SUR CETTE PAGE
Configuration des VPN d’opérateur pour les clients qui fournissent un service Internet
Exemple de VPN opérateur d’opérateur : le client fournit un service Internet
Configuration des VPN Carrier-of-Carrier pour les clients qui fournissent un service VPN
Exemple de VPN opérateur ou opérateur : le client fournit un service VPN
VPN opérateur ou opérateur
Comprendre les VPN Carrier-of-Carrier
Le client d’un fournisseur de services VPN peut être un fournisseur de services pour le client final. Voici les deux principaux types de VPN opérateur-of-carrier (tels que décrits dans la RFC 4364) :
Fournisseur de services Internet en tant que client : le client VPN est un FAI qui utilise le réseau du fournisseur de services VPN pour connecter ses réseaux régionaux géographiquement disparates. Le client n’a pas besoin de configurer MPLS au sein de ses réseaux régionaux.
Fournisseur de services VPN en tant que client : le client VPN est lui-même un fournisseur de services VPN offrant un service VPN à ses clients. Le client du service VPN opérateur ou opérateur s’appuie sur le fournisseur de services VPN backbone pour la connectivité intersite. Le fournisseur de services VPN client est tenu d’exécuter MPLS au sein de ses réseaux régionaux.
La figure 1 illustre l’architecture réseau utilisée pour un service VPN opérateur ou opérateur.
VPN Carrier-of-Carrier
Cette rubrique couvre les points suivants :
- Le fournisseur de services Internet en tant que client
- Le fournisseur de services VPN en tant que client
Le fournisseur de services Internet en tant que client
Dans ce type de configuration VPN opérateur de porte-opérateurs, le FAI A configure son réseau pour fournir un service Internet à l’ISP B. Le FAI B fournit la connexion au client souhaitant un service Internet, mais le service Internet réel est fourni par le FAI A.
Ce type de configuration VPN opérateur ou opérateur présente les caractéristiques suivantes :
Le client du service VPN opérateur des opérateurs (FAI B) n’a pas besoin de configurer MPLS sur son réseau.
Le fournisseur de services VPN opérateur des opérateurs (FAI A) doit configurer MPLS sur son réseau.
Le MPLS doit également être configuré sur les routeurs CE et PE connectés ensemble dans les réseaux du client et du fournisseur de services VPN opérateur des opérateurs.
Le fournisseur de services VPN en tant que client
Un fournisseur de services VPN peut avoir des clients qui sont eux-mêmes des fournisseurs de services VPN. Dans ce type de configuration, également appelé VPN hiérarchique ou récursif, les routes VPN-IPv4 du fournisseur de services VPN client sont considérées comme des routes externes et le fournisseur de services VPN backbone ne les importe pas dans sa table VRF. Le fournisseur de services VPN backbone importe uniquement les routes internes du fournisseur de services VPN client dans sa table VRF.
Les similitudes et les différences entre les VPN interfournisseurs et les VPN opérateurs de transporteurs sont présentées dans le tableau 1.
Fonction |
Client FAI |
Client fournisseur de services VPN |
|---|---|---|
Appareil de périphérie client |
Routeur de bordure AS |
Routeur PE |
Sessions IBGP |
Transporter des routes IPv4 |
Transporter des routes VPN-IPv4 externes avec des étiquettes associées |
Transfert au sein du réseau client |
MPLS est facultatif |
MPLS requis |
Prise en charge du service VPN, car le client est pris en charge sur les commutateurs QFX10000 à partir de Junos OS version 17.1R1.
Configuration des VPN d’opérateur pour les clients qui fournissent un service Internet
Vous pouvez configurer un service VPN opérateur ou opérateur pour les clients qui souhaitent fournir un service Internet de base. Le fournisseur de services VPN opérateur doit configurer MPLS dans son réseau, bien que cette configuration soit facultative pour le client du service opérateur. L’architecture VPN Carrier-of-Carriers montre comment les routeurs ou commutateurs de ce type de service s’interconnectent.
