SUR CETTE PAGE
Configuration de VPN Carrier-of-Carriers pour les clients fournissant des services Internet
Exemple de VPN Carrier-of-Carriers : le client fournit un service Internet
Configuration de VPN Carrier-of-Carriers pour les clients fournissant un service VPN
Exemple de VPN Carrier-of-Carriers : le client fournit un service VPN
VPN Carrier-of-Carrier
Comprendre les VPN Carrier-of-Carriers
Le client d’un fournisseur de services VPN peut être un fournisseur de services pour le client final. Voici les deux principaux types de VPN carrier-of-carriers (tels que décrits dans la RFC 4364 :
Fournisseur de services Internet en tant que client : le client VPN est un FAI qui utilise le réseau du fournisseur de services VPN pour connecter ses réseaux régionaux géographiquement disparates. Le client n’a pas besoin de configurer MPLS au sein de ses réseaux régionaux.
Fournisseur de services VPN en tant que client : le client VPN est lui-même un fournisseur de services VPN offrant un service VPN à ses clients. Le client du service VPN opérateur d’opérateurs s’appuie sur le fournisseur de services VPN de la dorsale pour la connectivité intersites. Le fournisseur de services VPN du client est tenu d’exécuter MPLS au sein de ses réseaux régionaux.
La figure 1 illustre l’architecture réseau utilisée pour un service VPN de type opérateur.
VPN Carrier-of-Carriers
Cette rubrique aborde les points suivants :
Fournisseur de services Internet en tant que client
Dans ce type de configuration VPN de type carrier-of-carriers, le FAI A configure son réseau pour fournir le service Internet au FAI B. Le FAI B fournit la connexion au client souhaitant bénéficier du service Internet, mais le service Internet lui-même est fourni par le FAI A.
Ce type de configuration VPN porte-of-carriers présente les caractéristiques suivantes :
Le client du service VPN (FAI B) n’a pas besoin de configurer MPLS sur son réseau.
Le fournisseur de services VPN (FAI A) doit configurer MPLS sur son réseau.
MPLS doit également être configuré sur les routeurs CE et PE connectés ensemble dans les réseaux du client du service VPN Carrier-of-carriers et du fournisseur de services VPN Carrier-of-carriers.
Fournisseur de services VPN en tant que client
Un fournisseur de services VPN peut avoir des clients qui sont eux-mêmes des fournisseurs de services VPN. Dans ce type de configuration, également appelée VPN hiérarchique ou récursif, les routes VPN-IPv4 du fournisseur de services VPN client sont considérées comme des routes externes et le fournisseur de services VPN de la dorsale ne les importe pas dans sa table VRF. Le fournisseur de services VPN de la dorsale importe uniquement les routes internes du fournisseur de services VPN client dans sa table VRF.
Les similitudes et les différences entre les VPN interfournisseurs et les VPN de porteuse sont présentées dans le tableau 1.
Caractéristique |
Client FAI |
Client fournisseur de services VPN |
|---|---|---|
Appareil périphérique client |
routeur de bordure AS |
routeur PE |
Sessions IBGP |
Transport de routes IPv4 |
Transport de routes VPN-IPv4 externes avec étiquettes associées |
Transfert au sein du réseau client |
MPLS est facultatif |
MPLS requis |
Prise en charge du service VPN, car le client est pris en charge sur les commutateurs QFX10000 à partir de Junos OS version 17.1R1.
Configuration de VPN Carrier-of-Carriers pour les clients fournissant des services Internet
Vous pouvez configurer un service VPN de type opérateur pour les clients qui souhaitent fournir un service Internet de base. Le fournisseur de services VPN du fournisseur de services doit configurer MPLS dans son réseau, bien que cette configuration soit facultative pour le client du service de l’opérateur. L’architecture VPN Carrier-of-Carriers montre comment les routeurs ou commutateurs de ce type de service s’interconnectent.
Pour configurer un VPN Carrier-of-carriers, effectuez les tâches décrites dans les sections suivantes :
- Configuration du routeur CE du client du service VPN Carrier-of-Carriers
- Configuration des routeurs PE du fournisseur de services VPN Carrier-of-Carriers
Configuration du routeur CE du client du service VPN Carrier-of-Carriers
Le routeur (ou commutateur) du client du service VPN opérateur des opérateurs agit comme un routeur CE par rapport au routeur ou au commutateur PE du fournisseur de services. Les sections suivantes décrivent comment configurer le routeur ou le commutateur CE du client du service VPN carrier-of-carriers :
- Configuration de MPLS
- Configuration de BGP
- Configuration d’OSPF
- Configuration des options de stratégie
Configuration de MPLS
Pour configurer MPLS sur le routeur ou le commutateur CE du client, incluez l’instruction mpls suivante :
mpls {
traffic-engineering bgp-igp;
interface interface-name;
}
Vous pouvez inclure cette instruction aux niveaux hiérarchiques suivants :
[edit protocols][edit logical-systems logical-system-name protocols]
Configuration de BGP
Pour configurer un groupe afin de rassembler les routes internes du client, incluez l’instruction bgp suivante :
bgp {
group group-name {
type internal;
local-address address;
neighbor address;
}
}
Vous pouvez inclure cette instruction aux niveaux hiérarchiques suivants :
[edit protocols][edit logical-systems logical-system-name protocols]
Le routeur CE (ou commutateur) du client doit être en mesure d’envoyer des étiquettes au routeur du fournisseur de services VPN. Pour ce faire, incluez l’instruction suivante labeled-unicast dans la configuration du groupe BGP :
bgp {
group group-name {
export internal;
peer-as as-number;
neighbor address {
family inet {
labeled-unicast;
}
}
}
}
Vous pouvez inclure l’instruction bgp aux niveaux hiérarchiques suivants :
[edit protocols][edit logical-systems logical-system-name protocols]
Configuration d’OSPF
Pour configurer OSPF sur le routeur ou le commutateur CE du client, incluez l’instruction ospf suivante :
ospf {
area area-id {
interface interface-name {
passive;
}
interface interface-name;
}
}
Vous pouvez inclure cette instruction aux niveaux hiérarchiques suivants :
[edit protocols][edit logical-systems logical-system-name protocols]
Configuration des options de stratégie
Pour configurer les options de stratégie sur le routeur ou le commutateur CE du client, incluez l’instruction policy-statement suivante :
policy-statement statement-name {
term term-name {
from protocol [ospf direct ldp];
then accept;
}
term term-name {
then reject;
}
}
Vous pouvez inclure cette instruction aux niveaux hiérarchiques suivants :
[edit policy-options][edit logical-systems logical-system-name policy-options]
Configuration des routeurs PE du fournisseur de services VPN Carrier-of-Carriers
Les routeurs PE du fournisseur de services se connectent aux routeurs CE du client et transfèrent le trafic VPN du client sur le réseau du fournisseur.
