Activation de l’accès Internet pour les VPN de couche 3
Ce sujet fournit des exemples sur la configuration d’un routeur de périphérie fournisseur (PE) afin de fournir un accès Internet aux routeurs de périphérie du client (CE) dans un VPN, et sur la configuration d’un routeur pour acheminer le trafic Internet vers les routeurs CE par l’intermédiaire d’un traducteur d’adresses réseau (NAT). La méthode que vous utilisez dépend des besoins et des spécifications du réseau individuel.
Accès Internet non VRF via VPN de couche 3
Junos OS prend en charge l’accès Internet à partir d’un réseau privé virtuel (VPN) de couche 3. Vous devez également configurer l’instruction next-table au niveau de la [edit routing-instances routing-instance-name routing-options static route] hiérarchie. Une fois configurée, cette instruction peut pointer un routage par défaut de la table VPN (instance de routage) vers la table de routage principale (instance par défaut) inet.0. La table de routage principale stocke toutes les routes Internet et est l’endroit où se produit la résolution finale du routage.
Les sections suivantes décrivent les moyens de fournir un accès Internet à un routeur CE dans un VPN de couche 3 sans utiliser l’interface de routage et de transfert VPN (VRF). Étant donné que ces méthodes contournent efficacement le VPN de couche 3, elles ne sont pas abordées en détail.
- Le routeur CE accède à Internet indépendamment du routeur PE
- Le routeur PE fournit un service Internet de couche 2
Le routeur CE accède à Internet indépendamment du routeur PE
Dans cette configuration, le routeur PE ne fournit pas l’accès Internet. Le routeur CE envoie le trafic Internet soit à un autre fournisseur de services, soit au même fournisseur de services, mais à un routeur différent. Le routeur PE gère uniquement le trafic VPN de couche 3 (voir Figure 1).
Internet
Le routeur PE fournit un service Internet de couche 2
Dans cette configuration, le routeur PE agit comme un équipement de couche 2, fournissant une connexion de couche 2 (telle qu’un circuit de connexion croisée [CCC]) à un autre routeur doté d’un ensemble complet de routes Internet. Le routeur CE n’utilise qu’une seule interface physique et deux interfaces logiques sur le routeur PE, ou il peut utiliser plusieurs interfaces physiques au routeur PE (voir Figure 2).
Accès Internet distribué via VPN de couche 3
Dans ce scénario, les routeurs PE fournissent un accès Internet aux routeurs CE. Dans les exemples qui suivent, on suppose que les routes Internet (ou les routes par défaut) sont présentes dans la table inet.0 des routeurs PE qui fournissent un accès Internet à certains routeurs CE.
Lors de l’accès à Internet à partir d’un VPN, la traduction des adresses réseau (NAT) doit être effectuée entre les adresses privées du VPN et les adresses publiques utilisées sur Internet, sauf si le VPN utilise l’espace d’adressage public. Cette section comprend plusieurs exemples de la façon de fournir un accès Internet aux VPN, dont la plupart nécessitent que les routeurs CE effectuent la traduction d’adresse. L’exemple Routage du trafic Internet via un nat distinct Nécessite toutefois que le fournisseur de services fournisse la fonctionnalité NAT à l’aide d’un équipement NAT connecté au routeur PE.
Dans tous les exemples, le pool d’adresses IP publiques du VPN (dont les entrées correspondent aux adresses privées traduites) doit être ajouté à la table inet.0 et propagé aux routeurs Internet pour recevoir le trafic inversé depuis des destinations publiques.
Routage VPN et trafic Internet via différentes interfaces pour les VPN de couche 3
Dans cet exemple, le trafic VPN et Internet est acheminé via différentes interfaces. Le routeur CE envoie le trafic VPN via l’interface VPN et envoie le trafic Internet via une interface distincte qui fait partie de la table de routage principale du routeur PE1 (le routeur CE peut utiliser soit une interface physique avec deux unités logiques, soit deux interfaces physiques). La traduction d’adresses réseau (NAT) se produit également sur le routeur CE (voir Figure 3).
Le routeur PE est configuré pour installer et annoncer le pool d’adresses IP publiques du VPN à d’autres routeurs centraux (pour le trafic de retour). Le trafic VPN est roué normalement. La figure 4 illustre la configuration VPN du routeur PE.
distinctes
La configuration de cet exemple présente les fonctionnalités suivantes :
Le routeur PE1 utilise deux interfaces logiques pour se connecter au routeur CE1 à l’aide de l’encapsulation par relais de trames.
Le protocole de routage entre le routeur PE1 et le routeur CE1 est EBGP.
Le pool d’adresses IP publiques du routeur CE1 est
10.12.1.1le (10.12.1.25410.12.1.0/24).Ce
next-hop-selfparamètre est dérivé de l’instruction relative aufix-nh policyrouteur PE1. Les routeurs PE sont obligés d’utilisernext-hop-selfpour que la résolution du saut suivant ne soit effectuée que pour l’adresse de bouclage du routeur PE pour les routes non VPN (par défaut, les routes VPN-Internet Protocol version 4 [IPv4] sont envoyées par le biais denext-hop-self).
Vous pouvez configurer le routeur CE1 avec un pointage de route statique par défaut vers son interface publique pour tout le reste.
