le tunnel 2.
Packet B—Étant donné que la source provient du tunnel 1, qui est un tunnel non défini, par défaut, le paquet B échoue à la vérification du transfert de chemin inverse en mode strict. Si le mode lâche est activé, le transfert du paquet B est autorisé.
Packet C: étant donné que la source est une source de tunnel inexistante, le paquet C échoue à la vérification du transfert de chemin inverse et le paquet n’est pas transféré.
Configuration
Configuration rapide de l’interface de ligne de commande
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à la configuration de votre réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit] hiérarchie, puis passez commit en mode de configuration.
Routeur R0
set interfaces ge-0/0/0 unit 0 family inet address 192.0.2.1/24 set interfaces ge-0/0/1 unit 0 family inet address 198.51.100.1/24 set interfaces ge-0/0/2 vlan-tagging set interfaces ge-0/0/2 unit 0 vlan-id 1 set interfaces ge-0/0/2 unit 0 family inet address 172.16.0.1/16 set interfaces lo0 unit 0 family inet address 10.1.1.1/32 set routing-options router-id 10.1.1.1 set routing-options autonomous-system 100 set routing-options dynamic-tunnels gre next-hop-based-tunnel set routing-options dynamic-tunnels T1 source-address 192.0.2.1 set routing-options dynamic-tunnels T1 gre set routing-options dynamic-tunnels T1 destination-networks 192.0.2.0/24 set routing-options dynamic-tunnels T2 source-address 198.51.100.1 set routing-options dynamic-tunnels T2 gre set routing-options dynamic-tunnels T2 destination-networks 198.51.100.0/24 set protocols rsvp interface all set protocols rsvp interface fxp0.0 disable set protocols bgp group IBGP type internal set protocols bgp group IBGP local-address 10.1.1.1 set protocols bgp group IBGP family inet-vpn unicast set protocols bgp group IBGP neighbor 20.1.1.1 set protocols bgp group IBGP neighbor 30.1.1.1 set protocols ospf traffic-engineering set protocols ospf area 0.0.0.0 interface lo0.0 passive set protocols ospf area 0.0.0.0 interface all set routing-instances VPN1 instance-type vrf set routing-instances VPN1 interface ge-0/0/2.0 set routing-instances VPN1 route-distinguisher 100:100 set routing-instances VPN1 vrf-target target:100:1 set routing-instances VPN1 vrf-table-label set routing-instances VPN1 routing-options forwarding-table ip-tunnel-rpf-check mode strict set routing-instances VPN1 protocols bgp group External type external set routing-instances VPN1 protocols bgp group External family inet unicast set routing-instances VPN1 protocols bgp group External peer-as 200 set routing-instances VPN1 protocols bgp group External neighbor 172.16.0.1
Routeur R1
set interfaces ge-0/0/0 unit 0 family inet address 192.0.2.2/24 set interfaces ge-0/0/1 vlan-tagging set interfaces ge-0/0/1 unit 0 vlan-id 2 set interfaces ge-0/0/1 unit 0 family inet address 172.18.0.1/16 set interfaces lo0 unit 0 family inet address 20.1.1.1/32 set routing-options router-id 20.1.1.1 set routing-options autonomous-system 100 set routing-options dynamic-tunnels gre next-hop-based-tunnel set routing-options dynamic-tunnels T1 source-address 192.0.2.2 set routing-options dynamic-tunnels T1 gre set routing-options dynamic-tunnels T1 destination-networks 192.0.2.0/24 set protocols rsvp interface all set protocols rsvp interface fxp0.0 disable set protocols bgp group IBGP type internal set protocols bgp group IBGP local-address 20.1.1.1 set protocols bgp group IBGP family inet-vpn unicast set protocols bgp group IBGP neighbor 30.1.1.1 set protocols bgp group IBGP neighbor 10.1.1.1 set protocols ospf traffic-engineering set protocols ospf area 0.0.0.0 interface lo0.0 passive set protocols ospf area 0.0.0.0 interface all set routing-instances VPN2 instance-type vrf set routing-instances VPN2 interface ge-0/0/1.0 set routing-instances VPN2 route-distinguisher 100:200 set routing-instances VPN2 vrf-target target:200:1 set routing-instances VPN2 vrf-table-label
R2
set interfaces ge-0/0/1 unit 0 family inet address 198.51.100.2/24 set interfaces ge-0/0/2 vlan-tagging set interfaces ge-0/0/2 unit 0 vlan-id 3 set interfaces ge-0/0/2 unit 0 family inet address 172.17.0.1/16 set interfaces lo0 unit 0 family inet address 30.1.1.1/32 set routing-options router-id 30.1.1.1 set routing-options autonomous-system 100 set routing-options dynamic-tunnels gre next-hop-based-tunnel set routing-options dynamic-tunnels T2 source-address 198.51.100.2 set routing-options dynamic-tunnels T2 gre set routing-options dynamic-tunnels T2 destination-networks 198.51.100.0/24 set protocols rsvp interface all set protocols rsvp interface fxp0.0 disable set protocols bgp group IBGP type internal set protocols bgp group IBGP local-address 30.1.1.1 set protocols bgp group IBGP family inet-vpn unicast set protocols bgp group IBGP neighbor 20.1.1.1 set protocols bgp group IBGP neighbor 10.1.1.1 set protocols ospf traffic-engineering set protocols ospf area 0.0.0.0 interface lo0.0 passive set protocols ospf area 0.0.0.0 interface all set routing-instances VPN3 instance-type vrf set routing-instances VPN3 interface ge-0/0/2.0 set routing-instances VPN3 route-distinguisher 100:300 set routing-instances VPN3 vrf-target target:300:1 set routing-instances VPN3 vrf-table-label
Procédure
Procédure étape par étape
L’exemple suivant nécessite que vous naviguiez à différents niveaux dans la hiérarchie de configuration. Pour plus d’informations sur la navigation dans l’interface de ligne de commande, reportez-vous à la section Utilisation de l’éditeur CLI en mode de configuration dans le Guide de l’utilisateur de l’interface de ligne de commande.
Pour configurer le routeur R0 :
Configurez les interfaces du routeur R0, y compris l’interface de bouclage.
[edit interfaces] user@R0# set ge-0/0/0 unit 0 family inet address 192.0.2.1/24 user@R0# set ge-0/0/1 unit 0 family inet address 198.51.100.1/24 user@R0# set ge-0/0/2 vlan-tagging user@R0# set ge-0/0/2 unit 0 vlan-id 1 user@R0# set ge-0/0/2 unit 0 family inet address 172.16.0.1/16 user@R0# set lo0 unit 0 family inet address 10.1.1.1/32
Attribuez l’ID de routeur et le numéro du système autonome au routeur R0.
[edit routing-options] user@R0# set router-id 10.1.1.1 user@R0# set autonomous-system 100
Configurez l’appairage IBGP entre les routeurs.
[edit protocols] user@R0# set bgp group IBGP type internal user@R0# set bgp group IBGP local-address 10.1.1.1 user@R0# set bgp group IBGP family inet-vpn unicast user@R0# set bgp group IBGP neighbor 20.1.1.1 user@R0# set bgp group IBGP neighbor 30.1.1.1
Configurez OSPF sur toutes les interfaces du routeur R0, à l’exception de l’interface de gestion.
[edit protocols] user@R0# set ospf traffic-engineering user@R0# set ospf area 0.0.0.0 interface lo0.0 passive user@R0# set ospf area 0.0.0.0 interface all
Configurez RSVP sur toutes les interfaces du routeur R0, à l’exception de l’interface de gestion.
[edit protocols] user@R0# set rsvp interface all user@R0# set rsvp interface fxp0.0 disable
Activez la configuration dynamique du tunnel GRE basée sur le tronçon suivant sur le routeur R0.
[edit routing-options] user@R0# set dynamic-tunnels gre next-hop-based-tunnel
Configurez les paramètres dynamiques du tunnel GRE du routeur R0 au routeur R1.
[edit routing-options] user@R0# set dynamic-tunnels T1 source-address 192.0.2.1 user@R0# set dynamic-tunnels T1 gre user@R0# set dynamic-tunnels T1 destination-networks 192.0.2.0/24
Configurez les paramètres dynamiques du tunnel GRE du routeur R0 au routeur R2.
[edit routing-options] user@R0# set dynamic-tunnels T2 source-address 198.51.100.1 user@R0# set dynamic-tunnels T2 gre user@R0# set dynamic-tunnels T2 destination-networks 198.51.100.0/24
Configurez une instance de routage VRF (Virtual Routing and Forwarding) sur le routeur R0 et attribuez l’interface se connectant à l’hôte 1 à l’instance VRF.
[edit routing-instances] user@R0# set VPN1 instance-type vrf user@R0# set VPN1 route-distinguisher 100:100 user@R0# set VPN1 vrf-target target:100:1 user@R0# set VPN1 vrf-table-label user@R0# set VPN1 interface ge-0/0/2.0
Configurez une session BGP externe avec l’hôte 1 pour l’instance de routage VRF.
[edit routing-instances] user@R0# set VPN1 protocols bgp group External type external user@R0# set VPN1 protocols bgp group External family inet unicast user@R0# set VPN1 protocols bgp group External peer-as 200 user@R0# set VPN1 protocols bgp group External neighbor 172.16.0.1
Configurez la protection anti-usurpation d’identité pour l’instance de routage VRF sur le routeur R0. Cela active la vérification du transfert de chemin inverse pour les tunnels dynamiques basés sur les sauts suivants, T1 et T2, sur le routeur 0.
[edit routing-instances] user@R0# set VPN1 routing-options forwarding-table ip-tunnel-rpf-check mode strict
Résultats
À partir du mode de configuration, confirmez votre configuration en saisissant les show interfacescommandes , show routing-options, show protocolset show routing-options . Si la sortie n’affiche pas la configuration prévue, répétez les instructions de cet exemple pour corriger la configuration.
user@R0# show interfaces
ge-0/0/0 {
unit 0 {
family inet {
address 192.0.2.1/24;
}
}
}
ge-0/0/1 {
unit 0 {
family inet {
address 198.51.100.1/24;
}
}
}
ge-0/0/2 {
vlan-tagging;
unit 0 {
vlan-id 1;
family inet {
address 172.16.0.1/16;
}
}
}
lo0 {
unit 0 {
family inet {
address 10.1.1.1/32;
}
}
}
user@R0# show routing-options
router-id 10.1.1.1;
autonomous-system 100;
dynamic-tunnels {
gre next-hop-based-tunnel;
T1 {
source-address 192.0.2.1;
gre;
destination-networks {
192.0.2.0/24;
}
}
T2 {
source-address 198.51.100.1;
gre;
destination-networks {
198.51.100.0/24;
}
}
}
user@R0# show protocols
rsvp {
interface all;
interface fxp0.0 {
disable;
}
}
bgp {
group IBGP {
type internal;
local-address 10.1.1.1;
family inet-vpn {
unicast;
}
neighbor 20.1.1.1;
neighbor 30.1.1.1;
}
}
ospf {
traffic-engineering;
area 0.0.0.0 {
interface lo0.0 {
passive;
}
interface all;
}
}
user@R0# show routing-instances
VPN1 {
instance-type vrf;
interface ge-0/0/2.0;
route-distinguisher 100:100;
vrf-target target:100:1;
vrf-table-label;
routing-options {
forwarding-table {
ip-tunnel-rpf-check {
mode strict;
}
}
}
protocols {
bgp {
group External {
type external;
family inet {
unicast;
}
peer-as 200;
neighbor 172.16.0.1;
}
}
}
}
Vérification
Vérifiez que la configuration fonctionne correctement.
- Vérification de la configuration de base
- Vérification de la configuration dynamique du tunnel
- Vérification de la configuration de la protection contre l’usurpation d’identité
Vérification de la configuration de base
But
Vérifiez l’état d’appairage OSPF et BGP entre le routeur R0 et les routeurs R1 et R2.
Action
À partir du mode opérationnel, exécutez les show ospf neighbor commandes and show bgp summary.
user@R0> show ospf neighbor
Address Interface State ID Pri Dead
192.0.2.2 ge-0/0/0.0 Full 20.1.1.1 128 32
198.51.100.2 ge-0/0/1.0 Full 30.1.1.1 128 32
user@R0> show bgp summary
Groups: 2 Peers: 3 Down peers: 1
Table Tot Paths Act Paths Suppressed History Damp State Pending
bgp.l3vpn.0
0 0 0 0 0 0
Peer AS InPkt OutPkt OutQ Flaps Last Up/Dwn State|#Active/Received/Accepted/Damped...
20.1.1.1 100 182 178 0 0 1:20:27 Establ
bgp.l3vpn.0: 0/0/0/0
30.1.1.1 100 230 225 0 0 1:41:51 Establ
bgp.l3vpn.0: 0/0/0/0
172.16.0.1 200 0 0 0 0 1:42:08 EstablSens
Les sessions OSPF et BGP sont opérationnelles entre les routeurs R0, R1 et R2.
Vérification de la configuration dynamique du tunnel
But
Vérifiez l’état des tunnels GRE dynamiques basés sur le saut suivant entre le routeur R0 et les routeurs R1 et R2.
