Configuration des instances de routage sur les routeurs PE dans les VPN
Vous devez configurer une instance de routage pour chaque VPN sur chacun des routeurs PE participant au VPN. Les procédures de configuration décrites dans cette section s’appliquent aux VPN de couche 2, VPN de couche 3 et VPLS. Les procédures de configuration spécifiques à chaque type de VPN sont décrites dans les sections correspondantes des autres chapitres de configuration.
Pour configurer des instances de routage pour les VPN, incluez les déclarations suivantes :
description text; instance-type type; interface interface-name; route-distinguisher (as-number:number | ip-address:number); vrf-import [ policy-names ]; vrf-export [ policy-names ]; vrf-target { export community-name; import community-name; }
Vous pouvez inclure ces instructions aux niveaux hiérarchiques suivants :
[edit routing-instances routing-instance-name][edit logical-systems logical-system-name routing-instances routing-instance-name]
Pour configurer des instances de routage VPN, vous effectuez les étapes des sections suivantes :
Configuration du nom de l’instance de routage pour un VPN
Le nom de l’instance de routage d’un VPN peut contenir au maximum 128 caractères et peut contenir des lettres, des chiffres et des traits d’union. Dans Junos OS version 9.0 et versions ultérieures, vous ne pouvez plus spécifier default le nom réel de l’instance de routage. Vous ne pouvez pas non plus utiliser de caractères spéciaux (! @ # $ % ^ &* , +< > : ;) dans le nom d’une instance de routage.
Dans junos OS version 9.6 et versions ultérieures, vous pouvez inclure une barre barre (/) dans le nom d’une instance de routage uniquement si un système logique n’est pas configuré. Autrement dit, vous ne pouvez pas inclure le caractère slash dans le nom d’une instance de routage si un système logique autre que celui par défaut est explicitement configuré.
Spécifiez le nom de l’instance de routage avec l’instruction routing-instance :
routing-instance routing-instance-name {...}
Vous pouvez inclure cette déclaration aux niveaux hiérarchiques suivants :
[edit][edit logical-systems logical-system-name]
Configuration de la description
Pour fournir une description texte de l’instance de routage, incluez l’instruction description . Si le texte comprend un ou plusieurs espaces, joignez-les entre guillemets (« »). Tout texte descriptif que vous incluez est affiché dans la sortie de la show route instance detail commande et n’a aucun effet sur le fonctionnement de l’instance de routage.
Pour configurer une description texte, incluez l’énoncé description :
description text;
Vous pouvez inclure cette déclaration aux niveaux hiérarchiques suivants :
[edit routing-instances routing-instance-name][edit logical-systems logical-system-name routing-instances routing-instance-name]
Configuration du type d’instance
Le type d’instance que vous configurez varie selon que vous configurez des VPN de couche 2, des VPN de couche 3, des VPLS ou des routeurs virtuels. Spécifiez le type d’instance en incluant l’instruction instance-type :
Pour activer le routage VPN de couche 2 sur un routeur PE, incluez l’énoncé
instance-typeet spécifiez la valeurl2vpn:instance-type l2vpn;
Pour activer le routage VPLS sur un routeur PE, incluez l’énoncé
instance-typeet spécifiez la valeurvpls:instance-type vpls;
Les VPN de couche 3 nécessitent que chaque routeur PE dispose d’une table de routage et de transfert VPN (VRF) pour distribuer les routes au sein du VPN. Pour créer la table VRF sur le routeur PE, incluez l’instruction
instance-typeet spécifiez la valeurvrf:instance-type vrf;
Note:L’échantillonnage basé sur le moteur de routage n’est pas pris en charge sur les instances de routage VRF.
Pour activer l’instance de routage du routeur virtuel, incluez l’instruction
instance-typeet spécifiez la valeurvirtual-router:instance-type virtual-router;
Vous pouvez inclure cette déclaration aux niveaux hiérarchiques suivants :
[edit routing-instances routing-instance-name][edit logical-systems logical-system-name routing-instances routing-instance-name]
Configuration des interfaces pour le routage VPN
Sur chaque routeur PE, vous devez configurer une interface sur laquelle le trafic VPN se déplace entre les routeurs PE et CE.
Les sections suivantes décrivent comment configurer les interfaces pour les VPN :
- Configuration générale du routage VPN
- Configuration des interfaces pour les VPN de couche 3
- Configuration des interfaces pour les VPN opérateur
- Configuration du RPF unicast sur les interfaces VPN
Configuration générale du routage VPN
La configuration décrite dans cette section s’applique à tous les types de VPN. Pour les VPN de couche 3 et les VPN opérateur d’opérateurs, complétez la configuration décrite dans cette section avant de passer aux sections de configuration de l’interface spécifiques à ces sujets.
Pour configurer des interfaces pour le routage VPN, incluez l’énoncé interface :
interface interface-name;
Vous pouvez inclure cette déclaration aux niveaux hiérarchiques suivants :
[edit routing-instances routing-instance-name][edit logical-systems logical-system-name routing-instances routing-instance-name]
Spécifiez les parties physiques et logiques du nom de l’interface, dans le format suivant :
physical.logical
Par exemple, dans at-1/2/1.2, at-1/2/1 est la partie physique du nom de l’interface et 2 est la partie logique. Si vous ne spécifiez pas la partie logique du nom de l’interface, la valeur 0 est définie par défaut.
Une interface logique ne peut être associée qu’à une seule instance de routage. Si vous activez un protocole de routage sur toutes les instances en spécifiant interfaces all lors de la configuration de l’instance maître du protocole au niveau de la [edit protocols] hiérarchie, et si vous configurez une interface spécifique pour le routage VPN au niveau de la [edit routing-instances routing-instance-name] hiérarchie ou au niveau de la [edit logical-systems logical-system-name routing-instances routing-instance-name] hiérarchie, cette dernière déclaration d’interface prévaut et l’interface est utilisée exclusivement pour le VPN.
