Aperçu
Types de VPN
Un réseau privé virtuel (VPN) se compose de deux domaines topologiques: le réseau du fournisseur et le réseau du client. Le réseau du client est généralement situé sur plusieurs sites physiques et privé (non Internet). En règle générale, un site se compose d’un groupe de routeurs ou d’autres équipements réseau situés à un seul emplacement physique. Le réseau du fournisseur, qui s’exécute sur l’infrastructure Internet publique, se compose de routeurs qui fournissent des services VPN au réseau d’un client ainsi que de routeurs qui fournissent d’autres services. Le réseau du fournisseur connecte les différents sites clients dans ce qui semble être un réseau privé.
Pour s’assurer que les VPN demeurent privés et isolés des autres VPN et de l’Internet public, le réseau du fournisseur maintient des stratégies qui séparent les informations de routage des autres VPN. Un fournisseur peut prendre en charge plusieurs VPN tant que ses stratégies séparent les routes de différents réseaux VPN. De même, un site d’un client peut appartenir à plusieurs VPN aussi longtemps qu’il sépare les routes des différents réseaux VPN.
Le système d® d’exploitation Junos (Junos OS) fournit plusieurs types de VPN ; vous pouvez choisir la meilleure solution pour votre environnement réseau. Chacun des VPN suivants présente des capacités différentes et nécessite différents types de configuration:
VPN de couche 2
Implémenter un VPN de couche 2 sur un routeur s’apparente à l’implémentation d’un VPN à l’aide d’une technologie de couche 2 comme ATM ou relais de trames. Toutefois, pour un VPN de couche 2 sur un routeur, le trafic est transmis au routeur au format L2. Il est transporté par MPLS sur le réseau du fournisseur de services, puis converti en format L2 au site de réception. Vous pouvez configurer différents formats de couche 2 sur les sites d’envoi et de réception. La sécurité et la confidentialité d’MPLS VPN de couche 2 sont égales à celles d’un ATM ou d’un VPN de relais de trames.
Sur un VPN de couche 2, le routage est possible sur les routeurs du client, généralement sur CE réseau. Le CE connecté à un fournisseur de services sur un VPN de couche 2 doit sélectionner le circuit sur lequel envoyer le trafic. Le routeur PE qui reçoit le trafic l’envoie sur le réseau du fournisseur de services au routeur PE connecté au site de réception. Les routeurs PE n’ont pas besoin de stocker ou de traiter les routes du client ; il suffit de les configurer pour envoyer les données dans le tunnel approprié.
Pour un VPN de couche 2, les clients doivent configurer leurs propres routeurs pour transporter tout le trafic de couche 3. Le fournisseur de services doit savoir uniquement le trafic que le VPN de couche 2 doit transporter. Les routeurs du fournisseur de services transportent le trafic entre les sites du client à l’aide d’interfaces VPN de couche 2. La topologie VPN est déterminée par des stratégies configurées sur les routeurs PE.
VPN de couche 3
Dans un VPN de couche 3, le routage est fait sur les routeurs du fournisseur de services. Par conséquent, les VPN de couche 3 nécessitent une configuration plus particulière de la part du fournisseur de services, car les routeurs PE du fournisseur de services doivent stocker et traiter les routes du client.
Dans le Junos OS, les VPN de couche 3 sont basés sur RFC 4364, BGP/MPLS IP Virtual Private Networks (VPN). Ce RFC définit un mécanisme permettant aux fournisseurs de services d’utiliser leurs dorsales IP pour fournir des services VPN de couche 3 à leurs clients. Les sites qui constituent un VPN de couche 3 sont connectés via la dorsale Internet publique existante d’un fournisseur.
Les VPN basés sur la RFC 4364 sont également connus sous le nom de VPN BGP/MPLS parce que la BGP est utilisée pour distribuer les informations de routage VPN sur l’ensemble de la dorsale du fournisseur et que la MPLS est utilisée pour faire passer le trafic VPN sur l’ensemble de la dorsale vers les sites VPN distants.
