SCU avec configuration VPN de couche 3
Configuration de SCU dans un VPN de couche 3
Figure 1 affiche une topologie VPN de couche 3. Les protocoles CE1 et CE2 sont des routeurs CE (Customer Edge) connectés par VPN via les routeurs PE1, P0 et PE2 du fournisseur. EBGP est établi entre les routeurs CE1 et PE1, IBGP connecte les routeurs PE1 et PE2 sur un cœur IS-IS/MPLS/LDP, et une seconde connexion EBGP circule entre les routeurs PE2 et CE2.
Sur le routeur CE1, commencez votre VPN en établissant une connexion EBGP à PE1. Installez une route statique et 10.114.1.0/24 annoncez cette route à votre voisin EBGP.
Routeur CE1
[edit]
interfaces {
ge-0/0/0 {
unit 0 {
family inet {
address 10.20.250.1/30;
}
}
}
}
routing-options {
static {
route 10.114.1.0/24 reject;
}
autonomous-system 100;
}
protocols {
bgp {
group to-pe1 {
local-address 10.20.250.1;
export inject-direct;
peer-as 300;
neighbor 10.20.250.2;
}
}
}
policy-options {
policy-statement inject-direct {
term 1 {
from {
protocol static;
route-filter 10.114.1.0/24 exact;
}
then accept;
}
term 2 {
from protocol direct;
then accept;
}
}
}
Sur PE1, terminez la connexion EBGP à CE1 via une instance de routage VRF. Définissez une stratégie d’exportation pour votre instance VRF qui place le trafic BGP dans une communauté, et une stratégie d’importation qui accepte le trafic communautaire similaire de votre voisin VPN. Enfin, configurez une relation IBGP avec le routeur PE2 qui s’exécute sur un cœur IS-IS, MPLS et LDP.
Routeur PE1
[edit]
interfaces {
ge-0/0/1 {
unit 0 {
family inet {
address 10.20.250.2/30;
}
}
}
so-0/2/1 {
unit 0 {
family inet {
address 10.20.251.1/30;
}
family iso;
family mpls;
}
}
lo0 {
unit 0 {
family inet {
address 10.250.245.245/32;
}
family iso;
family mpls;
}
}
}
routing-options {
autonomous-system 300;
}
protocols {
mpls {
interface so-0/2/1;
}
bgp {
group ibgp {
type internal;
local-address 10.250.245.245;
family inet-vpn {
unicast;
}
neighbor 10.250.71.14;
}
}
isis {
interface so-0/2/1;
}
ldp {
interface so-0/2/1;
}
}
policy-options {
policy-statement red-import {
from {
protocol bgp;
community red-com;
}
then accept;
}
policy-statement red-export {
from protocol bgp;
then {
community add red-com;
accept;
}
}
community red-com members target:20:20;
}
routing-instances {
red {
instance-type vrf;
interface ge-0/0/1.0;
route-distinguisher 10.250.245.245:100;
vrf-import red-import;
vrf-export red-export;
protocols {
bgp {
group to-ce1 {
local-address 10.20.250.2;
peer-as 100;
neighbor 10.20.250.1;
}
}
}
}
}
Sur P0, connectez les voisins IBGP situés à PE1 et PE2. N’oubliez pas d’inclure des protocoles liés aux VPN (MPLS, LDP et IGP) sur toutes les interfaces.
Routeur P0
[edit]
interfaces {
so-0/1/0 {
unit 0 {
family inet {
address 10.20.252.1/30;
}
family iso;
family mpls;
}
}
so-0/2/0 {
unit 0 {
family inet {
address 10.20.251.2/30;
}
family iso;
family mpls;
}
}
lo0 {
unit 0 {
family inet {
address 10.250.245.246/32;
}
family iso;
family mpls;
}
}
}
routing-options {
autonomous-system 300;
}
protocols {
mpls {
interface so-0/1/0;
interface so-0/2/0;
}
isis {
interface all;
}
ldp {
interface all;
}
}
Sur PE2, complétez la relation IBGP avec le routeur PE1. Établissez une connexion EBGP à CE2 via une instance de routage VRF. Définissez une stratégie d’exportation pour l’instance VRF qui place le trafic BGP dans une communauté, et une stratégie d’importation qui accepte le trafic communautaire similaire du voisin VPN. Ensuite, établissez une stratégie qui ajoute la route statique de CE1 à une classe source appelée GOLD1. Exportez également cette stratégie SCU dans la table de transfert. Enfin, définissez votre vt interface en tant qu’interface d’entrée SCU et établissez l’interface so-0/0/0 CE en tant qu’interface de sortie SCU.