Les sections suivantes montrent comment router le trafic VPN et Internet via différentes interfaces :
- Configuration des interfaces sur le routeur PE1
- Configuration des options de routage sur le routeur PE1
- Configuration des protocoles BGP, IS-IS et LDP sur le routeur PE1
- Configuration d’une instance de routage sur le routeur PE1
- Configuration des options de stratégie sur le routeur PE1
- Trafic acheminé par différentes interfaces : configuration résumée par routeur
Configuration des interfaces sur le routeur PE1
Configurez une interface pour gérer le trafic VPN et une interface pour gérer le trafic Internet :
[edit]
interfaces {
t3-0/2/0 {
dce;
encapsulation frame-relay;
unit 0 {
description "to CE1 VPN interface";
dlci 10;
family inet {
address 192.168.197.13/30;
}
}
unit 1 {
description "to CE1 public interface";
dlci 20;
family inet {
address 192.168.198.201/30;
}
}
}
}
Configuration des options de routage sur le routeur PE1
Configurez une route statique sur le routeur PE1 pour installer une route vers le pool d’adresses IP publiques du routeur CE inet.0 :
[edit]
routing-options {
static {
route 10.12.1.0/24 next-hop 192.168.198.202;
}
}
Configuration des protocoles BGP, IS-IS et LDP sur le routeur PE1
Configurez BGP sur le routeur PE1 pour permettre l’appairage non VPN et VPN et pour promouvoir le pool d’adresses IP publiques du VPN :
[edit]
protocols {
bgp {
group pe-pe {
type internal;
local-address 10.255.14.171;
family inet {
any;
}
family inet-vpn {
any;
}
export [fix-nh redist-static];
neighbor 10.255.14.177;
neighbor 10.255.14.179;
}
}
}
Configurer IS-IS sur le routeur PE1 pour permettre l’accès aux routes internes :
[edit protocols]
isis {
level 1 disable;
interface so-0/0/0.0;
interface lo0.0;
}
Configurer le LDP sur le routeur PE1 vers les routes VPN tunnel :
[edit protocols]
ldp {
interface so-0/0/0.0;
}
Configuration d’une instance de routage sur le routeur PE1
Configurer une instance de routage sur le routeur PE1 :
[edit]
routing-instances {
vpna {
instance-type vrf;
interface t3-0/2/0.0;
route-distinguisher 10.255.14.171:100;
vrf-import vpna-import;
vrf-export vpna-export;
protocols {
bgp {
group to-CE1 {
peer-as 63001;
neighbor 192.168.197.14;
}
}
}
}
}
Configuration des options de stratégie sur le routeur PE1
Vous devez configurer des options de stratégie sur le routeur PE1. Les fix-nh jeux d’énoncés next-hop-self de stratégie pour toutes les routes non VPN :
[edit]
policy-options {
policy-statement fix-nh {
then {
next-hop self;
}
}
}
La redist-static déclaration de stratégie fait la promotion du pool d’adresses IP publiques du VPN :
[edit policy-options]
policy-statement redist-static {
term a {
from {
protocol static;
route-filter 10.12.1.0/24 exact;
}
then accept;
}
term b {
then reject;
}
}
Configurer les stratégies d’importation et d’exportation pour vpna:
[edit policy-options]
policy-statement vpna-import {
term a {
from {
protocol bgp;
community vpna-comm;
}
then accept;
}
term b {
then reject;
}
}
policy-statement vpna-export {
term a {
from protocol bgp;
then {
community add vpna-comm;
accept;
}
}
term b {
then reject;
}
}
community vpna-comm members target:63000:100;
Trafic acheminé par différentes interfaces : configuration résumée par routeur
Routeur PE1
Interfaces
interfaces {
t3-0/2/0 {
dce;
encapsulation frame-relay;
unit 0 {
description "to CE1 VPN interface";
dlci 10;
family inet {
address 192.168.197.13/30;
}
}
unit 1 {
description "to CE1 public interface";
dlci 20;
family inet {
address 192.168.198.201/30;
}
}
}
}
Options de routage
routing-options {
static {
route 10.12.1.0/24 next-hop 192.168.198.202;
}
}
Protocole BGP
protocols {
bgp {
group pe-pe {
type internal;
local-address 10.255.14.171;
family inet {
any;
}
family inet-vpn {
any;
}
export [ fix-nh redist-static];
neighbor 10.255.14.177;
neighbor 10.255.14.179;
}
}
}
Protocole IS-IS
isis {
level 1 disable;
interface so-0/0/0.0;
interface lo0.0;
}
Protocole LDP
ldp {
interface so-0/0/0.0;
}
Instance de routage
routing-instances {
vpna {
instance-type vrf;
interface t3-0/2/0.0;
route-distinguisher 10.255.14.171:100;
vrf-import vpna-import;
vrf-export vpna-export;
protocols {
bgp {
group to-CE1 {
peer-as 63001;
neighbor 192.168.197.14;
}
}
}
}
}
Options de stratégie/Instructions de stratégie
policy-options {
policy-statement fix-nh {
then {
next-hop self;
}
}
policy-statement redist-static {
term a {
from {
protocol static;
route-filter 10.12.1.0/24 exact;
}
then accept;
}
term b {
then reject;
}
}
}
Stratégies d’importation et d’exportation
policy-statement vpna-import {
term a {
from {
protocol bgp;
community vpna-comm;
}
then accept;
}
term b {
then reject;
}
}
policy-statement vpna-export {
term a {
from protocol bgp;
then {
community add vpna-comm;
accept;
}
}
term b {
then reject;
}
}
community vpna-comm members target:63000:100;
Routage VPN et trafic Internet sortant via la même interface et routage Renvoyer le trafic Internet via une interface différente
Dans cet exemple, le routeur CE envoie du trafic VPN et Internet via la même interface, mais reçoit le trafic Internet de retour via une autre interface. Le routeur PE dispose d’un routage par défaut dans la table VRF pointant vers la table de routage principale inet.0. Il achemine le pool d’adresses IP publiques VPN (renvoyer le trafic Internet) via une interface différente dans inet.0 (voir Figure 5). Le routeur CE exécute toujours des fonctions NAT.