Parce qu’ils sont privés, les réseaux des clients peuvent utiliser soit des adresses publiques, soit des adresses privées,telles que définies dans le RFC 1918, Address Allocation for Private Internets . Lorsque les réseaux clients qui utilisent des adresses privées se connectent à l’infrastructure Internet publique, ces adresses se chevauchent souvent avec les adresses privées utilisées par les autres utilisateurs du réseau. les VPN BGP/MPLS résolvent ce problème en préfixe un identifiant VPN à chaque adresse d’un site VPN particulier, créant ainsi une adresse unique à la fois au sein du VPN et sur l’Internet public. En outre, chaque VPN dispose de sa propre table de routage spécifique au VPN, qui contient uniquement les informations de routage pour ce VPN.
VPLS (VPLS)
Le service de réseau lan privé virtuel (VPLS) vous permet de connecter des sites clients géographiquement dispersés comme s’ils étaient connectés au même RÉSEAU. À bien des égards, cela fonctionne comme un VPN de couche 2. Les VPLS et les VPN de couche 2 utilisent la même topologie de réseau et fonctionnent de la même manière. Un paquet originaire du réseau d’un client est envoyé d’abord à CE périphérique mobile. Il est ensuite envoyé à un routeur PE sur le réseau du fournisseur de services. Le paquet traverse le réseau du fournisseur de services sur un MPLS LSP. Il arrive au routeur PE de sortie, qui route le trafic vers CE au site du client de destination.
La principale différence entre VPLS est que les paquets peuvent traverser le réseau du fournisseur de services de manière point à multipoint, ce qui signifie qu’un paquet provenant d’un équipement CE peut être diffusé sur les routeurs PE du VPLS. En revanche, un VPN de couche 2 ne fait avancer les paquets que de façon point à point. La destination d’un paquet reçu d’un CE par un routeur PE doit être connue pour que le VPN de couche 2 fonctionne correctement.
Dans un réseau de couche 3 uniquement, vous pouvez configurer un service de réseau local privé virtuel (VPLS) afin de connecter entre eux des réseaux Locaux (LAN) Ethernet géographiquement dispersés entre eux sur une MPLS dorsale. Pour les clients ISP qui implémentent des services VPLS, tous les sites semblent se trouver sur le même réseau LAN Ethernet même si le trafic circule sur le réseau du fournisseur de services. VPLS est conçu pour transporter le trafic Ethernet sur un réseau MPLS fournisseur de services. De certaines façons, VPLS imite le comportement d’un réseau Ethernet. Lorsqu’un routeur PE configuré avec une instance de routage VPLS reçoit un paquet d’un équipement CE, il vérifie d’abord la table de routage appropriée pour la destination du paquet VPLS. Si le routeur a été à destination, il le route vers le routeur PE approprié. Si elle n’a pas la destination, elle diffuse le paquet vers tous les autres routeurs PE membres de la même instance de routage VPLS. Les routeurs PE ont avancé le paquet vers CE périphériques mobiles. L CE qui est le destinataire du paquet le permet de le faire avancer vers sa destination finale. Les autres équipements CE l’écarter.
Instances de routage de routeur virtuel
Une instance de routage de routeur virtuel, telle qu’une instance de routage et de routage de routage et de routage VPN (VRF), tient à jour des tables de routage et de routage séparées pour chaque instance. Toutefois, de nombreuses étapes de configuration requises pour les instances de routage VRF ne sont pas requises pour les instances de routage de routeur virtuel. En particulier, il n’est pas nécessaire de configurer un distinguisher de route, une stratégie de table de routage (les , et les instructions) ou MPLS entre vrf-export vrf-import les route-distinguisher routeurs P.