Pour configurer un VPN opérateur de porteurs, effectuez les tâches décrites dans les sections suivantes :
- Configuration du routeur CE du service VPN Carrier-of-Carriers du client
- Configuration des routeurs PE du fournisseur de services VPN opérateur ou opérateur
Configuration du routeur CE du service VPN Carrier-of-Carriers du client
Le routeur (ou commutateur) du client du service VPN opérateur agit comme un routeur CE par rapport au routeur ou au commutateur PE du fournisseur de services. Les sections suivantes décrivent comment configurer le routeur ou le commutateur CE du client du service VPN opérateur ou opérateur :
- Configuration de MPLS
- Configuration de BGP
- Configuration d’OSPF
- Configuration des options de stratégie
Configuration de MPLS
Pour configurer MPLS sur le routeur ou le commutateur CE du client, incluez l’instruction mpls suivante :
mpls {
traffic-engineering bgp-igp;
interface interface-name;
}
Vous pouvez inclure cette instruction aux niveaux hiérarchiques suivants :
[edit protocols][edit logical-systems logical-system-name protocols]
Configuration de BGP
Pour configurer un groupe afin de rassembler les itinéraires internes du client, incluez l’instruction bgp suivante :
bgp {
group group-name {
type internal;
local-address address;
neighbor address;
}
}
Vous pouvez inclure cette instruction aux niveaux hiérarchiques suivants :
[edit protocols][edit logical-systems logical-system-name protocols]
Le routeur (ou commutateur) CE du client doit pouvoir envoyer des étiquettes au routeur du fournisseur de services VPN. Pour cela, incluez l’instruction labeled-unicast dans la configuration du groupe BGP :
bgp {
group group-name {
export internal;
peer-as as-number;
neighbor address {
family inet {
labeled-unicast;
}
}
}
}
Vous pouvez inclure l’instruction bgp aux niveaux hiérarchiques suivants :
[edit protocols][edit logical-systems logical-system-name protocols]
Configuration d’OSPF
Pour configurer OSPF sur le routeur ou le commutateur CE du client, incluez l’instruction ospf suivante :
ospf {
area area-id {
interface interface-name {
passive;
}
interface interface-name;
}
}
Vous pouvez inclure cette instruction aux niveaux hiérarchiques suivants :
[edit protocols][edit logical-systems logical-system-name protocols]
Configuration des options de stratégie
Pour configurer les options de stratégie sur le routeur ou le commutateur CE du client, incluez l’instruction policy-statement suivante :
policy-statement statement-name {
term term-name {
from protocol [ospf direct ldp];
then accept;
}
term term-name {
then reject;
}
}
Vous pouvez inclure cette instruction aux niveaux hiérarchiques suivants :
[edit policy-options][edit logical-systems logical-system-name policy-options]
Configuration des routeurs PE du fournisseur de services VPN opérateur ou opérateur
Les routeurs PE du fournisseur de services se connectent aux routeurs CE du client et transfèrent le trafic VPN du client sur le réseau du fournisseur.
Les sections suivantes décrivent comment configurer les routeurs PE du fournisseur de services VPN opérateur ou opérateur :
- Configuration de MPLS
- Configuration de BGP
- Configuration d’IS-IS
- Configuration de LDP
- Configuration d’une instance de routage
- Configuration des options de stratégie
Configuration de MPLS
Pour configurer MPLS sur les routeurs ou commutateurs PE du fournisseur, incluez l’instruction mpls suivante :
mpls {
interface interface-name;
interface interface-name;
}
Vous pouvez inclure cette instruction aux niveaux hiérarchiques suivants :
[edit protocols][edit logical-systems logical-system-name protocols]
Configuration de BGP
Pour configurer une session BGP avec le routeur PE du fournisseur à l’autre extrémité du réseau du fournisseur, incluez l’instruction bgp suivante :
bgp {
group group-name {
type internal;
local-address address;
family inet-vpn {
any;
}
neighbor address;
}
}
Vous pouvez inclure cette instruction aux niveaux hiérarchiques suivants :
[edit protocols][edit logical-systems logical-system-name protocols]
Configuration d’IS-IS
Pour configurer IS-IS sur les routeurs ou commutateurs PE du fournisseur, incluez l’instruction isis suivante :
isis {
interface interface-name;
interface interface-name {
passive;
}
}
Vous pouvez inclure cette instruction aux niveaux hiérarchiques suivants :
[edit protocols][edit logical-systems logical-system-name protocols]
Configuration de LDP
Pour configurer LDP sur les routeurs ou commutateurs PE du fournisseur, incluez l’instruction ldp suivante :
ldp {
interface interface-name;
}
Vous pouvez inclure cette instruction aux niveaux hiérarchiques suivants :
[edit protocols][edit logical-systems logical-system-name protocols]
Configuration d’une instance de routage
Pour configurer un service VPN de couche 3 avec le routeur ou commutateur CE du client, incluez l’instruction dans la configuration de l’instance labeled-unicast de routage afin que le routeur (ou commutateur) PE puisse envoyer des étiquettes au routeur ou commutateur CE du client :
routing-instance-name {
instance-type vrf;
interface interface-name;
route-distinguisher address;
vrf-import policy-name;
vrf-export policy-name;
protocols {
bgp {
group group-name {
peer-as as-number;
neighbor address {
family inet {
labeled-unicast;
}
}
}
}
}
}
Vous pouvez inclure ces instructions aux niveaux hiérarchiques suivants :
[edit routing-instances][edit logical-systems logical-system-name routing-instances]
Configuration des options de stratégie
Pour configurer une instruction de stratégie afin d’importer des routes à partir du routeur ou du commutateur CE du client, incluez l’instruction policy-statement suivante :
policy-statement policy-name {
term term-name {
from {
protocol bgp;
community community-name;
}
then accept;
}
term term-name {
then reject;
}
}
Vous pouvez inclure cette instruction aux niveaux hiérarchiques suivants :
[edit policy-options][edit logical-systems logical-system-name policy-options]
Pour configurer une instruction de stratégie afin d’exporter des routes vers le routeur ou le commutateur CE du client, incluez les policy-statement instructions et community :
policy-statement policy-name {
term term-name {
from protocol bgp;
then {
community add community-name;
accept;
}
}
term term-name {
then reject;
}
}
community community-name members value;
Vous pouvez inclure ces instructions aux niveaux hiérarchiques suivants :
[edit policy-options][edit logical-systems logical-system-name policy-options]
Voir aussi
Exemple de VPN opérateur d’opérateur : le client fournit un service Internet
Dans cet exemple, le client opérateur n’est pas tenu de configurer MPLS et LDP sur son réseau. Toutefois, le fournisseur opérateur doit configurer MPLS et LDP sur son réseau.