La section suivante indique comment router le trafic VPN et Internet sortant via la même interface et le routage renvoyant le trafic Internet via une autre interface :
Configuration du routeur PE1
Cet exemple présente la même configuration que le routeur PE1 dans le routage VPN et le trafic Internet via différentes interfaces pour les VPN de couche 3. Il utilise la topologie du routage VPN et du trafic Internet via différentes interfaces pour les VPN de couche 3. Le routage par défaut vers la table de routage VPN est configuré différemment. Au niveau de la [edit routing-instances routing-instance-name routing-options] hiérarchie, vous configurez une route statique par défaut installée dans vpna.inet.0 et pointant vers inet.0 pour la résolution :
[edit]
routing-instances {
vpna {
instance-type vrf;
interface t3-0/2/0.0;
route-distinguisher 10.255.14.171:100;
vrf-import vpna-import;
vrf-export vpna-export;
routing-options {
static {
route 0.0.0.0/0 next-table inet.0;
}
}
protocols {
bgp {
group to-CE1 {
peer-as 63001;
neighbor 192.168.197.14;
}
}
}
}
}
Vous devez également modifier la configuration du routeur CE1 (à partir de la configuration qui fonctionne avec celle du routeur PE1 décrite dans Routage VPN et Trafic Internet via différentes interfaces pour VPN de couche 3) pour tenir compte des différences de configuration des routeurs PE.
Routage du trafic VPN et Internet via la même interface bidirectionnelle (LE VPN a des adresses publiques)
Cette section explique comment configurer une interface logique unique pour gérer le trafic VPN et Internet entrant et sortant d’Internet et du routeur CE. Cette interface peut gérer à la fois le trafic VPN et Internet tant qu’il n’y a pas d’adresses privées dans le VPN. Les routes VPN reçues par le routeur CE sont ajoutées à la table de routage principale inet.0 à l’aide de groupes de tables de routage. Cela permet au routeur PE d’attirer le trafic sortant d’Internet (voir Figure 6).
Internet et VPN
Dans cet exemple, le routeur CE n’a pas besoin d’effectuer la traduction d’adresses réseau (NAT), car toutes les routes VPN sont publiques. Le routeur CE dispose d’une interface unique pour le routeur PE, auquel il présente les routes VPN. Le routeur PE dispose d’un routage par défaut dans la table VRF pointant vers la table de routage principale inet.0. Le routeur PE importe également les routes VPN reçues du routeur CE en inet.0 au moyen de groupes de tables de routage.
La configuration suivante pour le routeur PE1 utilise la même topologie que pour le routage VPN et le trafic Internet via différentes interfaces pour les VPN de couche 3. Cette configuration utilise une interface logique unique (au lieu de deux) entre le routeur PE1 et le routeur CE1.
Les sections suivantes montrent comment router le trafic VPN et Internet via la même interface bidirectionnellement (VPN a des adresses publiques) :
- Configuration des options de routage sur le routeur PE1
- Configuration des protocoles de routage sur le routeur PE1
- Configuration de l’instance de routage sur le routeur PE1
- Trafic routée via la même interface bidirectionnelle : configuration résumée par routeur
Configuration des options de routage sur le routeur PE1
Configurer une définition de groupe de tables de routage pour l’installation de routes VPN dans les groupes de tables de routage vpna.inet.0 et inet.0 :
[edit]
routing-options {
rib-groups {
vpna-to-inet0 {
import-rib [ vpna.inet.0 inet.0 ];
}
}
}
Configuration des protocoles de routage sur le routeur PE1
Configurez les protocoles MPLS, BGP, IS-IS et LDP sur le routeur PE1. Cette configuration n’inclut pas l’instruction policy redist-static au niveau de la [edit protocols bgp group pe-pe] hiérarchie. Les routes VPN sont envoyées directement à IBGP.
Configurez BGP sur le routeur PE1 pour permettre l’appairage non VPN et VPN, et pour promouvoir le pool d’adresses IP publiques du VPN :
[edit]
protocols {
mpls {
interface so-0/0/0.0;
}
bgp {
group pe-pe {
type internal;
local-address 10.255.14.171;
family inet {
any;
}
family inet-vpn {
any;
}
export fix-nh;
neighbor 10.255.14.177;
neighbor 10.255.14.173;
}
}
isis {
level 1 disable;
interface so-0/0/0.0;
interface lo0.0;
}
ldp {
interface so-0/0/0.0;
}
}
Configuration de l’instance de routage sur le routeur PE1
Cette section explique comment configurer l’instance de routage sur le routeur PE1. La route statique définie dans l’instruction dirige le routing-options trafic Internet du routeur CE vers la table de routage inet.0. Le groupe de tables de routage défini par l’instruction rib-group vpna-to-inet0 ajoute les routes VPN à inet.0.
Configurer l’instance de routage sur le routeur PE1 :
[edit]
routing-instances {
vpna {
instance-type vrf;
interface t3-0/2/0.0;
route-distinguisher 10.255.14.171:100;
vrf-import vpna-import;
vrf-export vpna-export;
routing-options {
static {
route 0.0.0.0/0 next-table inet.0;
}
}
protocols {
bgp {
group to-CE1 {
family inet {
unicast {
rib-group vpna-to-inet0;
}
}
peer-as 63001;
neighbor 192.168.197.14;
}
}
}
}
}
Vous devez configurer le routeur CE1 pour transférer tout le trafic vers le routeur PE1 à l’aide d’un routage par défaut. Vous pouvez également faire la promotion du routage par défaut du routeur PE1 au routeur CE1 avec EBGP.