Les sections suivantes décrivent comment configurer les routeurs PE du fournisseur de services VPN carrier-of-carriers :
- Configuration de MPLS
- Configuration de BGP
- Configuration d’IS-IS
- Configuration de LDP
- Configuration d’une instance de routage
- Configuration des options de stratégie
Configuration de MPLS
Pour configurer MPLS sur les routeurs ou commutateurs PE du fournisseur, incluez l’instruction mpls suivante :
mpls {
interface interface-name;
interface interface-name;
}
Vous pouvez inclure cette instruction aux niveaux hiérarchiques suivants :
[edit protocols][edit logical-systems logical-system-name protocols]
Configuration de BGP
Pour configurer une session BGP avec le routeur PE du fournisseur à l’autre extrémité du réseau du fournisseur, incluez l’instruction bgp suivante :
bgp {
group group-name {
type internal;
local-address address;
family inet-vpn {
any;
}
neighbor address;
}
}
Vous pouvez inclure cette instruction aux niveaux hiérarchiques suivants :
[edit protocols][edit logical-systems logical-system-name protocols]
Configuration d’IS-IS
Pour configurer IS-IS sur les routeurs ou commutateurs PE du fournisseur, incluez l’instruction isis suivante :
isis {
interface interface-name;
interface interface-name {
passive;
}
}
Vous pouvez inclure cette instruction aux niveaux hiérarchiques suivants :
[edit protocols][edit logical-systems logical-system-name protocols]
Configuration de LDP
Pour configurer LDP sur les routeurs ou commutateurs PE du fournisseur, incluez l’instruction ldp suivante :
ldp {
interface interface-name;
}
Vous pouvez inclure cette instruction aux niveaux hiérarchiques suivants :
[edit protocols][edit logical-systems logical-system-name protocols]
Configuration d’une instance de routage
Pour configurer le service VPN de couche 3 avec le routeur ou le commutateur CE du client, incluez l’instruction labeled-unicast dans la configuration de l’instance de routage afin que le routeur (ou le commutateur) PE puisse envoyer des étiquettes au routeur ou au commutateur CE du client :
routing-instance-name {
instance-type vrf;
interface interface-name;
route-distinguisher address;
vrf-import policy-name;
vrf-export policy-name;
protocols {
bgp {
group group-name {
peer-as as-number;
neighbor address {
family inet {
labeled-unicast;
}
}
}
}
}
}
Vous pouvez inclure ces instructions aux niveaux hiérarchiques suivants :
[edit routing-instances][edit logical-systems logical-system-name routing-instances]
Configuration des options de stratégie
Pour configurer une instruction de stratégie afin d’importer des routes à partir du routeur ou du commutateur CE du client, incluez l’instruction policy-statement suivante :
policy-statement policy-name {
term term-name {
from {
protocol bgp;
community community-name;
}
then accept;
}
term term-name {
then reject;
}
}
Vous pouvez inclure cette instruction aux niveaux hiérarchiques suivants :
[edit policy-options][edit logical-systems logical-system-name policy-options]
Pour configurer une instruction de stratégie afin d’exporter des routes vers le routeur ou le commutateur CE du client, incluez les policy-statement instructions et community :
policy-statement policy-name {
term term-name {
from protocol bgp;
then {
community add community-name;
accept;
}
}
term term-name {
then reject;
}
}
community community-name members value;
Vous pouvez inclure ces instructions aux niveaux hiérarchiques suivants :
[edit policy-options][edit logical-systems logical-system-name policy-options]
Voir aussi
Exemple de VPN Carrier-of-Carriers : le client fournit un service Internet
Dans cet exemple, l’opérateur client n’est pas tenu de configurer MPLS et LDP sur son réseau. Toutefois, l’opérateur doit configurer MPLS et LDP sur son réseau.
Pour plus d’informations sur la configuration, reportez-vous aux sections suivantes :
- Topologie de réseau pour le service Carrier-of-Carriers
- Configuration du routeur A
- Configuration du routeur B
- Configuration pour le routeur C
- Configuration pour le routeur D
- Configuration pour le routeur E
- Configuration du routeur F
- Configuration pour le routeur G
- Configuration du routeur H
- Configuration pour le routeur I
- Configuration pour le routeur J
- Configuration pour le routeur K
- Configuration du routeur L
Topologie de réseau pour le service Carrier-of-Carriers
Un service de fournisseur d’opérateurs permet à un fournisseur d’accès à Internet (FAI) de se connecter à un réseau dorsal externalisé transparent sur plusieurs sites.