Action
À partir du mode opérationnel, exécutez les show route table inet.3commandes , et les show dynamic-tunnels database terse commandes.
user@R0> show route table inet.3
inet.3: 2 destinations, 2 routes (2 active, 0 holddown, 0 hidden)
+ = Active Route, - = Last Active, * = Both
192.0.2.0/24 *[Tunnel/300] 01:47:57
Tunnel
192.0.2.2/24 *[Tunnel/300] 01:47:57
Tunnel Composite
198.51.100.0/24 *[Tunnel/300] 01:47:57
Tunnel
198.51.100.2/24 *[Tunnel/300] 01:47:57
Tunnel Compositeuser@R0> show dynamic-tunnels database terse Table: inet.3 Destination-network: 192.0.2.0/24 Destination Source Next-hop Type Status 192.0.2.2/24 192.0.2.1 0xb395e70 nhid 612 gre Up Destination-network: 198.51.100.0/24 Destination Source Next-hop Type Status 198.51.100.2 198.51.100.1 0xb395e70 nhid 612 gre Up
Sens
Les deux tunnels GRE dynamiques basés sur les sauts suivants, le tunnel 1 et le tunnel 2, sont opérationnels.
Vérification de la configuration de la protection contre l’usurpation d’identité
But
Vérifiez que la vérification du transfert de chemin inverse a été activée sur l’instance de routage VRF sur le routeur R0.
Action
À partir du mode opérationnel, exécutez la show krt table VPN1.inet.0 detailcommande .
user@R0> show krt table VPN1.inet.0 detail
KRT tables:
VPN1.inet.0 : GF: 1 krt-index: 8 ID: 0 kernel-id: 8
flags: (null)
tunnel rpf config data : enable, strict, filter [0], 0x2
tunnel rpf tlv data : enable, strict, filter [0], 0x4
unicast reverse path: disabled
fast-reroute-priority: 0
Permanent NextHops
Multicast : 0 Broadcast : 0
Receive : 0 Discard : 0
Multicast Discard: 0 Reject : 0
Local : 0 Deny : 0
Table : 0Sens
La vérification configurée du transfert de chemin inverse est activée sur l’instance de routage VRF en mode strict.
Présentation de la localisation dynamique des tunnels basés sur les sauts suivants
Les tunnels dynamiques basés sur les sauts suivants comprennent les tunnels d’encapsulation de routage générique (GRE) et les tunnels MPLS sur UDP. Ces tunnels offrent un avantage en termes d’évolutivité par rapport aux tunnels basés sur des interfaces. Toutefois, contrairement aux tunnels basés sur des interfaces, les tunnels dynamiques basés sur le saut suivant sont de nature sans ancrage, c’est-à-dire que les informations de transfert des tunnels sont distribuées aux moteurs de transfert de paquets (PFE) sur chaque carte de ligne de l’équipement. Cela limite le nombre maximal de tunnels pris en charge sur l’équipement à la capacité de tunnel d’une seule carte de ligne. Grâce à la prise en charge de la localisation, vous pouvez configurer la localisation dynamique du tunnel basée sur le saut suivant afin de créer les informations de transfert uniquement sur le PFE d’une carte de ligne désignée comme PFE d’ancrage. Les PFE sur les autres cartes de ligne de l’équipement ont des informations de transfert d’état pour diriger les paquets vers le PFE d’ancrage. Cela offre un avantage d’évolutivité en augmentant le nombre maximal de tunnels pris en charge sur un appareil.
- Avantages de la localisation dynamique des tunnels basée sur les sauts suivants
- Cas d’utilisation de la localisation dynamique de tunnels basée sur les sauts suivants
- Gestion du trafic avec localisation de tunnels dynamiques basés sur les sauts suivants
- Configuration de la localisation des tunnels dynamiques basés sur les sauts suivants
- Dépannage des tunnels dynamiques localisés basés sur Next-Hop
- Fonctionnalités non prises en charge pour la localisation de tunnels dynamiques basés sur les sauts suivants
Avantages de la localisation dynamique des tunnels basée sur les sauts suivants
Offre un avantage d’évolutivité en augmentant le nombre maximal de tunnels pris en charge sur un appareil.
Cas d’utilisation de la localisation dynamique de tunnels basée sur les sauts suivants
Les périphériques de passerelle IPsec qui hébergent un certain nombre de MS-MPC sont utilisés pour terminer les tunnels IPSec et doivent prendre en charge une charge modérée. Cette prise en charge est affectée par l’utilisation de tunnels dynamiques basés sur le saut suivant lorsque la limite de mise à l’échelle de l’appareil est atteinte. Avec la localisation des tunnels dynamiques basés sur les sauts suivants, le nombre maximal de tunnels pris en charge augmente, ce qui permet à l’équipement d’accueillir plus de tunnels au prix d’un saut de fabric supplémentaire.
Pour les passerelles Internet ou VPN, telles qu’un centre de données virtuel sur un cloud public, les passerelles doivent communiquer avec un grand nombre de serveurs. Les serveurs du centre de données sont accessibles via des tunnels dynamiques basés sur les sauts suivants. La propriété anchorless des tunnels dynamiques limite le nombre total de mises à l’échelle de l’équipement. Les périphériques de passerelle hébergent plusieurs MPC, ce qui entraîne une augmentation des demandes de trafic. Grâce à la localisation des tunnels dynamiques basés sur les sauts suivants, les tunnels peuvent être répartis sur les MPC, ce qui facilite l’augmentation du nombre de tunnels de mise à l’échelle.
Gestion du trafic avec localisation de tunnels dynamiques basés sur les sauts suivants
Avec la prise en charge de la localisation, l’état de tunnel dynamique basé sur le saut suivant est localisé sur un moteur de transfert de paquets d’ancrage, et l’autre moteur de transfert de paquets a l’état de tunnel pour diriger le trafic vers l’ancre de tunnel.
Figure 4 illustre le chemin de transfert des tunnels dynamiques basés sur le saut suivant sans localisation.
Figure 5 illustre le chemin de transfert des tunnels dynamiques basés sur le saut suivant avec localisation.
Configuration de la localisation des tunnels dynamiques basés sur les sauts suivants
La prise en charge de la localisation peut être configurée pour les tunnels dynamiques basés sur le tronçon suivant nouvellement créés, ou pour les tunnels dynamiques non locaux existants.
- Configuration de la localisation pour les nouveaux tunnels dynamiques basés sur les sauts suivants
- Configuration de la localisation pour les tunnels dynamiques existants basés sur les sauts suivants
Configuration de la localisation pour les nouveaux tunnels dynamiques basés sur les sauts suivants
La localisation des tunnels dynamiques basés sur le saut suivant utilise une approche basée sur des stratégies pour spécifier les groupes de préfixes. En d’autres termes, les stratégies de routage sont utilisées pour appliquer les propriétés de localisation aux tunnels dynamiques basés sur le saut suivant. Les profils d’attributs de tunnel dynamiques sont créés et configurés sous les options de routage pour être associés au groupe de préfixes à l’aide de la stratégie.
Création de profils de tunnels dynamiques.
Le profil de tunnel dynamique spécifie le type de tunnel et les informations du moteur de transfert de paquets d’ancrage. Plusieurs profils de tunnels dynamiques peuvent être créés pour la localisation des tunnels dynamiques. Les valeurs du type de tunnel dynamique peuvent être GRE, UDP ou BGP-SIGNAL.
Bien que BGP-SIGNAL ne soit pas un type de tunnel valide, lorsque BGP-SIGNAL est attribué comme type de tunnel, les tunnels créés à partir des attributs BGP-signalled sont localisés. Lors de l’utilisation de BGP-SIGNAL, le type de tunnel est décidé en fonction du type annoncé par BGP dans son TLV. Les tunnels BGP-SIGNAL sont toujours des tunnels basés sur des sauts de suivi. Les tunnels GRE créés dynamiquement par BGP-SIGNAL sont toujours basés sur des sauts suivants, même si l’utilisateur a configuré manuellement les tunnels créés par GRE pour utiliser des IFL.
La valeur du moteur de transfert de paquets d’ancrage est la carte de ligne du moteur de transfert de paquets d’ancrage, par exemple, pfe-x/y/0. Ces informations peuvent être visualisées à partir de la sortie de la
show interfaces terse pfe*commande.Sample Configuration:
[edit routing-options] dynamic-tunnels { dynamic-tunnel-attributes attribute-1 { dynamic-tunnel-type <GRE | UDP | BGP-SIGNAL>; dynamic-tunnel-anchor-pfe pfe-1/0/0; } }Association d’un profil de tunnel dynamique à une liste de préfixes.
La configuration d’une stratégie avec
dynamic-tunnel-attributescomme action associe le tunnel dynamique à la liste de préfixes. L’action de stratégiefrompermet la création d’un tunnel avec des attributs spécifiés pour toute condition correspondante, telle qu’une plage de préfixes, une communauté ou une adresse source de routes BGP, etc.Sample configuration:
[edit policy-options] policy-statement policy-name { term term { from { <route-filter | next-hop | community>>; } then { dynamic-tunnel-attributes <attribute-name>; } } }Inclure la stratégie de tunnel sous la stratégie d’exportation de la table de transfert.
Une fois la stratégie configurée, elle est incluse dans la stratégie d’exportation de la table de transfert pour l’analyse de la stratégie.
À l’aide de la stratégie d’exportation, les attributs de tunnel sont associés à la route. Chaque fois qu’une route de BGP est mise en file d’attente pour résolution, la stratégie d’exportation de la table de transfert est évaluée et les attributs de tunnel sont obtenus à partir du module de stratégie en fonction des filtres appliqués. Les attributs de tunnel obtenus sont ensuite attachés au saut suivant sous la forme d’un saut suivant composite de tunnel. Les structures de transfert d’ancrage correspondantes, basées sur le nom et le type de tunnel du moteur de transfert de paquets, sont créées et envoyées à la table de transfert avant l’envoi d’un prochain saut composite de tunnel. Toutefois, si aucun des attributs n’est mappé au saut suivant composite du tunnel, la structure de transfert est créée sur chaque moteur de transfert de paquets, de la même manière que les tunnels dynamiques non localisés.
Sample configuration:
[edit routing-options] forwarding-table { export dynamic-tunnel; }
Configuration de la localisation pour les tunnels dynamiques existants basés sur les sauts suivants
Apporter des modifications à la volée aux attributs de tunnel dynamique peut entraîner un blocage du FPC en raison d’une utilisation élevée de la mémoire. Par conséquent, nous vous recommandons de désactiver la configuration des tunnels dynamiques avant de configurer la localisation.
Pour mettre à jour les attributs de tunnel des tunnels dynamiques existants basés sur le tronçon suivant, effectuez les opérations suivantes :
Désactivez
dynamic-tunnelsla configuration sous le niveau hiérarchique[edit routing-options].Sample configuration:
[edit routing-options] user@host# deactivate dynamic-tunnels user@host# commit
Modifiez les attributs de tunnel selon vos besoins.
Activez
dynamic-tunnelsla configuration sous le niveau hiérarchique[edit routing-options].Sample configuration:
[edit routing-options] user@host# activate dynamic-tunnels user@host# commit
Pour configurer la localisation des tunnels dynamiques next-hop non locaux existants :
Apporter des modifications à la volée pour configurer la localisation des tunnels dynamiques non locaux existants basés sur des sauts suivants peut entraîner un blocage du FPC en raison d’une utilisation élevée de la mémoire. Par conséquent, nous vous recommandons de désactiver la configuration des tunnels dynamiques avant de configurer la localisation.
Désactivez la
dynamic-tunnelsconfiguration au niveau de la[edit routing-options]hiérarchie.Créez un profil d’attributs de tunnel et ajoutez une stratégie pour localiser les tunnels dynamiques, de la même manière que les nouveaux tunnels dynamiques basés sur le saut suivant.
Activez la
dynamic-tunnelsconfiguration.
Dépannage des tunnels dynamiques localisés basés sur Next-Hop
Avec la localisation des tunnels dynamiques basés sur le tronçon suivant, les sauts suivants composites du tunnel sont associés aux ID du moteur de transfert de paquets d’ancrage. Les instructions de configuration traceroute suivantes au niveau de la hiérarchie facilitent le [edit routing-options] dépannage des tunnels dynamiques localisés :
dynamic-tunnels traceoptions flag all: suivi de la création et de la suppression de tunnels dans DTM.resolution traceoptions flag tunnel: suivi des opérations du résolveur sur la route BGP.forwarding-table traceoptions flag all: tunnels de suivi envoyés au noyau.traceoptions flag all—Suivi du processus d’apprentissage de l’itinéraire.
Les commandes suivantes peuvent être utilisées pour vérifier si un itinéraire utilise un tunnel dynamique localisé basé sur le saut suivant :
show route prefix extensive—Pour obtenir le saut suivant indirect.