Trafic routée via la même interface bidirectionnelle : configuration résumée par routeur
Routeur PE1
Cet exemple utilise la même configuration que pour le routage VPN et le trafic Internet via différentes interfaces pour les VPN de couche 3. Cette configuration utilise une interface logique unique (au lieu de deux) entre le routeur PE1 et le routeur CE1.
Options de routage
routing-options {
rib-groups {
vpna-to-inet0 {
import-rib [ vpna.inet.0 inet.0 ];
}
}
}
Protocoles de routage
protocols {
mpls {
interface so-0/0/0.0;
}
bgp {
group pe-pe {
type internal;
local-address 10.255.14.171;
family inet {
any;
}
family inet-vpn {
any;
}
export fix-nh;
neighbor 10.255.14.177;
neighbor 10.255.14.173;
}
}
isis {
level 1 disable;
interface so-0/0/0.0;
interface lo0.0;
}
ldp {
interface so-0/0/0.0;
}
}
Instance de routage
routing-instances {
vpna {
instance-type vrf;
interface t3-0/2/0.0;
route-distinguisher 10.255.14.171:100;
vrf-import vpna-import;
vrf-export vpna-export;
routing-options {
static {
route 0.0.0.0/0 next-table inet.0;
}
}
protocols {
bgp {
group to-CE1 {
family inet {
unicast {
rib-group vpna-to-inet0;
}
}
peer-as 63001;
neighbor 192.168.197.14;
}
}
}
}
}
Routage du trafic VPN et Internet via la même interface bidirectionnelle (LE VPN a des adresses privées)
L’exemple de cette section montre comment router le trafic VPN et Internet via la même interface dans les deux directions (du routeur CE à Internet et d’Internet au routeur CE). Dans cet exemple, le VPN dispose d’adresses privées. Si vous pouvez configurer EBGP sur le routeur CE, vous pouvez configurer un routeur PE à l’aide de la configuration décrite dans Routage VPN et trafic Internet via la même interface bidirectionnelle (VPN a des adresses publiques), même si le VPN possède des adresses privées.
Dans l’exemple décrit dans cette section, le routeur CE utilise des communautés distinctes pour promouvoir ses routes VPN et ses routes publiques. Le routeur PE importe uniquement les routes publiques dans la table de routage inet.0. Cette configuration garantit que le trafic sortant d’Internet utilise la même interface entre les routeurs PE et CE que celle utilisée par le trafic VPN vers les adresses Internet publiques (voir Figure 7).
Dans cet exemple, le routeur CE dispose d’une interface et d’une session BGP avec le routeur PE, et il balise les routes VPN et les routes Internet avec différentes communautés. Le routeur PE dispose d’une interface unique, importe certaines routes pour le pool d’adresses IP publiques du VPN dans inet.0 et comporte un routage par défaut dans la table de routage VRF pointant vers inet.0.
Les sections suivantes montrent comment router le trafic VPN et Internet via la même interface bidirectionnellement (LE VPN possède des adresses privées) :
- Configuration des options de routage pour le routeur PE1
- Configuration d’une instance de routage pour routeur PE1
- Configuration des options de stratégie pour le routeur PE1
- Trafic routée par la même interface bidirectionnelle (LE VPN a des adresses privées) : configuration résumée par routeur
Configuration des options de routage pour le routeur PE1
Sur le routeur PE1, configurez un groupe de tables de routage pour installer des routes VPN dans les tables de routage vpna.inet.0 et inet.0 :
[edit]
routing-options {
rib-groups {
vpna-to-inet0 {
import-policy import-public-addr-to-inet0;
import-rib [ vpna.inet.0 inet.0 ];
}
}
}
Configuration d’une instance de routage pour routeur PE1
Sur le routeur PE1, configurez une instance de routage. Dans le cadre de la configuration de l’instance de routage, configurez une route statique installée dans vpna.inet.0 et pointée sur inet.0 pour la résolution.
