Activation de l’accès à Internet pour les VPN de couche 3
Cette rubrique fournit des exemples sur la configuration d’un routeur PE (Provider Edge) pour fournir un accès Internet aux routeurs CE (Customer Edge) dans un VPN et sur la configuration d’un routeur pour acheminer le trafic Internet vers les routeurs CE via un traducteur d’adresses réseau (NAT). La méthode à utiliser dépend des besoins et des spécifications de chaque réseau.
Accès Internet non-VRF via des VPN de couche 3
Junos OS prend en charge l’accès à Internet à partir d’un réseau privé virtuel (VPN) de couche 3. Vous devez également configurer l’instruction next-table au niveau de la [edit routing-instances routing-instance-name routing-options static route] hiérarchie. Lorsqu’elle est configurée, cette instruction peut faire pointer une route par défaut de la table VPN (instance de routage) vers la table de routage principale (instance par défaut) inet.0. La table de routage principale stocke toutes les routes Internet et est l’endroit où la résolution finale de l’itinéraire a lieu.
Les sections suivantes décrivent comment fournir un accès Internet à un routeur CE dans un VPN de couche 3 sans utiliser l’interface VRF (VPN routing and forwarding). Étant donné que ces méthodes contournent efficacement le VPN de couche 3, elles ne sont pas abordées en détail.
- Le routeur CE accède à Internet indépendamment du routeur PE
- Le routeur PE fournit un service Internet de couche 2
Le routeur CE accède à Internet indépendamment du routeur PE
Dans cette configuration, le routeur PE ne fournit pas l’accès à Internet. Le routeur CE envoie le trafic Internet soit à un autre fournisseur de services, soit au même fournisseur de services mais avec un routeur différent. Le routeur PE gère uniquement le trafic VPN de couche 3 (voir Figure 1).
à Internet
Le routeur PE fournit un service Internet de couche 2
Dans cette configuration, le routeur PE agit comme un périphérique de couche 2, fournissant une connexion de couche 2 (telle qu’une connexion croisée de circuits [CCC]) à un autre routeur doté d’un ensemble complet de routes Internet. Le routeur CE peut utiliser une seule interface physique et deux interfaces logiques pour le routeur PE, ou plusieurs interfaces physiques pour le routeur PE (voir Figure 2).
Accès Internet distribué via des VPN de couche 3
Dans ce scénario, les routeurs PE fournissent un accès Internet aux routeurs CE. Dans les exemples qui suivent, il est supposé que les routes Internet (ou les routes par défaut) sont présentes dans la table inet.0 des routeurs PE qui fournissent un accès Internet aux routeurs CE sélectionnés.
Lorsque vous accédez à Internet à partir d’un VPN, la traduction d’adresses réseau (NAT) doit être effectuée entre les adresses privées du VPN et les adresses publiques utilisées sur Internet, sauf si le VPN utilise l’espace d’adressage public. Cette section comprend plusieurs exemples de fourniture d’un accès Internet pour les VPN, dont la plupart nécessitent que les routeurs CE effectuent la traduction d’adresse. Toutefois, l’exemple Routage du trafic Internet via un périphérique NAT distinct nécessite toutefois que le fournisseur de services fournisse la fonctionnalité NAT à l’aide d’un périphérique NAT connecté au routeur PE.
Dans tous les exemples, le pool d’adresses IP publiques du VPN (dont les entrées correspondent aux adresses privées traduites) doit être ajouté à la table inet.0 et propagé aux routeurs Internet pour recevoir le trafic inverse des destinations publiques.
Routage du trafic VPN et Internet via différentes interfaces pour les VPN de couche 3
Dans cet exemple, le trafic VPN et le trafic Internet sont acheminés via des interfaces différentes. Le routeur CE envoie le trafic VPN via l’interface VPN et envoie le trafic Internet via une interface distincte qui fait partie de la table de routage principale sur le routeur PE1 (le routeur CE peut utiliser soit une interface physique avec deux unités logiques, soit deux interfaces physiques). Le NAT se produit également sur le routeur CE ( voir Figure 3).
Le routeur PE est configuré pour installer et publier le pool d’adresses IP publiques du VPN sur d’autres routeurs centraux (pour le trafic de retour). Le trafic VPN est acheminé normalement. La figure 4 illustre la configuration VPN du routeur PE.
distinctes
La configuration de cet exemple présente les fonctionnalités suivantes :
-
Le routeur PE1 utilise deux interfaces logiques pour se connecter au routeur CE1 à l’aide de l’encapsulation Frame Relay.
-
Le protocole de routage entre le routeur PE1 et le routeur CE1 est EBGP.
-
Le pool d’adresses IP publiques du routeur CE1 est
10.12.1.1via10.12.1.254(10.12.1.0/24). -
Le
next-hop-selfparamètre est dérivé de l’instruction sur lefix-nh policyrouteur PE1. Les routeurs PE sont forcés d’utilisernext-hop-selfde manière à ce que la résolution du saut suivant ne soit effectuée que pour l’adresse de bouclage du routeur PE pour les routes non-VPN (par défaut, les routes VPN-Internet Protocol version 4 [IPv4] sont envoyées au moyen denext-hop-self).
Vous pouvez configurer le routeur CE1 avec une route statique par défaut pointant vers son interface publique pour tout le reste.