Pour plus d’informations sur la configuration, consultez les sections suivantes :
- Topologie de réseau pour le service Carrier-of-Carrier
- Configuration du routeur A
- Configuration du routeur B
- Configuration du routeur C
- Configuration du routeur D
- Configuration du routeur E
- Configuration du routeur F
- Configuration du routeur G
- Configuration du routeur H
- Configuration du routeur I
- Configuration du routeur J
- Configuration du routeur K
- Configuration du routeur L
Topologie de réseau pour le service Carrier-of-Carrier
Un service d’opérateur d’opérateurs permet à un fournisseur de services Internet (FAI) de se connecter à un réseau dorsal externalisé transparent à plusieurs endroits.
La figure 2 montre la topologie du réseau dans cet exemple de porteuse de porteuses.
de réseau VPN Carrier-of-Carrier
Configuration du routeur A
Dans cet exemple, le routeur A représente un client final. Vous configurez ce routeur en tant que périphérique CE .
[edit]
protocols {
bgp {
group to-routerB {
export attached;
peer-as 21;
as-override;
neighbor 192.168.197.169;
}
}
}
policy-options {
policy-statement attached {
from protocol direct;
then accept;
}
}
Configuration du routeur B
Le routeur B peut jouer le rôle de routeur de passerelle, chargé d’agréger les clients finaux et de les connecter au réseau. Si une session IBGP à maillage complet est configurée, vous pouvez utiliser des réflecteurs de route.
[edit]
protocols {
bgp {
group int {
type internal;
local-address 10.255.14.179;
neighbor 10.255.14.175;
neighbor 10.255.14.181;
neighbor 10.255.14.176;
neighbor 10.255.14.178;
neighbor 10.255.14.177;
}
group to-vpn-blue {
peer-as 1;
neighbor 192.168.197.170;
}
}
ospf {
area 0.0.0.0 {
interface lo0.0 {
passive;
}
interface fe-1/0/3.0;
interface fe-1/0/2.0 {
passive;
}
}
}
}
Configuration du routeur C
Configurez le routeur C :
[edit]
protocols {
bgp {
group int {
type internal;
local-address 10.255.14.176;
neighbor 10.255.14.179;
neighbor 10.255.14.175;
neighbor 10.255.14.177;
neighbor 10.255.14.178;
neighbor 10.255.14.181;
}
}
ospf {
area 0.0.0.0 {
interface lo0.0 {
passive;
}
interface fe-0/3/3.0;
interface fe-0/3/0.0;
}
}
}
Configuration du routeur D
Le routeur D est le routeur CE par rapport à la norme AS 10023. Dans un VPN opérateur de porteur, le routeur CE doit pouvoir envoyer des étiquettes au fournisseur opérateur ; Ceci est fait avec l’instruction dans le labeled-unicast groupe to-isp-red.
[edit]
protocols {
mpls {
interface t3-0/0/0.0;
}
bgp {
group int {
type internal;
local-address 10.255.14.175;
neighbor 10.255.14.179;
neighbor 10.255.14.176;
neighbor 10.255.14.177;
neighbor 10.255.14.178;
neighbor 10.255.14.181;
}
group to-isp-red {
export internal;
peer-as 10023;
neighbor 192.168.197.13 {
family inet {
labeled-unicast;
}
}
}
}
ospf {
area 0.0.0.0 {
interface lo0.0 {
passive;
}
interface fe-0/3/0.0;
interface t3-0/0/0.0 {
passive;
}
}
}
}
policy options {
policy-statement internal {
term a {
from protocol [ ospf direct ];
then accept;
}
term b {
then reject;
}
}
}
Configuration du routeur E
Cette configuration configure la session IBGP avec le routeur H et la partie routeur PE du VPN avec le inet-vpn routeur D. Étant donné que le routeur D est requis pour envoyer des étiquettes dans cet exemple, configurez la session BGP avec l’instruction labeled-unicast dans la table VRF (Virtual routing and forwarding).
[edit]
protocols {
mpls {
interface t3-0/2/0.0;
interface at-0/1/0.0;
}
bgp {
group pe-pe {
type internal;
local-address 10.255.14.171;
family inet-vpn {
any;
}
neighbor 10.255.14.173;
}
}
isis {
interface at-0/1/0.0;
interface lo0.0 {
passive;
}
}
ldp {
interface at-0/1/0.0;
}
}
routing-instances {
vpn-isp1 {
instance-type vrf;
interface t3-0/2/0.0;
route-distinguisher 10.255.14.171:21;
vrf-import vpn-isp1-import;
vrf-export vpn-isp1-export;
protocols {
bgp {
group to-isp1 {
peer-as 21;
neighbor 192.168.197.14 {
family inet {
labeled-unicast;
}
}
}
}
}
}
}
policy-options {
policy-statement vpn-isp1-import {
term a {
from {
protocol bgp;
community vpn-isp1-comm;
}
then accept;
}
term b {
then reject;
}
}
policy-statement vpn-isp1-export {
term a {
from protocol bgp;
then {
community add vpn-isp1-comm;
accept;
}
}
term b {
then reject;
}
}
community vpn-isp1-comm members target:69:21;
}
Configuration du routeur F
Configurez le routeur F pour qu’il agisse comme routeur d’échange d’étiquettes :