[edit]
routing-instances {
vpna {
instance-type vrf;
interface t3-0/2/0.0;
route-distinguisher 10.255.14.171:100;
vrf-import vpna-import;
vrf-export vpna-export;
routing-options {
static {
route 0.0.0.0/0 next-table inet.0;
}
}
}
}
Au niveau de la [edit routing-instances vpna protocols bgphiérarchie ], configurez une stratégie (import-public-addr-to-inet0) pour importer des routes publiques dans inet.0 et un groupe de tables de routage (vpna-to-inet0) afin de permettre à BGP d’installer des routes dans plusieurs tables de routage (vpna.inet.0 et inet.0) :
[edit routing-instances vpna]
protocols {
bgp {
group to-CE1 {
import import-public-addr-to-inet0;
family inet {
unicast {
rib-group vpna-to-inet0;
}
}
peer-as 63001;
neighbor 192.168.197.14;
}
}
}
Configuration des options de stratégie pour le routeur PE1
Configurez les options de stratégie du routeur PE1 pour qu’il accepte tous les routes initialement (term a), puis pour installer les routes avec une public-comm communauté dans la table de routage inet.0 (term b) :
[edit]
policy-options {
policy-statement import-public-addr-to-inet0 {
term a {
from {
protocol bgp;
rib vpna.inet.0;
community [ public-comm private-comm ];
}
then accept;
}
term b {
from {
protocol bgp;
community public-comm;
}
to rib inet.0;
then accept;
}
term c {
then reject;
}
}
community private-comm members target:1:333;
community public-comm members target:1:111;
community vpna-comm members target:63000:100;
}
Trafic routée par la même interface bidirectionnelle (LE VPN a des adresses privées) : configuration résumée par routeur
Routeur PE1
Options de routage
[edit]
routing-options {
rib-groups {
vpna-to-inet0 {
import-policy import-public-addr-to-inet0;
import-rib [ vpna.inet.0 inet.0 ];
}
}
}
Instances de routage
[edit]
routing-instances {
vpna {
instance-type vrf;
interface t3-0/2/0.0;
route-distinguisher 10.255.14.171:100;
vrf-import vpna-import;
vrf-export vpna-export;
routing-options {
static {
route 0.0.0.0/0 next-table inet.0;
}
}
}
}
Instances de routage Protocoles BGP
[edit routing-instances vpna]
protocols {
bgp {
group to-CE1 {
family inet {
unicast {
rib-group vpna-to-inet0;
}
}
peer-as 63001;
neighbor 192.168.197.14;
}
}
}
Options de stratégie
[edit]
policy-options {
policy-statement import-public-addr-to-inet0 {
term a {
from {
protocol bgp;
rib vpna.inet.0;
community [ public-comm private-comm ];
}
then accept;
}
term b {
from {
protocol bgp;
community public-comm;
}
to rib inet.0;
then accept;
}
term c {
then reject;
}
}
community private-comm members target:1:333;
community public-comm members target:1:111;
community vpna-comm members target:63000:100;
}
Routage du trafic Internet via un équipement NAT distinct
Dans cet exemple, le routeur CE n’effectue pas de NAT. Il envoie du trafic VPN et Internet sur la même interface au routeur PE. Le routeur PE est connecté à un équipement NAT au moyen de deux interfaces. Une interface est configurée dans la table VRF du routeur PE et pointe vers une interface VPN sur l’équipement NAT, qui peut router le trafic Internet pour le VPN. L’autre interface est dans une instance par défaut ; par exemple, une partie de la table de routage publique inet.0. Il peut y avoir une seule connexion physique entre le routeur PE et l’équipement NAT et plusieurs connexions logiques (une pour chaque table VRF et une autre interface) dans le cadre de la table de routage globale (voir Figure 8).
distinct
Exigences
Cet exemple utilise les composants matériels et logiciels suivants :
Routeurs M Series
Junos OS version 9.3 ou ultérieure
Aperçu
La topologie de cet exemple s’étend à celle illustrée dans Routage VPN et Trafic Internet via différentes interfaces pour les VPN de couche 3. Le routeur CE envoie du trafic VPN et Internet au routeur PE1. Le trafic VPN est acheminé en fonction des routes VPN reçues par le routeur PE1. Le trafic pour tout le reste est envoyé à l’équipement NAT à l’aide de l’interface privée du routeur PE1 vers l’équipement NAT, qui traduit ensuite les adresses privées et renvoie le trafic au routeur PE1 à l’aide de l’interface publique de ce routeur (voir Figure 9).
Topologie
DE NAT pour le trafic Internet
Configuration
Pour acheminer le trafic Internet via un équipement NAT distinct, effectuez les tâches suivantes :
- Configuration des interfaces sur le routeur PE1
- Configuration des options de routage pour le routeur PE1
- Configuration des protocoles de routage sur le routeur PE1
- Configuration d’une instance de routage sur le routeur PE1
- Résultats
Configuration des interfaces sur le routeur PE1
Procédure étape par étape
Configurer une interface pour le trafic VPN à partir du routeur CE1 :
[edit] interfaces { t3-0/2/0 { dce; encapsulation frame-relay; unit 0 { description "to CE1 VPN interface"; dlci 10; family inet { address 192.168.197.13/30; } } } }Configurez une interface pour le trafic VPN vers et depuis l’équipement NAT (unité 0) et une interface pour le trafic Internet vers et depuis l’équipement NAT (unité 1) :
[edit] interfaces { at-1/3/1 { atm-options { vpi 1 maximum-vcs 255; } unit 0 { description "to NAT VPN interface"; vci 1.100; family inet { address 10.23.0.2/32 { destination 10.23.0.1; } } } unit 1 { description "to NAT public interface"; vci 1.101; family inet { address 10.23.0.6/32 { destination 10.23.0.5; } } } } }
Configuration des options de routage pour le routeur PE1
Procédure étape par étape
Configurez une route statique sur le routeur PE1 pour diriger le trafic Internet vers le routeur CE via l’équipement NAT. Le routeur PE1 distribue cette route vers Internet.
[edit] routing-options { static { route 10.12.1.0/24 next-hop 10.23.0.5; } }
Configuration des protocoles de routage sur le routeur PE1
Procédure étape par étape
Configurez les protocoles de routage suivants sur le routeur PE1 :
Configurez MPLS sur le routeur PE1. Inclure l’interface VPN de l’équipement NAT dans la table VRF.