La figure 2 illustre la topologie du réseau dans cet exemple de porte-portes.
Configuration du routeur A
Dans cet exemple, le routeur A représente un client final. Vous configurez ce routeur en tant qu’équipement CE.
[edit]
protocols {
bgp {
group to-routerB {
export attached;
peer-as 21;
as-override;
neighbor 192.168.197.169;
}
}
}
policy-options {
policy-statement attached {
from protocol direct;
then accept;
}
}
Configuration du routeur B
Le routeur B peut faire office de routeur de passerelle, chargé d’agréger les clients finaux et de les connecter au réseau. Si une session IBGP à maillage complet est configurée, vous pouvez utiliser des réflecteurs de route.
[edit]
protocols {
bgp {
group int {
type internal;
local-address 10.255.14.179;
neighbor 10.255.14.175;
neighbor 10.255.14.181;
neighbor 10.255.14.176;
neighbor 10.255.14.178;
neighbor 10.255.14.177;
}
group to-vpn-blue {
peer-as 1;
neighbor 192.168.197.170;
}
}
ospf {
area 0.0.0.0 {
interface lo0.0 {
passive;
}
interface fe-1/0/3.0;
interface fe-1/0/2.0 {
passive;
}
}
}
}
Configuration pour le routeur C
Configurer le routeur C :
[edit]
protocols {
bgp {
group int {
type internal;
local-address 10.255.14.176;
neighbor 10.255.14.179;
neighbor 10.255.14.175;
neighbor 10.255.14.177;
neighbor 10.255.14.178;
neighbor 10.255.14.181;
}
}
ospf {
area 0.0.0.0 {
interface lo0.0 {
passive;
}
interface fe-0/3/3.0;
interface fe-0/3/0.0;
}
}
}
Configuration pour le routeur D
Le routeur D est le routeur CE par rapport à la norme AS 10023. Dans un VPN de type carrier-of-carriers, le routeur CE doit être en mesure d’envoyer des étiquettes au fournisseur opérateur. Cela se fait avec l’instruction labeled-unicast dans group to-isp-red.
[edit]
protocols {
mpls {
interface t3-0/0/0.0;
}
bgp {
group int {
type internal;
local-address 10.255.14.175;
neighbor 10.255.14.179;
neighbor 10.255.14.176;
neighbor 10.255.14.177;
neighbor 10.255.14.178;
neighbor 10.255.14.181;
}
group to-isp-red {
export internal;
peer-as 10023;
neighbor 192.168.197.13 {
family inet {
labeled-unicast;
}
}
}
}
ospf {
area 0.0.0.0 {
interface lo0.0 {
passive;
}
interface fe-0/3/0.0;
interface t3-0/0/0.0 {
passive;
}
}
}
}
policy options {
policy-statement internal {
term a {
from protocol [ ospf direct ];
then accept;
}
term b {
then reject;
}
}
}
Configuration pour le routeur E
Cette configuration configure la session IBGP avec le inet-vpn routeur H et la partie routeur PE du VPN avec le routeur D. Étant donné que le routeur D est requis pour envoyer des étiquettes dans cet exemple, configurez la session BGP avec l’instruction labeled-unicast dans la table VRF (Virtual Routing and Forwarding).
[edit]
protocols {
mpls {
interface t3-0/2/0.0;
interface at-0/1/0.0;
}
bgp {
group pe-pe {
type internal;
local-address 10.255.14.171;
family inet-vpn {
any;
}
neighbor 10.255.14.173;
}
}
isis {
interface at-0/1/0.0;
interface lo0.0 {
passive;
}
}
ldp {
interface at-0/1/0.0;
}
}
routing-instances {
vpn-isp1 {
instance-type vrf;
interface t3-0/2/0.0;
route-distinguisher 10.255.14.171:21;
vrf-import vpn-isp1-import;
vrf-export vpn-isp1-export;
protocols {
bgp {
group to-isp1 {
peer-as 21;
neighbor 192.168.197.14 {
family inet {
labeled-unicast;
}
}
}
}
}
}
}
policy-options {
policy-statement vpn-isp1-import {
term a {
from {
protocol bgp;
community vpn-isp1-comm;
}
then accept;
}
term b {
then reject;
}
}
policy-statement vpn-isp1-export {
term a {
from protocol bgp;
then {
community add vpn-isp1-comm;
accept;
}
}
term b {
then reject;
}
}
community vpn-isp1-comm members target:69:21;
}
Configuration du routeur F
Configurez le routeur F pour qu’il agisse comme un routeur d’échange d’étiquettes :
[edit]
protocols {
isis {
interface so-0/2/0.0;
interface at-0/3/0.0;
interface lo0.0 {
passive;
}
}
ldp {
interface so-0/2/0.0;
interface at-0/3/0.0;
}
}
Configuration pour le routeur G
Configurez le routeur G pour qu’il agisse comme un routeur d’échange d’étiquettes :
[edit]
protocols {
isis {
interface so-0/0/0.0;
interface so-1/0/0.0;
interface lo0.0 {
passive;
}
}