Cependant, vous devez configurer des interfaces logiques distinctes entre chaque routeur de fournisseur de services participant à une instance de routage de routeur virtuel. Vous devez également configurer des interfaces logiques distinctes entre les routeurs du fournisseur de services et les routeurs clients participant à chaque instance de routage. Chaque instance de routeur virtuel nécessite son propre ensemble d’interfaces logiques pour tous les routeurs participants.
La Figure 1 illustre comment cela fonctionne. Les routeurs G et H du fournisseur de services sont configurés pour les instances de routage de routeur virtuel rouge et vert. Chaque routeur du fournisseur de services est directement connecté à deux routeurs clients locaux, un dans chaque instance de routage. Les routeurs du fournisseur de services sont également connectés entre eux sur le réseau du fournisseur de services. Ces routeurs ont besoin de quatre interfaces logiques: une interface logique pour chacun des routeurs clients connectés localement et une interface logique pour transporter le trafic entre les deux routeurs de fournisseur de services pour chaque instance de routeur virtuel.
Les VPN de couche 3 n’ont pas cette configuration requise. Si vous configurez plusieurs instances de routage VPN de couche 3 sur un routeur PE, toutes les instances peuvent utiliser la même interface logique pour atteindre un autre routeur PE. Cela est possible grâce au fait que les VPN de couche 3 utilisent MPLS étiquettes VPN qui différencient le trafic aller vers et depuis diverses instances de routage. Sans MPLS et vpn, comme dans une instance de routage de routeur virtuel, vous avez besoin d’interfaces logiques séparées pour séparer le trafic de différentes instances.
L’une des méthodes permettant de fournir cette interface logique entre les routeurs des fournisseurs de services consiste à configurer des tunnels entre eux. Vous pouvez configurer la sécurité IP (IPsec), l’encapsulation de routage générique (GRE) ou des tunnels IP-IP entre les routeurs du fournisseur de services, terminant les tunnels au niveau de l’instance du routeur virtuel.
VPN et systèmes logiques
Vous pouvez partitionner un seul routeur physique en plusieurs systèmes logiques qui exécutent des tâches de routage indépendantes. Parce que les systèmes logiques réalisent un sous-ensemble des tâches autrefois gérées par le routeur physique, les systèmes logiques offrent un moyen efficace de maximiser l’utilisation d’une plate-forme de routage unique.
Les systèmes logiques exécutent un sous-ensemble des actions d’un routeur physique et ont leurs propres tables de routage, interfaces, stratégies et instances de routage uniques. Un ensemble de systèmes logiques au sein d’un même routeur peut gérer les fonctions précédemment exécutées par plusieurs petits routeurs.
Les systèmes logiques sont en charge les VPN de couche 2, les VPN de couche 3, les VPLS et les circuits de couche 2. Pour plus d’informations sur les systèmes logiques, consultez le Guide de l’utilisateur des systèmes logiques pour les routeurs et les commutateurs.
Depuis Junos OS version 17.4R1, la prise en charge des VPN Ethernet (EVPN) a également été étendue aux systèmes logiques s’exécutant sur les équipements MX. Les mêmes options et performances EVPN sont disponibles et peuvent être configurées sous la [edit logical-systems logical-system-name routing-instances routing-instance-name protocols evpn] hiérarchie.
Comprendre les VPN de couche 3
Les réseaux privés virtuels (VPN) sont des réseaux privés qui utilisent un réseau public pour connecter deux sites distants ou plus. Au lieu de connexions dédiées entre réseaux, les VPN utilisent des connexions virtuelles acheminées (par tunnel) par des réseaux publics qui sont généralement des réseaux de fournisseurs de services.
Le VPN de couche 3 fonctionne au niveau de la couche 3 du modèle OSI, la couche réseau. Un VPN de couche 3 se compose d’un ensemble de sites clients connectés via la dorsale Internet publique existante d’un fournisseur de services. Un modèle pair à pair est utilisé pour se connecter aux sites des clients, où les fournisseurs de services apprennent les routes des clients en peering avec les clients. Les informations de routage courantes sont partagées sur l’ensemble de la dorsale du fournisseur à l’aide de BGP multiprotocoles, et le trafic VPN est transmis aux sites clients à l’aide de MPLS.