[edit]
protocols {
isis {
interface so-0/2/0.0;
interface at-0/3/0.0;
interface lo0.0 {
passive;
}
}
ldp {
interface so-0/2/0.0;
interface at-0/3/0.0;
}
}
Configuration du routeur G
Configurez le routeur G pour qu’il fonctionne comme routeur d’échange d’étiquettes :
[edit]
protocols {
isis {
interface so-0/0/0.0;
interface so-1/0/0.0;
interface lo0.0 {
passive;
}
}
ldp {
interface so-0/0/0.0;
interface so-1/0/0.0;
}
}
Configuration du routeur H
Le routeur H fait office de routeur PE pour l’AS 10023. La configuration qui suit est similaire à celle du routeur F :
[edit]
protocols {
mpls {
interface fe-1/1/0.0;
interface so-1/0/0.0;
}
bgp {
group pe-pe {
type internal;
local-address 10.255.14.173;
family inet-vpn {
any;
}
neighbor 10.255.14.171;
}
}
isis {
interface so-1/0/0.0;
interface lo0.0 {
passive;
}
}
ldp {
interface so-1/0/0.0;
}
}
routing-instances {
vpn-isp1 {
instance-type vrf;
interface fe-1/1/0.0;
route-distinguisher 10.255.14.173:21;
vrf-import vpn-isp1-import;
vrf-export vpn-isp1-export;
protocols {
bgp {
group to-isp1 {
peer-as 21;
neighbor 192.168.197.94 {
family inet {
labeled-unicast;
}
}
}
}
}
}
}
policy-options {
policy-statement vpn-isp1-import {
term a {
from {
protocol bgp;
community vpn-isp1-comm;
}
then accept;
}
term b {
then reject;
}
}
policy-statement vpn-isp1-export {
term a {
from protocol bgp;
then {
community add vpn-isp1-comm;
accept;
}
}
term b {
then reject;
}
}
community vpn-isp1-comm members target:69:21;
}
Configuration du routeur I
Configurez le routeur I pour vous connecter au client du service Internet de base (routeur L) :
[edit]
protocols {
mpls {
interface fe-1/0/1.0;
interface fe-1/1/3.0;
}
bgp {
group int {
type internal;
local-address 10.255.14.181;
neighbor 10.255.14.177;
neighbor 10.255.14.179;
neighbor 10.255.14.175;
neighbor 10.255.14.176;
neighbor 10.255.14.178;
}
group to-vpn-green {
peer-as 1;
neighbor 192.168.197.198;
}
}
ospf {
area 0.0.0.0 {
interface lo0.0 {
passive;
}
interface fe-1/0/1.0 {
passive;
}
interface fe-1/1/3.0;
}
}
}
Configuration du routeur J
Configurez le routeur J en tant que routeur d’échange d’étiquettes :
[edit]
protocols {
bgp {
group int {
type internal;
local-address 10.255.14.178;
neighbor 10.255.14.177;
neighbor 10.255.14.181;
neighbor 10.255.14.175;
neighbor 10.255.14.176;
neighbor 10.255.14.179;
}
}
}
ospf {
area 0.0.0.0 {
interface lo0.0 {
passive;
}
interface fe-1/0/2.0;
interface fe-1/0/3.0;
}
}
Configuration du routeur K
Le routeur K fait office de routeur CE à la fin de la connexion au fournisseur opérateur. Comme dans la configuration du routeur D, incluez l’instruction labeled-unicast de la session EBGP :
[edit]
protocols {
mpls {
interface fe-1/1/2.0;
interface fe-1/0/2.0;
}
bgp {
group int {
type internal;
local-address 10.255.14.177;
neighbor 10.255.14.181;
neighbor 10.255.14.178;
neighbor 10.255.14.175;
neighbor 10.255.14.176;
neighbor 10.255.14.179;
}
group to-isp-red {
export internal;
peer-as 10023;
neighbor 192.168.197.93 {
family inet {
labeled-unicast;
}
}
}
}
ospf {
area 0.0.0.0 {
interface lo0.0 {
passive;
}
interface fe-1/0/2.0;
interface fe-1/1/2.0 {
passive;
}
}
}
}
policy-options {
policy-statement internal {
term a {
from protocol [ ospf direct ];
then accept;
}
term b {
then reject;
}
}
}
Configuration du routeur L
Configurez le routeur L pour qu’il agisse en tant que client final pour le service VPN opérateur d’opérateurs :
[edit]
protocols {
bgp {
group to-routerI {
export attached;
peer-as 21;
neighbor 192.168.197.197;
}
}
}
policy-options {
policy-statement attached {
from protocol direct;
then accept;
}
}
Voir aussi
Configuration des VPN Carrier-of-Carrier pour les clients qui fournissent un service VPN
Vous pouvez configurer un service VPN opérateur ou opérateur pour les clients qui souhaitent un service VPN.
Pour configurer les routeurs (ou commutateurs) des réseaux du client et du fournisseur afin d’activer le service VPN opérateur ou opérateur, effectuez les étapes décrites dans les sections suivantes :
- Configuration du routeur PE du client Carrier-of-Carriers
- Configuration du routeur (ou commutateur) CE du client opérateur ou opérateur
- Configuration du routeur ou du commutateur PE du fournisseur
Configuration du routeur PE du client Carrier-of-Carriers
Le routeur (ou commutateur) PE du client opérateur est connecté au routeur (ou commutateur) CE du client final.