Routeur PE2
[edit]
interfaces {
so-0/1/1 {
unit 0 {
family inet {
address 10.20.252.2/30;
}
family iso;
family mpls;
}
}
so-0/0/0 {
unit 0 {
family inet {
accounting {
source-class-usage {
output;
}
}
address 10.20.253.1/30;
}
}
}
vt-4/1/0 {
unit 0 {
family inet {
accounting {
source-class-usage {
input;
}
}
address 10.250.71.14/32;
}
family iso;
family mpls;
}
}
}
routing-options {
autonomous-system 300;
forwarding-table {
export inject-customer2-dest-class;
}
}
protocols {
mpls {
interface so-0/1/1;
interface vt-4/1/0;
}
bgp {
group ibgp {
type internal;
local-address 10.250.71.14;
family inet-vpn {
unicast;
}
neighbor 10.250.245.245;
}
}
isis {
interface so-0/1/1;
}
ldp {
interface so-0/1/1;
}
}
routing-instances {
red {
instance-type vrf;
interface so-0/0/0.0;
interface vt-4/1/0.0;
route-distinguisher 10.250.71.14:100;
vrf-import red-import;
vrf-export red-export;
protocols {
bgp {
group to-ce2 {
local-address 10.20.253.1;
peer-as 400;
neighbor 10.20.253.2;
}
}
}
}
}
policy-options {
policy-statement red-import {
from {
protocol bgp;
community red-com;
}
then accept;
}
policy-statement red-export {
from protocol bgp;
then {
community add red-com;
accept;
}
}
policy-statement inject-customer2-dest-class {
term term-gold1-traffic {
from {
route-filter 10.114.1.0/24 exact;
}
then source-class GOLD1;
}
}
community red-com members target:20:20;
}
Sur le routeur CE2, terminez le chemin VPN en terminant la connexion EBGP à PE2.
Routeur CE2
[edit]
interfaces {
so-0/0/1 {
unit 0 {
family inet {
address 10.20.253.2/30;
}
}
}
}
routing-options {
autonomous-system 400;
}
protocols {
bgp {
group to-pe2 {
local-address 10.20.253.2;
export inject-direct;
peer-as 300;
neighbor 10.20.253.1;
}
}
}
policy-options {
policy-statement inject-direct {
from {
protocol direct;
}
then accept;
}
}
Vérification de votre travail
Pour vérifier que SCU fonctionne correctement dans le VPN de couche 3, utilisez les commandes suivantes :
show interfaces interface-name statisticsshow interfaces source-class source-class-name interface-nameshow interfaces interface-nameextensive( |detail)show routeextensive( |detail)clear interface interface-name statistics
Vous devez toujours vérifier les statistiques SCU sur l’interface SCU sortante sur laquelle vous avez configuré l’instruction output . Pour vérifier la fonctionnalité SCU, procédez comme suit :
Effacez tous les compteurs de votre routeur compatible SCU et vérifiez qu’ils sont vides.
Envoyez un ping du routeur CE entrant au deuxième routeur CE pour générer du trafic SCU sur la route VPN compatible SCU.
Vérifiez que les compteurs s’incrémentent correctement sur l’interface sortante.
La section suivante montre la sortie de ces commandes utilisées avec l’exemple de configuration.
user@pe2> clear interfaces statistics all
user@pe2> show interfaces so-0/0/0.0 statistics
Logical interface so-0/0/0.0 (Index 6) (SNMP ifIndex 113)
Flags: Point-To-Point SNMP-Traps Encapsulation: PPP
Protocol inet, MTU: 4470
Source class Packets Bytes
GOLD1 0 0
Addresses, Flags: Is-Preferred Is-Primary
user@pe2> show interfaces source-class GOLD1 so-0/0/0.0
Protocol inet
Source class Packets Bytes
GOLD1 0 0
user@ce1> ping 10.20.253.2 source 10.114.1.1 rapid count 10000
user@scu> show interfaces source-class GOLD1 so-0/0/0.0
Protocol inet
Source class Packets Bytes
GOLD1 20000 1680000
user@scu> show interfaces so-0/0/0.0 statistics
Logical interface so-0/0/0.0 (Index 6) (SNMP ifIndex 113)
Flags: Point-To-Point SNMP-Traps Encapsulation: PPP
Protocol inet, MTU: 4470
Source class Packets Bytes
GOLD1 20000 1680000
Addresses, Flags: Is-Preferred Is-Primary
Destination: 10.20.253/24, Local: 10.20.253.1