Par exemple :
user@host> show route 1.2.3.4 extensive MPLS-over-UDP-PE1.inet.0: 24 destinations, 26 routes (24 active, 0 holddown, 0 hidden) 1.2.3.4/32 (1 entry, 1 announced) TSI: KRT in-kernel 1.2.3.4/32 -> {indirect(1048577)} Page 0 idx 1, (group pe1-ce1 type External) Type 1 val 0xb209a78 (adv_entry) Advertised metrics: Nexthop: Self AS path: [100] I Communities: target:600:1 encapsulation:mpls-in-udp(0xd)show krt indirect-next-hop index indirect-next-hop detail—Pour vérifier l’ancrage du champ Moteur de transfert de paquets dans la sortie détaillée du saut suivant indirect.
Par exemple :
user@host> show krt indirect-next-hop index 1048577 detail Indirect Nexthop detail: Index: 1048577 Protocol next-hop address: 1.1.1.6 RIB Table: bgp.l3vpn.0 Label: Push 299808 Policy Version: 2 References: 11 Locks: 3 0xb227980 Flags: 0x0 INH Session ID: 0x0 Ref RIB Table: unknown Export policy detail: (Dynamic tunnel hash : 309985522) Tunnel type: UDP, Reference count: 4, nhid: 1016 Destination address: 1.1.1.6, Source address: 1.1.1.2 Anchored-PFE: pfe-1/0/0 VPN Label: Push 299808, TTL action: prop-ttl IGP FRR Interesting proto count : 11 Chain IGP FRR Node Num : 1 IGP Resolver node(hex) : 0xc838b94 IGP Route handle(hex) : 0xb1d7674 IGP rt_entry protocol : Tunnel IGP Actual Route handle(hex) : 0x0 IGP Actual rt_entry protocol : Any
Fonctionnalités non prises en charge pour la localisation de tunnels dynamiques basés sur les sauts suivants
Junos OS ne prend pas en charge les fonctionnalités suivantes avec la localisation pour les tunnels dynamiques basés sur le saut suivant :
Sauts suivants composites chaînés au niveau de la
[edit routing-options forwarding-table chained-composite-next-hop ingress l3vpn]hiérarchie.Résilience du moteur de transfert de paquets Anchor.
Il n’existe pas de prise en charge de la résilience pour les tunnels dynamiques basés sur le saut suivant avec localisation. Après la localisation des tunnels dynamiques basés sur le saut suivant, le moteur de transfert Packer d’ancrage devient l’entité unique pour le traitement d’un tunnel donné sur l’appareil. Bien que la résilience du moteur de transfert packer d’ancrage ne soit pas prise en charge, pour les périphériques de passerelle, la redondance au niveau du périphérique de passerelle garantit que lorsque le moteur de transfert packer auquel le tronçon suivant composite de tunnel est délégué tombe en panne, le trafic doit être réacheminé vers le périphérique de passerelle redondant. Le processus de protocole de routage surveille l’état du moteur de transfert Packer et retire la publication BGP de toutes les routes pointant vers les prochains sauts composites du tunnel ancrés sur ce moteur de transfert Packer.
Seul le moteur de transfert de paquets ancré possède le saut suivant composite de tunnel à part entière et tous les autres moteurs de transfert de paquets n’ont que des entrées de direction pour transférer le trafic vers le moteur de transfert de paquets d’ancrage. Ces entrées de direction ne sont pas retirées lorsqu’un FPC d’ancrage descend.
La localisation des tunnels dynamiques basés sur le saut suivant n’est pas prise en charge sur les systèmes logiques.
IPv6 n’est pas pris en charge avec la localisation des tunnels dynamiques basés sur le saut suivant.
Avec la localisation, la commande n’affiche
show dynamic-tunnels database summarypas un résumé précis des tunnels lorsque l’état de la carte de ligne du moteur de transfert de paquets d’ancrage n’est pas actif. Pour contourner ce problème, utilisez la sortie de lashow dynamic-tunnels databasecommande andshow dynamic-tunnels database terse.
Présentation de la tunnelisation dynamique basée sur les sauts suivants à l’aide de l’encapsulation IP sur IP
- Avantages
- Qu’est-ce que la tunnelisation dynamique IP sur IP via Next Hop ?
- Interconnexion de tunnels IP sur IP
Avantages
La tunnelisation IP sur IP offre les avantages suivants :
-
Alternative to MPLS over UDP: peut être utilisé comme alternative à la tunnelisation MPLS sur UDP pour fournir un service IP dans lequel il existe un périphérique dédié par service.
-
Ability to steer specific traffic: permet une migration fluide lorsque les réseaux MPLS et IP coexistent, car les routes peuvent être filtrées pour diriger un trafic spécifique sur des tunnels IP plutôt que sur des tunnels MPLS.
-
Ability to support tunnels at increasing scale: la création dynamique de tunnels à l’aide du plan de contrôle BGP peut faciliter la création de tunnels à grande échelle.
Qu’est-ce que la tunnelisation dynamique IP sur IP via Next Hop ?
Un réseau IP contient des appareils périphériques et des équipements centraux. Pour obtenir une échelle et une fiabilité plus élevées entre ces équipements, vous devez isoler logiquement le réseau central du réseau externe avec lequel les équipements de périphérie interagissent, à l’aide d’une encapsulation de superposition.
À partir de Junos OS version 20.3R1, nous prenons en charge une encapsulation IP sur IP pour faciliter la construction d’une superposition IP sur un réseau de transport IP. L’IP sur IP s’appuie sur une infrastructure basée sur le prochain saut pour prendre en charge une échelle plus élevée. Cette fonctionnalité prend en charge l’encapsulation IPv4 des charges utiles IPv6 et IPv4. Parmi les autres encapsulations de superposition prises en charge, l’encapsulation IP sur IP est la seule qui permet :
-
les périphériques de transit pour analyser la charge utile interne et utiliser les champs de paquets internes pour le calcul du hachage
-
des appareils de périphérie client pour acheminer le trafic vers et depuis le tunnel sans aucune réduction de débit
Sur les routeurs MX Series, le démon RPD (Routing Protocol Daemon) envoie l’en-tête d’encapsulation avec le tunnel composite nexthop et le moteur de transfert de paquets (PFE) trouve l’adresse de destination du tunnel et transmet le paquet. Sur PTX Series routeurs et commutateurs QFX10000, RPD envoie au moteur de transfert de paquets un tunnel basé sur le prochain saut entièrement résolu. Le protocole BGP est utilisé pour distribuer des routes et signaler des tunnels dynamiques.
L’illustration suivante illustre comment le trafic IPv4 ou IPv6 est envoyé de R-1 à R-5 via un tunnel IP sur IP établi entre R-2 et R-4 :
Interconnexion de tunnels IP sur IP
Dans Junos OS version 21.3R1, nous introduisons l’assemblage de tunnels IP sur IP sur MX240, MX480, MX960, PTX1000, PTX10008, PTX10016 et QFX10002. Vous pouvez utiliser cette fonctionnalité pour mettre fin à un tunnel IP sur IP sur un périphérique et en initier un autre sur le même équipement. Lorsqu’un équipement reçoit le paquet IP sur IP, il désencapsule l’en-tête du paquet externe et une recherche interne du paquet a lieu. L’en-tête interne du paquet IP pointe ensuite vers un autre tunnel sur le même équipement, où le même périphérique encapsule à nouveau le paquet avec un autre en-tête IP sur IP.
Exemple : Configuration de tunnels dynamiques IP sur IP basés sur les sauts suivants
Découvrez comment configurer les tunnels basés sur les sauts suivants à l’aide de l’encapsulation IP sur IP.
- Conditions préalables
- Présentation
- Configuration de tunnels dynamiques IP sur IP avec un protocole Next Hop
- Exemple : Configuration d’un tunnel IPoIP dans un environnement MPLS avec tunnel LDP, résolu via inetcolor.0 à l’aide de la configuration statique
- Exemple : Configuration d’un tunnel IPoIP avec tunnel LDP dans un cloud MPLS, résolu via inetcolor.0 à l’aide de la signalisation BGP
- Vérification
Conditions préalables
Cet exemple utilise les composants matériels et logiciels suivants :
5 routeurs MX Series.
Junos OS version 20.3R1 ou ultérieure.
- Consultez l’explorateur de fonctionnalités pour connaître les plates-formes prises en charge.
Présentation
À partir de Junos OS version 20.3R1, nous prenons en charge une encapsulation IP sur IP pour faciliter la construction d’une superposition IP sur un réseau de transport IP. Cet exemple montre l’établissement de tunnels IP sur IP unicast entre des périphériques avec un protocole next hop (PNH) via un appairage IBGP entre R2 et R4, qui sont connectés via un cœur OSPF, pour échanger des routes et signaler des tunnels dynamiques.
Topologie
La figure 1 illustre un scénario IP sur IP avec 5 appareils.
Dans cet exemple, nous échangeons des routes de R1 à R5 et vice versa via des tunnels dynamiques IP sur IP établis entre R2 et R4. Les routes de R1 sont exportées vers R2 et les routes de R5 sont exportées vers R4, à l’aide du protocole IS-IS. Nous configurons un tunnel Tunnel-01 IPIP unicast de R2 à R4 et un autre tunnel Tunnel-01 de R4 à R2. Les préfixes de route qui sont générés dans les masques de réseau à partir des réseaux de destination configurés de l’appareil homologue sont utilisés pour créer le tunnel et le trafic circule dans la direction opposée aux routes dans le tunnel.
Configuration de tunnels dynamiques IP sur IP avec un protocole Next Hop
- Configuration rapide de l’interface de ligne de commande
- Configuration de tunnels dynamiques IP-IP à l’aide d’un saut suivant de protocole
Configuration rapide de l’interface de ligne de commande
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à la configuration de votre réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit] hiérarchie, puis entrez valider à partir du mode de configuration.
R1
set interfaces xe-0/2/0 unit 0 description R1-to-R2 set interfaces xe-0/2/0 unit 0 family inet address 192.168.12.1/30 set interfaces xe-0/2/0 unit 0 family iso set interfaces lo0 unit 0 family inet address 192.168.255.1/32 set interfaces lo0 unit 0 family iso address 49.0001.1920.1682.5501.00 set routing-options router-id 192.168.255.1 set protocols isis interface xe-0/2/0.0 set protocols isis interface lo0.0 set protocols isis level 1 disable
R2
set interfaces xe-0/2/0 description R2-to-R1 set interfaces xe-0/2/0 unit 0 family inet address 192.168.12.2/30 set interfaces xe-0/2/0 unit 0 family iso set interfaces xe-0/2/1 description R2-to-R3 set interfaces xe-0/2/1 unit 0 family inet address 10.1.23.1/30 set interfaces lo0 unit 0 family inet address 10.1.255.2/32 set interfaces lo0 unit 0 family iso address 49.0001.0010.1255.0002.00 set policy-options policy-statement export-bgp term t1 from protocol bgp set policy-options policy-statement export-bgp term t1 then accept set policy-options policy-statement export-isis term t1 from protocol isis set policy-options policy-statement export-isis term t1 then next-hop self set policy-options policy-statement export-isis term t1 then accept set routing-options resolution rib inet.0 resolution-ribs inet.3 set routing-options router-id 10.1.255.2 set routing-options autonomous-system 65000 set routing-options dynamic-tunnels Tunnel-01 source-address 10.1.255.2 set routing-options dynamic-tunnels Tunnel-01 ipip set routing-options dynamic-tunnels Tunnel-01 destination-networks 10.1.255.0/24 set protocols bgp group iBGP type internal set protocols bgp group iBGP local-address 10.1.255.2 set protocols bgp group iBGP family inet unicast set protocols bgp group iBGP export export-isis set protocols bgp group iBGP neighbor 10.1.255.4 set protocols isis interface xe-0/2/0.0 set protocols isis interface lo0.0 set protocols isis level 1 disable set protocols isis export export-bgp set protocols ospf area 0.0.0.0 interface xe-0/2/1.0 set protocols ospf area 0.0.0.0 interface lo0.0
R3
set interfaces xe-0/2/0 unit 0 description R3-to-R2 set interfaces xe-0/2/0 unit 0 family inet address 10.1.23.2/30 set interfaces xe-0/2/1 unit 0 description R3-to-R4 set interfaces xe-0/2/1 unit 0 family inet address 10.1.34.1/30 set interfaces lo0 unit 0 family inet address 10.1.255.3/32 set routing-options router-id 10.1.255.3 set protocols ospf area 0.0.0.0 interface xe-0/2/0.0 set protocols ospf area 0.0.0.0 interface xe-0/2/1.0 set protocols ospf area 0.0.0.0 interface lo0.0 passive
R4
set interfaces xe-0/2/0 unit 0 description R4-to-R3 set interfaces xe-0/2/0 unit 0 family inet address 10.1.34.2/30 set interfaces xe-0/2/1 unit 0 description R4-to-R5 set interfaces xe-0/2/1 unit 0 family inet address 192.168.45.1/30 set interfaces xe-0/2/1 unit 0 family iso set interfaces lo0 unit 0 family inet address 10.1.255.4/32 set interfaces lo0 unit 0 family iso address 49.0001.0010.1255.0004.00 set policy-options policy-statement export-bgp term t1 from protocol bgp set policy-options policy-statement export-bgp term t1 then accept set policy-options policy-statement export-isis term t1 from protocol isis set policy-options policy-statement export-isis term t1 then next-hop self set policy-options policy-statement export-isis term t1 then accept set routing-options resolution rib inet.0 resolution-ribs inet.3 set routing-options router-id 10.1.255.4 set routing-options autonomous-system 65000 set routing-options dynamic-tunnels Tunnel-01 source-address 10.1.255.4 set routing-options dynamic-tunnels Tunnel-01 ipip set routing-options dynamic-tunnels Tunnel-01 destination-networks 10.1.255.0/24 set protocols bgp group iBGP type internal set protocols bgp group iBGP local-address 10.1.255.4 set protocols bgp group iBGP family inet unicast set protocols bgp group iBGP export export-isis set protocols bgp group iBGP neighbor 10.1.255.2 set protocols isis interface xe-0/2/1.0 set protocols isis interface lo0.0 set protocols isis level 1 disable set protocols isis export export-bgp set protocols ospf area 0.0.0.0 interface xe-0/2/0.0 set protocols ospf area 0.0.0.0 interface lo0.0
R5
set interfaces xe-0/2/0 unit 0 description R5-to-R4 set interfaces xe-0/2/0 unit 0 family inet address 192.168.45.2/30 set interfaces xe-0/2/0 unit 0 family iso set interfaces lo0 unit 0 family inet address 192.168.255.5/32 set interfaces lo0 unit 0 family iso address 49.0001.1920.1682.5505.00 set routing-options router-id 192.168.255.5 set protocols isis interface xe-0/2/0.0 set protocols isis interface lo0.0 set protocols isis level 1 disable
Configuration de tunnels dynamiques IP-IP à l’aide d’un saut suivant de protocole
- Procédure étape par étape pour R1
- Procédure étape par étape pour R2
- Procédure étape par étape pour R3
- Résultats
Procédure étape par étape pour R1
R1 et R5 ont une configuration similaire, nous ne montrerons donc que la procédure étape par étape pour R1.