Les sections suivantes décrivent comment configurer le routeur (ou commutateur) PE du client opérateur ou opérateur :
- Configuration de MPLS
- Configuration de BGP
- Configuration d’OSPF
- Configuration de LDP
- Configuration du service VPN dans l’instance de routage
- Configuration des options de stratégie
Configuration de MPLS
Pour configurer MPLS sur le routeur (ou commutateur) PE du client opérateur, incluez l’instruction mpls suivante :
mpls {
interface interface-name;
interface interface-name;
}
Vous pouvez inclure cette instruction aux niveaux hiérarchiques suivants :
[edit protocols][edit logical-systems logical-system-name protocols]
Configuration de BGP
Incluez l’instruction dans la configuration de la session IBGP au routeur (ou commutateur) CE du client opérateur ou opérateur, et incluez l’instruction dans la configuration de la session IBGP au routeur PE (ou commutateur) opérateur de l’opérateur de l’autre labeled-unicast family-inet-vpn côté du réseau :
bgp {
group group-name {
type internal;
local-address address;
neighbor address {
family inet {
labeled-unicast;
resolve-vpn;
}
}
}
neighbor address {
family inet-vpn {
any;
}
}
}
Vous pouvez inclure ces instructions aux niveaux hiérarchiques suivants :
[edit protocols][edit logical-systems logical-system-name protocols]
Configuration d’OSPF
Pour configurer OSPF sur le routeur (ou commutateur) PE de l’opérateur client, incluez l’instruction ospf suivante :
ospf {
area area-id {
interface interface-name {
passive;
}
interface interface-name;
}
}
Vous pouvez inclure cette instruction aux niveaux hiérarchiques suivants :
[edit protocols][edit logical-systems logical-system-name protocols]
Configuration de LDP
Pour configurer LDP sur le routeur (ou commutateur) PE du client opérateur, incluez l’instruction ldp suivante :
ldp {
interface interface-name;
}
Vous pouvez inclure cette instruction aux niveaux hiérarchiques suivants :
[edit protocols][edit logical-systems logical-system-name protocols]
Configuration du service VPN dans l’instance de routage
Pour configurer le service VPN pour le routeur (ou commutateur) CE du client final sur le routeur (ou commutateur) PE du client opérateur, incluez les instructions suivantes :
instance-type vrf;
interface interface-name;
route-distinguisher address;
vrf-import policy-name;
vrf-export policy-name;
protocols {
bgp {
group group-name {
peer-as as-number;
neighbor address;
}
}
}
Vous pouvez inclure ces instructions aux niveaux hiérarchiques suivants :
[edit routing-instances routing-instance-name][edit logical-systems logical-system-name routing-instances routing-instance-name]
Configuration des options de stratégie
Pour configurer les options de stratégie d’importation et d’exportation de routes vers et depuis le routeur (ou commutateur) CE du client final, incluez les policy-statement instructions et community :
policy-statement policy-name {
term term-name {
from {
protocol bgp;
community community-name;
}
then accept;
}
term term-name {
then reject;
}
}
policy-statement policy-name {
term term-name {
from protocol bgp;
then {
community add community-name;
accept;
}
}
term term-name {
then reject;
}
}
community community-name members value;
Vous pouvez inclure ces instructions aux niveaux hiérarchiques suivants :
[edit policy-options][edit logical-systems logical-system-name policy-options]
Configuration du routeur (ou commutateur) CE du client opérateur ou opérateur
Le routeur (ou commutateur) CE du client opérateur se connecte au routeur (ou commutateur) PE du fournisseur. Suivez les instructions des sections suivantes pour configurer le routeur (ou commutateur) CE des clients carrier-of-carriers :
- Configuration de MPLS
- Configuration de BGP
- Configuration d’OSPF et LDP
- Configuration des options de stratégie
Configuration de MPLS
Dans la configuration MPLS du routeur (ou commutateur) CE du client opérateur-opérateur, incluez les interfaces avec le routeur (ou commutateur) PE du fournisseur et vers un routeur (ou commutateur) P du réseau du client :
mpls {
traffic-engineering bgp-igp;
interface interface-name;
interface interface-name;
}
Vous pouvez inclure ces instructions aux niveaux hiérarchiques suivants :
[edit protocols][edit logical-systems logical-system-name protocols]
Configuration de BGP
Dans la configuration BGP du routeur (ou commutateur) CE du client opérateur-opérateur, configurez un groupe qui inclut l’instruction pour étendre le labeled-unicast service VPN au routeur (ou commutateur) PE connecté au routeur (ou commutateur) CE du client final :
bgp {
group group-name {
type internal;
local-address address;
neighbor address {
family inet {
labeled-unicast;
}
}
}
}
Vous pouvez inclure l’instruction bgp aux niveaux hiérarchiques suivants :
[edit protocols][edit logical-systems logical-system-name protocols]
Pour configurer un groupe afin d’envoyer des routes internes étiquetées au routeur (ou commutateur) PE du fournisseur, incluez l’instruction bgp suivante :
bgp {
group group-name {
export internal;
peer-as as-number;
neighbor address {
family inet {
labeled-unicast;
}
}
}
}
Vous pouvez inclure cette instruction aux niveaux hiérarchiques suivants :
[edit protocols][edit logical-systems logical-system-name protocols]
Configuration d’OSPF et LDP
Pour configurer OSPF et LDP sur le routeur (ou commutateur) CE de l’opérateur client, incluez les ospf instructions et ldp :
