Instances de routage dans les VPN de couche 3
Cette rubrique traite de la configuration des instances de routage dans les VPN de couche 3
Instances de routage dans les VPN de couche 3
Une instance de routage est un ensemble de tables de routage, d’interfaces et de paramètres de protocole de routage. L’ensemble des interfaces appartient aux tables de routage, et les paramètres du protocole de routage contrôlent les informations des tables de routage. Chaque instance de routage a un nom unique et une table unicast IP correspondante.
Pour implémenter des VPN de couche 3 dans le logiciel JUNOS, vous configurez une instance de routage pour chaque VPN. Vous configurez les instances de routage sur les routeurs PE uniquement. Chaque instance de routage VPN se compose des composants suivants :
Table VRF : sur chaque routeur PE, vous configurez une table VRF pour chaque VPN.
Ensemble d’interfaces utilisant la table VRF : l’interface logique de chaque routeur CE directement connecté doit être associée à une table VRF. Vous pouvez associer plusieurs interfaces à la même table VRF si plusieurs routeurs CE d’un VPN sont directement connectés au routeur PE.
Règles de stratégie : elles contrôlent l’importation de routes et l’exportation de routes à partir de la table VRF.
Un ou plusieurs protocoles de routage qui installent les routes des routeurs CE dans la table VRF : vous pouvez utiliser les protocoles de routage BGP, OSPF et RIP et utiliser des routes statiques.
Configuration des unités logiques sur l’interface de bouclage pour les instances de routage dans les VPN de couche 3
Pour les VPN de couche 3 (instances de routage VRF), vous pouvez configurer une unité logique sur l’interface de bouclage dans chaque instance de routage VRF que vous avez configurée sur le routeur. Associer une instance de routage VRF à une unité logique sur l’interface de bouclage vous permet d’identifier facilement l’instance de routage VRF.
Cela est utile pour dépanner :
Il vous permet de ping sur un routeur CE distant à partir d’un routeur PE local dans un VPN de couche 3. Pour plus d’informations, consultez l’exemple : Dépannage des VPN de couche 3.
Il garantit qu’une unité de transmission maximale de chemin (MTU) vérifie correctement le trafic provenant d’une VRF ou d’une instance de routage de routeur virtuel. Pour plus d’informations, consultez La configuration des contrôles MTU de chemin pour les instances de routage VPN.
Vous pouvez également configurer un filtre de pare-feu pour l’unité logique sur l’interface de bouclage ; cette configuration vous permet de filtrer le trafic pour l’instance de routage VRF qui lui est associée.
Les éléments suivants décrivent comment les filtres de pare-feu affectent l’instance de routage VRF, selon qu’ils sont configurés sur l’interface de bouclage par défaut, l’instance de routage VRF ou une combinaison des deux. L'« interface de bouclage par défaut » fait référence à (associée à lo0.0 la table de routage par défaut), et l'« interface de bouclage VRF » fait référence à lo0.n, qui est configurée dans l’instance de routage VRF.
Si vous configurez le filtre A sur l’interface de bouclage par défaut et le filtre B sur l’interface de bouclage VRF, l’instance de routage VRF utilise le filtre B.
Si vous configurez le filtre A sur l’interface de bouclage par défaut, mais que vous ne configurez pas de filtre sur l’interface de bouclage VRF, l’instance de routage VRF n’utilise pas de filtre.
Si vous configurez le filtre A sur l’interface de bouclage par défaut, mais que vous ne configurez pas d’interface de bouclage VRF, l’instance de routage VRF utilise le filtre A. Pour les équipements MX80, le comportement est légèrement différent : si vous configurez des filtres sur l’interface de bouclage par défaut mais que vous ne configurez pas d’interface de bouclage VRF, l’instance de routage VRF utilise uniquement les filtres d’entrée assignés au bouclage par défaut (elle n’utilise pas de filtres de sortie du bouclage par défaut).