-
Passez en mode de configuration sur R1.
-
Configurez l’interface connectée à R2 et l’interface lo0. Assurez-vous de configurer à la fois family
inetetiso. La famille est nécessaire pour leisoprotocole IS-IS.[edit] user@R1# set interfaces xe-0/2/0 unit 0 description R1-to-R2 user@R1# set interfaces xe-0/2/0 unit 0 family inet address 192.168.12.1/30 user@R1# set interfaces xe-0/2/0 unit 0 family iso user@R1# set interfaces lo0 unit 0 family inet address 192.168.255.1/32 user@R1# set interfaces lo0 unit 0 family iso address 49.0001.1920.1682.5501.00
-
Configurez l’ID du routeur.
[edit] user@R1# set routing-options router-id 192.168.255.1
-
Configurez les protocoles IS-IS. Les routes sont annoncées entre R1 et R2 à l’aide du protocole IS-IS.
[edit] user@R1# set protocols isis interface xe-0/2/0.0 user@R1# set protocols isis interface lo0.0 user@R1# set protocols isis level 1 disable
-
Entrez
commitsur R1 à partir du mode de configuration.
Procédure étape par étape pour R2
R2 et R4 ont une configuration similaire, nous ne montrerons donc que la procédure étape par étape pour R2.
-
Entrez en mode de configuration sur R2.
-
Configurez les interfaces connectées à R1 et R3 et l’interface lo0. Assurez-vous de configurer à la fois la famille
inetetisosur l’interface connectée à R1 et lo0.[edit] user@R2# set interfaces xe-0/2/0 description R2-to-R1 user@R2# set interfaces xe-0/2/0 unit 0 family inet address 192.168.12.2/30 user@R2# set interfaces xe-0/2/0 unit 0 family iso user@R2# set interfaces xe-0/2/1 description R2-to-R3 user@R2# set interfaces xe-0/2/1 unit 0 family inet address 10.1.23.1/30 user@R2# set interfaces lo0 unit 0 family inet address 10.1.255.2/32 user@R2# set interfaces lo0 unit 0 family iso address 49.0001.0010.1255.0002.00
-
Configurez les protocoles IS-IS pour l’interface connectée à R1. La stratégie d’exportation permettant d’annoncer les routes BGP dans IS-IS s’affiche à l’étape de configuration de la stratégie.
[edit] user@R2# set protocols isis interface xe-0/2/0.0 user@R2# set protocols isis interface lo0.0 user@R2# set protocols isis level 1 disable user@R2# set protocols isis export export-bgp
-
Configurez le protocole OSPF pour l’interface connectée à R3 pour l’accessibilité lo0.
[edit] user@R2# set protocols ospf area 0.0.0.0 interface xe-0/2/1.0 user@R2# set protocols ospf area 0.0.0.0 interface lo0.0
-
Configurez les et
router-idautonomous-system, et IBGP entre R2 et R4. La stratégie d’exportation permettant d’annoncer les routes IS-IS dans BGP est indiquée à l’étape de configuration de la stratégie.[edit] user@R2# set routing-options router-id 10.1.255.2 user@R2# set routing-options autonomous-system 65000 user@R2# set protocols bgp group iBGP type internal user@R2# set protocols bgp group iBGP local-address 10.1.255.2 user@R2# set protocols bgp group iBGP family inet unicast user@R2# set protocols bgp group iBGP export export-isis user@R2# set protocols bgp group iBGP neighbor 10.1.255.4
-
Configurez les stratégies d’exportation BGP et IS-IS qui ont été appliquées au cours des étapes précédentes. La
export-bgpstratégie est appliquée aux protocoles IS-IS en tant qu’exportation pour annoncer les routes BGP dans IS-IS et laexport-isisstratégie est appliquée au BGP en tant qu’exportation pour annoncer les routes IS-IS dans BGP. L’option next-hop self permet à R2 d’annoncer les routes IS-IS dans BGP avec R2 comme tronçon suivant au lieu du tronçon suivant de l’interface R1.[edit] user@R2# set policy-options policy-statement export-bgp term t1 from protocol bgp user@R2# set policy-options policy-statement export-bgp term t1 then accept user@R2# set policy-options policy-statement export-isis term t1 from protocol isis user@R2# set policy-options policy-statement export-isis term t1 then next-hop self user@R2# set policy-options policy-statement export-isis term t1 then accept
-
Configurez le tunnel Tunnel-01 dynamique IP-IP de R2 à R4. L’option
resolution-ribs inet.3de configuration permet à la résolution de route d’avoir lieu dans inet.3 et est nécessaire pour établir le tunnel.[edit] user@R2# set routing-options resolution rib inet.0 resolution-ribs inet.3 user@R2# set routing-options dynamic-tunnels Tunnel-01 source-address 10.1.255.2 user@R2# set routing-options dynamic-tunnels Tunnel-01 ipip user@R2# set routing-options dynamic-tunnels Tunnel-01 destination-networks 10.1.255.0/24
-
(Facultatif) - Configuration alternative pour le tunnel Tunnel-01 dynamique IP-IP de R2 à R4. Au lieu de configurer le
resolution-ribs inet.3, vous pouvez configurer la préférence de tunnel inférieure à la préférence de saut suivant du protocole pour le chemin vers le point de terminaison du tunnel. La route pour R4 est apprise à l’aide d’OSPF et a une préférence de 10 et la préférence par défaut du tunnel est 305. Configurer la préférence tunnel inférieure à la préférence OSPF permet de privilégier et d’établir le tunnel.[edit] user@R2# set routing-options dynamic-tunnels Tunnel-01 source-address 10.1.255.2 user@R2# set routing-options dynamic-tunnels Tunnel-01 ipip user@R2# set routing-options dynamic-tunnels Tunnel-01 destination-networks 10.1.255.0/24 preference 9
-
Entrez
commità partir du mode de configuration sur R2.
Procédure étape par étape pour R3
-
Entrez en mode de configuration sur R3.
-
Configurez les interfaces connectées à R2 et R4 et l’interface lo0.
[edit] user@R3# set interfaces xe-0/2/0 unit 0 description R3-to-R2 user@R3# set interfaces xe-0/2/0 unit 0 family inet address 10.1.23.2/30 user@R3# set interfaces xe-0/2/1 unit 0 description R3-to-R4 user@R3# set interfaces xe-0/2/1 unit 0 family inet address 10.1.34.1/30 user@R3# set interfaces lo0 unit 0 family inet address 10.1.255.3/32
-
Configurez l’ID du routeur.
[edit] user@R3# set routing-options router-id 10.1.255.3
-
Configurez le protocole OSPF pour les interfaces connectées à R2 et R4 pour l’accessibilité lo0.
[edit] user@R3# set protocols ospf area 0.0.0.0 interface xe-0/2/0.0 user@R3# set protocols ospf area 0.0.0.0 interface xe-0/2/1.0 user@R3# set protocols ospf area 0.0.0.0 interface lo0.0 passive
-
Entrez
commità partir du mode de configuration sur l’appareil R3.
Résultats
Vérifiez votre configuration en vérifiant les configurations ci-dessous à partir des appareils comme suit :
Voici comment vous pouvez vérifier les configurations sur R2 :
user@R2# show interfaces
xe-0/2/0 {
description R2-to-R1;
unit 0 {
family inet {
address 192.168.12.2/30;
}
family iso;
}
}
xe-0/2/1 {
description R2-to-R3;
unit 0 {
family inet {
address 10.1.23.1/30;
}
}
}
lo0 {
unit 0 {
family inet {
address 10.1.255.2/32;
}
family iso {
address 49.0001.0010.1255.0002.00;
}
}
}
user@R2# show routing-options
resolution {
rib inet.0 {
resolution-ribs inet.3;
}
}
router-id 10.1.255.2;
autonomous-system 65000;
dynamic-tunnels {
Tunnel-01 {
source-address 10.1.255.2;
ipip;
destination-networks {
10.1.255.0/24;
}
}
}
user@R2# show protocols
bgp {
group iBGP {
type internal;
local-address 10.1.255.2;
family inet {
unicast;
}
export export-isis;
neighbor 10.1.255.4;
}
}
isis {
interface xe-0/2/0.0;
interface lo0.0;
level 1 disable;
export export-bgp;
}
ospf {
area 0.0.0.0 {
interface xe-0/2/1.0;
interface lo0.0;
}
}
user@R2# show policy-options
policy-statement export-bgp {
term t1 {
from protocol bgp;
then accept;
}
}
policy-statement export-isis {
term t1 {
from protocol isis;
then {
next-hop self;
accept;
}
}
}
Vérification
- Vérifier la base de données du tunnel dynamique
- Vérifier la table de routage dans inet.3
- Vérifier les routes BGP à l’aide du tunnel
- Vérifier l’accessibilité de bout en bout
Vérifier la base de données du tunnel dynamique
But
Pour vérifier les informations de la base de données du tunnel dynamique, utilisez la show dynamic-tunnels database commande mode opérationnel.
Action
user@R2> show dynamic-tunnels database
*- Signal Tunnels #- PFE-down
Table: inet.3
Destination-network: 10.1.255.0/24
Tunnel to: 10.1.255.4/32
Reference count: 3
Next-hop type: IPoIP (forwarding-nexthop)
Source address: 10.1.255.2
Next hop: tunnel-composite, 0x76b6c50, nhid 515
Reference count: 2
Ingress Route: [OSPF] 10.1.255.4/32, via metric 2
Traffic Statistics: Packets 0, Bytes 0
State: Up
Aggregate Traffic Statistics:
Tunnel Encapsulation: Dest 10.1.255.4, Src 10.1.255.2, IPoIP, Tunnel-Id 1
Traffic Statistics: Packets 0, Bytes 0 user@R4> show dynamic-tunnels database
*- Signal Tunnels #- PFE-down
Table: inet.3
Destination-network: 10.1.255.0/24
Tunnel to: 10.1.255.2/32
Reference count: 3
Next-hop type: IPoIP (forwarding-nexthop)
Source address: 10.1.255.4
Next hop: tunnel-composite, 0x76b6c50, nhid 513
Reference count: 2
Ingress Route: [OSPF] 10.1.255.2/32, via metric 2
Traffic Statistics: Packets 0, Bytes 0
State: Up
Aggregate Traffic Statistics:
Tunnel Encapsulation: Dest 10.1.255.2, Src 10.1.255.4, IPoIP, Tunnel-Id 1
Traffic Statistics: Packets 0, Bytes 0Sens
La sortie indique qu’un tunnel IPoIP est établi entre R2 (192.168.0.21 source) et R4 (192.168.0.41 destination) et qu’un autre tunnel IPoIP est établi entre R4 (192.168.0.41 source) et R2 (192.168.0.21 destination).
Vérifier la table de routage dans inet.3
But
Pour vérifier les routes générées sur la table inet.3, utilisez la show route table inet.3 commande mode opérationnel.
Action
user@R2> show route table inet.3
inet.3: 2 destinations, 2 routes (2 active, 0 holddown, 0 hidden)
+ = Active Route, - = Last Active, * = Both
10.1.255.0/24 *[Tunnel/305] 02:02:44
Tunnel
10.1.255.4/32 *[Tunnel/305] 02:02:44, metric 2
Tunnel Composite, IPoIP (src 10.1.255.2 dest 10.1.255.4)user@R4> show route table inet.3
inet.3: 2 destinations, 2 routes (2 active, 0 holddown, 0 hidden)
+ = Active Route, - = Last Active, * = Both
10.1.255.0/24 *[Tunnel/305] 6d 01:35:50
Tunnel
10.1.255.2/32 *[Tunnel/305] 6d 01:35:48, metric 2
Tunnel Composite, IPoIP (src 10.1.255.4 dest 10.1.255.2)Sens
La sortie indique la route utilisée pour résoudre le trafic BGP qui utilisera le tunnel.