ldp {
interface so-0/0/0.0;
interface so-1/0/0.0;
}
}
Configuration du routeur H
Le routeur H fait office de routeur PE pour l’AS 10023. La configuration suivante est similaire à celle du routeur F :
[edit]
protocols {
mpls {
interface fe-1/1/0.0;
interface so-1/0/0.0;
}
bgp {
group pe-pe {
type internal;
local-address 10.255.14.173;
family inet-vpn {
any;
}
neighbor 10.255.14.171;
}
}
isis {
interface so-1/0/0.0;
interface lo0.0 {
passive;
}
}
ldp {
interface so-1/0/0.0;
}
}
routing-instances {
vpn-isp1 {
instance-type vrf;
interface fe-1/1/0.0;
route-distinguisher 10.255.14.173:21;
vrf-import vpn-isp1-import;
vrf-export vpn-isp1-export;
protocols {
bgp {
group to-isp1 {
peer-as 21;
neighbor 192.168.197.94 {
family inet {
labeled-unicast;
}
}
}
}
}
}
}
policy-options {
policy-statement vpn-isp1-import {
term a {
from {
protocol bgp;
community vpn-isp1-comm;
}
then accept;
}
term b {
then reject;
}
}
policy-statement vpn-isp1-export {
term a {
from protocol bgp;
then {
community add vpn-isp1-comm;
accept;
}
}
term b {
then reject;
}
}
community vpn-isp1-comm members target:69:21;
}
Configuration pour le routeur I
Configurez le routeur I pour qu’il se connecte au client du service Internet de base (routeur L) :
[edit]
protocols {
mpls {
interface fe-1/0/1.0;
interface fe-1/1/3.0;
}
bgp {
group int {
type internal;
local-address 10.255.14.181;
neighbor 10.255.14.177;
neighbor 10.255.14.179;
neighbor 10.255.14.175;
neighbor 10.255.14.176;
neighbor 10.255.14.178;
}
group to-vpn-green {
peer-as 1;
neighbor 192.168.197.198;
}
}
ospf {
area 0.0.0.0 {
interface lo0.0 {
passive;
}
interface fe-1/0/1.0 {
passive;
}
interface fe-1/1/3.0;
}
}
}
Configuration pour le routeur J
Configurez le routeur J en tant que routeur d’échange d’étiquettes :
[edit]
protocols {
bgp {
group int {
type internal;
local-address 10.255.14.178;
neighbor 10.255.14.177;
neighbor 10.255.14.181;
neighbor 10.255.14.175;
neighbor 10.255.14.176;
neighbor 10.255.14.179;
}
}
}
ospf {
area 0.0.0.0 {
interface lo0.0 {
passive;
}
interface fe-1/0/2.0;
interface fe-1/0/3.0;
}
}
Configuration pour le routeur K
Le routeur K fait office de routeur CE à la fin de la connexion avec le fournisseur opérateur. Comme dans la configuration du routeur D, incluez l’instruction labeled-unicast pour la session EBGP :
[edit]
protocols {
mpls {
interface fe-1/1/2.0;
interface fe-1/0/2.0;
}
bgp {
group int {
type internal;
local-address 10.255.14.177;
neighbor 10.255.14.181;
neighbor 10.255.14.178;
neighbor 10.255.14.175;
neighbor 10.255.14.176;
neighbor 10.255.14.179;
}
group to-isp-red {
export internal;
peer-as 10023;
neighbor 192.168.197.93 {
family inet {
labeled-unicast;
}
}
}
}
ospf {
area 0.0.0.0 {
interface lo0.0 {
passive;
}
interface fe-1/0/2.0;
interface fe-1/1/2.0 {
passive;
}
}
}
}
policy-options {
policy-statement internal {
term a {
from protocol [ ospf direct ];
then accept;
}
term b {
then reject;
}
}
}
Configuration du routeur L
Configurez le routeur L pour qu’il agisse en tant que client final pour le service VPN carrier-of-carriers :
[edit]
protocols {
bgp {
group to-routerI {
export attached;
peer-as 21;
neighbor 192.168.197.197;
}
}
}
policy-options {
policy-statement attached {
from protocol direct;
then accept;
}
}
Voir aussi
Configuration de VPN Carrier-of-Carriers pour les clients fournissant un service VPN
Vous pouvez configurer un service VPN de type opérateur pour les clients qui souhaitent un service VPN.
Pour configurer les routeurs (ou commutateurs) dans les réseaux du client et du fournisseur afin d’activer le service VPN de fournisseur d’opérateurs, effectuez les opérations décrites dans les sections suivantes :
- Configuration du routeur PE du client Carrier-of-carriers
- Configuration du routeur (ou commutateur) CE du client Carrier-of-Carriers
- Configuration du routeur ou du commutateur PE du fournisseur
Configuration du routeur PE du client Carrier-of-carriers
Le routeur (ou commutateur) PE du client porteur de porte-opérateurs est connecté au routeur (ou commutateur) CE du client final.