ospf {
area area-id {
interface interface-name {
passive;
}
interface interface-name;
}
}
ldp {
interface interface-name;
}
Vous pouvez inclure ces instructions aux niveaux hiérarchiques suivants :
[edit protocols][edit logical-systems logical-system-name protocols]
Configuration des options de stratégie
Pour configurer les options de stratégie sur le routeur (ou commutateur) CE du client opérateur-opérateur, incluez l’instruction policy-statement suivante :
policy-statement policy-statement-name {
term term-name {
from protocol [ ospf direct ldp ];
then accept;
}
term term-name {
then reject;
}
}
Vous pouvez inclure cette instruction aux niveaux hiérarchiques suivants :
[edit policy-options][edit logical-systems logical-system-name policy-options]
Configuration du routeur ou du commutateur PE du fournisseur
Les routeurs (ou commutateurs) PE du fournisseur opérateur se connectent aux routeurs (ou commutateurs) CE du client opérateur. Suivez les instructions des sections suivantes pour configurer le routeur (ou commutateur) PE du fournisseur :
- Configuration de MPLS
- Configuration d’une session BGP PE à PE
- Configuration d’IS-IS et de LDP
- Configuration des options de stratégie
- Configuration d’une instance de routage pour envoyer des routes au routeur CE
Configuration de MPLS
Dans la configuration MPLS, spécifiez au moins deux interfaces : une avec le routeur (ou commutateur) CE du client et une pour se connecter au routeur (ou commutateur) PE du fournisseur, de l’autre côté du réseau du fournisseur :
interface interface-name; interface interface-name;
Vous pouvez inclure ces instructions aux niveaux hiérarchiques suivants :
[edit protocols mpls][edit logical-systems logical-system-name protocols mpls]
Configuration d’une session BGP PE à PE
Pour configurer une session BGP PE à PE sur les routeurs (ou commutateurs) PE du fournisseur afin d’autoriser le passage des routes VPN-IPv4 entre les routeurs PE (ou commutateurs, incluez l’instruction bgp suivante :
bgp {
group group-name {
type internal;
local-address address;
family inet-vpn {
any;
}
neighbor address;
}
}
Vous pouvez inclure cette instruction aux niveaux hiérarchiques suivants :
[edit protocols][edit logical-systems logical-system-name protocols]
Configuration d’IS-IS et de LDP
Pour configurer IS-IS et LDP sur les routeurs (ou commutateurs) PE du fournisseur, incluez les isis instructions et ldp :
isis {
interface interface-name;
interface interface-name {
passive;
}
}
ldp {
interface interface-name;
}
Vous pouvez inclure ces instructions aux niveaux hiérarchiques suivants :
[edit protocols][edit logical-systems logical-system-name protocols]
Configuration des options de stratégie
Pour configurer des instructions de stratégie sur le routeur (ou commutateur) PE du fournisseur afin d’exporter des routes vers et importer des routes depuis le réseau du client opérateur, incluez les policy-statement instructions et community :
policy-statement statement-name {
term term-name {
from {
protocol bgp;
community community-name;
}
then accept;
}
term term-name {
then reject;
}
}
policy-statement statement-name {
term term-name {
from protocol bgp;
then {
community add community-name;
accept;
}
}
term term-name {
then reject;
}
}
community community-name members value;
Vous pouvez inclure ces instructions aux niveaux hiérarchiques suivants :
[edit policy-options][edit logical-systems logical-system-name policy-options]
Configuration d’une instance de routage pour envoyer des routes au routeur CE
Pour configurer l’instance de routage sur le routeur (ou commutateur) PE du fournisseur afin d’envoyer des routes étiquetées au routeur (ou commutateur) CE du client opérateur, incluez les instructions suivantes :
instance-type vrf;
interface interface-name;
route-distinguisher value;
vrf-import policy-name;
vrf-export policy-name;
protocols {
bgp {
group group-name {
peer-as as-number;
neighbor address {
family inet {
labeled-unicast;
}
}
}
}
}
Vous pouvez inclure ces instructions aux niveaux hiérarchiques suivants :
[edit routing-instances routing-instance-name][edit logical-systems logical-system-name routing-instances routing-instance-name]
Voir aussi
Exemple de VPN opérateur ou opérateur : le client fournit un service VPN
Dans cet exemple, l’opérateur client doit exécuter une forme de protocole MPLS (Resource Reservation Protocol [RSVP] ou LDP) sur son réseau pour fournir des services VPN au client final. Dans l’exemple ci-dessous, le routeur B et le routeur I agissent comme des routeurs PE (ou commutateurs), et un chemin MPLS fonctionnel est requis entre ces routeurs s’ils échangent des routes VPN-IPv4.
Pour plus d’informations sur la configuration, consultez les sections suivantes :
- Topologie de réseau pour le service Carrier-of-Carrier
- Configuration du routeur A
- Configuration du routeur B
- Configuration du routeur C
- Configuration du routeur D
- Configuration du routeur E
- Configuration du routeur F
- Configuration du routeur G
- Configuration du routeur H
- Configuration du routeur I
- Configuration du routeur J
- Configuration du routeur K
- Configuration du routeur L
Topologie de réseau pour le service Carrier-of-Carrier
Un service d’opérateur d’opérateurs permet à un fournisseur de services Internet (FAI) de se connecter à un réseau dorsal externalisé transparent à plusieurs endroits.