Vérifier les routes BGP à l’aide du tunnel
But
Pour vérifier que les routes BGP reçues sur R2 et R4 pour R1 et R5 utilisent le tunnel.
Action
user@R2> show route protocol bgp
inet.0: 17 destinations, 17 routes (17 active, 0 holddown, 0 hidden)
+ = Active Route, - = Last Active, * = Both
192.168.255.5/32 *[BGP/170] 02:42:48, MED 10, localpref 100, from 10.1.255.4
AS path: I, validation-state: unverified
> via Tunnel Composite, IPoIP (src 10.1.255.2 dest 10.1.255.4)
inet.3: 2 destinations, 2 routes (2 active, 0 holddown, 0 hidden)
iso.0: 1 destinations, 1 routes (1 active, 0 holddown, 0 hidden)
inet6.0: 1 destinations, 1 routes (1 active, 0 holddown, 0 hidden)user@R4> show route protocol bgp
inet.0: 17 destinations, 17 routes (17 active, 0 holddown, 0 hidden)
+ = Active Route, - = Last Active, * = Both
192.168.255.1/32 *[BGP/170] 00:13:30, MED 10, localpref 100, from 10.1.255.2
AS path: I, validation-state: unverified
> via Tunnel Composite, IPoIP (src 10.1.255.4 dest 10.1.255.2)
inet.3: 2 destinations, 2 routes (2 active, 0 holddown, 0 hidden)
iso.0: 1 destinations, 1 routes (1 active, 0 holddown, 0 hidden)
inet6.0: 1 destinations, 1 routes (1 active, 0 holddown, 0 hidden)Sens
La sortie indique que R2 utilise le tunnel pour l’itinéraire BGP vers R5 et R4 utilise le tunnel pour l’itinéraire BGP vers R1.
Vérifier l’accessibilité de bout en bout
But
Vérifiez que R1 peut envoyer un ping à R5 à l’aide de la ping 192.168.255.5 source 192.168.255.1 count 2 commande mode opérationnel.
Action
user@R1>ping 192.168.255.5 source 192.168.255.1 count 2
PING 192.168.255.5 (192.168.255.5): 56 data bytes
64 bytes from 192.168.255.5: icmp_seq=0 ttl=62 time=5.565 ms
64 bytes from 192.168.255.5: icmp_seq=1 ttl=62 time=5.957 ms
--- 192.168.255.5 ping statistics ---
2 packets transmitted, 2 packets received, 0% packet loss
round-trip min/avg/max/stddev = 5.565/5.761/5.957/0.196 msSens
La sortie de R1 montre que R1 peut envoyer un ping à R5.
Exemple : Configuration d’un tunnel IPoIP dans un environnement MPLS avec tunnel LDP, résolu via inetcolor.0 à l’aide de la configuration statique
Par défaut, MPLS a une préférence plus élevée qu’IP. Par exemple, avec MPLS et LDP configurés entre R2, R3 et R4, où R2 est accessible avec R4 via LDP, les routes de R2 seront résolues via LDP, au lieu d’IP sur IP, en raison de la préférence plus élevée.
Si vous préférez avoir une route particulière pour résoudre via l’IP sur IP au lieu de LDP, vous pouvez le faire en créant une table inetcolor, où l’IP sur IP a une préférence plus élevée et en définissant BGP pour résoudre cette route sur la table inetcolor au lieu de la table inet3. L’exemple suivant vous montre comment procéder à l’aide de la configuration statique.
Topologie
Dans cet exemple, nous échangeons des routes de R1 à R5 et vice versa via des tunnels dynamiques IP sur IP établis entre R2 et R4. Les routes de R1 sont exportées vers R2 et les routes de R5 sont exportées vers R4, à l’aide du protocole IS-IS. Nous configurons un tunnel Tunnel-01 IPIP unicast de R2 à R4 et un autre tunnel Tunnel-01 de R4 à R2. Les préfixes de route générés dans les masques réseau à partir des réseaux de destination configurés de l’appareil homologue sont utilisés pour créer le tunnel et le trafic circule dans la direction opposée aux routes dans le tunnel.
Configuration rapide de l’interface de ligne de commande
R1
set interfaces xe-0/2/0 unit 0 description R1-to-R2 set interfaces xe-0/2/0 unit 0 family inet address 192.168.12.1/30 set interfaces xe-0/2/0 unit 0 family iso set interfaces lo0 unit 0 family inet address 192.168.255.1/32 set interfaces lo0 unit 0 family iso address 49.0001.1920.1682.5501.00 set routing-options router-id 192.168.255.1 set protocols isis interface xe-0/2/0.0 set protocols isis interface lo0.0 set protocols isis level 1 disable
R2
set interfaces xe-0/2/0 description R2-to-R1 set interfaces xe-0/2/0 unit 0 family inet address 192.168.12.2/30 set interfaces xe-0/2/0 unit 0 family iso set interfaces xe-0/2/1 description R2-to-R3 set interfaces xe-0/2/1 unit 0 family inet address 10.1.23.1/30 set interfaces xe-0/2/1 unit 0 family mpls set interfaces lo0 unit 0 family inet address 10.1.255.2/32 set interfaces lo0 unit 0 family iso address 49.0001.0010.1255.0002.00 set policy-options policy-statement export-bgp term t1 from protocol bgp set policy-options policy-statement export-bgp term t1 then accept set policy-options policy-statement export-isis term t1 from protocol isis set policy-options policy-statement export-isis term t1 then next-hop self set policy-options policy-statement export-isis term t1 then accept set policy-options policy-statement ipip-tunnel-color term term-01 from route-filter 192.168.255.5/32 exact set policy-options policy-statement ipip-tunnel-color term term-01 then community add red set policy-options policy-statement ipip-tunnel-color term term-01 then accept set policy-options policy-statement set-dynamic-tunnel-ep term t1 from route-filter 10.1.255.4/32 exact set policy-options policy-statement set-dynamic-tunnel-ep term t1 then tunnel-end-point-address 10.1.255.4 set policy-options policy-statement set-dynamic-tunnel-ep term t1 then accept set policy-options community red members color:0:100 set routing-options router-id 10.1.255.2 set routing-options autonomous-system 65000 set routing-options dynamic-tunnels Tunnel-01 source-address 10.1.255.2 set routing-options dynamic-tunnels Tunnel-01 ipip set routing-options dynamic-tunnels Tunnel-01 destination-networks 10.1.255.0/24 dyn-tunnel-attribute-policy set-dynamic-tunnel-ep set routing-options dynamic-tunnels Tunnel-01 destination-networks 10.1.255.0/24 colors 100 set protocols bgp group iBGP type internal set protocols bgp group iBGP local-address 10.1.255.2 set protocols bgp group iBGP import ipip-tunnel-color set protocols bgp group iBGP family inet unicast extended-nexthop-color set protocols bgp group iBGP export export-isis set protocols bgp group iBGP neighbor 10.1.255.4 set protocols isis interface xe-0/2/0.0 set protocols isis interface lo0.0 set protocols isis level 1 disable set protocols isis export export-bgp set protocols ldp interface xe-0/2/1.0 set protocols mpls interface xe-0/2/1.0 set protocols ospf area 0.0.0.0 interface xe-0/2/1.0 set protocols ospf area 0.0.0.0 interface lo0.0
R3
set interfaces xe-0/2/0 unit 0 description R3-to-R2 set interfaces xe-0/2/0 unit 0 family inet address 10.1.23.2/30 set interfaces xe-0/2/0 unit 0 family mpls set interfaces xe-0/2/1 unit 0 description R3-to-R4 set interfaces xe-0/2/1 unit 0 family inet address 10.1.34.1/30 set interfaces xe-0/2/1 unit 0 family mpls set interfaces lo0 unit 0 family inet address 10.1.255.3/32 set routing-options router-id 10.1.255.3 set protocols ldp interface xe-0/2/0.0 set protocols ldp interface xe-0/2/1.0 set protocols mpls interface xe-0/2/0.0 set protocols mpls interface xe-0/2/1.0 set protocols ospf area 0.0.0.0 interface xe-0/2/0.0 set protocols ospf area 0.0.0.0 interface xe-0/2/1.0 set protocols ospf area 0.0.0.0 interface lo0.0 passive
R4
set interfaces xe-0/2/0 unit 0 description R4-to-R3 set interfaces xe-0/2/0 unit 0 family inet address 10.1.34.2/30 set interfaces xe-0/2/0 unit 0 family mpls set interfaces xe-0/2/1 unit 0 description R4-to-R5 set interfaces xe-0/2/1 unit 0 family inet address 192.168.45.1/30 set interfaces xe-0/2/1 unit 0 family iso set interfaces lo0 unit 0 family inet address 10.1.255.4/32 set interfaces lo0 unit 0 family iso address 49.0001.0010.1255.0004.00 set policy-options policy-statement export-bgp term t1 from protocol bgp set policy-options policy-statement export-bgp term t1 then accept set policy-options policy-statement export-isis term t1 from protocol isis set policy-options policy-statement export-isis term t1 then next-hop self set policy-options policy-statement export-isis term t1 then accept set policy-options policy-statement ipip-tunnel-color term term-01 from route-filter 192.168.255.1/32 exact set policy-options policy-statement ipip-tunnel-color term term-01 then community add red set policy-options policy-statement ipip-tunnel-color term term-01 then accept set policy-options policy-statement set-dynamic-tunnel-ep term t1 from route-filter 10.1.255.2/32 exact set policy-options policy-statement set-dynamic-tunnel-ep term t1 then tunnel-end-point-address 10.1.255.2 set policy-options policy-statement set-dynamic-tunnel-ep term t1 then accept set policy-options community red members color:0:100 set routing-options router-id 10.1.255.4 set routing-options autonomous-system 65000 set routing-options dynamic-tunnels Tunnel-01 source-address 10.1.255.4 set routing-options dynamic-tunnels Tunnel-01 ipip set routing-options dynamic-tunnels Tunnel-01 destination-networks 10.1.255.0/24 dyn-tunnel-attribute-policy set-dynamic-tunnel-ep set routing-options dynamic-tunnels Tunnel-01 destination-networks 10.1.255.0/24 colors 100 set protocols bgp group iBGP type internal set protocols bgp group iBGP local-address 10.1.255.4 set protocols bgp group iBGP import ipip-tunnel-color set protocols bgp group iBGP family inet unicast extended-nexthop-color set protocols bgp group iBGP export export-isis set protocols bgp group iBGP neighbor 10.1.255.2 set protocols isis interface xe-0/2/1.0 set protocols isis interface lo0.0 set protocols isis level 1 disable set protocols isis export export-bgp set protocols ldp interface xe-0/2/0.0 set protocols mpls interface xe-0/2/0.0 set protocols ospf area 0.0.0.0 interface xe-0/2/0.0 set protocols ospf area 0.0.0.0 interface lo0.0
R5
set interfaces xe-0/2/0 unit 0 description R5-to-R4 set interfaces xe-0/2/0 unit 0 family inet address 192.168.45.2/30 set interfaces xe-0/2/0 unit 0 family iso set interfaces lo0 unit 0 family inet address 192.168.255.5/32 set interfaces lo0 unit 0 family iso address 49.0001.1920.1682.5505.00 set routing-options router-id 192.168.255.5 set protocols isis interface xe-0/2/0.0 set protocols isis interface lo0.0 set protocols isis level 1 disable
Procédure
- Procédure étape par étape pour R1
- Procédure étape par étape pour R2
- Procédure étape par étape pour R3
- Résultats
Procédure étape par étape pour R1
R1 et R5 ont une configuration similaire, nous ne montrerons donc que la procédure étape par étape pour R1.
-
Passez en mode de configuration sur R1.
-
Configurez l’interface connectée à R2 et l’interface lo0. Assurez-vous de configurer à la fois family
inetetiso. La famille est nécessaire pour leisoprotocole IS-IS.[edit] user@R1# set interfaces xe-0/2/0 unit 0 description R1-to-R2 user@R1# set interfaces xe-0/2/0 unit 0 family inet address 192.168.12.1/30 user@R1# set interfaces xe-0/2/0 unit 0 family iso user@R1# set interfaces lo0 unit 0 family inet address 192.168.255.1/32 user@R1# set interfaces lo0 unit 0 family iso address 49.0001.1920.1682.5501.00
-
Configurez l’ID du routeur.
[edit] user@R1# set routing-options router-id 192.168.255.1
-
Configurez les protocoles IS-IS. Les routes sont annoncées entre R1 et R2 à l’aide du protocole IS-IS.
[edit] user@R1# set protocols isis interface xe-0/2/0.0 user@R1# set protocols isis interface lo0.0 user@R1# set protocols isis level 1 disable
-
Entrez
commitsur R1 à partir du mode de configuration.