Junos OS prend en charge les VPN de couche 3 basés sur RFC 4364. Le RFC décrit les VPN utilisant des tunnels MPLS pour la connectivité, des BGP pour distribuer les informations d’accessibilité et une dorsale IP pour le transport. Les fournisseurs de services utilisent leurs dorsales IP pour relier un ensemble de sites clients appartenant au même VPN.
Composants d’un VPN de couche 3
Il existe trois types principaux MPLS VPN de couche 2: VPN de couche 2, circuits de couche 2 et VPN de couche 3. Tous les types de MPLS VPN partagent certains composants:
CE périphériques: équipements de périphérie client (CE) sur le site du client qui se connectent au réseau du fournisseur. Certains modèles appellent ces équipements CPE (Customer Premises Equipment).
Réseau client: sites clients avec CE qui appartiennent au VPN.
Réseau de fournisseur: le réseau dorsale du fournisseur de services qui exécute le MPLS dorsale.
Équipements P: équipements de fournisseur (P) au cœur du réseau du fournisseur. Les équipements du fournisseur ne sont pas connectés à un équipement sur le site du client et font partie du tunnel entre paires d’équipements PE. Les équipements du fournisseur supportent la fonctionnalité de chemin de commuté d’étiquettes (LSP) dans le cadre du tunnel, mais ne sont pas pris en charge la fonctionnalité VPN.
Équipements PE: équipements de périphérie fournisseur (PE) d’un réseau central de fournisseur de services qui se connectent directement à CE sur le site du client.
MP-BGP— Les équipements PE utilisent des BGP mp-BGP pour distribuer les routes des clients vers les équipements PE appropriés sur l’MPLS dorsale.
Terminologie sur les VPN de couche 3
Les VPN utilisent un terme distinct pour identifier les composants du réseau:
Table de routage IP (également appelée table de routage globale) — Cette table contient des routes pour fournisseurs de services non incluses dans une VRF. Les équipements du fournisseur ont besoin de cette table pour être en mesure de se toucher, tandis que la table VRF est nécessaire pour atteindre tous les équipements clients sur un VPN particulier. Par exemple, un routeur PE avec interface A vers un routeur CE et une interface B vers un routeur P de cœur de réseau place les adresses Interface A dans la VRF et les adresses Interface B dans la table de routage IP globale.
Route Distinguisher: une valeur de 64 bits pré-dépendant d’une adresse IP. Cette balise unique permet d’identifier les routes des différents clients lorsque les paquets circulent dans le même tunnel du fournisseur de services.
Étant donné qu’un réseau de transit typique est configuré pour gérer plusieurs VPN, les routeurs du fournisseur sont susceptibles de configurer plusieurs instances VRF. En conséquence, en fonction de l’origine du trafic et des règles de filtrage appliquées au trafic, les tables de routage BGP peuvent contenir plusieurs routes pour une adresse de destination spécifique. Étant donné que BGP exige exactement un routeur BGP par destination pour être importé dans la table de communication, BGP doit trouver un moyen de distinguer les messages potentiellement identiques d’informations d’accessibilité de couche réseau (NLRI) reçus de différents VPN.
Un distinguisher de route est un numéro unique localement unique qui identifie toutes les informations de route pour un VPN particulier. Les identifiants numériques uniques permettent BGP distinguer les routes identiques.
