SCU avec configuration vpn de couche 3
Configuration du SCU dans un VPN de couche 3
Figure 1 affiche une topologie VPN de couche 3. Les routeurs CE1 et CE2 sont des routeurs de périphérie client (CE) connectés par un VPN via les routeurs PE1, P0 et PE2 des fournisseurs. EBGP est établi entre les routeurs CE1 et PE1, IBGP connecte les routeurs PE1 et PE2 sur un cœur IS-IS/MPLS/LDP, et une deuxième connexion EBGP circule entre les routeurs PE2 et CE2.
Sur le routeur CE1, commencez par configurer une connexion EBGP à PE1. Installez une route statique et annoncez-la auprès de 10.114.1.0/24 votre voisin EBGP.
Routeur CE1
[edit]
interfaces {
ge-0/0/0 {
unit 0 {
family inet {
address 10.20.250.1/30;
}
}
}
}
routing-options {
static {
route 10.114.1.0/24 reject;
}
autonomous-system 100;
}
protocols {
bgp {
group to-pe1 {
local-address 10.20.250.1;
export inject-direct;
peer-as 300;
neighbor 10.20.250.2;
}
}
}
policy-options {
policy-statement inject-direct {
term 1 {
from {
protocol static;
route-filter 10.114.1.0/24 exact;
}
then accept;
}
term 2 {
from protocol direct;
then accept;
}
}
}
Sur PE1, complétez la connexion EBGP au CE1 via une instance de routage VRF. Définissez une stratégie d’exportation pour votre instance VRF qui place le trafic BGP dans une communauté, et une stratégie d’importation qui accepte comme le trafic communautaire de votre voisin VPN. Enfin, configurez une relation IBGP avec le routeur PE2 qui s’exécute sur un cœur IS-IS, MPLS et LDP.
Routeur PE1
[edit]
interfaces {
ge-0/0/1 {
unit 0 {
family inet {
address 10.20.250.2/30;
}
}
}
so-0/2/1 {
unit 0 {
family inet {
address 10.20.251.1/30;
}
family iso;
family mpls;
}
}
lo0 {
unit 0 {
family inet {
address 10.250.245.245/32;
}
family iso;
family mpls;
}
}
}
routing-options {
autonomous-system 300;
}
protocols {
mpls {
interface so-0/2/1;
}
bgp {
group ibgp {
type internal;
local-address 10.250.245.245;
family inet-vpn {
unicast;
}
neighbor 10.250.71.14;
}
}
isis {
interface so-0/2/1;
}
ldp {
interface so-0/2/1;
}
}
policy-options {
policy-statement red-import {
from {
protocol bgp;
community red-com;
}
then accept;
}
policy-statement red-export {
from protocol bgp;
then {
community add red-com;
accept;
}
}
community red-com members target:20:20;
}
routing-instances {
red {
instance-type vrf;
interface ge-0/0/1.0;
route-distinguisher 10.250.245.245:100;
vrf-import red-import;
vrf-export red-export;
protocols {
bgp {
group to-ce1 {
local-address 10.20.250.2;
peer-as 100;
neighbor 10.20.250.1;
}
}
}
}
}
Sur P0, connectez les voisins IBGP situés à PE1 et PE2. N’oubliez pas d’inclure des protocoles vpn (MPLS, LDP et IGP) sur toutes les interfaces.
Routeur P0
[edit]
interfaces {
so-0/1/0 {
unit 0 {
family inet {
address 10.20.252.1/30;
}
family iso;
family mpls;
}
}
so-0/2/0 {
unit 0 {
family inet {
address 10.20.251.2/30;
}
family iso;
family mpls;
}
}
lo0 {
unit 0 {
family inet {
address 10.250.245.246/32;
}
family iso;
family mpls;
}
}
}
routing-options {
autonomous-system 300;
}
protocols {
mpls {
interface so-0/1/0;
interface so-0/2/0;
}
isis {
interface all;
}
ldp {
interface all;
}
}
Sur PE2, complétez la relation IBGP avec le routeur PE1. Établissez une connexion EBGP au CE2 via une instance de routage VRF. Définissez une stratégie d’exportation pour l’instance VRF qui place le trafic BGP dans une communauté, et une stratégie d’importation qui accepte comme le trafic communautaire du voisin VPN. Ensuite, établissez une stratégie qui ajoute le routage statique de CE1 à une classe source appelée GOLD1. Exportez également cette stratégie SCU dans la table de transfert. Enfin, définissez votre vt interface en tant qu’interface d’entrée SCU et établissez l’interface so-0/0/0 orientée CE en tant qu’interface de sortie SCU.