Procédure étape par étape pour R2
R2 et R4 ont une configuration similaire, nous ne montrerons donc que la procédure étape par étape pour R2.
-
Entrez en mode de configuration sur R2.
-
Configurez les interfaces connectées à R1 et R3 et l’interface lo0. Assurez-vous de configurer à la fois la famille
inetetisosur l’interface connectée à R1 et lo0, et de configurer à la fois la familleinetetmplssur l’interface connectée à R3.[edit] user@R2# set interfaces xe-0/2/0 description R2-to-R1 user@R2# set interfaces xe-0/2/0 unit 0 family inet address 192.168.12.2/30 user@R2# set interfaces xe-0/2/0 unit 0 family iso user@R2# set interfaces xe-0/2/1 description R2-to-R3 user@R2# set interfaces xe-0/2/1 unit 0 family inet address 10.1.23.1/30 user@R2# set interfaces xe-0/2/0 unit 0 family mpls user@R2# set interfaces lo0 unit 0 family inet address 10.1.255.2/32 user@R2# set interfaces lo0 unit 0 family iso address 49.0001.0010.1255.0002.00
-
Configurez les protocoles IS-IS pour l’interface connectée à R1. La stratégie d’exportation permettant d’annoncer les routes BGP dans IS-IS s’affiche à l’étape de configuration de la stratégie.
[edit] user@R2# set protocols isis interface xe-0/2/0.0 user@R2# set protocols isis interface lo0.0 user@R2# set protocols isis level 1 disable user@R2# set protocols isis export export-bgp
-
Configurez le protocole OSPF pour l’interface connectée à R3 pour l’accessibilité lo0.
[edit] user@R2# set protocols ospf area 0.0.0.0 interface xe-0/2/1.0 user@R2# set protocols ospf area 0.0.0.0 interface lo0.0
-
Configurez les protocoles LDP et MPLS pour l’interface connectée à R3.
[edit] user@R2# set protocols ldp interface xe-0/2/1.0 user@R2# set protocols mpls interface xe-0/2/1.0
-
Configurez le
router-idetautonomous-systemsous larouting-optionshiérarchie, puis configurez IBGP entre R2 et R4. La stratégie d’importation permettant d’ajouter une communauté aux routes apprises à l’aide de BGP et la stratégie d’exportation permettant d’annoncer les routes IS-IS dans BGP sont affichées à l’étape de configuration de la stratégie. Assurez-vous d’inclureextended-nexthop-colorl’option à lafamily inet unicastconfiguration pour permettre la résolution à l’aide de la table inetcolor.0.[edit] user@R2# set routing-options router-id 10.1.255.2 user@R2# set routing-options autonomous-system 65000 user@R2# set protocols bgp group iBGP type internal user@R2# set protocols bgp group iBGP local-address 10.1.255.2 user@R2# set protocols bgp group iBGP import ipip-tunnel-color user@R2# set protocols bgp group iBGP family inet unicast extended-nexthop-color user@R2# set protocols bgp group iBGP export export-isis user@R2# set protocols bgp group iBGP neighbor 10.1.255.4
-
Configurez le tunnel Tunnel-01 dynamique IP-IP de R2 à R4. L’option
colorsde configuration permet de créer le tunnel dans la table de routage inetcolor.0. Ledyn-tunnel-attribute-policyset-dynamic-tunnel-ep configure un point de terminaison de tunnel statique. La stratégie s’affiche avec l’étape de configuration de la stratégie.[edit] user@R2# set routing-options dynamic-tunnels Tunnel-01 source-address 10.1.255.2 user@R2# set routing-options dynamic-tunnels Tunnel-01 ipip user@R2# set routing-options dynamic-tunnels Tunnel-01 destination-networks 10.1.255.0/24 dyn-tunnel-attribute-policy set-dynamic-tunnel-ep user@R2# set routing-options dynamic-tunnels Tunnel-01 destination-networks 10.1.255.0/24 colors 100
-
Configurez les stratégies qui ont été appliquées lors des étapes de configuration précédentes. La export-bgp stratégie annonce les routes BGP vers IS-IS. La export-isis stratégie annonce les routes IS-IS dans BGP en remplaçant le saut suivant par R2. La ipip-tunnel-color stratégie applique la communauté à l’itinéraire sur lequel il est mis en correspondance dans la
colorsconfiguration du tunnel dynamique. La set-dynamic-tunnel-ep stratégie configure R4 comme point de terminaison de tunnel.[edit] user@R2# set policy-options policy-statement export-bgp term t1 from protocol bgp user@R2# set policy-options policy-statement export-bgp term t1 then accept user@R2# set policy-options policy-statement export-isis term t1 from protocol isis user@R2# set policy-options policy-statement export-isis term t1 then next-hop self user@R2# set policy-options policy-statement export-isis term t1 then accept user@R2# set policy-options policy-statement ipip-tunnel-color term term-01 from route-filter 192.168.255.5/32 exact user@R2# set policy-options policy-statement ipip-tunnel-color term term-01 then community add red user@R2# set policy-options policy-statement ipip-tunnel-color term term-01 then accept user@R2# set policy-options policy-statement set-dynamic-tunnel-ep term t1 from route-filter 10.1.255.4/32 exact user@R2# set policy-options policy-statement set-dynamic-tunnel-ep term t1 then tunnel-end-point-address 10.1.255.4 user@R2# set policy-options policy-statement set-dynamic-tunnel-ep term t1 then accept user@R2# set policy-options community red members color:0:100
-
Entrez
commità partir du mode de configuration.
Procédure étape par étape pour R3
-
Entrez en mode de configuration sur R3.
-
Configurez les interfaces connectées à R2 et R4 et l’interface lo0. Assurez-vous de configurer à la fois la famille
inetetmplssur les interfaces connectées à R2 et R4.[edit] user@R3# set interfaces xe-0/2/0 unit 0 description R3-to-R2 user@R3# set interfaces xe-0/2/0 unit 0 family inet address 10.1.23.2/30 user@R3# set interfaces xe-0/2/0 unit 0 family mpls user@R3# set interfaces xe-0/2/1 unit 0 description R3-to-R4 user@R3# set interfaces xe-0/2/1 unit 0 family inet address 10.1.34.1/30 user@R3# set interfaces xe-0/2/1 unit 0 family mpls user@R3# set interfaces lo0 unit 0 family inet address 10.1.255.3/32
-
Configurez l’ID du routeur.
[edit] user@R3# set routing-options router-id 10.1.255.3
-
Configurez le protocole OSPF pour les interfaces connectées à R2 et R4 pour l’accessibilité lo0.
[edit] user@R3# set protocols ospf area 0.0.0.0 interface xe-0/2/0.0 user@R3# set protocols ospf area 0.0.0.0 interface xe-0/2/1.0 user@R3# set protocols ospf area 0.0.0.0 interface lo0.0 passive
-
Configurez les protocoles LDP et MPLS pour les interfaces connectées à R2 et R4.
[edit] user@R2# set protocols ldp interface xe-0/2/0.0 user@R2# set protocols ldp interface xe-0/2/1.0 user@R2# set protocols mpls interface xe-0/2/0.0 user@R2# set protocols mpls interface xe-0/2/1.0
-
Entrez
commità partir du mode de configuration sur l’appareil R3.
Résultats
Vérifiez votre configuration en consultant les configurations ci-dessous sur les appareils.
Voici comment vous pouvez vérifier les configurations sur R2 :
user@R2# show interfaces
xe-0/2/0 {
description R2-to-R1;
unit 0 {
family inet {
address 192.168.12.2/30;
}
family iso;
}
}
xe-0/2/1 {
description R2-to-R3;
unit 0 {
family inet {
address 10.1.23.1/30;
}
family mpls;
}
}
lo0 {
apply-groups-except global;
unit 0 {
family inet {
address 10.1.255.2/32;
}
family iso {
address 49.0001.0010.1255.0002.00;
}
}
}user@R2# show protocols
bgp {
group iBGP {
type internal;
local-address 10.1.255.2;
import ipip-tunnel-color;
family inet {
unicast {
extended-nexthop-color;
}
}
export export-isis;
neighbor 10.1.255.4;
}
}
isis {
interface xe-0/2/0.0;
interface lo0.0;
level 1 disable;
export export-bgp;
}
ldp {
interface xe-0/2/1.0;
}
mpls {
interface xe-0/2/1.0;
}
ospf {
area 0.0.0.0 {
interface xe-0/2/1.0;
interface lo0.0;
}
}
user@R2#show routing-options
router-id 10.1.255.2;
autonomous-system 65000;
dynamic-tunnels {
Tunnel-01 {
source-address 10.1.255.2;
ipip;
destination-networks {
10.1.255.0/24 {
dyn-tunnel-attribute-policy set-dynamic-tunnel-ep;
colors 100;
}
}
}
}
user@R2#show policy-options
policy-statement export-bgp {
term t1 {
from protocol bgp;
then accept;
}
}
policy-statement export-isis {
term t1 {
from protocol isis;
then {
next-hop self;
accept;
}
}
}
policy-statement ipip-tunnel-color {
term term-01 {
from {
route-filter 192.168.255.5/32 exact;
}
then {
community add red;
accept;
}
}
}
policy-statement set-dynamic-tunnel-ep {
term t1 {
from {
route-filter 10.1.255.4/32 exact;
}
then {
tunnel-end-point-address 10.1.255.4;
accept;
}
}
}
community red members color:0:100;
Vérification
- Vérifier la résolution de route
- Vérifier la base de données du tunnel dynamique
- Vérifier l’itinéraire Sauts suivants
- Vérifier l’accessibilité de bout en bout
Vérifier la résolution de route
But
Pour vérifier la résolution de route des routes dans les tables inet.3 et inetcolor.0, utilisez les show route table inet.3 commandes et show route table inetcolor.0 en mode opérationnel.
Action
user@R2> show route table inet.3
inet.3: 3 destinations, 4 routes (3 active, 0 holddown, 0 hidden)
+ = Active Route, - = Last Active, * = Both
10.1.255.0/24 *[Tunnel/305] 00:12:21
Tunnel
10.1.255.3/32 *[LDP/9] 1d 19:37:01, metric 1
> to 10.1.23.2 via xe-0/2/1.0
10.1.255.4/32 *[LDP/9] 1d 19:32:25, metric 1
> to 10.1.23.2 via xe-0/2/1.0, Push 299792
[Tunnel/305] 00:13:38, metric 2
Tunnel Composite, IPoIP (src 10.1.255.2 dest 10.1.255.4)user@R2> show route table inetcolor.0
inetcolor.0: 2 destinations, 2 routes (2 active, 0 holddown, 0 hidden)
+ = Active Route, - = Last Active, * = Both
10.1.255.0-0<c>/24
*[Tunnel/305] 00:13:26
Tunnel
10.1.255.4-100<c>/64
*[Tunnel/305] 00:13:26, metric 2
Tunnel Composite, IPoIP (src 10.1.255.2 dest 10.1.255.4-100<c>)Sens
La sortie R2 indique que sur la table inet.3, la route 10.1.255.4 est résolue par LDP en raison d’une préférence plus élevée que IP sur IP. D’autre part, dans la table inetcolor.0 nouvellement créée, la route 10.1.255.4 est résolue par le biais d’un tunnel IP sur IP avec <c> jointed.
Vérifier la base de données du tunnel dynamique
But
Pour vérifier le tunnel dynamique IP sur IP créé par les routes de la table inetcolor.0, utilisez la show dynamic-tunnels database terse commande mode opérationnel.
Action
user@R2>show dynamic-tunnels database terse
*- Signal Tunnels #- PFE-down
Table: inet.3
Destination-network: 10.1.255.0/24
*- Signal Tunnels #- PFE-down
Table: inetcolor.0
Destination-network: 10.1.255.0-0<c>/24
Destination Source Next-hop Type Status
10.1.255.4-100<c>/64 10.1.255.2 0x76b71cc nhid 592 IPoIP Up (via metric 2, tunnel-endpoint 10.1.255.4)Sens
La sortie R2 indique que l’itinéraire 192.168.0.41 a créé un tunnel dynamique basé sur le saut suivant.
Vérifier l’itinéraire Sauts suivants
But
Pour vérifier tous les sauts suivants de la route qui est configurée pour être résolue via IP sur IP, utilisez la show route 192.168.255.5 extensive expanded-nh commande mode opérationnel.