Pour certains routeurs métro universels ACX Series (ACX1000, ACX2000, ACX4000 et ACX5000), le filtre de bouclage par défaut doit être dans le même routage, ou le routage et le transfert virtuels (VRF), instance comme trafic entrant qu’il filtre. Autrement dit, sur ces équipements, le filtre de bouclage par défaut ne peut pas être utilisé pour le trafic traversant une interface appartenant à une instance de routage différente.
Pour configurer une unité logique sur l’interface de bouclage, incluez l’instruction unit :
unit number {
family inet {
address address;
}
}
Vous pouvez inclure cette instruction aux niveaux hiérarchiques suivants :
[edit interfaces lo0][edit logical-systems logical-system-name interfaces lo0]
Pour associer un filtre de pare-feu à l’unité logique de l’interface de bouclage, incluez l’instruction filter :
filter {
input filter-name;
}
Vous pouvez inclure cette instruction aux niveaux hiérarchiques suivants :
[edit interfaces lo0 unit unit-number family inet][edit logical-systems logical-system-name interfaces lo0 unit unit-number family inet]
Pour inclure l’interface lo0.n (où n spécifie l’unité logique) dans la configuration de l’instance de routage VRF, incluez l’instruction suivante :
interface lo0.n;
Vous pouvez inclure cette instruction aux niveaux hiérarchiques suivants :
[edit routing-instances routing-instance-name][edit logical-systems logical-system-name routing-instances routing-instance-name]
Configuration des instances de routage sur des routeurs PE dans des VPN
Vous devez configurer une instance de routage pour chaque VPN sur chacun des routeurs PE participant au VPN. Les procédures de configuration décrites dans cette section s’appliquent aux VPN de couche 2, aux VPN de couche 3 et aux VPLS. Les procédures de configuration spécifiques à chaque type de VPN sont décrites dans les sections correspondantes des autres chapitres sur la configuration.
Pour configurer les instances de routage des VPN, incluez les instructions suivantes :
description text; instance-type type; interface interface-name; route-distinguisher (as-number:number | ip-address:number); vrf-import [ policy-names ]; vrf-export [ policy-names ]; vrf-target { export community-name; import community-name; }
Vous pouvez inclure ces instructions aux niveaux hiérarchiques suivants :
[edit routing-instances routing-instance-name][edit logical-systems logical-system-name routing-instances routing-instance-name]
Pour configurer les instances de routage VPN, vous suivez les étapes décrites dans les sections suivantes :
- Configuration du nom de l’instance de routage pour un VPN
- Configuration de la description
- Configuration du type d’instance
- Configuration des interfaces pour le routage VPN
- Configuration du route distinguisher
- Configuration des distinguateurs de route automatiques
Configuration du nom de l’instance de routage pour un VPN
Le nom de l’instance de routage d’un VPN peut contenir au maximum 128 caractères et contenir des lettres, des chiffres et des traits d’union. Dans Junos OS version 9.0 et versions ultérieures, vous ne pouvez plus spécifier default comme nom d’instance de routage. Vous ne pouvez pas non plus utiliser de caractères spéciaux (! @ # $ % ^ & * , +< > : ;) au nom d’une instance de routage.
Dans Junos OS version 9.6 et versions ultérieures, vous pouvez inclure une barre oblique (/) dans un nom d’instance de routage uniquement si un système logique n’est pas configuré. Autrement dit, vous ne pouvez pas inclure le caractère de barre oblique dans le nom d’une instance de routage si un système logique autre que la barre oblique par défaut est configuré explicitement.
Indiquez le nom de l’instance de routage avec l’instruction routing-instance :
routing-instance routing-instance-name {...}
Vous pouvez inclure cette instruction aux niveaux hiérarchiques suivants :
[edit][edit logical-systems logical-system-name]
Configuration de la description
Pour fournir une description textuelle de l’instance de routage, incluez l’instruction description . Si le texte comprend un ou plusieurs espaces, les joindre entre guillemets (« »). Tout texte descriptif que vous incluez est affiché dans la sortie de la show route instance detail commande et n’a aucun effet sur le fonctionnement de l’instance de routage.