Les sections suivantes montrent comment acheminer le trafic VPN et Internet via différentes interfaces :
- Configuration des interfaces sur le routeur PE1
- Configuration des options de routage sur le routeur PE1
- Configuration des protocoles BGP, IS-IS et LDP sur le routeur PE1
- Configuration d’une instance de routage sur le routeur PE1
- Configuration des options de stratégie sur le routeur PE1
- Trafic acheminé par différentes interfaces : configuration résumée par routeur
Configuration des interfaces sur le routeur PE1
Configurez une interface pour gérer le trafic VPN et une interface pour gérer le trafic Internet :
[edit]
interfaces {
t3-0/2/0 {
dce;
encapsulation frame-relay;
unit 0 {
description "to CE1 VPN interface";
dlci 10;
family inet {
address 192.168.197.13/30;
}
}
unit 1 {
description "to CE1 public interface";
dlci 20;
family inet {
address 192.168.198.201/30;
}
}
}
}
Configuration des options de routage sur le routeur PE1
Configurez une route statique sur le routeur PE1 pour installer une route vers le pool d’adresses IP publiques du routeur CE dans inet.0 :
[edit]
routing-options {
static {
route 10.12.1.0/24 next-hop 192.168.198.202;
}
}
Configuration des protocoles BGP, IS-IS et LDP sur le routeur PE1
Configurez BGP sur le routeur PE1 pour autoriser l’appairage VPN et non-VPN et pour annoncer le pool d’adresses IP publiques du VPN :
[edit]
protocols {
bgp {
group pe-pe {
type internal;
local-address 10.255.14.171;
family inet {
any;
}
family inet-vpn {
any;
}
export [fix-nh redist-static];
neighbor 10.255.14.177;
neighbor 10.255.14.179;
}
}
}
Configurez IS-IS sur le routeur PE1 pour autoriser l’accès aux routes internes :
[edit protocols]
isis {
level 1 disable;
interface so-0/0/0.0;
interface lo0.0;
}
Configurer LDP sur le routeur PE1 pour tunneliser les routes VPN :
[edit protocols]
ldp {
interface so-0/0/0.0;
}
Configuration d’une instance de routage sur le routeur PE1
Configurer une instance de routage sur le routeur PE1 :
[edit]
routing-instances {
vpna {
instance-type vrf;
interface t3-0/2/0.0;
route-distinguisher 10.255.14.171:100;
vrf-import vpna-import;
vrf-export vpna-export;
protocols {
bgp {
group to-CE1 {
peer-as 63001;
neighbor 192.168.197.14;
}
}
}
}
}
Configuration des options de stratégie sur le routeur PE1
Vous devez configurer les options de stratégie sur le routeur PE1. Les fix-nh ensembles next-hop-self d’instructions de stratégie pour toutes les routes non-VPN :
[edit]
policy-options {
policy-statement fix-nh {
then {
next-hop self;
}
}
}
L’énoncé redist-static de stratégie annonce le pool d’adresses IP publiques du VPN :
[edit policy-options]
policy-statement redist-static {
term a {
from {
protocol static;
route-filter 10.12.1.0/24 exact;
}
then accept;
}
term b {
then reject;
}
}
Configurez les stratégies d’importation et d’exportation pour vpna:
[edit policy-options]
policy-statement vpna-import {
term a {
from {
protocol bgp;
community vpna-comm;
}
then accept;
}
term b {
then reject;
}
}
policy-statement vpna-export {
term a {
from protocol bgp;
then {
community add vpna-comm;
accept;
}
}
term b {
then reject;
}
}
community vpna-comm members target:63000:100;
Trafic acheminé par différentes interfaces : configuration résumée par routeur
Routeur PE1
Interfaces
interfaces {
t3-0/2/0 {
dce;
encapsulation frame-relay;
unit 0 {
description "to CE1 VPN interface";
dlci 10;
family inet {
address 192.168.197.13/30;
}
}
unit 1 {
description "to CE1 public interface";
dlci 20;
family inet {
address 192.168.198.201/30;
}
}
}
}
Options de routage
routing-options {
static {
route 10.12.1.0/24 next-hop 192.168.198.202;
}
}
Protocole BGP
protocols {
bgp {
group pe-pe {
type internal;
local-address 10.255.14.171;
family inet {
any;
}
family inet-vpn {
any;
}
export [ fix-nh redist-static];
neighbor 10.255.14.177;
neighbor 10.255.14.179;
}
}
}
Protocole IS-IS
isis {
level 1 disable;
interface so-0/0/0.0;
interface lo0.0;
}
Protocole LDP
ldp {
interface so-0/0/0.0;
}
Instance de routage
routing-instances {
vpna {
instance-type vrf;
interface t3-0/2/0.0;
route-distinguisher 10.255.14.171:100;
vrf-import vpna-import;
vrf-export vpna-export;
protocols {
bgp {
group to-CE1 {
peer-as 63001;
neighbor 192.168.197.14;
}
}
}
}
}
Options de stratégie/Énoncés de politique
policy-options {
policy-statement fix-nh {
then {
next-hop self;
}
}
policy-statement redist-static {
term a {
from {
protocol static;
route-filter 10.12.1.0/24 exact;
}
then accept;
}
term b {
then reject;
}
}
}
Stratégies d’importation et d’exportation
policy-statement vpna-import {
term a {
from {
protocol bgp;
community vpna-comm;
}
then accept;
}
term b {
then reject;
}
}
policy-statement vpna-export {
term a {
from protocol bgp;
then {
community add vpna-comm;
accept;
}
}
term b {
then reject;
}
}
community vpna-comm members target:63000:100;
Le routage VPN et le trafic Internet sortant via la même interface et le routage renvoient le trafic Internet via une interface différente
Dans cet exemple, le routeur CE envoie le trafic VPN et Internet via la même interface, mais reçoit le trafic Internet de retour via une interface différente. Le routeur PE a une route par défaut dans la table VRF pointant vers la table de routage principale inet.0. Il achemine le pool d’adresses IP publiques du VPN (trafic Internet de retour) via une interface différente dans inet.0 (voir Figure 5). Le routeur CE continue d’exécuter les fonctions NAT.