Les sections suivantes décrivent comment configurer le routeur (ou commutateur) PE du client transporteur d’opérateurs :
- Configuration de MPLS
- Configuration de BGP
- Configuration d’OSPF
- Configuration de LDP
- Configuration du service VPN dans l’instance de routage
- Configuration des options de stratégie
Configuration de MPLS
Pour configurer MPLS sur le routeur (ou commutateur) PE du client opérateur-of-carriers, incluez l’instruction mpls suivante :
mpls {
interface interface-name;
interface interface-name;
}
Vous pouvez inclure cette instruction aux niveaux hiérarchiques suivants :
[edit protocols][edit logical-systems logical-system-name protocols]
Configuration de BGP
Incluez l’instruction labeled-unicast dans la configuration de la session IBGP sur le routeur CE (ou le commutateur) du client transporteur des porteuses et incluez l’instruction family-inet-vpn dans la configuration de la session IBGP sur le routeur PE (ou le commutateur) porteur des porteuses de l’autre côté du réseau :
bgp {
group group-name {
type internal;
local-address address;
neighbor address {
family inet {
labeled-unicast;
resolve-vpn;
}
}
}
neighbor address {
family inet-vpn {
any;
}
}
}
Vous pouvez inclure ces instructions aux niveaux hiérarchiques suivants :
[edit protocols][edit logical-systems logical-system-name protocols]
Configuration d’OSPF
Pour configurer OSPF sur le routeur (ou commutateur) PE du client opérateur-of-carriers, incluez l’instruction ospf suivante :
ospf {
area area-id {
interface interface-name {
passive;
}
interface interface-name;
}
}
Vous pouvez inclure cette instruction aux niveaux hiérarchiques suivants :
[edit protocols][edit logical-systems logical-system-name protocols]
Configuration de LDP
Pour configurer LDP sur le routeur (ou commutateur) PE du client opérateur des opérateurs, incluez l’instruction ldp suivante :
ldp {
interface interface-name;
}
Vous pouvez inclure cette instruction aux niveaux hiérarchiques suivants :
[edit protocols][edit logical-systems logical-system-name protocols]
Configuration du service VPN dans l’instance de routage
Pour configurer le service VPN pour le routeur CE (ou le commutateur) du client final sur le routeur (ou le commutateur) PE du client opérateur-des-opérateurs, incluez les instructions suivantes :
instance-type vrf;
interface interface-name;
route-distinguisher address;
vrf-import policy-name;
vrf-export policy-name;
protocols {
bgp {
group group-name {
peer-as as-number;
neighbor address;
}
}
}
Vous pouvez inclure ces instructions aux niveaux hiérarchiques suivants :
[edit routing-instances routing-instance-name][edit logical-systems logical-system-name routing-instances routing-instance-name]
Configuration des options de stratégie
Pour configurer les options de stratégie d’importation et d’exportation de routes vers et depuis le routeur (ou commutateur) CE du client final, incluez les policy-statement instructions et community :
policy-statement policy-name {
term term-name {
from {
protocol bgp;
community community-name;
}
then accept;
}
term term-name {
then reject;
}
}
policy-statement policy-name {
term term-name {
from protocol bgp;
then {
community add community-name;
accept;
}
}
term term-name {
then reject;
}
}
community community-name members value;
Vous pouvez inclure ces instructions aux niveaux hiérarchiques suivants :
[edit policy-options][edit logical-systems logical-system-name policy-options]
Configuration du routeur (ou commutateur) CE du client Carrier-of-Carriers
Le routeur CE (ou commutateur) du client opérateur se connecte au routeur (ou commutateur) PE du fournisseur. Suivez les instructions des sections suivantes pour configurer le routeur (ou commutateur) CE des clients carrier-of-carriers :
- Configuration de MPLS
- Configuration de BGP
- Configuration d’OSPF et de LDP
- Configuration des options de stratégie
Configuration de MPLS
Dans la configuration MPLS du routeur CE (ou commutateur) du client opérateur-des-porteuses, incluez les interfaces vers le routeur (ou commutateur) PE du fournisseur et vers un routeur (ou commutateur) P dans le réseau du client :
mpls {
traffic-engineering bgp-igp;
interface interface-name;
interface interface-name;
}
Vous pouvez inclure ces instructions aux niveaux hiérarchiques suivants :
[edit protocols][edit logical-systems logical-system-name protocols]
Configuration de BGP
Dans la configuration BGP du routeur (ou commutateur) CE du client opérateur-des-porteuses, configurez un groupe qui inclut l’instruction labeled-unicast d’extension du service VPN au routeur (ou commutateur) PE connecté au routeur (ou commutateur) CE du client final :
bgp {
group group-name {
type internal;
local-address address;
neighbor address {
family inet {
labeled-unicast;
}
}
}
}
Vous pouvez inclure l’instruction bgp aux niveaux hiérarchiques suivants :
[edit protocols][edit logical-systems logical-system-name protocols]
Pour configurer un groupe afin qu’il envoie des routes internes étiquetées au routeur (ou commutateur) PE du fournisseur, incluez l’instruction bgp suivante :
bgp {
group group-name {
export internal;
peer-as as-number;
neighbor address {
family inet {
labeled-unicast;
}
}
}
}
Vous pouvez inclure cette instruction aux niveaux hiérarchiques suivants :
[edit protocols][edit logical-systems logical-system-name protocols]
Configuration d’OSPF et de LDP
Pour configurer OSPF et LDP sur le routeur CE (ou commutateur) du client porteur-porteuse, incluez les ospf instructions et ldp :