Chaque instance de routage que vous configurez sur un routeur PE doit être chacune chacune distinguée par un routeur unique. Deux formats possibles:
as-number:number—Où se trouve un chiffre de système (AS) (valeur de 2 à 65 535) d’une portée de 1 à as-number 65 535, d’une valeur de 4 ans number environ. Nous vous recommandons d’utiliser un AS de Internet Assigned Numbers Authority (IANA), de préférence le AS client.
ip-address:number—Où se trouve une adresse IP (valeur de 4 à 400 milliards d’euros) et une valeur de ip-address number 2 to/s. L’adresse IP peut être n’importe quelle adresse unicast unique à l’échelle mondiale. Nous vous recommandons d’utiliser l’adresse que vous configurez dans l’instruction d’id du routeur, qui est une adresse IP publique dans votre plage de préfixes assignés.
Route Target (RT): valeur de 64 bits utilisée pour identifier le dernier équipement PE de sortie pour les routes clients dans une VRF spécifique, afin de permettre un partage complexe des routes. La cible de route définit quel route fait partie d’un VPN. Une cible de route unique permet de distinguer différents services VPN sur le même routeur. Chaque VPN dispose également d’une stratégie qui définit la façon dont les routes sont importés dans la table VRF du routeur. Un VPN de couche 2 est configuré avec les stratégies d’importation et d’exportation. Un VPN de couche 3 utilise une cible de routes unique pour distinguer les routes VPN. Par exemple, la fonction RT permet le partage de routes dans un réseau de services partagés à plusieurs clients. Chaque route VPN peut prendre en compte un ou plusieurs RT. Un équipement PE gère les RT comme des valeurs BGP et utilise ces derniers pour installer les routes des clients.
Routes VPN-IPv4: route constituée d’une séquence de 96 bits composée d’une balise RD 64 bits, dépendant d’une adresse IPv4 de 32 bits. Les équipements PE exportent les routes VPN-IPv4 dans des sessions IBGP vers les autres équipements du fournisseur. Ces routes sont échangées sur l’MPLS dorsale à l’aide d’iBGP. Lorsque l’équipement PE sortant reçoit le routeur, il désconnecte l’ident rapporteur de route et en fait la publicité pour la route vers les équipements CE connectés, généralement via des messages de BGP de route IPv4 standard.
VRF— La table VRF (Virtual Routing and Forwarding) distingue les routes pour différents clients, ainsi que les routes clients à partir des routes fournisseur sur l’équipement PE. Ces routes peuvent comprendre un chevauchement des espaces d’adresses réseau privés, des routes publiques spécifiques au client et des routes fournisseur sur un équipement PE utile au client.
Une instance VRF se compose d’une ou de plusieurs tables de routage, d’une table de forwarding dérivée, des interfaces qui utilisent la table de routage, ainsi que des stratégies et des protocoles de routage qui déterminent ce qui va dans la table de routage. Chaque instance étant configurée pour un VPN particulier, chaque VPN dispose de tables, règles et stratégies distinctes qui contrôlent son fonctionnement.
Une table VRF distincte est créée pour chaque VPN qui dispose d’une connexion à CE routeur virtuel. Le tableau vrF est rempli de routes reçues depuis des sites CE directement connectés, associés à l’instance VRF, et avec les routes reçues depuis d’autres routeurs PE du même VPN.
Architecture VPN de couche 3
Un VPN de couche 3 relie les routeurs de périphérie des clients (CE) aux routeurs en périphérie du réseau du fournisseur de services (routeurs PE). Un VPN de couche 3 utilise un modèle de routage pair entre les routeurs PE locaux CE qui se connectent directement. C’est-à-dire sans que plusieurs sauts ne soit nécessaires sur la dorsale du fournisseur pour connecter les paires de routeurs PE CE routeurs. Les routeurs PE distribuent les informations de routage à tous les routeurs CE appartenant au même VPN, en se basant sur l’identier de routage BGP, en local et sur l’ensemble du réseau du fournisseur. Chaque VPN dispose de sa propre table de routage pour ce VPN, coordonnée avec les tables de routage du CE et des routeurs pairs PE. Les routeurs CE et PE ont différentes tables VRF. Chaque routeur CE ne dispose que d’une seule table VRF, car les autres VPN sont invisibles pour le réseau CE. Un routeur PE peut se connecter à plusieurs routeurs CE. Ainsi, il possède une table générale de routage IP et une table VRF pour chaque CE connexion avec un VPN.