Si vous configurez explicitement le même nom d’interface au niveau de la [edit protocols] hiérarchie et au niveau de la ou [edit logical-systems logical-system-name routing-instances routing-instance-name] de la [edit routing-instances routing-instance-name] hiérarchie, une tentative de validation de la configuration échoue.
Configuration des interfaces pour les VPN de couche 3
Lorsque vous configurez les interfaces VPN de couche 3 au niveau de la [edit interfaces] hiérarchie, vous devez également configurer family inet l’interface logique :
[edit interfaces]
interface-name {
unit logical-unit-number {
family inet;
}
}
Configuration des interfaces pour les VPN opérateur
Lorsque vous configurez les VPN opérateur-de-carriers, vous devez configurer l’instruction family mpls en plus de l’instruction family inet pour les interfaces entre les routeurs PE et CE. Pour les VPN opérateur-de-carriers, configurez l’interface logique comme suit :
[edit interfaces]
interface-name {
unit logical-unit-number {
family inet;
family mpls;
}
}
Si vous configurez family mpls sur l’interface logique, puis configurez cette interface pour une instance de routage non-carrier-of-carriers, l’instruction family mpls est automatiquement supprimée de la configuration de l’interface logique, car elle n’est pas nécessaire.
Configuration du RPF unicast sur les interfaces VPN
Pour les interfaces VPN qui transportent le trafic IP version 4 ou version 6 (IPv4 ou IPv6), vous pouvez réduire l’impact des attaques par déni de service (DoS) en configurant le RPF (Reverse Path Forwarding) unicast. Le RPF unicast permet de déterminer la source des attaques et de rejeter les paquets provenant d’adresses source inattendues sur les interfaces où le RPF unicast est activé.
Vous pouvez configurer le RPF unicast sur une interface VPN en activant le RPF unicast sur l’interface et en incluant l’instruction interface au niveau de la [edit routing-instances routing-instance-name] hiérarchie.
Vous ne pouvez pas configurer le RPF unicast sur les interfaces centrales. Vous ne pouvez configurer le RPF unicast que sur les interfaces de routeur CE vers PE du routeur PE. Toutefois, pour les instances de routage de routeur virtuel, le RPF unicast est pris en charge sur toutes les interfaces que vous spécifiez dans l’instance de routage.
Pour plus d’informations sur la configuration du RPF unicast sur les interfaces VPN, consultez La présentation des RPF unicast (routeurs).
Configuration de la distinction de route
Chaque instance de routage que vous configurez sur un routeur PE doit être associée à un routeur de routage unique. Les instances de routage VPN ont besoin d’un routage pour aider BGP à distinguer les messages d’accessibilité de la couche réseau (NLRI) potentiellement identiques reçus de différents VPN. Si vous configurez différentes instances de routage VPN avec le même distinctionur de route, la validation échoue.
Pour les VPN de couche 2 et VPLS, si vous avez configuré l’instruction l2vpn-use-bgp-rules , vous devez configurer un système de distinction de route unique pour chaque routeur PE participant à une instance de routage spécifique.
Pour les autres types de VPN, nous vous recommandons d’utiliser un routeur de routage unique pour chaque routeur PE participant à l’instance de routage. Bien que vous puissiez utiliser le même distinctionur de route sur tous les routeurs PE pour la même instance de routage VPN (à l’exception des VPN de couche 2 et VPLS), si vous utilisez un distingueur de route unique, vous pouvez déterminer le routeur CE d’où provient un routage dans le VPN.
Pour configurer un système de distinction de route sur un routeur PE, incluez l’énoncé route-distinguisher :
route-distinguisher (as-number:number | ip-address:number);
Pour obtenir une liste des niveaux hiérarchiques auxquels vous pouvez inclure cette déclaration, consultez la section récapitulatif de l’instruction pour cette déclaration.
Le distinctionur de route est une valeur de 6 octets que vous pouvez spécifier dans l’un des formats suivants :
as-number:number, oùas-numberest un nombre de système autonome (AS) (une valeur de 2 octets) etnumberune valeur de 4 octets. Le numéro d’AS peut être compris entre 1 et 65 535. Nous vous recommandons d’utiliser un numéro AS non privé attribué par l’Autorité des numéros internet (IANA), de préférence propre au fournisseur d’accès Internet (FAI) ou au client.ip-address:number, oùip-addressest une adresse IP (une valeur de 4 octets) etnumberune valeur de 2 octets. L’adresse IP peut être n’importe quelle adresse unicast unique au niveau mondial. Nous vous recommandons d’utiliser l’adresse que vous configurez dans l’instructionrouter-id, qui est une adresse non privée dans la plage de préfixes attribuée.
Configuration des distinctions de routes automatiques
Si vous configurez l’instruction route-distinguisher-id au niveau de la [edit routing-options] hiérarchie, un distinctionur de route est automatiquement assigné à l’instance de routage. Si vous configurez également l’instruction route-distinguisher en plus de l’instruction route-distinguisher-id , la valeur configurée pour route-distinguisher remplace la valeur générée par route-distinguisher-id.
Pour attribuer automatiquement un dispositif de distinction de route, incluez l’énoncé route-distinguisher-id :
route-distinguisher-id ip-address;
Vous pouvez inclure cette déclaration aux niveaux hiérarchiques suivants :
[edit routing-options][edit logical-systems logical-system-name routing-options]
Un pare-route de type 1 est automatiquement assigné à l’instance de routage à l’aide du format ip-address:number. L’adresse IP est spécifiée par l’instruction route-distinguisher-id et le numéro est unique pour l’instance de routage.