Pour configurer une description du texte, incluez l’instruction description :
description text;
Vous pouvez inclure cette instruction aux niveaux hiérarchiques suivants :
[edit routing-instances routing-instance-name][edit logical-systems logical-system-name routing-instances routing-instance-name]
Configuration du type d’instance
Le type d’instance que vous configurez varie selon que vous configurez des VPN de couche 2, des VPN de couche 3, des VPLS ou des routeurs virtuels. Indiquez le type d’instance en incluant l’instruction instance-type :
Pour activer le routage VPN de couche 2 sur un routeur PE, indiquez l’instruction
instance-typeet spécifiez la valeurl2vpn:instance-type l2vpn;
Pour activer le routage VPLS sur un routeur PE, indiquez l’instruction
instance-typeet spécifiez la valeurvpls:instance-type vpls;
Les VPN de couche 3 exigent que chaque routeur PE dispose d’une table de routage et de transfert VPN (VRF) pour distribuer les routes au sein du VPN. Pour créer la table VRF sur le routeur PE, ajoutez l’instruction
instance-typeet spécifiez la valeurvrf:instance-type vrf;
Note:L’échantillonnage basé sur le moteur de routage n’est pas pris en charge par les instances de routage VRF.
Pour activer l’instance de routage du routeur virtuel, incluez l’instruction
instance-typeet spécifiez la valeurvirtual-router:instance-type virtual-router;
Vous pouvez inclure cette instruction aux niveaux hiérarchiques suivants :
[edit routing-instances routing-instance-name][edit logical-systems logical-system-name routing-instances routing-instance-name]
Configuration des interfaces pour le routage VPN
Sur chaque routeur PE, vous devez configurer une interface sur laquelle le trafic VPN circule entre les routeurs PE et CE.
Les sections qui suivent décrivent comment configurer les interfaces pour les VPN :
- Configuration générale du routage VPN
- Configuration des interfaces pour les VPN de couche 3
- Configuration des interfaces pour les VPN opérateur-opérateur
- Configuration du protocole RPF Unicast sur les interfaces VPN
Configuration générale du routage VPN
La configuration décrite dans cette section s’applique à tous les types de VPN. Pour les VPN de couche 3 et les VPN de niveau opérateur, complétez la configuration décrite dans cette section avant de passer aux sections de configuration de l’interface spécifiques à ces sujets.
Pour configurer les interfaces de routage VPN, incluez l’instruction interface :
interface interface-name;
Vous pouvez inclure cette instruction aux niveaux hiérarchiques suivants :
[edit routing-instances routing-instance-name][edit logical-systems logical-system-name routing-instances routing-instance-name]
Indiquez les parties physiques et logiques du nom de l’interface, au format suivant :
physical.logical
Par exemple, dans at-1/2/1.2, at-1/2/1 est la partie physique du nom de l’interface et 2 est la partie logique. Si vous ne spécifiez pas la partie logique du nom de l’interface, la valeur 0 est définie par défaut.
Une interface logique ne peut être associée qu’à une seule instance de routage. Si vous activez un protocole de routage sur toutes les instances en spécifiant interfaces all lors de la configuration de l’instance [edit protocols] principale du protocole au niveau hiérarchique, et si vous configurez une interface spécifique pour le routage VPN au niveau de la [edit routing-instances routing-instance-name] hiérarchie ou au niveau de la [edit logical-systems logical-system-name routing-instances routing-instance-name] hiérarchie, cette dernière instruction d’interface prend la priorité et l’interface est utilisée exclusivement pour le VPN.
Si vous configurez explicitement le même nom d’interface au niveau de la [edit protocols] hiérarchie et au niveau de [edit logical-systems logical-system-name routing-instances routing-instance-name] la [edit routing-instances routing-instance-name] hiérarchie, une tentative de validation de la configuration échoue.