La figure 3 montre la topologie du réseau dans cet exemple de porteuse de porteuses.
de réseau VPN Carrier-of-Carriers
Configuration du routeur A
Dans cet exemple, le routeur A agit en tant que routeur CE pour le client final. Configurez une session BGP par défaut family inet sur le routeur A :
[edit]
protocols {
bgp {
group to-routerB {
export attached;
peer-as 21;
neighbor 192.168.197.169;
}
}
}
policy-options {
policy-statement attached {
from protocol direct;
then accept;
}
}
Configuration du routeur B
Étant donné que le routeur B est le routeur PE du routeur CE du client final (routeur A), vous devez configurer une instance de routage (vpna). Configurez l’instruction sur la session IBGP sur le routeur D et configurez family-inet-vpn pour la session IBGP de l’autre labeled-unicast côté du réseau avec le routeur I :
[edit]
protocols {
mpls {
interface fe-1/0/2.0;
interface fe-1/0/3.0;
}
bgp {
group int {
type internal;
local-address 10.255.14.179;
neighbor 10.255.14.175 {
family inet {
labeled-unicast {
resolve-vpn;
}
}
}
}
neighbor 10.255.14.181 {
family inet-vpn {
any;
}
}
}
ospf {
area 0.0.0.0 {
interface lo0.0 {
passive;
}
interface fe-1/0/3.0;
}
}
ldp {
interface fe-1/0/3.0;
}
}
routing-instances {
vpna {
instance-type vrf;
interface fe-1/0/2.0;
route-distinguisher 10.255.14.179:21;
vrf-import vpna-import;
vrf-export vpna-export;
protocols {
bgp {
group vpna-06 {
peer-as 1;
neighbor 192.168.197.170;
}
}
}
}
}
policy-options {
policy-statement vpna-import {
term a {
from {
protocol bgp;
community vpna-comm;
}
then accept;
}
term b {
then reject;
}
}
policy-statement vpna-export {
term a {
from protocol bgp;
then {
community add vpna-comm;
accept;
}
}
term b {
then reject;
}
}
community vpna-comm members target:100:1001;
}
Configuration du routeur C
Configurez le routeur C en tant que routeur d’échange d’étiquettes dans l’AS local :
[edit]
protocols {
mpls {
traffic-engineering bgp-igp;
}
ospf {
area 0.0.0.0 {
interface lo0.0 {
passive;
}
interface fe-0/3/3.0;
interface fe-0/3/0.0;
}
}
ldp {
interface fe-0/3/0.0;
interface fe-0/3/3.0;
}
}
Configuration du routeur D
Le routeur D agit en tant que routeur CE pour les services VPN fournis par le réseau AS 10023. Dans la configuration de groupe BGP pour le groupe int, qui gère le trafic vers le routeur B (10.255.14.179), vous incluez l’instruction labeled-unicast . Vous devez également configurer le groupe to-isp-red BGP pour qu’il envoie des routes internes étiquetées au routeur PE (routeur E).
[edit]
protocols {
mpls {
traffic-engineering bgp-igp;
interface fe-0/3/0.0;
interface t3-0/0/0.0;
}
bgp {
group int {
type internal;
local-address 10.255.14.175;
neighbor 10.255.14.179 {
family inet {
labeled-unicast;
}
}
}
group to-isp-red {
export internal;
peer-as 10023;
neighbor 192.168.197.13 {
family inet {
labeled-unicast;
}
}
}
}
ospf {
area 0.0.0.0 {
interface lo0.0 {
passive;
}
interface fe-0/3/0.0;
}
}
ldp {
interface fe-0/3/0.0;
}
}
policy-options {
policy-statement internal {
term a {
from protocol [ ospf direct ];
then accept;
}
term b {
then reject;
}
}
}
Configuration du routeur E
Les routeurs E et H sont des routeurs PE. Configurez une session BGP de routeur PE à routeur PE pour autoriser le passage des routes VPN-IPv4 entre ces deux routeurs PE. Configurez l’instance de routage sur le routeur E pour envoyer des routes étiquetées au routeur CE (routeur D).
Configurez le routeur E :
[edit]
protocols {
mpls {
interface t3-0/2/0.0;
interface at-0/1/0.0;
}
bgp {
group pe-pe {
type internal;
local-address 10.255.14.171;
family inet-vpn {
any;
}
neighbor 10.255.14.173;
}
}
isis {
interface at-0/1/0.0;
interface lo0.0 {
passive;
}
}
ldp {
interface at-0/1/0.0;
}
}
policy-options {
policy-statement vpn-isp1-import {
term a {
from {
protocol bgp;
community vpn-isp1-comm;
}
then accept;
}
term b {
then reject;
}
}
policy-statement vpn-isp1-export {
term a {
from protocol bgp;
then {
community add vpn-isp1-comm;
accept;
}
}
term b {
then reject;
}
}
community vpn-isp1-comm members target:69:21;
}
routing-instances {
vpn-isp1 {
instance-type vrf;
interface t3-0/2/0.0;
route-distinguisher 10.255.14.171:21;
vrf-import vpn-isp1-import;
vrf-export vpn-isp1-export;
protocols {
bgp {
group to-isp1 {
peer-as 21;
neighbor 192.168.197.14 {
as-override;
family inet {
labeled-unicast;
}
}
}
}
}
}
}
Configuration du routeur F
Configurez le routeur F pour échanger les étiquettes des routes passant par ses interfaces :
[edit]
protocols {
isis {
interface so-0/2/0.0;
interface at-0/3/0.0;
interface lo0.0 {
passive;
}
}
ldp {
interface so-0/2/0.0;
interface at-0/3/0.0;
}
}
Configuration du routeur G