différente
La section suivante montre comment acheminer le trafic VPN et Internet sortant via la même interface et le routage renvoie le trafic Internet via une interface différente :
Configuration du routeur PE1
Cet exemple a la même configuration que le routeur PE1 pour le routage du trafic VPN et Internet via différentes interfaces pour les VPN de couche 3. Il utilise la topologie illustrée dans Routage du trafic VPN et Internet via différentes interfaces pour les VPN de couche 3. L’itinéraire par défaut vers la table de routage VPN est configuré différemment. Au niveau de la hiérarchie, vous configurez une route statique par défaut qui est installée dans vpna.inet.0 et pointe vers inet.0 pour la [edit routing-instances routing-instance-name routing-options] résolution :
[edit]
routing-instances {
vpna {
instance-type vrf;
interface t3-0/2/0.0;
route-distinguisher 10.255.14.171:100;
vrf-import vpna-import;
vrf-export vpna-export;
routing-options {
static {
route 0.0.0.0/0 next-table inet.0;
}
}
protocols {
bgp {
group to-CE1 {
peer-as 63001;
neighbor 192.168.197.14;
}
}
}
}
}
Vous devez également modifier la configuration du routeur CE1 (par rapport à la configuration qui fonctionne avec la configuration du routeur PE1 décrite dans Routage du trafic VPN et Internet via différentes interfaces pour les VPN de couche 3) pour tenir compte des différences de configuration des routeurs PE.
Routage bidirectionnel du trafic VPN et Internet via la même interface (le VPN a des adresses publiques)
Cette section montre comment configurer une interface logique unique pour gérer le trafic VPN et Internet en provenance et à destination d’Internet et du routeur CE. Cette interface peut gérer à la fois le trafic VPN et Internet tant qu’il n’y a pas d’adresses privées dans le VPN. Les routes VPN reçues du routeur CE sont ajoutées à la table de routage principale inet.0 au moyen de groupes de tables de routage. Cela permet au routeur PE d’attirer le trafic de retour d’Internet (voir Figure 6).
VPN
Dans cet exemple, le routeur CE n’a pas besoin d’effectuer de NAT, car toutes les routes VPN sont publiques. Le routeur CE dispose d’une interface unique avec le routeur PE, vers laquelle il annonce les routes VPN. Le routeur PE a une route par défaut dans la table VRF pointant vers la table de routage principale inet.0. Le routeur PE importe également les routes VPN reçues du routeur CE dans inet.0 au moyen de groupes de tables de routage.
La configuration suivante pour le routeur PE1 utilise la même topologie que dans Routage du trafic VPN et Internet via différentes interfaces pour les VPN de couche 3. Cette configuration utilise une seule interface logique (au lieu de deux) entre le routeur PE1 et le routeur CE1.
Les sections suivantes montrent comment acheminer le trafic VPN et Internet via la même interface de manière bidirectionnelle (le VPN a des adresses publiques) :
- Configuration des options de routage sur le routeur PE1
- Configuration des protocoles de routage sur le routeur PE1
- Configuration de l’instance de routage sur le routeur PE1
- Trafic acheminé via la même interface de manière bidirectionnelle : Configuration résumée par routeur
Configuration des options de routage sur le routeur PE1
Configurez une définition de groupe de tables de routage pour l’installation de routes VPN dans les groupes de tables de routage vpna.inet.0 et inet.0 :
[edit]
routing-options {
rib-groups {
vpna-to-inet0 {
import-rib [ vpna.inet.0 inet.0 ];
}
}
}
Configuration des protocoles de routage sur le routeur PE1
Configurez les protocoles MPLS, BGP, IS-IS et LDP sur le routeur PE1. Cette configuration n’inclut pas l’instruction policy redist-static au niveau de la [edit protocols bgp group pe-pe] hiérarchie. Les routes VPN sont envoyées directement à IBGP.
Configurez BGP sur le routeur PE1 pour autoriser l’appairage VPN et non-VPN, et pour annoncer le pool d’adresses IP publiques du VPN :
[edit]
protocols {
mpls {
interface so-0/0/0.0;
}
bgp {
group pe-pe {
type internal;
local-address 10.255.14.171;
family inet {
any;
}
family inet-vpn {
any;
}
export fix-nh;
neighbor 10.255.14.177;
neighbor 10.255.14.173;
}
}
isis {
level 1 disable;
interface so-0/0/0.0;
interface lo0.0;
}
ldp {
interface so-0/0/0.0;
}
}
Configuration de l’instance de routage sur le routeur PE1
Cette section décrit comment configurer l’instance de routage sur le routeur PE1. La route statique définie dans l’instruction routing-options dirige le trafic Internet du routeur CE vers la table de routage inet.0. Le groupe de tables de routage défini par l’instruction rib-group vpna-to-inet0 ajoute les routes VPN à inet.0.
Configurez l’instance de routage sur le routeur PE1 :
[edit]
routing-instances {
vpna {
instance-type vrf;
interface t3-0/2/0.0;
route-distinguisher 10.255.14.171:100;
vrf-import vpna-import;
vrf-export vpna-export;
routing-options {
static {
route 0.0.0.0/0 next-table inet.0;
}
}
protocols {
bgp {
group to-CE1 {
family inet {
unicast {
rib-group vpna-to-inet0;
}
}
peer-as 63001;
neighbor 192.168.197.14;
}
}
}
}
}
Vous devez configurer le routeur CE1 pour qu’il transfère tout le trafic vers le routeur PE1 à l’aide d’une route par défaut. Alternativement, l’itinéraire par défaut peut être annoncé du routeur PE1 au routeur CE1 avec EBGP.