La Figure 2 illustre l’architecture générale d’un VPN de couche 3.
Le routeur PE sait quelle table VRF utiliser pour les paquets provenant de sites VPN distants, car chaque table VRF possède un ou plusieurs attributs de communauté étendus associés aux accès. Les attributs de la communauté identifient la route comme appartenant à un ensemble spécifique de routeurs. L’attribut de communauté cible de route identifie un ensemble de sites (plus précisément, la collecte de leurs tables VRF) à laquelle un routeur PE distribue des routes. Le routeur PE utilise la cible de route pour importer les routes VPN distantes correctes dans ses tables VRF.
L’importation et l’exportation de routes VPN entre sites VPN ne sont pas automatiques. Ce processus est contrôlé par les polices de routage BPG. Les stratégies de routage établissent les règles d’échange des informations de routage sur l’ensemble du réseau MPLS du fournisseur de services et doivent être configurées et maintenues correctement lorsque la topologie du réseau change.
Le routeur PE classe les routes IPv4 annoncées par un routeur peer CE et reçues par le routeur PE comme routes VPN-IPv4. Lorsqu’un routeur PE d’entrée reçoit des routes annoncées par un routeur CE peer CE directement connecté, le routeur PE d’entrée vérifie la route reçue par rapport à la stratégie d’exportation VRF de ce VPN. C’est-à-dire que le routeur PE d’entrée choisit les routeurs PE distants à connaître les routes annoncées. Il s’agit d’un processus en deux étapes:
Si la stratégie d’exportation établie accepte le routeur, le routeur PE convertit les informations au format VPN-IPv4 en ajoutant l’identi entre les routeurs à l’adresse IPv4. Le routeur PE annonce ensuite la route VPN-IPv4 vers les routeurs PE distants. La stratégie de cible d’exportation configurée du tableau VRF détermine la valeur de la cible de route jointe. Les sessions IBGP distribuent les routes VNP-IPv4 sur le réseau central du fournisseur de services.
Si la politique d’exportation établie n’accepte pas le routeur, le routeur PE n’exporte pas la route vers d’autres routeurs PE, mais le routeur PE utilise le routeur localement. Cela se produit, par exemple, lorsque deux routeurs CE d’un même VPN se connectent directement au même routeur PE afin que le trafic général puisse circuler d’un site CE à un autre.
Lorsqu’un routeur PE de sortie de l’autre côté du réseau du fournisseur de services reçoit un routeur, le routeur PE de sortie contrôle le routeur par rapport à la stratégie d’importation IBGP en place entre les routeurs PE. Si le routeur PE de sortie accepte la route, alors le routeur PE de sortie ajoute la route à la table de routage bgp.l3vpn.0. Le routeur contrôle également la route par rapport à la stratégie d’importation VRF pour VPN. Si la route est acceptée, le routeur PE de sortie retire l’éminent routeur et place le routeur dans la table VRF correcte. Les tables VRF utilisent la convention de nom de routage-instance-nom.inet.0. Ainsi, le « VPN A » configure généralement la table en tant que vpna.inet.0).
Normes VPN de couche 3 pris en charge
Junos OS prend en charge les RFC suivantes, qui définissent des normes pour les réseaux privés virtuels (VPN) de couche 3.
RFC 2283 Extensions multiprotocoles pour BGP-4
RFC 2685, Identifiant des réseaux privés virtuels
RFC 2858 Extensions multiprotocoles pour BGP-4
RFC 4364, BGP/MPLS RÉSEAUX privés virtuels IP (VPN)
RFC 4379: détection des défaillances du plan de données à commutation d’étiquettes multi-protocoles (MPLS)
La fonctionnalité de traceroute est prise en charge uniquement sur les routeurs de transit.
