Instances de routage dans les VPN de couche 3
Cette rubrique traite de la configuration des instances de routage dans les VPN de couche 3
Instances de routage dans les VPN de couche 3
Une instance de routage est un ensemble de tables de routage, d’interfaces et de paramètres de protocole de routage. L’ensemble d’interfaces appartient aux tables de routage et les paramètres du protocole de routage contrôlent les informations contenues dans les tables de routage. Chaque instance de routage a un nom unique et une table unicast IP correspondante.
Pour implémenter des VPN de couche 3 dans le logiciel JUNOS, vous devez configurer une instance de routage pour chaque VPN. Vous configurez les instances de routage sur les routeurs PE uniquement. Chaque instance de routage VPN se compose des composants suivants :
Table VRF : sur chaque routeur PE, vous configurez une table VRF pour chaque VPN.
Set of interfaces that use the VRF table : l’interface logique de chaque routeur CE directement connecté doit être associée à une table VRF. Vous pouvez associer plusieurs interfaces à la même table VRF si plusieurs routeurs CE d’un VPN sont directement connectés au routeur PE.
Règles de stratégie : elles contrôlent l’importation et l’exportation d’itinéraires à partir de la table VRF.
Un ou plusieurs protocoles de routage qui installent les routes des routeurs CE dans la table VRF : vous pouvez utiliser les protocoles de routage BGP, OSPF et RIP, ainsi que les routes statiques.
Configuration des unités logiques sur l’interface de bouclage pour les instances de routage dans les VPN de couche 3
Pour les VPN de couche 3 (instances de routage VRF), vous pouvez configurer une unité logique sur l’interface de bouclage dans chaque instance de routage VRF que vous avez configurée sur le routeur. L’association d’une instance de routage VRF à une unité logique sur l’interface de bouclage vous permet d’identifier facilement l’instance de routage VRF.
Ceci est utile pour le dépannage :
-
Il vous permet d’envoyer une requête ping à un routeur CE distant à partir d’un routeur PE local dans un VPN de couche 3. Pour plus d’informations, consultez Exemple : Dépannage des VPN de couche 3.
-
Il garantit le bon fonctionnement d’une vérification MTU (Path Maximum Transmission Unit) du trafic provenant d’une instance de routage VRF ou de routeur virtuel. Pour plus d’informations, consultez Configuration des vérifications MTU du chemin pour les instances de routage VPN.
Vous pouvez également configurer un filtre de pare-feu pour l’unité logique sur l’interface de bouclage ; cette configuration vous permet de filtrer le trafic pour l’instance de routage VRF qui lui est associée.
Sur les commutateurs EX Series (à l’exception des commutateurs EX9200 Series) et les commutateurs QFX5000 Series, le filtrage de bouclage par VRF n’est pas pris en charge. Même si nous configurons des filtres différents pour chaque IFL lors du bouclage, ils s’appliquent à l’interface de bouclage dans son ensemble et non séparément par VRF.
Ce qui suit décrit comment les filtres de pare-feu affectent l’instance de routage VRF selon qu’ils sont configurés sur l’interface de bouclage par défaut, l’instance de routage VRF ou une combinaison des deux. L'"interface de bouclage par défaut » fait référence à lo0.0 (associée à la table de routage par défaut) et l'"interface de bouclage VRF » fait référence à lo0.n, qui est configurée dans l’instance de routage VRF.
-
Si vous configurez le filtre A sur l’interface de bouclage par défaut et le filtre B sur l’interface de bouclage VRF, l’instance de routage VRF utilise le filtre B.
-
Si vous configurez le filtre A sur l’interface de bouclage par défaut, mais que vous ne configurez pas de filtre sur l’interface de bouclage VRF, l’instance de routage VRF n’utilise pas de filtre.
-
Si vous configurez le filtre A sur l’interface de bouclage par défaut, mais que vous ne configurez pas d’interface de bouclage VRF, l’instance de routage VRF utilise le filtre A. Pour les périphériques MX80, le comportement est légèrement différent : si vous configurez des filtres sur l’interface de bouclage par défaut, mais que vous ne configurez pas d’interface de bouclage VRF, l’instance de routage VRF utilise uniquement les filtres d’entrée affectés au bouclage par défaut (elle n’utilise pas les filtres de sortie du bouclage par défaut).
Pour certains routeurs métro universels ACX Series (ACX1000, ACX2000, ACX4000 et ACX5000), le filtre de bouclage par défaut doit se trouver dans la même instance de routage, ou VRF (Virtual Routing and Forwarding), que le trafic entrant qu’il filtre. En d’autres termes, sur ces équipements, le filtre de bouclage par défaut ne peut pas être utilisé pour le trafic traversant une interface appartenant à une autre instance de routage.