Trafic acheminé via la même interface de manière bidirectionnelle : Configuration résumée par routeur
Routeur PE1
Cet exemple utilise la même configuration que dans Routage du trafic VPN et Internet via différentes interfaces pour les VPN de couche 3. Cette configuration utilise une seule interface logique (au lieu de deux) entre le routeur PE1 et le routeur CE1.
Options de routage
routing-options {
rib-groups {
vpna-to-inet0 {
import-rib [ vpna.inet.0 inet.0 ];
}
}
}
Protocoles de routage
protocols {
mpls {
interface so-0/0/0.0;
}
bgp {
group pe-pe {
type internal;
local-address 10.255.14.171;
family inet {
any;
}
family inet-vpn {
any;
}
export fix-nh;
neighbor 10.255.14.177;
neighbor 10.255.14.173;
}
}
isis {
level 1 disable;
interface so-0/0/0.0;
interface lo0.0;
}
ldp {
interface so-0/0/0.0;
}
}
Instance de routage
routing-instances {
vpna {
instance-type vrf;
interface t3-0/2/0.0;
route-distinguisher 10.255.14.171:100;
vrf-import vpna-import;
vrf-export vpna-export;
routing-options {
static {
route 0.0.0.0/0 next-table inet.0;
}
}
protocols {
bgp {
group to-CE1 {
family inet {
unicast {
rib-group vpna-to-inet0;
}
}
peer-as 63001;
neighbor 192.168.197.14;
}
}
}
}
}
Routage bidirectionnel du trafic VPN et Internet via la même interface (le VPN a des adresses privées)
L’exemple de cette section montre comment acheminer le trafic VPN et Internet via la même interface dans les deux sens (du routeur CE vers Internet et d’Internet vers le routeur CE). Dans cet exemple, le VPN a des adresses privées. Si vous pouvez configurer EBGP sur le routeur CE, vous pouvez configurer un routeur PE à l’aide de la configuration décrite dans Routage du trafic VPN et Internet via la même interface de manière bidirectionnelle (le VPN a des adresses publiques), même si le VPN a des adresses privées.
Dans l’exemple décrit dans cette section, le routeur CE utilise des communautés distinctes pour annoncer ses routes VPN et ses routes publiques. Le routeur PE importe de manière sélective uniquement les routes publiques dans la table de routage inet.0. Cette configuration garantit que le trafic de retour en provenance d’Internet utilise la même interface entre les routeurs PE et CE que celle utilisée par le trafic VPN à destination des adresses Internet publiques (voir Figure 7).
Dans cet exemple, le routeur CE dispose d’une interface et d’une session BGP avec le routeur PE, et il balise les routes VPN et Internet avec différentes communautés. Le routeur PE dispose d’une interface, importe de manière sélective les routes du pool d’adresses IP publiques du VPN dans inet.0 et dispose d’une route par défaut dans la table de routage VRF pointant vers inet.0.
Les sections suivantes montrent comment acheminer le trafic VPN et Internet via la même interface de manière bidirectionnelle (le VPN a des adresses privées) :
- Configuration des options de routage pour le routeur PE1
- Configuration d’une instance de routage pour le routeur PE1
- Configuration des options de stratégie pour le routeur PE1
- Trafic acheminé par la même interface de manière bidirectionnelle (le VPN a des adresses privées) : configuration résumée par routeur
Configuration des options de routage pour le routeur PE1
Sur le routeur PE1, configurez un groupe de tables de routage pour installer des routes VPN dans les tables de routage vpna.inet.0 et inet.0 :
[edit]
routing-options {
rib-groups {
vpna-to-inet0 {
import-policy import-public-addr-to-inet0;
import-rib [ vpna.inet.0 inet.0 ];
}
}
}
Configuration d’une instance de routage pour le routeur PE1
Sur le routeur PE1, configurez une instance de routage. Dans le cadre de la configuration de l’instance de routage, configurez une route statique qui est installée dans vpna.inet.0 et qui est pointée vers inet.0 pour la résolution.