RFC 4576, Using a Link State Advertisement (LSA) Options Bit pour empêcher le looping dans BGP/MPLS IP Virtual Private Networks (VPN)
RFC 4577, OSPF en tant que protocole fournisseur/client de périphérie pour les BGP/MPLS IP des réseaux privés virtuels (VPN) IP
RFC 4659, extension BGP-MPLS VPN IP pour VPN IPv6
RFC 4684, Distribution de routes contrainte pour les réseaux privés virtuels (BORDER GATEWAY PROTOCOL/multiprotocole) (BGP/MPLS) Internet Protocol (IP) Réseaux privés virtuels (VPN)
Les RFC suivantes ne définissent pas de norme, mais fournissent des informations sur la technologie des VPN de couche 3. Le IETF les classe comme « Meilleures pratiques actuelles » ou « Informations ».
RFC 1918, Allocation d’adresses pour les Internets privés
RFC 2917, architecture VPN IP MPLS cœur
Voir également
Comprendre le forwarding VPN de couche 3 via le cœur
Les routeurs PE du réseau central du fournisseur sont les seuls à être configurés pour prendre en charge les VPN et sont donc les seuls à avoir des informations sur les VPN. Du point de vue de la fonctionnalité VPN, les routeurs du fournisseur (P) du réseau central (les routeurs P qui ne sont pas directement connectés aux routeurs CE) ne sont que des routeurs le long du tunnel entre les routeurs PE d’entrée et de sortie.
Les tunnels peuvent être LDP ou MPLS. Tous les routeurs P le long du tunnel doivent prendre en charge le protocole utilisé pour le tunnel, LDP ou MPLS.
Lorsque le passation de routeur PE-routeur vers PE est tunnelisés sur des chemins de commutation d’étiquettes (LSP) de MPLS, les paquets MPLS sont empilés sur une pile d’étiquettes à deux niveaux (voir Figure 3):
Étiquette extérieure: étiquette attribuée à l’adresse du BGP saut suivant par IGP saut suivant
Étiquette intérieure: étiquettez que le BGP saut suivant a été attribué à l’adresse de destination du paquet
PE
La figure 4 illustre la façon dont les labels sont attribués et retirés:
Lorsque CE Routeur X fait avancer un paquet vers le routeur PE1 en direction de la destination du routeur CE Y, le routeur PE identifie le saut suivant vers le routeur Y du BGP et attribue un label correspondant au saut suivant du BGP et identifie le routeur CE de destination. C’est le label interne.
Le routeur PE1 identifie ensuite la route IGP au saut suivant du BGP et attribue un deuxième label qui correspond au LSP du saut suivant BGP saut suivant. C’est le label extérieur.
Le label intérieur reste le même lorsque le paquet traverse le tunnel LSP. Le label extérieur est permuté au niveau de chaque saut le long du LSP, puis sur le routeur de l’avant-dernier saut (le troisième routeur P).
Le routeur PE2 fait apparaître le label interne du routeur et le routeur Y.
Compréhension des attributs des VPN de couche 3
La distribution de route au sein d’un VPN est contrôlée BGP des attributs de communauté étendus. Le RFC 4364 définit les trois attributs suivants utilisés par les VPN:
VPN cible: identifie un ensemble de sites au sein d’un RÉSEAU VPN vers lequel un routeur de périphérie fournisseur (PE) distribue des routes. Cet attribut s’appelle également la cible de route. La cible de route est utilisée par le routeur PE de sortie pour déterminer si une route reçue est destinée à un VPN que les services du routeur.
La figure 5 illustre la fonction de la cible de route. Le routeur PE PE1 ajoute la cible de routes « VPN B » aux routes reçues depuis le routeur de périphérie du client (CE) au site 1 du VPN B. Lorsqu’il reçoit le routeur, le routeur de sortie PE2 examine la cible du routeur, détermine que la route est celle d’un VPN qu’il services et accepte le routeur. Lorsque le routeur de sortie PE3 reçoit le même route, il n’accepte pas le routeur car il n’utilise aucun routeur de CE VPN B.