Action
user@R2>show route 192.168.255.5 extensive expanded-nh
inet.0: 18 destinations, 18 routes (18 active, 0 holddown, 0 hidden)
192.168.255.5/32 (1 entry, 1 announced)
Installed-nexthop:
Indr Composite (0x76b7238) 10.1.255.4-100<c>
Krt_cnh (0x6fb1928) Index:593
Krt_inh (0x7164d3c) Index:1048575 PNH: 10.1.255.4-100<c>
Tun-comp (0x76b71cc) Index:592 IPoIP src 10.1.255.2 dest 10.1.255.4-100<c> tunnel-endpoint 10.1.255.4
TSI:
KRT in-kernel 192.168.255.5/32 -> {composite(593)}
IS-IS level 2, LSP fragment 0
*BGP Preference: 170/-101
Next hop type: Indirect, Next hop index: 0
Address: 0x76b7238
Next-hop reference count: 2
Source: 10.1.255.4
Next hop type: Tunnel Composite, Next hop index: 592
Next hop: via Tunnel Composite, IPoIP (src 10.1.255.2 dest 10.1.255.4-100<c> tunnel-endpoint 10.1.255.4), selected
Protocol next hop: 10.1.255.4-100<c>
Composite next hop: 0x6fb1928 593 INH Session ID: 0
Indirect next hop: 0x7164d3c 1048575 INH Session ID: 0
State: <Active Int Ext>
Local AS: 65000 Peer AS: 65000
Age: 20:14 Metric: 10 Metric2: 2
Validation State: unverified
Task: BGP_65000.10.1.255.4
Announcement bits (2): 0-KRT 5-IS-IS
AS path: I
Communities: color:0:100
Accepted
Localpref: 100
Router ID: 10.1.255.4
Route-nexthop:
Indr (0x76b7238) 10.1.255.4-100<c>
Krt_cnh (0x6fb1928) Index:593
Krt_inh (0x7164d3c) Index:1048575
Tun-comp (0x76b71cc) Index:592
Thread: junos-main
Composite next hops: 1
Protocol next hop: 10.1.255.4-100<c> Metric: 2
Composite next hop: 0x6fb1928 593 INH Session ID: 0
Indirect next hop: 0x7164d3c 1048575 INH Session ID: 0
Indirect path forwarding next hops: 1
Next hop type: Tunnel Composite
Tunnel type: IPoIP, (forwarding-nexthop), Reference count: 2, nhid: 592
Destination address: 10.1.255.4-100<c>, Source address: 10.1.255.2
Tunnel endpoint: 10.1.255.4
10.1.255.4-100<c>/64 Originating RIB: inetcolor.0
Metric: 2 Node path count: 1
Forwarding nexthops: 1
Next hop type: Tunnel Composite
Tunnel type: IPoIP, (extended-attr), Reference count: 1, nhid: 0
Destination address: 10.1.255.4-100<c>, Source address: 10.1.255.2
Sens
La sortie de R2 affiche le tronçon suivant développé pour l’itinéraire 192.168.255.5 . Comme R2 est un routeur MX Series, il envoie un prochain saut de protocole et un saut suivant indirect.
Vérifier l’accessibilité de bout en bout
But
Vérifiez que R1 peut envoyer un ping à R5 à l’aide de la ping 192.168.255.5 source 192.168.255.1 count 2 commande mode opérationnel.
Action
user@R1>ping 192.168.255.5 source 192.168.255.1 count 2
PING 192.168.255.5 (192.168.255.5): 56 data bytes
64 bytes from 192.168.255.5: icmp_seq=0 ttl=62 time=6.009 ms
64 bytes from 192.168.255.5: icmp_seq=1 ttl=62 time=5.398 ms
--- 192.168.255.5 ping statistics ---
2 packets transmitted, 2 packets received, 0% packet loss
round-trip min/avg/max/stddev = 5.398/5.704/6.009/0.306 msSens
La sortie de R1 montre que R1 peut envoyer un ping à R5.
Exemple : Configuration d’un tunnel IPoIP avec tunnel LDP dans un cloud MPLS, résolu via inetcolor.0 à l’aide de la signalisation BGP
Dans un environnement MPLS sur lequel le protocole LDP est activé, les routes BGP sont résolues via le protocole LDP sur la table inet.3, car le protocole MPLS a une préférence supérieure à celle de l’adresse IP.
Si vous préférez toujours que vos routes soient résolues par IP sur IP dans l’environnement MPLS, vous pouvez le faire en créant une table inetcolor.0 qui attribue une préférence plus élevée pour IP sur IP et résout les routes choisies via IP sur IP. Pour activer cette fonctionnalité à l’aide de BGP, la résolution de route est effectuée sur l’extrémité distante du tunnel et, avec la stratégie d’exportation configurée sur l’équipement distant, les routes sont reçues et annoncées via la signalisation BGP. Cet exemple montre comment configurer cela à l’aide de la configuration du protocole BGP.
Dans cet exemple, nous échangeons des routes de R1 à R5 et vice versa via des tunnels dynamiques IP sur IP établis entre R2 et R4. Les routes de R1 sont exportées vers R2 et les routes de R5 sont exportées vers R4, à l’aide du protocole IS-IS. Nous configurons un tunnel Tunnel-01 IPIP unicast de R2 à R4 et un autre tunnel Tunnel-01 de R4 à R2. Les préfixes de route générés dans les masques réseau à partir des réseaux de destination configurés de l’appareil homologue sont utilisés pour créer le tunnel et le trafic circule dans la direction opposée aux routes dans le tunnel.
Configuration rapide de l’interface de ligne de commande
R1
set interfaces xe-0/2/0 unit 0 description R1-to-R2 set interfaces xe-0/2/0 unit 0 family inet address 192.168.12.1/30 set interfaces xe-0/2/0 unit 0 family iso set interfaces lo0 unit 0 family inet address 192.168.255.1/32 set interfaces lo0 unit 0 family iso address 49.0001.1920.1682.5501.00 set routing-options router-id 192.168.255.1 set protocols isis interface xe-0/2/0.0 set protocols isis interface lo0.0 set protocols isis level 1 disable
R2
set interfaces xe-0/2/0 description R2-to-R1 set interfaces xe-0/2/0 unit 0 family inet address 192.168.12.2/30 set interfaces xe-0/2/0 unit 0 family iso set interfaces xe-0/2/1 description R2-to-R3 set interfaces xe-0/2/1 unit 0 family inet address 10.1.23.1/30 set interfaces xe-0/2/1 unit 0 family mpls set interfaces lo0 unit 0 family inet address 10.1.255.2/32 set interfaces lo0 unit 0 family iso address 49.0001.0010.1255.0002.00 set policy-options policy-statement export-bgp term t1 from protocol bgp set policy-options policy-statement export-bgp term t1 then accept set policy-options policy-statement export-tunnel-route term t1 from route-filter 192.168.255.1/32 exact set policy-options policy-statement export-tunnel-route term t1 then tunnel-attribute set tunnel-attr-01 set policy-options policy-statement export-tunnel-route term t1 then next-hop self set policy-options policy-statement export-tunnel-route term t1 then accept set policy-options tunnel-attribute tunnel-attr-01 tunnel-type ipip set policy-options tunnel-attribute tunnel-attr-01 tunnel-color 100 set policy-options tunnel-attribute tunnel-attr-01 remote-end-point 10.1.255.4 set routing-options router-id 10.1.255.2 set routing-options autonomous-system 65000 set routing-options dynamic-tunnels Tunnel-01 source-address 10.1.255.2 set routing-options dynamic-tunnels Tunnel-01 bgp-signal set routing-options dynamic-tunnels Tunnel-01 destination-networks 10.1.255.0/24 colors 100 set protocols bgp group iBGP type internal set protocols bgp group iBGP local-address 10.1.255.2 set protocols bgp group iBGP family inet unicast extended-nexthop-tunnel set protocols bgp group iBGP export export-tunnel-route set protocols bgp group iBGP neighbor 10.1.255.4 set protocols isis interface xe-0/2/0.0 set protocols isis interface lo0.0 set protocols isis level 1 disable set protocols isis export export-bgp set protocols ldp interface xe-0/2/1.0 set protocols mpls interface xe-0/2/1.0 set protocols ospf area 0.0.0.0 interface xe-0/2/1.0 set protocols ospf area 0.0.0.0 interface lo0.0
R3
set interfaces xe-0/2/0 unit 0 description R3-to-R2 set interfaces xe-0/2/0 unit 0 family inet address 10.1.23.2/30 set interfaces xe-0/2/0 unit 0 family mpls set interfaces xe-0/2/1 unit 0 description R3-to-R4 set interfaces xe-0/2/1 unit 0 family inet address 10.1.34.1/30 set interfaces xe-0/2/1 unit 0 family mpls set interfaces lo0 unit 0 family inet address 10.1.255.3/32 set routing-options router-id 10.1.255.3 set protocols ldp interface xe-0/2/0.0 set protocols ldp interface xe-0/2/1.0 set protocols mpls interface xe-0/2/0.0 set protocols mpls interface xe-0/2/1.0 set protocols ospf area 0.0.0.0 interface xe-0/2/0.0 set protocols ospf area 0.0.0.0 interface xe-0/2/1.0 set protocols ospf area 0.0.0.0 interface lo0.0 passive
R4
set interfaces xe-0/2/0 unit 0 description R4-to-R3 set interfaces xe-0/2/0 unit 0 family inet address 10.1.34.2/30 set interfaces xe-0/2/0 unit 0 family mpls set interfaces xe-0/2/1 unit 0 description R4-to-R5 set interfaces xe-0/2/1 unit 0 family inet address 192.168.45.1/30 set interfaces xe-0/2/1 unit 0 family iso set interfaces lo0 unit 0 family inet address 10.1.255.4/32 set interfaces lo0 unit 0 family iso address 49.0001.0010.1255.0004.00 set policy-options policy-statement export-bgp term t1 from protocol bgp set policy-options policy-statement export-bgp term t1 then accept set policy-options policy-statement export-tunnel-route term t1 from route-filter 192.168.255.5/32 exact set policy-options policy-statement export-tunnel-route term t1 then tunnel-attribute set tunnel-attr-01 set policy-options policy-statement export-tunnel-route term t1 then next-hop self set policy-options policy-statement export-tunnel-route term t1 then accept set policy-options tunnel-attribute tunnel-attr-01 tunnel-type ipip set policy-options tunnel-attribute tunnel-attr-01 tunnel-color 100 set policy-options tunnel-attribute tunnel-attr-01 remote-end-point 10.1.255.2 set routing-options router-id 10.1.255.4 set routing-options autonomous-system 65000 set routing-options dynamic-tunnels Tunnel-01 source-address 10.1.255.4 set routing-options dynamic-tunnels Tunnel-01 bgp-signal set routing-options dynamic-tunnels Tunnel-01 destination-networks 10.1.255.0/24 colors 100 set protocols bgp group iBGP type internal set protocols bgp group iBGP local-address 10.1.255.4 set protocols bgp group iBGP family inet unicast extended-nexthop-tunnel set protocols bgp group iBGP export export-tunnel-route set protocols bgp group iBGP neighbor 10.1.255.2 set protocols isis interface xe-0/2/1.0 set protocols isis interface lo0.0 set protocols isis level 1 disable set protocols isis export export-bgp set protocols ldp interface xe-0/2/0.0 set protocols mpls interface xe-0/2/0.0 set protocols ospf area 0.0.0.0 interface xe-0/2/0.0 set protocols ospf area 0.0.0.0 interface lo0.0
R5
set interfaces xe-0/2/0 unit 0 description R5-to-R4 set interfaces xe-0/2/0 unit 0 family inet address 192.168.45.2/30 set interfaces xe-0/2/0 unit 0 family iso set interfaces lo0 unit 0 family inet address 192.168.255.5/32 set interfaces lo0 unit 0 family iso address 49.0001.1920.1682.5505.00 set routing-options router-id 192.168.255.5 set protocols isis interface xe-0/2/0.0 set protocols isis interface lo0.0 set protocols isis level 1 disable
Procédure
- Procédure étape par étape pour R1
- Procédure étape par étape pour R2
- Procédure étape par étape pour R3
Procédure étape par étape pour R1
R1 et R5 ont une configuration similaire, nous ne montrerons donc que la procédure étape par étape pour R1.
-
Passez en mode de configuration sur R1.
-
Configurez l’interface connectée à R2 et l’interface lo0. Assurez-vous de configurer à la fois family
inetetiso. La famille est nécessaire pour leisoprotocole IS-IS.[edit] user@R1# set interfaces xe-0/2/0 unit 0 description R1-to-R2 user@R1# set interfaces xe-0/2/0 unit 0 family inet address 192.168.12.1/30 user@R1# set interfaces xe-0/2/0 unit 0 family iso user@R1# set interfaces lo0 unit 0 family inet address 192.168.255.1/32 user@R1# set interfaces lo0 unit 0 family iso address 49.0001.1920.1682.5501.00
-
Configurez l’ID du routeur.
[edit] user@R1# set routing-options router-id 192.168.255.1
-
Configurez les protocoles IS-IS. Les routes sont annoncées entre R1 et R2 à l’aide du protocole IS-IS.
[edit] user@R1# set protocols isis interface xe-0/2/0.0 user@R1# set protocols isis interface lo0.0 user@R1# set protocols isis level 1 disable
-
Entrez
commitsur R1 à partir du mode de configuration.
Procédure étape par étape pour R2
R2 et R4 ont une configuration similaire, nous ne montrerons donc que la procédure étape par étape pour R2.
-
Entrez en mode de configuration sur R2.