Configurez le routeur G :
[edit]
protocols {
isis {
interface so-0/0/0.0;
interface so-1/0/0.0;
interface lo0.0 {
passive;
}
}
ldp {
interface so-0/0/0.0;
interface so-1/0/0.0;
}
}
Configuration du routeur H
La configuration du routeur H est similaire à celle du routeur E :
[edit]
protocols {
mpls {
interface fe-1/1/0.0;
interface so-1/0/0.0;
}
bgp {
group pe-pe {
type internal;
local-address 10.255.14.173;
family inet-vpn {
any;
}
neighbor 10.255.14.171;
}
}
isis {
interface so-1/0/0.0;
interface lo0.0 {
passive;
}
}
ldp {
interface so-1/0/0.0;
}
}
routing-instances {
vpn-isp1 {
instance-type vrf;
interface fe-1/1/0.0;
route-distinguisher 10.255.14.173:21;
vrf-import vpn-isp1-import;
vrf-export vpn-isp1-export;
protocols {
bgp {
group to-isp1 {
peer-as 21;
neighbor 192.168.197.94 {
as-override;
family inet {
labeled-unicast;
}
}
}
}
}
}
}
policy-options {
policy-statement vpn-isp1-import {
term a {
from {
protocol bgp;
community vpn-isp1-comm;
}
then accept;
}
term b {
then reject;
}
}
policy-statement vpn-isp1-export {
term a {
from protocol bgp;
then {
community add vpn-isp1-comm;
accept;
}
}
term b {
then reject;
}
}
community vpn-isp1-comm members target:69:21;
}
Configuration du routeur I
Le routeur I fait office de routeur PE pour le client final. La configuration qui suit est similaire à celle du routeur B :
[edit]
protocols {
mpls {
interface fe-1/0/1.0;
interface fe-1/1/3.0;
}
bgp {
group int {
type internal;
local-address 10.255.14.181;
neighbor 10.255.14.177 {
family inet {
labeled-unicast {
resolve-vpn;
}
}
}
neighbor 10.255.14.179 {
family inet-vpn {
any;
}
}
}
}
ospf {
area 0.0.0.0 {
interface lo0.0 {
passive;
}
interface fe-1/1/3.0;
}
}
ldp {
interface fe-1/1/3.0;
}
}
routing-instances {
vpna {
instance-type vrf;
interface fe-1/0/1.0;
route-distinguisher 10.255.14.181:21;
vrf-import vpna-import;
vrf-export vpna-export;
protocols {
bgp {
group vpna-0 {
peer-as 1;
neighbor 192.168.197.198;
}
}
}
}
}
policy-options {
policy-statement vpna-import {
term a {
from {
protocol bgp;
community vpna-comm;
}
then accept;
}
term b {
then reject;
}
}
policy-statement vpna-export {
term a {
from protocol bgp;
then {
community add vpna-comm;
accept;
}
}
term b {
then reject;
}
}
community vpna-comm members target:100:1001;
}
Configuration du routeur J
Configurez le routeur J pour échanger les étiquettes des routes passant par ses interfaces :
[edit]
protocols {
mpls {
traffic-engineering bgp-igp;
}
ospf {
area 0.0.0.0 {
interface lo0.0 {
passive;
}
interface fe-1/0/2.0;
interface fe-1/0/3.0;
}
}
ldp {
interface fe-1/0/2.0;
interface fe-1/0/3.0;
}
}
Configuration du routeur K
La configuration du routeur K est similaire à celle du routeur D :
[edit]
protocols {
mpls {
traffic-engineering bgp-igp;
interface fe-1/1/2.0;
interface fe-1/0/2.0;
}
bgp {
group int {
type internal;
local-address 10.255.14.177;
neighbor 10.255.14.181 {
family inet {
labeled-unicast;
}
}
}
group to-isp-red {
export internal;
peer-as 10023;
neighbor 192.168.197.93 {
family inet {
labeled-unicast;
}
}
}
}
ospf {
area 0.0.0.0 {
interface lo0.0 {
passive;
}
interface fe-1/0/2.0;
}
}
ldp {
interface fe-1/0/2.0;
}
}
policy-options {
policy-statement internal {
term a {
from protocol [ ospf direct ];
then accept;
}
term b {
then reject;
}
}
}
Configuration du routeur L
Dans cet exemple, le routeur L est le routeur CE du client final. Configurez une session BGP familiale inet par défaut sur le routeur L :
[edit]
protocols {
bgp {
group to-I {
export attached;
peer-as 21;
neighbor 192.168.197.197;
}
}
}
policy-options {
policy-statement attached {
from protocol direct;
then accept;
}
}
Voir aussi
Plusieurs instances pour les VPN LDP et Carrier-of-Carrier
En configurant plusieurs instances de routage LDP, vous pouvez utiliser LDP pour publier des étiquettes dans un VPN opérateur à partir d’un routeur PE d’un fournisseur principal vers un routeur CE d’opérateur client. Le fait que LDP annonce les étiquettes de cette manière est particulièrement utile lorsque le client opérateur est un FAI de base et souhaite restreindre les routes Internet complètes vers ses routeurs PE. En utilisant LDP au lieu de BGP, le client opérateur protège ses autres routeurs internes d’Internet en général. Le LDP multiinstance est également utile lorsqu’un client opérateur souhaite fournir des services VPN de couche 3 ou VPN de couche 2 à ses clients.
Pour obtenir un exemple de configuration de plusieurs instances de routage LDP pour les VPN de transporteur de opérateurs, consultez https://www.juniper.net/documentation/us/en/software/junos/mpls/topics/example/multiple-instance-ldp-configuring-detailed-solutions.html.