VPN d’origine: identifie un ensemble de sites et la route correspondante comme provenant de l’un des sites de cet ensemble.
Site d’origine: identifie de façon unique l’ensemble de routes qu’un routeur PE a appris à partir d’un site particulier. Cet attribut garantit qu’un chemin appris à partir d’un site particulier via une connexion PE-CE particulière ne peut pas être distribué vers le site via une autre connexion PE-CE. Il est particulièrement utile si vous utilisez BGP comme protocole de routage entre les routeurs PE et CE et si différents sites du VPN se sont vus attribuer le même numéro de système autonome (AS).
Routeurs dans un VPN
La Figure 6 illustre la manière dont la fonctionnalité VPN est fournie par les routeurs de périphérie du fournisseur (PE) ; les routeurs fournisseur et de périphérie client (CE) ne sont pas spécialement adaptés aux VPN.
Introduction à la configuration des VPN de couche 3
Pour configurer la fonctionnalité de réseau privé virtuel (VPN) de couche 3, vous devez activer la prise en charge VPN sur le routeur de périphérie du fournisseur (PE). Vous devez également configurer tous les routeurs de fournisseur (P) au service du VPN, et vous devez configurer les routeurs de périphérie du client (CE) afin que leurs routes soient distribuées dans le VPN.
Pour configurer les VPN de couche 3, vous avez les instructions suivantes:
description text; instance-type vrf; interface interface-name; protocols { bgp { group group-name { peer-as as-number; neighbor ip-address; } multihop ttl-value; } (ospf | ospf3) { area area { interface interface-name; } domain-id domain-id; domain-vpn-tag number; sham-link { local address; } sham-link-remote address <metric number>; } rip { rip-configuration; } } route-distinguisher (as-number:id | ip-address:id); router-id address; routing-options { autonomous-system autonomous-system { independent-domain; loops number; } forwarding-table { export [ policy-names ]; } interface-routes { rib-group group-name; } martians { destination-prefix match-type <allow>; } maximum-paths { path-limit; log-interval interval; log-only; threshold percentage; } maximum-prefixes { prefix-limit; log-interval interval; log-only; threshold percentage; } multipath { vpn-unequal-cost; } options { syslog (level level | upto level); } rib routing-table-name { martians { destination-prefix match-type <allow>; } multipath { vpn-unequal-cost; } static { defaults { static-options; } route destination-prefix { next-hop [next-hops]; static-options; } } } } static { defaults { static-options; } route destination-prefix { policy [ policy-names ]; static-options; } } vrf-advertise-selective { family { inet-mvpn; inet6-mvpn; } } vrf-export [ policy-names ]; vrf-import [ policy-names ]; vrf-target (community | export community-name | import community-name); vrf-table-label;
Vous pouvez inclure ces instructions aux niveaux hiérarchiques suivants:
[edit routing-instances routing-instance-name][edit logical-systems logical-system-name routing-instances routing-instance-name]
Le [edit logical-systems] niveau de hiérarchie n’est pas applicable ACX Series routeurs.
Le , et les déclarations ne sont pas applicables dans ACX Series sham-link sham-link-remote vrf-advertise-selective routeurs.
Pour les VPN de couche 3, seules certaines des instructions de la hiérarchie [edit routing-instances] sont valides. Pour obtenir la hiérarchie complète, consultez la bibliothèque Junos OS Routing Protocols Library.
Outre ces instructions, vous devez activer un protocole de signalisation, des sessions IBGP entre les routeurs PE et un protocole de passerelle intérieure (IGP) sur les routeurs PE et P.
Par défaut, les VPN de couche 3 sont désactivés.
La plupart des procédures de configuration des VPN de couche 3 sont communes à tous les types de VPN.