[edit] protocols { mpls { interface so-0/0/0.0; interface at-1/3/1.0; } }Configurez BGP sur le routeur PE1. Inclure une stratégie de promotion du pool d’adresses IP publics :
[edit] protocols { bgp { group pe-pe { type internal; local-address 10.255.14.171; family inet { any; } family inet-vpn { any; } export [ fix-nh redist-static ]; neighbor 10.255.14.177; neighbor 10.255.14.173; } } }Configurer IS-IS sur le routeur PE1 :
[edit] protocols { isis { level 1 disable; interface so-0/0/0.0; interface lo0.0; } }Configurer LDP sur le routeur PE1 :
[edit] protocols { ldp { interface so-0/0/0.0; } }
Configuration d’une instance de routage sur le routeur PE1
Procédure étape par étape
Configurez l’instance de routage VPN de couche 3 sur le routeur PE1 :
Configurez une instance de routage sur le routeur PE1. Dans le cadre de la configuration de l’instance de routage, sous
routing-options, configurez un routage statique par défaut dans vpna.inet.0 pointant vers l’interface VPN de l’équipement NAT (cela dirige tout le trafic non-VPN vers l’équipement NAT) :[edit] routing-instances { vpna { instance-type vrf; interface t3-0/2/0.0; interface at-1/3/1.0; route-distinguisher 10.255.14.171:100; vrf-import vpna-import; vrf-export vpna-export; routing-options { static { route 0.0.0.0/0 next-hop 10.23.0.1; } } protocols { bgp { group to-CE1 { peer-as 63001; neighbor 192.168.197.14; } } } } }Configurez la stratégie de routage pour l’instance de routage VPN de couche 3 sur le routeur PE1 :
policy-options { policy-statement fix-nh { then { next-hop self; } } policy-statement redist-static { term a { from { protocol static; route-filter 10.12.1.0/24 exact; } then accept; } term b { from protocol bgp; then accept; } term c { then accept; } } policy-statement vpna-import { term a { from { protocol bgp; community vpna-comm; } then accept; } term b { then reject; } } policy-statement vpna-export { term a { from protocol bgp; then { community add vpna-comm; accept; } } term b { then reject; } } community vpna-comm members target:63000:100; }
Résultats
Depuis le mode configuration sur le routeur PE1, confirmez votre configuration en entrant les interfaces d’affichage, les options de routage, les protocoles d’affichage, les instances de routage et les commandes d’options de stratégie. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de cet exemple pour corriger la configuration.
user@PE1# show interfaces
interfaces {
t3-0/2/0 {
dce;
encapsulation frame-relay;
unit 0 {
description "to CE1 VPN interface";
dlci 10;
family inet {
address 192.168.197.13/30;
}
}
}
at-1/3/1 {
atm-options {
vpi 1 maximum-vcs 255;
}
unit 0 {
description "to NAT VPN interface";
vci 1.100;
family inet {
address 10.23.0.2/32 {
destination 10.23.0.1;
}
}
}
unit 1 {
description "to NAT public interface";
vci 1.101;
family inet {
address 10.23.0.6/32 {
destination 10.23.0.5;
}
}
}
}
}
user@PE1# show routing-options
routing-options {
static {
route 10.12.1.0/24 next-hop 10.23.0.5;
}
}
user@PE1# show protocols
protocols {
mpls {
interface so-0/0/0.0;
interface at-1/3/1.0;
}
bgp {
group pe-pe {
type internal;
local-address 10.255.14.171;
family inet {
any;
}
family inet-vpn {
any;
}
export [ fix-nh redist-static ];
neighbor 10.255.14.177;
neighbor 10.255.14.173;
}
}
isis {
level 1 disable;
interface so-0/0/0.0;
interface lo0.0;
}
ldp {
interface so-0/0/0.0;
}
}
user@PE1# show routing-instances
routing-instances {
vpna {
instance-type vrf;
interface t3-0/2/0.0;
interface at-1/3/1.0;
route-distinguisher 10.255.14.171:100;
vrf-import vpna-import;
vrf-export vpna-export;
routing-options {
static {
route 0.0.0.0/0 next-hop 10.23.0.1;
}
}
protocols {
bgp {
group to-CE1 {
peer-as 63001;
neighbor 192.168.197.14;
}
}
}
}
}
user@PE1# show policy-options
policy-options {
policy-statement fix-nh {
then {
next-hop self;
}
}
policy-statement redist-static {
term a {
from {
protocol static;
route-filter 10.12.1.0/24 exact;
}
then accept;
}
term b {
from protocol bgp;
then accept;
}
term c {
then accept;
}
}
policy-statement vpna-import {
term a {
from {
protocol bgp;
community vpna-comm;
}
then accept;
}
term b {
then reject;
}
}
policy-statement vpna-export {
term a {
from protocol bgp;
then {
community add vpna-comm;
accept;
}
}
term b {
then reject;
}
}
community vpna-comm members target:63000:100;
}
Accès Internet centralisé via VPN de couche 3
Cette section décrit plusieurs façons de configurer un routeur CE pour qu’il agisse comme un site central pour l’accès Internet. Le trafic Internet en provenance d’autres sites (routeurs CE) est acheminé vers le routeur CE du hub (qui effectue également la traduction d’adresses réseau) à l’aide de l’interface VPN de ce routeur. Le routeur HUB CE transfère ensuite le trafic vers un routeur PE connecté à Internet via une autre interface identifiée dans la table inet.0. Le routeur HUB CE peut annoncer un routage par défaut aux routeurs SPOKE CE. L’inconvénient de ce type de configuration est que tout le trafic doit passer par le routeur CE central avant de se rendre sur Internet, ce qui entraîne des retards réseau si ce routeur reçoit trop de trafic. Toutefois, dans un réseau d’entreprise, le trafic doit être acheminé vers un site central, car la plupart des réseaux d’entreprise séparent le VPN d’Internet au moyen d’un pare-feu unique.