[edit]
routing-instances {
vpna {
instance-type vrf;
interface t3-0/2/0.0;
route-distinguisher 10.255.14.171:100;
vrf-import vpna-import;
vrf-export vpna-export;
routing-options {
static {
route 0.0.0.0/0 next-table inet.0;
}
}
}
}
Au niveau de la [edit routing-instances vpna protocols bgphiérarchie ], configurez une stratégie (import-public-addr-to-inet0) pour importer des routes publiques dans inet.0 et un groupe de tables de routage (vpna-to-inet0) pour permettre à BGP d’installer des routes dans plusieurs tables de routage (vpna.inet.0 et inet.0) :
[edit routing-instances vpna]
protocols {
bgp {
group to-CE1 {
import import-public-addr-to-inet0;
family inet {
unicast {
rib-group vpna-to-inet0;
}
}
peer-as 63001;
neighbor 192.168.197.14;
}
}
}
Configuration des options de stratégie pour le routeur PE1
Configurez les options de stratégie pour que le routeur PE1 accepte toutes les routes initialement (term a), puis installe les routes avec une communauté dans la public-comm table de routage inet.0 (term b) :
[edit]
policy-options {
policy-statement import-public-addr-to-inet0 {
term a {
from {
protocol bgp;
rib vpna.inet.0;
community [ public-comm private-comm ];
}
then accept;
}
term b {
from {
protocol bgp;
community public-comm;
}
to rib inet.0;
then accept;
}
term c {
then reject;
}
}
community private-comm members target:1:333;
community public-comm members target:1:111;
community vpna-comm members target:63000:100;
}
Trafic acheminé par la même interface de manière bidirectionnelle (le VPN a des adresses privées) : configuration résumée par routeur
Routeur PE1
Options de routage
[edit]
routing-options {
rib-groups {
vpna-to-inet0 {
import-policy import-public-addr-to-inet0;
import-rib [ vpna.inet.0 inet.0 ];
}
}
}
Instances de routage
[edit]
routing-instances {
vpna {
instance-type vrf;
interface t3-0/2/0.0;
route-distinguisher 10.255.14.171:100;
vrf-import vpna-import;
vrf-export vpna-export;
routing-options {
static {
route 0.0.0.0/0 next-table inet.0;
}
}
}
}
Instances de routage, protocoles, BGP
[edit routing-instances vpna]
protocols {
bgp {
group to-CE1 {
family inet {
unicast {
rib-group vpna-to-inet0;
}
}
peer-as 63001;
neighbor 192.168.197.14;
}
}
}
Options de stratégie
[edit]
policy-options {
policy-statement import-public-addr-to-inet0 {
term a {
from {
protocol bgp;
rib vpna.inet.0;
community [ public-comm private-comm ];
}
then accept;
}
term b {
from {
protocol bgp;
community public-comm;
}
to rib inet.0;
then accept;
}
term c {
then reject;
}
}
community private-comm members target:1:333;
community public-comm members target:1:111;
community vpna-comm members target:63000:100;
}
Routage du trafic Internet via un périphérique NAT distinct
Dans cet exemple, le routeur CE n’effectue pas de NAT. Il envoie le trafic VPN et Internet au routeur PE via la même interface. Le routeur PE est connecté à un appareil NAT au moyen de deux interfaces. Une interface est configurée dans la table VRF du routeur PE et pointe vers une interface VPN sur le périphérique NAT, qui peut acheminer le trafic Internet vers le VPN. L’autre interface se trouve dans une instance par défaut ; Par exemple, une partie de la table de routage publique inet.0. Il peut y avoir une seule connexion physique entre le routeur PE et le périphérique NAT et plusieurs connexions logiques (une pour chaque table VRF et une autre interface) dans le cadre de la table de routage globale ( voir Figure 8).
NAT distinct
Exigences
Cet exemple utilise les composants matériels et logiciels suivants :
-
Routeurs M Series
-
Junos OS version 9.3 ou ultérieure
Aperçu
La topologie de cet exemple s’étend à celle illustrée dans Routage du trafic VPN et Internet via différentes interfaces pour les VPN de couche 3. Le routeur CE envoie à la fois le trafic VPN et Internet au routeur PE1. Le trafic VPN est acheminé en fonction des routes VPN reçues par le routeur PE1. Le trafic pour tout le reste est envoyé au périphérique NAT à l’aide de l’interface privée du routeur PE1 vers le périphérique NAT, qui traduit ensuite les adresses privées et renvoie le trafic au routeur PE1 à l’aide de l’interface publique de ce routeur (voir Figure 9).
Topologie
NAT
Configuration
Pour acheminer le trafic Internet via un périphérique NAT distinct, effectuez les tâches suivantes :
- Configuration des interfaces sur le routeur PE1
- Configuration des options de routage pour le routeur PE1
- Configuration des protocoles de routage sur le routeur PE1
- Configuration d’une instance de routage sur le routeur PE1
- Résultats
Configuration des interfaces sur le routeur PE1
Procédure étape par étape
-
Configurer une interface pour le trafic VPN à partir du routeur CE1 :
[edit] interfaces { t3-0/2/0 { dce; encapsulation frame-relay; unit 0 { description "to CE1 VPN interface"; dlci 10; family inet { address 192.168.197.13/30; } } } } -
Configurez une interface pour le trafic VPN à destination et en provenance du périphérique NAT (unité 0) et une interface pour le trafic Internet à destination et en provenance du périphérique NAT (unité 1) :
[edit] interfaces { at-1/3/1 { atm-options { vpi 1 maximum-vcs 255; } unit 0 { description "to NAT VPN interface"; vci 1.100; family inet { address 10.23.0.2/32 { destination 10.23.0.1; } } } unit 1 { description "to NAT public interface"; vci 1.101; family inet { address 10.23.0.6/32 { destination 10.23.0.5; } } } } }
Configuration des options de routage pour le routeur PE1
Procédure étape par étape
-
Configurez une route statique sur le routeur PE1 pour diriger le trafic Internet vers le routeur CE via le périphérique NAT. Le routeur PE1 distribue cette route à Internet.
[edit] routing-options { static { route 10.12.1.0/24 next-hop 10.23.0.5; } }
Configuration des protocoles de routage sur le routeur PE1
Procédure étape par étape
Configurez les protocoles de routage suivants sur le routeur PE1 :
-
Configurez MPLS sur le routeur PE1. Incluez l’interface VPN du périphérique NAT dans le tableau VRF.