ospf {
area area-id {
interface interface-name {
passive;
}
interface interface-name;
}
}
ldp {
interface interface-name;
}
Vous pouvez inclure ces instructions aux niveaux hiérarchiques suivants :
[edit protocols][edit logical-systems logical-system-name protocols]
Configuration des options de stratégie
Pour configurer les options de stratégie sur le routeur (ou le commutateur) CE du client transporteur d’opérateurs, incluez l’instruction policy-statement suivante :
policy-statement policy-statement-name {
term term-name {
from protocol [ ospf direct ldp ];
then accept;
}
term term-name {
then reject;
}
}
Vous pouvez inclure cette instruction aux niveaux hiérarchiques suivants :
[edit policy-options][edit logical-systems logical-system-name policy-options]
Configuration du routeur ou du commutateur PE du fournisseur
Les routeurs (ou commutateurs) PE du fournisseur opérateur se connectent aux routeurs (ou commutateurs) CE du client opérateur. Suivez les instructions des sections suivantes pour configurer le routeur (ou commutateur) PE du fournisseur :
- Configuration de MPLS
- Configuration d’une session BGP de PE à PE
- Configuration d’IS-IS et de LDP
- Configuration des options de stratégie
- Configuration d’une instance de routage pour envoyer des routes au routeur CE
Configuration de MPLS
Dans la configuration MPLS, spécifiez au moins deux interfaces, l’une vers le routeur (ou commutateur) CE du client et l’autre pour se connecter au routeur (ou commutateur) PE du fournisseur de l’autre côté du réseau du fournisseur :
interface interface-name; interface interface-name;
Vous pouvez inclure ces instructions aux niveaux hiérarchiques suivants :
[edit protocols mpls][edit logical-systems logical-system-name protocols mpls]
Configuration d’une session BGP de PE à PE
Pour configurer une session BGP PE-à-PE sur les routeurs (ou commutateurs) PE du fournisseur afin de permettre le passage des routes VPN-IPv4 entre les routeurs (ou commutateurs) PE, incluez l’instruction bgp suivante :
bgp {
group group-name {
type internal;
local-address address;
family inet-vpn {
any;
}
neighbor address;
}
}
Vous pouvez inclure cette instruction aux niveaux hiérarchiques suivants :
[edit protocols][edit logical-systems logical-system-name protocols]
Configuration d’IS-IS et de LDP
Pour configurer IS-IS et LDP sur les routeurs (ou commutateurs) PE du fournisseur, incluez les isis instructions et ldp :
isis {
interface interface-name;
interface interface-name {
passive;
}
}
ldp {
interface interface-name;
}
Vous pouvez inclure ces instructions aux niveaux hiérarchiques suivants :
[edit protocols][edit logical-systems logical-system-name protocols]
Configuration des options de stratégie
Pour configurer les instructions de stratégie sur le routeur (ou le commutateur) PE du fournisseur afin d’exporter et d’importer des routes depuis le réseau du client opérateur, incluez les policy-statement instructions et community :
policy-statement statement-name {
term term-name {
from {
protocol bgp;
community community-name;
}
then accept;
}
term term-name {
then reject;
}
}
policy-statement statement-name {
term term-name {
from protocol bgp;
then {
community add community-name;
accept;
}
}
term term-name {
then reject;
}
}
community community-name members value;
Vous pouvez inclure ces instructions aux niveaux hiérarchiques suivants :
[edit policy-options][edit logical-systems logical-system-name policy-options]
Configuration d’une instance de routage pour envoyer des routes au routeur CE
Pour configurer l’instance de routage sur le routeur PE (ou le commutateur) du fournisseur afin qu’elle envoie des routes étiquetées au routeur (ou commutateur) CE du client opérateur, incluez les instructions suivantes :
instance-type vrf;
interface interface-name;
route-distinguisher value;
vrf-import policy-name;
vrf-export policy-name;
protocols {
bgp {
group group-name {
peer-as as-number;
neighbor address {
family inet {
labeled-unicast;
}
}
}
}
}
Vous pouvez inclure ces instructions aux niveaux hiérarchiques suivants :
[edit routing-instances routing-instance-name][edit logical-systems logical-system-name routing-instances routing-instance-name]
Voir aussi
Exemple de VPN Carrier-of-Carriers : le client fournit un service VPN
Dans cet exemple, l’opérateur client doit exécuter une forme quelconque de MPLS (Resource Reservation Protocol [RSVP] ou LDP) sur son réseau pour fournir des services VPN au client final. Dans l’exemple ci-dessous, le routeur B et le routeur I agissent comme des routeurs PE (ou commutateurs), et un chemin MPLS fonctionnel est requis entre ces routeurs s’ils échangent des routes VPN-IPv4.
Pour plus d’informations sur la configuration, reportez-vous aux sections suivantes :
- Topologie de réseau pour le service Carrier-of-Carriers
- Configuration du routeur A
- Configuration du routeur B
- Configuration pour le routeur C
- Configuration pour le routeur D
- Configuration pour le routeur E
- Configuration du routeur F
- Configuration pour le routeur G
- Configuration du routeur H
- Configuration pour le routeur I
- Configuration pour le routeur J
- Configuration pour le routeur K
- Configuration du routeur L
Topologie de réseau pour le service Carrier-of-Carriers
Un service de fournisseur d’opérateurs permet à un fournisseur d’accès à Internet (FAI) de se connecter à un réseau dorsal externalisé transparent sur plusieurs sites.