Cette section comprend les exemples suivants :
- Routage du trafic Internet via un routeur Hub CE
- Routage du trafic Internet via plusieurs routeurs CE
Routage du trafic Internet via un routeur Hub CE
Dans cet exemple, le trafic Internet est acheminé via un routeur CE du hub. Le routeur HUB CE comporte deux interfaces au routeur PE du hub : une interface VPN et une interface publique. Il effectue la traduction d’adresses réseau (NAT) sur le trafic transféré depuis le routeur PE du hub via l’interface VPN et transfère ce trafic depuis son interface publique vers le routeur PE du hub. Le routeur PE du hub dispose d’un routage statique par défaut dans sa table VRF pointant vers l’interface VPN du routeur CE du hub. Il annonce cette route par défaut vers le reste du VPN, ce qui permet d’attirer tout le trafic non-VPN vers le routage CE du hub. Le routeur PE du hub installe et distribue également l’espace d’adressage IP public du VPN (voir Figure 10).
)
La configuration de cet exemple est quasiment identique à celle décrite dans Routage du trafic Internet via un équipement NAT distinct. La différence est que le routeur PE1 est configuré pour annoncer un routage statique par défaut aux autres routeurs CE (voir Figure 11).
Hub CE
Les sections suivantes montrent comment configurer un accès Internet centralisé en rouageant le trafic Internet via un routeur HUB CE :
- Configuration d’une instance de routage sur le routeur PE1
- Configuration des options de stratégie sur le routeur PE1
- Trafic Internet acheminé par un routeur Hub CE : configuration résumée par routeur
Configuration d’une instance de routage sur le routeur PE1
Configurez une instance de routage pour le routeur PE1. Dans le cadre de cette configuration, sous routing-options, configurez un routage statique par défaut (route 0.0.0.0/0) à installer dans vpna.inet.0 et pointez la route vers l’interface VPN du routeur CE du hub (10.23.0.1). Configurez également BGP sous l’instance de routage pour exporter la route par défaut vers le routeur CE local :
[edit]
routing-instances {
vpna {
instance-type vrf;
interface t3-0/2/0.0;
interface at-1/3/1.0;
route-distinguisher 10.255.14.171:100;
vrf-import vpna-import;
vrf-export vpna-export;
routing-options {
static {
route 0.0.0.0/0 next-hop 10.23.0.1;
}
}
protocols {
bgp {
group to-CE1 {
export export-default;
peer-as 63001;
neighbor 192.168.197.14;
}
}
}
}
}
Configuration des options de stratégie sur le routeur PE1
Configurez les options de stratégie sur le routeur PE1. Dans le cadre de cette configuration, le routeur PE1 doit exporter la route statique par défaut vers tous les routeurs PE distants dans vpna (configurés dans l’instruction policy-statement vpna-export sous term b) :
[edit]
policy-options {
policy-statement vpna-export {
term a {
from protocol bgp;
then {
community add vpna-comm;
accept;
}
}
term b {
from {
protocol static;
route-filter 0.0.0.0/0 exact;
}
then {
community add vpna-comm;
accept;
}
}
term c {
then reject;
}
}
policy-statement export-default {
term a {
from {
protocol static;
route-filter 0.0.0.0/0 exact;
}
then accept;
}
term b {
from protocol bgp;
then accept;
}
term c {
then reject;
}
}
}
Trafic Internet acheminé par un routeur Hub CE : configuration résumée par routeur
Routeur PE1
La configuration du routeur PE1 est quasiment identique à celle du routage du trafic Internet via un équipement NAT distinct. La différence est que le routeur PE1 est configuré pour annoncer un routage statique par défaut aux autres routeurs CE.
Instance de routage
routing-instances {
vpna {
instance-type vrf;
interface t3-0/2/0.0;
interface at-1/3/1.0;
route-distinguisher 10.255.14.171:100;
vrf-import vpna-import;
vrf-export vpna-export;
routing-options {
static {
route 0.0.0.0/0 next-hop 10.23.0.1;
}
}
protocols {
bgp {
group to-CE1 {
export export-default;
peer-as 63001;
neighbor 192.168.197.14;
}
}
}
}
}
Options de stratégie
policy-options {
policy-statement vpna-export {
term a {
from protocol bgp;
then {
community add vpna-comm;
accept;
}
}
term b {
from {
protocol static;
route-filter 0.0.0.0/0 exact;
}
then {
community add vpna-comm;
accept;
}
}
term c {
then reject;
}
}
policy-statement export-default {
term a {
from {
protocol static;
route-filter 0.0.0.0/0 exact;
}
then accept;
}
term b {
from protocol bgp;
then accept;
}
term c {
then reject;
}
}
}
Routage du trafic Internet via plusieurs routeurs CE
L’exemple de cette section est une extension de celle décrite dans Accès Internet centralisé via les VPN de couche 3. Cet exemple fournit différents points de sortie pour différents sites au moyen de routeurs CE de hub qui exécutent des fonctions similaires. Chaque routeur CE du hub indique la route par défaut avec une cible de routage différente et permet aux routeurs SPOKE CE de sélectionner le site du hub qui doit être utilisé pour l’accès Internet (voir Figure 12).
)
Cet exemple utilise deux routeurs HUB CE qui gèrent la traduction d’adresses réseau (NAT) et le trafic Internet :
Balises
0/0de routeur Hub1 CE avec communautépublic-comm1(cible :1:111)Balises
0/0de routeur Hub2 CE avec communautépublic-comm2(cible :1:112)
Dans cet exemple, le routeur SPOKE CE a un biais vers le Hub2 pour l’accès à Internet.