[edit] protocols { mpls { interface so-0/0/0.0; interface at-1/3/1.0; } } -
Configurez BGP sur le routeur PE1. Incluez une stratégie pour annoncer le pool d’adresses IP publiques :
[edit] protocols { bgp { group pe-pe { type internal; local-address 10.255.14.171; family inet { any; } family inet-vpn { any; } export [ fix-nh redist-static ]; neighbor 10.255.14.177; neighbor 10.255.14.173; } } } -
Configurer IS-IS sur le routeur PE1 :
[edit] protocols { isis { level 1 disable; interface so-0/0/0.0; interface lo0.0; } } -
Configurer LDP sur le routeur PE1 :
[edit] protocols { ldp { interface so-0/0/0.0; } }
Configuration d’une instance de routage sur le routeur PE1
Procédure étape par étape
Configurez l’instance de routage VPN de couche 3 sur le routeur PE1 :
-
Configurez une instance de routage sur le routeur PE1. Dans le cadre de la configuration de l’instance de routage, sous
routing-options, configurez une route statique par défaut dans vpna.inet.0 pointant vers l’interface VPN du périphérique NAT (qui dirige tout le trafic non-VPN vers le périphérique NAT) :[edit] routing-instances { vpna { instance-type vrf; interface t3-0/2/0.0; interface at-1/3/1.0; route-distinguisher 10.255.14.171:100; vrf-import vpna-import; vrf-export vpna-export; routing-options { static { route 0.0.0.0/0 next-hop 10.23.0.1; } } protocols { bgp { group to-CE1 { peer-as 63001; neighbor 192.168.197.14; } } } } } -
Configurez la stratégie de routage pour l’instance de routage VPN de couche 3 sur le routeur PE1 :
policy-options { policy-statement fix-nh { then { next-hop self; } } policy-statement redist-static { term a { from { protocol static; route-filter 10.12.1.0/24 exact; } then accept; } term b { from protocol bgp; then accept; } term c { then accept; } } policy-statement vpna-import { term a { from { protocol bgp; community vpna-comm; } then accept; } term b { then reject; } } policy-statement vpna-export { term a { from protocol bgp; then { community add vpna-comm; accept; } } term b { then reject; } } community vpna-comm members target:63000:100; }
Résultats
À partir du mode de configuration sur le routeur PE1, confirmez votre configuration en entrant les commandes show interfaces, show routing-options, show protocols, show routing-instances et show policy-options. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de cet exemple pour corriger la configuration.
user@PE1# show interfaces
interfaces {
t3-0/2/0 {
dce;
encapsulation frame-relay;
unit 0 {
description "to CE1 VPN interface";
dlci 10;
family inet {
address 192.168.197.13/30;
}
}
}
at-1/3/1 {
atm-options {
vpi 1 maximum-vcs 255;
}
unit 0 {
description "to NAT VPN interface";
vci 1.100;
family inet {
address 10.23.0.2/32 {
destination 10.23.0.1;
}
}
}
unit 1 {
description "to NAT public interface";
vci 1.101;
family inet {
address 10.23.0.6/32 {
destination 10.23.0.5;
}
}
}
}
}
user@PE1# show routing-options
routing-options {
static {
route 10.12.1.0/24 next-hop 10.23.0.5;
}
}
user@PE1# show protocols
protocols {
mpls {
interface so-0/0/0.0;
interface at-1/3/1.0;
}
bgp {
group pe-pe {
type internal;
local-address 10.255.14.171;
family inet {
any;
}
family inet-vpn {
any;
}
export [ fix-nh redist-static ];
neighbor 10.255.14.177;
neighbor 10.255.14.173;
}
}
isis {
level 1 disable;
interface so-0/0/0.0;
interface lo0.0;
}
ldp {
interface so-0/0/0.0;
}
}
user@PE1# show routing-instances
routing-instances {
vpna {
instance-type vrf;
interface t3-0/2/0.0;
interface at-1/3/1.0;
route-distinguisher 10.255.14.171:100;
vrf-import vpna-import;
vrf-export vpna-export;
routing-options {
static {
route 0.0.0.0/0 next-hop 10.23.0.1;
}
}
protocols {
bgp {
group to-CE1 {
peer-as 63001;
neighbor 192.168.197.14;
}
}
}
}
}
user@PE1# show policy-options
policy-options {
policy-statement fix-nh {
then {
next-hop self;
}
}
policy-statement redist-static {
term a {
from {
protocol static;
route-filter 10.12.1.0/24 exact;
}
then accept;
}
term b {
from protocol bgp;
then accept;
}
term c {
then accept;
}
}
policy-statement vpna-import {
term a {
from {
protocol bgp;
community vpna-comm;
}
then accept;
}
term b {
then reject;
}
}
policy-statement vpna-export {
term a {
from protocol bgp;
then {
community add vpna-comm;
accept;
}
}
term b {
then reject;
}
}
community vpna-comm members target:63000:100;
}
Accès Internet centralisé via des VPN de couche 3
Cette section décrit plusieurs façons de configurer un routeur CE pour qu’il serve de site central pour l’accès à Internet. Le trafic Internet provenant d’autres sites (routeurs CE) est acheminé vers le routeur CE de la centrale (qui effectue également le NAT) à l’aide de l’interface VPN de ce routeur. Le routeur CE de la centrale transfère ensuite le trafic à un routeur PE connecté à Internet via une autre interface identifiée dans la table inet.0. Le routeur CE de la centrale peut annoncer un itinéraire par défaut aux routeurs CE en étoile. L’inconvénient de ce type de configuration est que tout le trafic doit passer par le routeur CE central avant d’aller sur Internet, ce qui entraîne des retards de réseau si ce routeur reçoit trop de trafic. Cependant, dans un réseau d’entreprise, le trafic peut devoir être acheminé vers un site central, car la plupart des réseaux d’entreprise séparent le VPN d’Internet au moyen d’un pare-feu unique.