La figure 3 illustre la topologie du réseau dans cet exemple de porteuse de porteuses.
de réseau VPN Carrier-of-carriers
Configuration du routeur A
Dans cet exemple, le routeur A fait office de routeur CE pour le client final. Configurer une session BGP par défaut family inet sur le routeur A :
[edit]
protocols {
bgp {
group to-routerB {
export attached;
peer-as 21;
neighbor 192.168.197.169;
}
}
}
policy-options {
policy-statement attached {
from protocol direct;
then accept;
}
}
Configuration du routeur B
Étant donné que le routeur B est le routeur PE pour le routeur CE du client final (routeur A), vous devez configurer une instance de routage (vpna). Configurez l’instruction labeled-unicast de la session IBGP sur le routeur D, et configurez family-inet-vpn la session IBGP de l’autre côté du réseau avec le routeur I :
[edit]
protocols {
mpls {
interface fe-1/0/2.0;
interface fe-1/0/3.0;
}
bgp {
group int {
type internal;
local-address 10.255.14.179;
neighbor 10.255.14.175 {
family inet {
labeled-unicast {
resolve-vpn;
}
}
}
}
neighbor 10.255.14.181 {
family inet-vpn {
any;
}
}
}
ospf {
area 0.0.0.0 {
interface lo0.0 {
passive;
}
interface fe-1/0/3.0;
}
}
ldp {
interface fe-1/0/3.0;
}
}
routing-instances {
vpna {
instance-type vrf;
interface fe-1/0/2.0;
route-distinguisher 10.255.14.179:21;
vrf-import vpna-import;
vrf-export vpna-export;
protocols {
bgp {
group vpna-06 {
peer-as 1;
neighbor 192.168.197.170;
}
}
}
}
}
policy-options {
policy-statement vpna-import {
term a {
from {
protocol bgp;
community vpna-comm;
}
then accept;
}
term b {
then reject;
}
}
policy-statement vpna-export {
term a {
from protocol bgp;
then {
community add vpna-comm;
accept;
}
}
term b {
then reject;
}
}
community vpna-comm members target:100:1001;
}
Configuration pour le routeur C
Configurez le routeur C en tant que routeur d’échange d’étiquettes dans l’AS local :
[edit]
protocols {
mpls {
traffic-engineering bgp-igp;
}
ospf {
area 0.0.0.0 {
interface lo0.0 {
passive;
}
interface fe-0/3/3.0;
interface fe-0/3/0.0;
}
}
ldp {
interface fe-0/3/0.0;
interface fe-0/3/3.0;
}
}
Configuration pour le routeur D
Le routeur D fait office de routeur CE pour les services VPN fournis par le réseau AS 10023. Dans la configuration du groupe BGP pour le groupe int, qui gère le trafic vers le routeur B (10.255.14.179), vous incluez l’instruction labeled-unicast . Vous devez également configurer le groupe to-isp-red BGP pour qu’il envoie des routes internes étiquetées au routeur PE (routeur E).
[edit]
protocols {
mpls {
traffic-engineering bgp-igp;
interface fe-0/3/0.0;
interface t3-0/0/0.0;
}
bgp {
group int {
type internal;
local-address 10.255.14.175;
neighbor 10.255.14.179 {
family inet {
labeled-unicast;
}
}
}
group to-isp-red {
export internal;
peer-as 10023;
neighbor 192.168.197.13 {
family inet {
labeled-unicast;
}
}
}
}
ospf {
area 0.0.0.0 {
interface lo0.0 {
passive;
}
interface fe-0/3/0.0;
}
}
ldp {
interface fe-0/3/0.0;
}
}
policy-options {
policy-statement internal {
term a {
from protocol [ ospf direct ];
then accept;
}
term b {
then reject;
}
}
}
Configuration pour le routeur E
Les routeurs E et H sont des routeurs PE. Configurez une session BGP de routeur PE à routeur PE pour autoriser le passage de routes VPN-IPv4 entre ces deux routeurs PE. Configurez l’instance de routage sur le routeur E pour qu’elle envoie des routes étiquetées au routeur CE (routeur D).
Configurer le routeur E :
[edit]
protocols {
mpls {
interface t3-0/2/0.0;
interface at-0/1/0.0;
}
bgp {
group pe-pe {
type internal;
local-address 10.255.14.171;
family inet-vpn {
any;
}
neighbor 10.255.14.173;
}
}
isis {
interface at-0/1/0.0;
interface lo0.0 {
passive;
}
}
ldp {
interface at-0/1/0.0;
}
}
policy-options {
policy-statement vpn-isp1-import {
term a {
from {
protocol bgp;
community vpn-isp1-comm;
}
then accept;
}
term b {
then reject;
}
}
policy-statement vpn-isp1-export {
term a {
from protocol bgp;
then {
community add vpn-isp1-comm;
accept;
}
}
term b {
then reject;
}
}
community vpn-isp1-comm members target:69:21;
}
routing-instances {
vpn-isp1 {
instance-type vrf;
interface t3-0/2/0.0;
route-distinguisher 10.255.14.171:21;
vrf-import vpn-isp1-import;
vrf-export vpn-isp1-export;
protocols {
bgp {
group to-isp1 {
peer-as 21;
neighbor 192.168.197.14 {
as-override;
family inet {
labeled-unicast;
}
}
}
}
}
}
}
Configuration du routeur F
Configurez le routeur F pour qu’il permute les étiquettes des routes qui passent par ses interfaces :
[edit]
protocols {
isis {
interface so-0/2/0.0;
interface at-0/3/0.0;
interface lo0.0 {
passive;
}
}
ldp {
interface so-0/2/0.0;
interface at-0/3/0.0;
}
}
Configuration pour le routeur G
Configurer le routeur G :
[edit]
protocols {
isis {
interface so-0/0/0.0;
interface so-1/0/0.0;
interface lo0.0 {
passive;
}
}
ldp {
interface so-0/0/0.0;