Configuration des interfaces pour les VPN de couche 3
Lorsque vous configurez les interfaces VPN de couche 3 au niveau de la [edit interfaces] hiérarchie, vous devez également configurer family inet l’interface logique :
[edit interfaces]
interface-name {
unit logical-unit-number {
family inet;
}
}
Configuration des interfaces pour les VPN opérateur-opérateur
Lorsque vous configurez des VPN carrier-of-carrier, vous devez configurer l’instruction family mpls en plus de l’instruction family inet pour les interfaces entre les routeurs PE et CE. Pour les VPN carrier-of-carrier, configurez l’interface logique comme suit :
[edit interfaces]
interface-name {
unit logical-unit-number {
family inet;
family mpls;
}
}
Si vous configurez family mpls l’interface logique, puis que vous configurez cette interface pour une instance de routage non opérateur de l’opérateur, l’instruction family mpls est automatiquement supprimée de la configuration de l’interface logique, car elle n’est pas nécessaire.
Configuration du protocole RPF Unicast sur les interfaces VPN
Pour les interfaces VPN qui transportent du trafic IP version 4 ou 6 (IPv4 ou IPv6), vous pouvez réduire l’impact des attaques par déni de service (DoS) en configurant le transfert de chemin inversé (RPF) unicast. Le protocole RPF unicast permet de déterminer la source des attaques et de rejeter les paquets provenant d’adresses source inattendues sur les interfaces où le RPF unicast est activé.
Vous pouvez configurer un RPF unicast sur une interface VPN en activant RPF unicast sur l’interface et en incluant l’instruction interface au niveau de la [edit routing-instances routing-instance-name] hiérarchie.
Vous ne pouvez pas configurer RPF unicast sur les interfaces centrales. Vous pouvez uniquement configurer un RPF unicast sur les interfaces du routeur CE vers le routeur PE sur le routeur PE. Toutefois, pour les instances de routage de routeur virtuel, le RPF unicast est pris en charge sur toutes les interfaces que vous spécifiez dans l’instance de routage.
Pour savoir comment configurer un RPF unicast sur les interfaces VPN, consultez Understanding Unicast RPF (Routers).
Configuration du route distinguisher
Chaque instance de routage que vous configurez sur un routeur PE doit être associée à un dissociateur de route unique. Les instances de routage VPN ont besoin d’un différentateur de route pour aider BGP à distinguer les messages NLRI (Informations d’accessibilité de la couche réseau) potentiellement identiques reçus de différents VPN. Si vous configurez différentes instances de routage VPN avec le même dissociateur de route, la validation échoue.
Pour les VPN de couche 2 et VPLS, si vous avez configuré l’instruction l2vpn-use-bgp-rules , vous devez configurer un dissociateur de route unique pour chaque routeur PE participant à une instance de routage spécifique.
Pour les autres types de VPN, nous vous recommandons d’utiliser un distinguer de route unique pour chaque routeur PE participant à l’instance de routage. Bien que vous puissiez utiliser le même dissociateur de route sur tous les routeurs PE pour la même instance de routage VPN (sauf pour les VPN de couche 2 et VPLS), si vous utilisez un différentateur de route unique, vous pouvez déterminer le routeur CE à partir duquel un routage a été créé dans le VPN.
Pour configurer un distinguer de route sur un routeur PE, incluez l’instruction route-distinguisher :
route-distinguisher (as-number:number | ip-address:number);
Pour obtenir la liste des niveaux hiérarchiques auxquels vous pouvez inclure cette déclaration, reportez-vous à la section résumé de cette déclaration.
Le distinctionur de route est une valeur de 6 octets que vous pouvez spécifier dans l’un des formats suivants :
as-number:number, oùas-numberse trouve un numéro de système autonome (AS) (une valeur de 2 octets) etnumberune valeur de 4 octets. Le nombre AS peut se varier entre 1 et 65 535. Nous vous recommandons d’utiliser un numéro AS non privé attribué par l’IANA (Internet Assigned Numbers Authority), de préférence le numéro AS du fournisseur d’accès Internet ou le numéro AS du client.ip-address:number, oùip-addressse trouve une adresse IP (une valeur de 4 octets) etnumbern’importe quelle valeur de 2 octets. L’adresse IP peut être n’importe quelle adresse unicast unique au monde. Nous vous recommandons d’utiliser l’adresse que vous configurez dans l’instructionrouter-id, qui est une adresse non privée dans votre plage de préfixes assignés.