Cette section comprend les exemples suivants :
- Routage du trafic Internet via un routeur Hub CE
- Routage du trafic Internet via plusieurs routeurs CE
Routage du trafic Internet via un routeur Hub CE
Dans cet exemple, le trafic Internet est acheminé via un routeur CE central. Le routeur CE de la centrale dispose de deux interfaces avec le routeur PE de la centrale : une interface VPN et une interface publique. Il effectue un NAT sur le trafic transféré du routeur PE du hub via l’interface VPN, puis transfère ce trafic de son interface publique vers le routeur PE du hub. Le routeur PE du hub a une route statique par défaut dans sa table VRF pointant vers l’interface VPN du routeur CE du hub. Il annonce cette route par défaut au reste du VPN, attirant tout le trafic non-VPN vers la route CE du hub. Le routeur PE du hub installe et distribue également l’espace d’adressage IP public du VPN (voir Figure 10).
La configuration de cet exemple est presque identique à celle décrite dans Routage du trafic Internet via un périphérique NAT distinct. La différence réside dans le fait que le routeur PE1 est configuré pour annoncer une route statique par défaut vers les autres routeurs CE (voir Figure 11).
CE central
Les sections suivantes montrent comment configurer l’accès Internet centralisé en acheminant le trafic Internet via un routeur CE central :
- Configuration d’une instance de routage sur le routeur PE1
- Configuration des options de stratégie sur le routeur PE1
- Trafic Internet acheminé par un routeur CE central : configuration résumée par routeur
Configuration d’une instance de routage sur le routeur PE1
Configurez une instance de routage pour le routeur PE1. Dans le cadre de cette configuration, sous routing-options, configurez une route statique par défaut (route 0.0.0.0/0) à installer dans vpna.inet.0 et pointez la route vers l’interface VPN du routeur CE central (10.23.0.1). Configurez également BGP sous l’instance de routage pour exporter la route par défaut vers le routeur CE local :
[edit]
routing-instances {
vpna {
instance-type vrf;
interface t3-0/2/0.0;
interface at-1/3/1.0;
route-distinguisher 10.255.14.171:100;
vrf-import vpna-import;
vrf-export vpna-export;
routing-options {
static {
route 0.0.0.0/0 next-hop 10.23.0.1;
}
}
protocols {
bgp {
group to-CE1 {
export export-default;
peer-as 63001;
neighbor 192.168.197.14;
}
}
}
}
}
Configuration des options de stratégie sur le routeur PE1
Configurez les options de stratégie sur le routeur PE1. Dans le cadre de cette configuration, le routeur PE1 doit exporter la route statique par défaut vers tous les routeurs PE distants dans vpna (configuré dans l’instruction policy-statement vpna-export ci-dessous term b) :
[edit]
policy-options {
policy-statement vpna-export {
term a {
from protocol bgp;
then {
community add vpna-comm;
accept;
}
}
term b {
from {
protocol static;
route-filter 0.0.0.0/0 exact;
}
then {
community add vpna-comm;
accept;
}
}
term c {
then reject;
}
}
policy-statement export-default {
term a {
from {
protocol static;
route-filter 0.0.0.0/0 exact;
}
then accept;
}
term b {
from protocol bgp;
then accept;
}
term c {
then reject;
}
}
}
Trafic Internet acheminé par un routeur CE central : configuration résumée par routeur
Routeur PE1
La configuration du routeur PE1 est presque identique à celle de l’exemple de Routage du trafic Internet via un périphérique NAT distinct. La différence réside dans le fait que le routeur PE1 est configuré pour annoncer une route statique par défaut aux autres routeurs CE.
Instance de routage
routing-instances {
vpna {
instance-type vrf;
interface t3-0/2/0.0;
interface at-1/3/1.0;
route-distinguisher 10.255.14.171:100;
vrf-import vpna-import;
vrf-export vpna-export;
routing-options {
static {
route 0.0.0.0/0 next-hop 10.23.0.1;
}
}
protocols {
bgp {
group to-CE1 {
export export-default;
peer-as 63001;
neighbor 192.168.197.14;
}
}
}
}
}
Options de stratégie
policy-options {
policy-statement vpna-export {
term a {
from protocol bgp;
then {
community add vpna-comm;
accept;
}
}
term b {
from {
protocol static;
route-filter 0.0.0.0/0 exact;
}
then {
community add vpna-comm;
accept;
}
}
term c {
then reject;
}
}
policy-statement export-default {
term a {
from {
protocol static;
route-filter 0.0.0.0/0 exact;
}
then accept;
}
term b {
from protocol bgp;
then accept;
}
term c {
then reject;
}
}
}
Routage du trafic Internet via plusieurs routeurs CE
L’exemple de cette section est une extension de celui décrit dans Accès Internet centralisé via des VPN de couche 3. Cet exemple fournit différents points de sortie pour différents sites au moyen de plusieurs routeurs CE centraux qui remplissent des fonctions similaires. Chaque routeur CE de hub marque l’itinéraire par défaut avec une cible de route différente et permet aux routeurs CE spoke de sélectionner le site du hub qui doit être utilisé pour l’accès à Internet (voir Figure 12).
Cet exemple utilise deux routeurs CE centraux qui gèrent le trafic NAT et Internet :
-
Balises
0/0de routeur CE Hub1 avec communautépublic-comm1(cible :1:111) -
Étiquettes
0/0de routeur CE Hub2 avec communautépublic-comm2(cible :1:112)
Dans cet exemple, le routeur spoke CE est configuré pour favoriser Hub2 pour l’accès à Internet.