interface so-1/0/0.0;
}
}
Configuration du routeur H
La configuration du routeur H est similaire à celle du routeur E :
[edit]
protocols {
mpls {
interface fe-1/1/0.0;
interface so-1/0/0.0;
}
bgp {
group pe-pe {
type internal;
local-address 10.255.14.173;
family inet-vpn {
any;
}
neighbor 10.255.14.171;
}
}
isis {
interface so-1/0/0.0;
interface lo0.0 {
passive;
}
}
ldp {
interface so-1/0/0.0;
}
}
routing-instances {
vpn-isp1 {
instance-type vrf;
interface fe-1/1/0.0;
route-distinguisher 10.255.14.173:21;
vrf-import vpn-isp1-import;
vrf-export vpn-isp1-export;
protocols {
bgp {
group to-isp1 {
peer-as 21;
neighbor 192.168.197.94 {
as-override;
family inet {
labeled-unicast;
}
}
}
}
}
}
}
policy-options {
policy-statement vpn-isp1-import {
term a {
from {
protocol bgp;
community vpn-isp1-comm;
}
then accept;
}
term b {
then reject;
}
}
policy-statement vpn-isp1-export {
term a {
from protocol bgp;
then {
community add vpn-isp1-comm;
accept;
}
}
term b {
then reject;
}
}
community vpn-isp1-comm members target:69:21;
}
Configuration pour le routeur I
Le routeur I fait office de routeur PE pour le client final. La configuration suivante est similaire à celle du routeur B :
[edit]
protocols {
mpls {
interface fe-1/0/1.0;
interface fe-1/1/3.0;
}
bgp {
group int {
type internal;
local-address 10.255.14.181;
neighbor 10.255.14.177 {
family inet {
labeled-unicast {
resolve-vpn;
}
}
}
neighbor 10.255.14.179 {
family inet-vpn {
any;
}
}
}
}
ospf {
area 0.0.0.0 {
interface lo0.0 {
passive;
}
interface fe-1/1/3.0;
}
}
ldp {
interface fe-1/1/3.0;
}
}
routing-instances {
vpna {
instance-type vrf;
interface fe-1/0/1.0;
route-distinguisher 10.255.14.181:21;
vrf-import vpna-import;
vrf-export vpna-export;
protocols {
bgp {
group vpna-0 {
peer-as 1;
neighbor 192.168.197.198;
}
}
}
}
}
policy-options {
policy-statement vpna-import {
term a {
from {
protocol bgp;
community vpna-comm;
}
then accept;
}
term b {
then reject;
}
}
policy-statement vpna-export {
term a {
from protocol bgp;
then {
community add vpna-comm;
accept;
}
}
term b {
then reject;
}
}
community vpna-comm members target:100:1001;
}
Configuration pour le routeur J
Configurez le routeur J pour permuter les étiquettes des routes qui passent par ses interfaces :
[edit]
protocols {
mpls {
traffic-engineering bgp-igp;
}
ospf {
area 0.0.0.0 {
interface lo0.0 {
passive;
}
interface fe-1/0/2.0;
interface fe-1/0/3.0;
}
}
ldp {
interface fe-1/0/2.0;
interface fe-1/0/3.0;
}
}
Configuration pour le routeur K
La configuration du routeur K est similaire à celle du routeur D :
[edit]
protocols {
mpls {
traffic-engineering bgp-igp;
interface fe-1/1/2.0;
interface fe-1/0/2.0;
}
bgp {
group int {
type internal;
local-address 10.255.14.177;
neighbor 10.255.14.181 {
family inet {
labeled-unicast;
}
}
}
group to-isp-red {
export internal;
peer-as 10023;
neighbor 192.168.197.93 {
family inet {
labeled-unicast;
}
}
}
}
ospf {
area 0.0.0.0 {
interface lo0.0 {
passive;
}
interface fe-1/0/2.0;
}
}
ldp {
interface fe-1/0/2.0;
}
}
policy-options {
policy-statement internal {
term a {
from protocol [ ospf direct ];
then accept;
}
term b {
then reject;
}
}
}
Configuration du routeur L
Dans cet exemple, le routeur L est le routeur CE du client final. Configurer une session BGP familiale inet par défaut sur le routeur L :
[edit]
protocols {
bgp {
group to-I {
export attached;
peer-as 21;
neighbor 192.168.197.197;
}
}
}
policy-options {
policy-statement attached {
from protocol direct;
then accept;
}
}
Voir aussi
Instances multiples pour les VPN LDP et Carrier-of-Carriers
En configurant plusieurs instances de routage LDP, vous pouvez utiliser LDP pour annoncer des étiquettes dans un VPN opérateur à partir d’un routeur PE du fournisseur principal vers un routeur CE de l’opérateur client. Le fait que LDP publie des étiquettes de cette manière est particulièrement utile lorsque le client opérateur est un FAI de base et qu’il souhaite restreindre les routes Internet complètes à ses routeurs PE. En utilisant LDP au lieu de BGP, l’opérateur client protège ses autres routeurs internes de l’ensemble d’Internet. Le LDP multi-instance est également utile lorsqu’un client opérateur souhaite fournir des services VPN de couche 3 ou VPN de couche 2 à ses clients.
Pour obtenir un exemple de configuration de plusieurs instances de routage LDP pour des VPN de type carrier-of-carriers, reportez-vous à https://www.juniper.net/documentation/us/en/software/junos/mpls/topics/example/multiple-instance-ldp-configuring-detailed-solutions.html.
Voir aussi
Tableau de l’historique des modifications
La prise en charge des fonctionnalités est déterminée par la plateforme et la version que vous utilisez. Utilisez l’explorateur de fonctionnalités pour déterminer si une fonctionnalité est prise en charge sur votre plateforme.