-
Configurez les interfaces connectées à R1 et R3 et l’interface lo0. Assurez-vous de configurer à la fois la famille
inetetisosur l’interface connectée à R1 et lo0, et de configurer à la fois la familleinetetmplssur l’interface connectée à R3.[edit] user@R2# set interfaces xe-0/2/0 description R2-to-R1 user@R2# set interfaces xe-0/2/0 unit 0 family inet address 192.168.12.2/30 user@R2# set interfaces xe-0/2/0 unit 0 family iso user@R2# set interfaces xe-0/2/1 description R2-to-R3 user@R2# set interfaces xe-0/2/1 unit 0 family inet address 10.1.23.1/30 user@R2# set interfaces xe-0/2/0 unit 0 family mpls user@R2# set interfaces lo0 unit 0 family inet address 10.1.255.2/32 user@R2# set interfaces lo0 unit 0 family iso address 49.0001.0010.1255.0002.00
-
Configurez les protocoles IS-IS pour l’interface connectée à R1. La stratégie d’exportation permettant d’annoncer les routes BGP dans IS-IS s’affiche à l’étape de configuration de la stratégie.
[edit] user@R2# set protocols isis interface xe-0/2/0.0 user@R2# set protocols isis interface lo0.0 user@R2# set protocols isis level 1 disable user@R2# set protocols isis export export-bgp
-
Configurez le protocole OSPF pour l’interface connectée à R3 pour l’accessibilité lo0.
[edit] user@R2# set protocols ospf area 0.0.0.0 interface xe-0/2/1.0 user@R2# set protocols ospf area 0.0.0.0 interface lo0.0
-
Configurez les protocoles LDP et MPLS pour l’interface connectée à R3.
[edit] user@R2# set protocols ldp interface xe-0/2/1.0 user@R2# set protocols mpls interface xe-0/2/1.0
-
Configurez le
router-idetautonomous-systemsous larouting-optionshiérarchie, puis configurez IBGP entre R2 et R4. La stratégie d’importation permettant d’ajouter une communauté aux routes apprises à l’aide de BGP et la stratégie d’exportation permettant d’annoncer les routes IS-IS dans BGP et de définir les attributs de tunnel sont indiquées à l’étape de configuration de la stratégie. Assurez-vous d’inclure l’optionextended-nexthop-tunnelavec lafamily inet unicastconfiguration pour permettre la résolution à l’aide de la table inetcolor.0.[edit] user@R2# set routing-options router-id 10.1.255.2 user@R2# set routing-options autonomous-system 65000 user@R2# set protocols bgp group iBGP type internal user@R2# set protocols bgp group iBGP local-address 10.1.255.2 user@R2# set protocols bgp group iBGP family inet unicast extended-nexthop-tunnel user@R2# set protocols bgp group iBGP export export-tunnel-route user@R2# set protocols bgp group iBGP neighbor 10.1.255.4
-
Configurez les options de routage sur R2 pour créer un tunnel de R2 à R4. L’option
bgp-signalactive la création de tunnel signalée par BGP. L’optioncolorsde configuration permet de créer le tunnel dans la table de routage inetcolor.0.[edit] user@R2# set routing-options dynamic-tunnels Tunnel-01 source-address 10.1.255.2 user@R2# set routing-options dynamic-tunnels Tunnel-01 bgp-signal user@R2# set routing-options dynamic-tunnels Tunnel-01 destination-networks 10.1.255.0/24 colors 100
-
Configurez les stratégies qui ont été appliquées lors des étapes de configuration précédentes. La export-bgp stratégie annonce les routes BGP vers IS-IS. La export-tunnel-route stratégie annonce la route IS-IS de R1 vers BGP avec le
tunnel-attributeet remplace le saut suivant par R2. Le tunnel-attr-01tunnel-attributedéfinit letunnel-type, le point de terminaison du tunnel et la couleur correspondant à on dans lacolorsconfiguration du tunnel dynamique.[edit] user@R2# set policy-options policy-statement export-bgp term t1 from protocol bgp user@R2# set policy-options policy-statement export-bgp term t1 then accept user@R2# set policy-options policy-statement export-tunnel-route term t1 from route-filter 192.168.255.1/32 exact user@R2# set policy-options policy-statement export-tunnel-route term t1 then tunnel-attribute set tunnel-attr-01 user@R2# set policy-options policy-statement export-tunnel-route term t1 then next-hop self user@R2# set policy-options policy-statement export-tunnel-route term t1 then accept user@R2# set policy-options tunnel-attribute tunnel-attr-01 tunnel-type ipip user@R2# set policy-options tunnel-attribute tunnel-attr-01 tunnel-color 100 user@R2# set policy-options tunnel-attribute tunnel-attr-01 remote-end-point 10.1.255.4
-
Entrez
commità partir du mode de configuration.
Procédure étape par étape pour R3
-
Entrez en mode de configuration sur R3.
-
Configurez les interfaces connectées à R2 et R4 et l’interface lo0. Assurez-vous de configurer à la fois la famille
inetetmplssur les interfaces connectées à R2 et R4.[edit] user@R3# set interfaces xe-0/2/0 unit 0 description R3-to-R2 user@R3# set interfaces xe-0/2/0 unit 0 family inet address 10.1.23.2/30 user@R3# set interfaces xe-0/2/0 unit 0 family mpls user@R3# set interfaces xe-0/2/1 unit 0 description R3-to-R4 user@R3# set interfaces xe-0/2/1 unit 0 family inet address 10.1.34.1/30 user@R3# set interfaces xe-0/2/1 unit 0 family mpls user@R3# set interfaces lo0 unit 0 family inet address 10.1.255.3/32
-
Configurez l’ID du routeur.
[edit] user@R3# set routing-options router-id 10.1.255.3
-
Configurez le protocole OSPF pour les interfaces connectées à R2 et R4 pour l’accessibilité lo0.
[edit] user@R3# set protocols ospf area 0.0.0.0 interface xe-0/2/0.0 user@R3# set protocols ospf area 0.0.0.0 interface xe-0/2/1.0 user@R3# set protocols ospf area 0.0.0.0 interface lo0.0 passive
-
Configurez les protocoles LDP et MPLS pour les interfaces connectées à R2 et R4.
[edit] user@R2# set protocols ldp interface xe-0/2/0.0 user@R2# set protocols ldp interface xe-0/2/1.0 user@R2# set protocols mpls interface xe-0/2/0.0 user@R2# set protocols mpls interface xe-0/2/1.0
-
Entrez
commità partir du mode de configuration sur l’appareil R3.
Résultats
Vous pouvez vérifier vos configurations à l’aide des commandes show suivantes à partir du mode configuration.
Voici comment vous pouvez vérifier les configurations sur l’appareil R2 :
user@R2# show interfaces
xe-0/2/0 {
description R2-to-R1;
unit 0 {
family inet {
address 192.168.12.2/30;
}
family iso;
}
}
xe-0/2/1 {
description R2-to-R3;
unit 0 {
family inet {
address 10.1.23.1/30;
}
family mpls;
}
}
lo0 {
apply-groups-except global;
unit 0 {
family inet {
address 10.1.255.2/32;
}
family iso {
address 49.0001.0010.1255.0002.00;
}
}
}user@R2# show protocols
bgp {
group iBGP {
type internal;
local-address 10.1.255.2;
family inet {
unicast {
extended-nexthop-tunnel;
}
}
export export-tunnel-route;
neighbor 10.1.255.4;
}
}
isis {
interface xe-0/2/0.0;
interface lo0.0;
level 1 disable;
export export-bgp;
}
ldp {
interface xe-0/2/1.0;
}
mpls {
interface xe-0/2/1.0;
}
ospf {
area 0.0.0.0 {
interface xe-0/2/1.0;
interface lo0.0;
}
}user@R2# show routing-options
router-id 10.1.255.2;
autonomous-system 65000;
dynamic-tunnels {
Tunnel-01 {
source-address 10.1.255.2;
bgp-signal;
destination-networks {
10.1.255.0/24 colors 100;
}
}
}
user@R2# show policy-options
policy-statement export-bgp {
term t1 {
from protocol bgp;
then accept;
}
}
policy-statement export-tunnel-route {
term t1 {
from {
route-filter 192.168.255.1/32 exact;
}
then {
tunnel-attribute set tunnel-attr-01;
next-hop self;
accept;
}
}
}
tunnel-attribute tunnel-attr-01 {
tunnel-type ipip;
tunnel-color 100;
remote-end-point 10.1.255.4;
}
Vérification
- Vérifier les routes BGP
- Vérifier les itinéraires reçus
- Vérification du tunnel dynamique
- Vérifier la résolution de route
- Vérifier l’accessibilité de bout en bout
Vérifier les routes BGP
But
Vérifiez les routes envoyées à l’aide du protocole BGP.
Action
R2
user@R2> show route protocol bgp
inet.0: 18 destinations, 18 routes (18 active, 0 holddown, 0 hidden)
+ = Active Route, - = Last Active, * = Both
192.168.255.5/32 *[BGP/170] 01:21:51, MED 10, localpref 100, from 10.1.255.4
AS path: I, validation-state: unverified
> via Tunnel Composite, IPoIP (src 10.1.255.2 dest 10.1.255.4-100<c> tunnel-endpoint 10.1.255.2)
inet.3: 3 destinations, 3 routes (3 active, 0 holddown, 0 hidden)
iso.0: 1 destinations, 1 routes (1 active, 0 holddown, 0 hidden)
mpls.0: 7 destinations, 7 routes (7 active, 0 holddown, 0 hidden)
inet6.0: 1 destinations, 1 routes (1 active, 0 holddown, 0 hidden)
inetcolor.0: 2 destinations, 2 routes (2 active, 0 holddown, 0 hidden)Sens
La sortie affiche les routes à partir de BGP.
Vérifier les itinéraires reçus
But
Vérifiez les routes reçues via BGP à l’aide des commandes de mode opérationnel suivantes.
Action
R2
user@R2> show route receive-protocol bgp 10.1.255.4 192.168.255.5 extensive
inet.0: 18 destinations, 18 routes (18 active, 0 holddown, 0 hidden)
* 192.168.255.5/32 (1 entry, 1 announced)
Accepted
Nexthop: 10.1.255.4
MED: 10
Localpref: 100
AS path: I
Tunnel type: ipip, Tunnel color: 100, Remote end point: 10.1.255.2Sens
La sortie R2 indique les routes reçues sur les périphériques.
Vérification du tunnel dynamique
But
Vérifiez que le tunnel dynamique est actif et que BGP a été signalé.
Action
R2
user@R2> show dynamic-tunnels database
*- Signal Tunnels #- PFE-down
Table: inet.3
Destination-network: 10.1.255.0/24
*- Signal Tunnels #- PFE-down
Table: inetcolor.0
Destination-network: 10.1.255.0-0<c>/24
Tunnel to: 10.1.255.4-100<c>/64
Reference count: 3
Next-hop type: IPoIP (bgp-signalled forwarding-nexthop) Tunnel-endpoint: 10.1.255.2
Source address: 10.1.255.2
Next hop: tunnel-composite, 0x76b7238, nhid 592
Reference count: 2
Ingress Route: [OSPF] 10.1.255.4/32, via metric 2
Tunnel Endpoint Ingress Route: [Direct] 10.1.255.2/32
Traffic Statistics: Packets 0, Bytes 0
State: Up
Aggregate Traffic Statistics:
Tunnel Encapsulation: Dest 10.1.255.2, Src 10.1.255.2, IPoIP, Tunnel-Id 1
Traffic Statistics: Packets 0, Bytes 0 Sens
La sortie R2 indique que le tunnel est actif et que BGP est signalé.
Vérifier la résolution de route
But
Pour vérifier la résolution de route de la route dans la table inetcolor.0, utilisez les commandes du show route table inetcolor.0 mode opérationnel.
Action
user@R2> show route table inetcolor.0
inetcolor.0: 2 destinations, 2 routes (2 active, 0 holddown, 0 hidden)
+ = Active Route, - = Last Active, * = Both
10.1.255.0-0<c>/24
*[Tunnel/305] 01:33:33
Tunnel
10.1.255.4-100<c>/64
*[Tunnel/305] 01:28:44, metric 2
Tunnel Composite, BGP-Signal (src 10.1.255.2 dest 10.1.255.4-100<c>)Sens
La sortie R2 indique que le tunnel vers 10.1.255.4 est signalé BGP.
Vérifier l’accessibilité de bout en bout
But
Vérifiez que R1 peut envoyer un ping à R5 à l’aide de la ping 192.168.255.5 source 192.168.255.1 count 2 commande mode opérationnel.
Action
user@R1>ping 192.168.255.5 source 192.168.255.1 count 2
PING 192.168.255.5 (192.168.255.5): 56 data bytes
64 bytes from 192.168.255.5: icmp_seq=0 ttl=63 time=2.784 ms
64 bytes from 192.168.255.5: icmp_seq=1 ttl=63 time=1.904 ms
--- 192.168.255.5 ping statistics ---
2 packets transmitted, 2 packets received, 0% packet loss
round-trip min/avg/max/stddev = 1.904/2.344/2.784/0.440 msSens
La sortie de R1 montre que R1 peut envoyer un ping à R5.
Tableau de l'historique des modifications
La prise en charge des fonctionnalités est déterminée par la plateforme et la version que vous utilisez. Utilisez l' Feature Explorer pour déterminer si une fonctionnalité est prise en charge sur votre plateforme.