Les sections suivantes décrivent comment configurer deux routeurs CE centraux pour gérer le trafic Internet et NAT :
- Configuration d’une instance de routage sur le routeur PE1
- Configuration des options de stratégie sur le routeur PE1
- Configuration d’une instance de routage sur le routeur PE3
- Configuration des options de stratégie sur le routeur PE3
- Routage du trafic Internet via plusieurs routeurs CE : configuration résumée par routeur
Configuration d’une instance de routage sur le routeur PE1
Configurer une instance de routage sur le routeur PE1 :
[edit]
routing-instances {
vpna {
instance-type vrf;
interface t3-0/2/0.0;
interface at-1/3/1.0;
route-distinguisher 10.255.14.171:100;
vrf-import vpna-import;
vrf-export vpna-export;
routing-options {
static {
route 0.0.0.0/0 next-hop 10.23.0.1;
}
}
protocols {
bgp {
group to-CE1 {
export export-default;
peer-as 63001;
neighbor 192.168.197.14;
}
}
}
}
}
Configuration des options de stratégie sur le routeur PE1
Les options de stratégie pour le routeur PE1 sont les mêmes que dans Routage du trafic Internet via un routeur CE central, mais la configuration de cet exemple inclut une communauté supplémentaire, public-comm1, dans l’instruction export :
[edit]
policy-options {
policy-statement vpna-import {
term a {
from {
protocol bgp;
community vpna-comm;
}
then accept;
}
term b {
then reject;
}
}
policy-statement vpna-export {
term a {
from {
protocol static;
route-filter 0.0.0.0/0 exact;
}
then {
community add public-comm1;
community add vpna-comm;
accept;
}
}
term b {
from protocol bgp;
then {
community add vpna-comm;
accept;
}
}
term c {
then reject;
}
}
community public-comm1 members target:1:111;
community public-comm2 members target:1:112;
community vpna-comm members target:63000:100;
}
La configuration du routeur PE2 est identique à celle du routeur PE1, sauf que le routeur PE2 exporte l’itinéraire par défaut via la communauté public-comm2.
Configuration d’une instance de routage sur le routeur PE3
Configurer l’instance vpna de routage sur le routeur PE3 :
[edit]
routing-instances {
vpna {
instance-type vrf;
interface t1-0/2/0.0;
route-distinguisher 10.255.14.173:100;
vrf-import vpna-import;
vrf-export vpna-export;
protocols {
rip {
group to-vpn12 {
export export-CE;
neighbor t1-0/2/0.0;
}
}
}
}
}
Configuration des options de stratégie sur le routeur PE3
Configurez la stratégie pour le vrf-import routeur PE3 afin de sélectionner le point de sortie Internet en fonction des communautés supplémentaires spécifiées dans Configuration des options de stratégie sur le routeur PE1 :
[edit]
policy-options {
policy-statement vpna-export {
term a {
from protocol rip;
then {
community add vpna-comm;
accept;
}
}
term b {
then reject;
}
}
policy-statement vpna-import {
term a {
from {
protocol bgp;
community public-comm1;
route-filter 0.0.0.0/0 exact;
}
then reject;
}
term b {
from {
protocol bgp;
community vpna-comm;
}
then accept;
}
term c {
then reject;
}
}
policy-statement export-CE {
from protocol bgp;
then accept;
}
community vpna-comm members target:69:100;
community public-comm1 members target:1:111;
community public-comm2 members target:1:112;
}
Routage du trafic Internet via plusieurs routeurs CE : configuration résumée par routeur
Routeur PE1
Cette configuration est une extension de l’exemple de Routage du trafic Internet via un routeur Hub CE. Il fournit différents points de sortie pour différents sites à l’aide de plusieurs routeurs CE centraux qui remplissent des fonctions similaires.
Instances de routage
routing-instances {
vpna {
instance-type vrf;
interface t3-0/2/0.0;
interface at-1/3/1.0;
route-distinguisher 10.255.14.171:100;
vrf-import vpna-import;
vrf-export vpna-export;
routing-options {
static {
route 0.0.0.0/0 next-hop 10.23.0.1;
}
}
protocols {
bgp {
group to-CE1 {
export export-default;
peer-as 63001;
neighbor 192.168.197.14;
}
}
}
}
}
Options de stratégie
policy-options {
policy-statement vpna-import {
term a {
from {
protocol bgp;
community vpna-comm;
}
then accept;
}
term b {
then reject;
}
}
policy-statement vpna-export {
term a {
from {
protocol static;
route-filter 0.0.0.0/0 exact;
}
then {
community add public-comm1;
community add vpna-comm;
accept;
}
}
term b {
from protocol bgp;
then {
community add vpna-comm;
accept;
}
}
term c {
then reject;
}
}
community public-comm1 members target:1:111;
community public-comm2 members target:1:112;
community vpna-comm members target:63000:100;
}
Routeur PE2
La configuration du routeur PE2 est identique à celle du routeur PE1, sauf que le routeur PE2 exporte la route par défaut via la communauté public-comm2.
Routeur PE3
Instances de routage
routing-instances {
vpna {
instance-type vrf;
interface t1-0/2/0.0;
route-distinguisher 10.255.14.173:100;
vrf-import vpna-import;
vrf-export vpna-export;
protocols {
rip {
group to-vpn12 {
export export-CE;
neighbor t1-0/2/0.0;
}
}
}
}
}
Options de stratégie
policy-options {
policy-statement vpna-export {
term a {
from protocol rip;
then {
community add vpna-comm;
accept;
}
}
term b {
then reject;
}
}
policy-statement vpna-import {
term a {
from {
protocol bgp;
community public-comm1;
route-filter 0.0.0.0/0 exact;
}
then reject;
}
term b {
from {
protocol bgp;
community vpna-comm;
}
then accept;
}
term c {
then reject;
}
}
policy-statement export-CE {
from protocol bgp;
then accept;
}
community vpna-comm members target:69:100;
community public-comm1 members target:1:111;
community public-comm2 members target:1:112;
}