Les sections suivantes décrivent comment configurer deux routeurs CE en hub pour gérer le trafic Internet et la traduction d’adresses réseau (NAT) :
- Configuration d’une instance de routage sur le routeur PE1
- Configuration des options de stratégie sur le routeur PE1
- Configuration d’une instance de routage sur le routeur PE3
- Configuration des options de stratégie sur le routeur PE3
- Routage du trafic Internet via plusieurs routeurs CE : configuration résumée par routeur
Configuration d’une instance de routage sur le routeur PE1
Configurer une instance de routage sur le routeur PE1 :
[edit]
routing-instances {
vpna {
instance-type vrf;
interface t3-0/2/0.0;
interface at-1/3/1.0;
route-distinguisher 10.255.14.171:100;
vrf-import vpna-import;
vrf-export vpna-export;
routing-options {
static {
route 0.0.0.0/0 next-hop 10.23.0.1;
}
}
protocols {
bgp {
group to-CE1 {
export export-default;
peer-as 63001;
neighbor 192.168.197.14;
}
}
}
}
}
Configuration des options de stratégie sur le routeur PE1
Les options de stratégie pour le routeur PE1 sont les mêmes que dans le routage du trafic Internet via un routeur Hub CE, mais la configuration de cet exemple inclut une communauté supplémentaire, public-comm1dans l’énoncé export :
[edit]
policy-options {
policy-statement vpna-import {
term a {
from {
protocol bgp;
community vpna-comm;
}
then accept;
}
term b {
then reject;
}
}
policy-statement vpna-export {
term a {
from {
protocol static;
route-filter 0.0.0.0/0 exact;
}
then {
community add public-comm1;
community add vpna-comm;
accept;
}
}
term b {
from protocol bgp;
then {
community add vpna-comm;
accept;
}
}
term c {
then reject;
}
}
community public-comm1 members target:1:111;
community public-comm2 members target:1:112;
community vpna-comm members target:63000:100;
}
La configuration du routeur PE2 est identique à celle du routeur PE1, sauf que le routeur PE2 exporte le routage par défaut via la communauté public-comm2.
Configuration d’une instance de routage sur le routeur PE3
Configurer l’instance vpna de routage sur le routeur PE3 :
[edit]
routing-instances {
vpna {
instance-type vrf;
interface t1-0/2/0.0;
route-distinguisher 10.255.14.173:100;
vrf-import vpna-import;
vrf-export vpna-export;
protocols {
rip {
group to-vpn12 {
export export-CE;
neighbor t1-0/2/0.0;
}
}
}
}
}
Configuration des options de stratégie sur le routeur PE3
Configurez la stratégie du vrf-import routeur PE3 pour sélectionner le point de sortie Internet en fonction des communautés supplémentaires spécifiées dans Configuration des options de stratégie sur le routeur PE1 :
[edit]
policy-options {
policy-statement vpna-export {
term a {
from protocol rip;
then {
community add vpna-comm;
accept;
}
}
term b {
then reject;
}
}
policy-statement vpna-import {
term a {
from {
protocol bgp;
community public-comm1;
route-filter 0.0.0.0/0 exact;
}
then reject;
}
term b {
from {
protocol bgp;
community vpna-comm;
}
then accept;
}
term c {
then reject;
}
}
policy-statement export-CE {
from protocol bgp;
then accept;
}
community vpna-comm members target:69:100;
community public-comm1 members target:1:111;
community public-comm2 members target:1:112;
}
Routage du trafic Internet via plusieurs routeurs CE : configuration résumée par routeur
Routeur PE1
Cette configuration est une extension de l’exemple routage du trafic Internet via un routeur Hub CE. Il fournit différents points de sortie pour différents sites à l’aide de plusieurs routeurs CE en étoile qui exécutent des fonctions similaires.
Instances de routage
routing-instances {
vpna {
instance-type vrf;
interface t3-0/2/0.0;
interface at-1/3/1.0;
route-distinguisher 10.255.14.171:100;
vrf-import vpna-import;
vrf-export vpna-export;
routing-options {
static {
route 0.0.0.0/0 next-hop 10.23.0.1;
}
}
protocols {
bgp {
group to-CE1 {
export export-default;
peer-as 63001;
neighbor 192.168.197.14;
}
}
}
}
}
Options de stratégie
policy-options {
policy-statement vpna-import {
term a {
from {
protocol bgp;
community vpna-comm;
}
then accept;
}
term b {
then reject;
}
}
policy-statement vpna-export {
term a {
from {
protocol static;
route-filter 0.0.0.0/0 exact;
}
then {
community add public-comm1;
community add vpna-comm;
accept;
}
}
term b {
from protocol bgp;
then {
community add vpna-comm;
accept;
}
}
term c {
then reject;
}
}
community public-comm1 members target:1:111;
community public-comm2 members target:1:112;
community vpna-comm members target:63000:100;
}
Routeur PE2
La configuration du routeur PE2 est identique à celle du routeur PE1, sauf que le routeur PE2 exporte le routage par défaut via la communauté public-comm2.
Routeur PE3
Instances de routage
routing-instances {
vpna {
instance-type vrf;
interface t1-0/2/0.0;
route-distinguisher 10.255.14.173:100;
vrf-import vpna-import;
vrf-export vpna-export;
protocols {
rip {
group to-vpn12 {
export export-CE;
neighbor t1-0/2/0.0;
}
}
}
}
}
Options de stratégie
policy-options {
policy-statement vpna-export {
term a {
from protocol rip;
then {
community add vpna-comm;
accept;
}
}
term b {
then reject;
}
}
policy-statement vpna-import {
term a {
from {
protocol bgp;
community public-comm1;
route-filter 0.0.0.0/0 exact;
}
then reject;
}
term b {
from {
protocol bgp;
community vpna-comm;
}
then accept;
}
term c {
then reject;
}
}
policy-statement export-CE {
from protocol bgp;
then accept;
}
community vpna-comm members target:69:100;
community public-comm1 members target:1:111;
community public-comm2 members target:1:112;
}