Configuration des distinguateurs de route automatiques
Si vous configurez l’instruction route-distinguisher-id au niveau de la [edit routing-options] hiérarchie, un dissociateur de route est automatiquement affecté à l’instance de routage. Si vous configurez également l’instruction route-distinguisher en plus de l’instruction route-distinguisher-id , la valeur configurée pour route-distinguisher remplace la valeur générée à partir de route-distinguisher-id.
Pour attribuer automatiquement un distinctionur de route, incluez l’instruction route-distinguisher-id :
route-distinguisher-id ip-address;
Vous pouvez inclure cette instruction aux niveaux hiérarchiques suivants :
[edit routing-options][edit logical-systems logical-system-name routing-options]
Un différlecteur de route de type 1 est automatiquement affecté à l’instance de routage au format ip-address:number. L’adresse IP est spécifiée par l’instruction route-distinguisher-id et le numéro est unique pour l’instance de routage.
Configuration des instances de routage de routeur virtuel dans les VPN
Une instance de routage de routeur virtuel, comme une instance de routage VRF, gère des tables de routage et de transfert distinctes pour chaque instance. Toutefois, de nombreuses étapes de configuration requises pour les instances de routage VRF ne sont pas requises pour les instances de routage de routeur virtuel. En particulier, vous n’avez pas besoin de configurer un différentateur de route, une stratégie de table de routage (les vrf-export, vrf-importet route-distinguisher des instructions) ou MPLS entre les routeurs des fournisseurs de services.
Configurez une instance de routage de routeur virtuel en incluant les instructions suivantes :
description text; instance-type virtual-router; interface interface-name; protocols { ... }
Vous pouvez inclure ces instructions aux niveaux hiérarchiques suivants :
[edit routing-instances routing-instance-name][edit logical-systems logical-system-name routing-instances routing-instance-name]
Les sections suivantes expliquent comment configurer une instance de routage de routeur virtuel :
- Configuration d’un protocole de routage entre les routeurs des fournisseurs de services
- Configuration des interfaces logiques entre les routeurs participants
Configuration d’un protocole de routage entre les routeurs des fournisseurs de services
Les routeurs des fournisseurs de services doivent pouvoir échanger des informations de routage. Vous pouvez configurer les protocoles suivants pour la configuration de l’instruction d’instance protocols de routage de routeur virtuel au niveau de la [edit routing-instances routing-instance-name] hiérarchie :
BGP
IS-IS
LDP
OSPF
Multicast indépendant du protocole (PIM)
RIP
Vous pouvez également configurer des routes statiques.
La réflexion de route IBGP n’est pas prise en charge pour les instances de routage de routeur virtuel.
Si vous configurez LDP dans une instance de routeur virtuel, les routes LDP sont placées par défaut dans les tables de routage inet.0 et inet.3 de l’instance de routage (par exemple, sample.inet.0 et sample.inet.3). Pour limiter les routes LDP à la table inet.3 de l’instance de routage uniquement, incluez l’instruction no-forwarding :
no-forwarding;
Vous pouvez inclure cette instruction aux niveaux hiérarchiques suivants :
[edit routing-instances routing-instance-name protocols ldp][edit logical-systems logical-system-name routing-instances routing-instance-name protocols ldp]
Lorsque vous limitez les routes LDP à la seule table de routage inet.3, le routage IGP correspondant dans la table de routage inet.0 peut être redistribué et annoncé dans d’autres protocoles de routage.
Pour plus d’informations sur les tables de routage, consultez Understanding Junos OS Routing Tables.