Routeur PE2
[edit]
interfaces {
so-0/1/1 {
unit 0 {
family inet {
address 10.20.252.2/30;
}
family iso;
family mpls;
}
}
so-0/0/0 {
unit 0 {
family inet {
accounting {
source-class-usage {
output;
}
}
address 10.20.253.1/30;
}
}
}
vt-4/1/0 {
unit 0 {
family inet {
accounting {
source-class-usage {
input;
}
}
address 10.250.71.14/32;
}
family iso;
family mpls;
}
}
}
routing-options {
autonomous-system 300;
forwarding-table {
export inject-customer2-dest-class;
}
}
protocols {
mpls {
interface so-0/1/1;
interface vt-4/1/0;
}
bgp {
group ibgp {
type internal;
local-address 10.250.71.14;
family inet-vpn {
unicast;
}
neighbor 10.250.245.245;
}
}
isis {
interface so-0/1/1;
}
ldp {
interface so-0/1/1;
}
}
routing-instances {
red {
instance-type vrf;
interface so-0/0/0.0;
interface vt-4/1/0.0;
route-distinguisher 10.250.71.14:100;
vrf-import red-import;
vrf-export red-export;
protocols {
bgp {
group to-ce2 {
local-address 10.20.253.1;
peer-as 400;
neighbor 10.20.253.2;
}
}
}
}
}
policy-options {
policy-statement red-import {
from {
protocol bgp;
community red-com;
}
then accept;
}
policy-statement red-export {
from protocol bgp;
then {
community add red-com;
accept;
}
}
policy-statement inject-customer2-dest-class {
term term-gold1-traffic {
from {
route-filter 10.114.1.0/24 exact;
}
then source-class GOLD1;
}
}
community red-com members target:20:20;
}
Sur le routeur CE2, complétez le chemin VPN en terminant la connexion EBGP au PE2.
Routeur CE2
[edit]
interfaces {
so-0/0/1 {
unit 0 {
family inet {
address 10.20.253.2/30;
}
}
}
}
routing-options {
autonomous-system 400;
}
protocols {
bgp {
group to-pe2 {
local-address 10.20.253.2;
export inject-direct;
peer-as 300;
neighbor 10.20.253.1;
}
}
}
policy-options {
policy-statement inject-direct {
from {
protocol direct;
}
then accept;
}
}
Vérifier votre travail
Pour vérifier que le SCU fonctionne correctement dans le VPN de couche 3, utilisez les commandes suivantes :
show interfaces interface-name statisticsshow interfaces source-class source-class-name interface-nameshow interfaces interface-name(extensive|detail)show route(extensive|detail)clear interface interface-name statistics
Vous devez toujours vérifier les statistiques SCU à l’interface SCU sortante sur laquelle vous avez configuré l’instruction output . Pour vérifier la fonctionnalité SCU, procédez comme suit :
Effacez tous les compteurs de votre routeur compatible SCU et vérifiez qu’ils sont vides.
Envoyez un ping depuis le routeur CE entrant vers le deuxième routeur CE pour générer du trafic SCU sur le routage VPN compatible SCU.
Vérifiez que les compteurs s’incrémentent correctement sur l’interface sortante.
La section suivante montre la sortie de ces commandes utilisées avec l’exemple de configuration.
user@pe2> clear interfaces statistics all
user@pe2> show interfaces so-0/0/0.0 statistics
Logical interface so-0/0/0.0 (Index 6) (SNMP ifIndex 113)
Flags: Point-To-Point SNMP-Traps Encapsulation: PPP
Protocol inet, MTU: 4470
Source class Packets Bytes
GOLD1 0 0
Addresses, Flags: Is-Preferred Is-Primary
user@pe2> show interfaces source-class GOLD1 so-0/0/0.0
Protocol inet
Source class Packets Bytes
GOLD1 0 0
user@ce1> ping 10.20.253.2 source 10.114.1.1 rapid count 10000
user@scu> show interfaces source-class GOLD1 so-0/0/0.0
Protocol inet
Source class Packets Bytes
GOLD1 20000 1680000
user@scu> show interfaces so-0/0/0.0 statistics
Logical interface so-0/0/0.0 (Index 6) (SNMP ifIndex 113)
Flags: Point-To-Point SNMP-Traps Encapsulation: PPP
Protocol inet, MTU: 4470
Source class Packets Bytes
GOLD1 20000 1680000
Addresses, Flags: Is-Preferred Is-Primary
Destination: 10.20.253/24, Local: 10.20.253.1