Configuration des interfaces logiques entre les routeurs participants
Vous devez configurer une interface pour chaque routeur client participant à l’instance de routage et pour chaque routeur P participant à l’instance de routage. Chaque instance de routage de routeur virtuel nécessite ses propres interfaces logiques distinctes pour tous les routeurs P participant à l’instance. Pour configurer des interfaces pour les instances de routeur virtuel, incluez l’instruction interface :
interface interface-name;
Vous pouvez inclure cette instruction aux niveaux hiérarchiques suivants :
[edit routing-instances routing-instance-name][edit logical-systems logical-system-name routing-instances routing-instance-name]
Indiquez les parties physiques et logiques du nom de l’interface, au format suivant :
physical.logical
Par exemple, dans at-1/2/1.2, at-1/2/1 est la partie physique du nom de l’interface et 2 est la partie logique. Si vous ne spécifiez pas la partie logique du nom de l’interface, 0 elle est définie par défaut.
Vous devez également configurer les interfaces au niveau de la [edit interfaces] hiérarchie.
L’une des méthodes permettant de fournir cette interface logique entre les routeurs du fournisseur consiste à configurer des tunnels entre eux. Vous pouvez configurer des tunnels IP Security (IPsec), GRE (Generic Routing Encapsulation) ou IP-IP entre les routeurs du fournisseur, mettant fin aux tunnels à l’instance du routeur virtuel.
Pour plus d’informations sur la configuration des tunnels et des interfaces, consultez la bibliothèque d’interfaces de services Junos OS pour les équipements de routage.
Configuration des vérifications MTU du chemin pour les instances de routage VPN
Par défaut, l’unité de transmission maximale (MTU) vérifie que les instances de routage VPN sont désactivées sur les routeurs de la gamme M Series (à l’exception du routeur M320) et activées pour le routeur M320. Sur les routeurs M Series, vous pouvez configurer les contrôles MTU de chemin sur les interfaces sortantes pour le trafic unicast roué sur les instances de routage VRF et sur les instances de routage de routeur virtuel.
Lorsque vous activez un contrôle MTU, la plate-forme de routage envoie un message ICMP (Internet Control Message Protocol) lorsqu’un paquet traversant l’instance de routage dépasse la taille MTU et possède le do-not-fragment jeu de bits. Le message ICMP utilise l’adresse locale VRF comme adresse source.
Pour qu’un contrôle MTU fonctionne dans une instance de routage, vous devez tous deux inclure l’instruction vrf-mtu-check au niveau de la [edit chassis] hiérarchie et attribuer au moins une interface contenant une adresse IP à l’instance de routage.
Pour plus d’informations sur la vérification du chemin MTU, consultez la bibliothèque d’administration Junos OS pour les équipements de routage.
Pour configurer les vérifications MTU de chemin, procédez aux tâches décrites dans les sections suivantes :
- Activation des contrôles MTU de chemin pour une instance de routage VPN
- Attribution d’une adresse IP à l’instance de routage VPN
Activation des contrôles MTU de chemin pour une instance de routage VPN
Pour activer les vérifications de chemin sur l’interface sortante pour le trafic unicast roué sur une instance de routage VRF ou de routeur virtuel, incluez l’instruction vrf-mtu-check au niveau de la [edit chassis] hiérarchie :
[edit chassis] vrf-mtu-check;
Attribution d’une adresse IP à l’instance de routage VPN
Pour vérifier que le chemin MTU fonctionne correctement, au moins une adresse IP doit être associée à chaque instance de routage VRF ou de routeur virtuel. Si aucune adresse IP n’est associée à l’instance de routage, les messages de réponse ICMP ne peuvent pas être envoyés.
En règle générale, l’adresse IP de l’instance de routage VRF ou de routeur virtuel est tirée des adresses IP associées aux interfaces configurées pour cette instance de routage. Si aucune des interfaces associées à une instance de routage VRF ou de routeur virtuel n’est configurée avec une adresse IP, vous devez configurer explicitement une interface de bouclage logique avec une adresse IP. Cette interface doit alors être associée à l’instance de routage. Pour plus de détails, reportez-vous à la section Configuration des unités logiques sur l’interface de bouclage pour les instances de routage dans les VPN de couche 3 .