Pour configurer une unité logique sur l’interface de bouclage, incluez l’instruction unit suivante :
unit number {
family inet {
address address;
}
}
Vous pouvez inclure cette instruction aux niveaux hiérarchiques suivants :
-
[edit interfaces lo0] -
[edit logical-systems logical-system-name interfaces lo0]
Pour associer un filtre de pare-feu à l’unité logique sur l’interface de bouclage, incluez l’instruction filter suivante :
filter {
input filter-name;
}
Vous pouvez inclure cette instruction aux niveaux hiérarchiques suivants :
-
[edit interfaces lo0 unit unit-number family inet] -
[edit logical-systems logical-system-name interfaces lo0 unit unit-number family inet]
Pour inclure l’interface lo0.n (où n spécifie l’unité logique) dans la configuration de l’instance de routage VRF, incluez l’instruction suivante :
interface lo0.n;
Vous pouvez inclure cette instruction aux niveaux hiérarchiques suivants :
-
[edit routing-instances routing-instance-name] -
[edit logical-systems logical-system-name routing-instances routing-instance-name]
Configuration des instances de routage sur les routeurs PE dans les VPN
Vous devez configurer une instance de routage pour chaque VPN sur chacun des routeurs PE participant au VPN. Les procédures de configuration décrites dans cette section s’appliquent aux VPN de couche 2, VPN de couche 3 et VPLS. Les procédures de configuration spécifiques à chaque type de VPN sont décrites dans les sections correspondantes des autres chapitres de configuration.
Pour configurer des instances de routage pour les VPN, incluez les instructions suivantes :
description text; instance-type type; interface interface-name; route-distinguisher (as-number:number | ip-address:number); vrf-import [ policy-names ]; vrf-export [ policy-names ]; vrf-target { export community-name; import community-name; }
Vous pouvez inclure ces instructions aux niveaux hiérarchiques suivants :
[edit routing-instances routing-instance-name][edit logical-systems logical-system-name routing-instances routing-instance-name]
Pour configurer les instances de routage VPN, procédez comme suit :
- Configuration du nom de l’instance de routage pour un VPN
- Configuration de la description
- Configuration du type d’instance
- Configuration des interfaces pour le routage VPN
- Configuration du séparateur de route
- Configuration des distinguificateurs d’itinéraires automatiques
Configuration du nom de l’instance de routage pour un VPN
Le nom de l’instance de routage d’un VPN peut comporter au maximum 128 caractères et peut contenir des lettres, des chiffres et des traits d’union. Dans Junos OS version 9.0 et ultérieure, vous ne pouvez plus spécifier default le nom réel de l’instance de routage. Vous ne pouvez pas non plus utiliser de caractères spéciaux ( ! @ # $ % ^ & * , +< > : ;) dans le nom d’une instance de routage.
Dans Junos OS version 9.6 et ultérieure, vous pouvez inclure une barre oblique (/) dans le nom d’une instance de routage uniquement si aucun système logique n’est configuré. En d’autres termes, vous ne pouvez pas inclure la barre oblique dans le nom d’une instance de routage si un système logique autre que celui par défaut est explicitement configuré.
Spécifiez le nom de l’instance de routage à l’aide de l’instruction routing-instance suivante :
routing-instance routing-instance-name {...}
Vous pouvez inclure cette instruction aux niveaux hiérarchiques suivants :
[edit][edit logical-systems logical-system-name]
Configuration de la description
Pour fournir une description textuelle de l’instance de routage, incluez l’instruction description . Si le texte comporte un ou plusieurs espaces, placez-les entre guillemets ( » « ). Tout texte descriptif que vous incluez est affiché dans la sortie de la show route instance detail commande et n’a aucun effet sur le fonctionnement de l’instance de routage.
Pour configurer une description textuelle, incluez l’instruction description suivante :
description text;
Vous pouvez inclure cette instruction aux niveaux hiérarchiques suivants :
[edit routing-instances routing-instance-name][edit logical-systems logical-system-name routing-instances routing-instance-name]
Configuration du type d’instance
Le type d’instance que vous configurez varie selon que vous configurez des VPN de couche 2, des VPN de couche 3, des VPLS ou des routeurs virtuels. Spécifiez le type d’instance en incluant l’instruction instance-type suivante :
Pour activer le routage VPN de couche 2 sur un routeur PE, incluez l’instruction
instance-typeet spécifiez la valeurl2vpn:instance-type l2vpn;
Pour activer le routage VPLS sur un routeur PE, incluez l’instruction
instance-typeet spécifiez la valeurvpls:instance-type vpls;
Les VPN de couche 3 exigent que chaque routeur PE dispose d’une table de routage et de transfert VPN (VRF) pour distribuer les routes au sein du VPN. Pour créer la table VRF sur le routeur PE, incluez l’instruction
instance-typeet spécifiez la valeurvrf:instance-type vrf;
Note:L’échantillonnage basé sur le moteur de routage n’est pas pris en charge sur les instances de routage VRF.
Pour activer l’instance de routage du routeur virtuel, incluez l’instruction
instance-typeet spécifiez la valeurvirtual-router:instance-type virtual-router;
Vous pouvez inclure cette instruction aux niveaux hiérarchiques suivants :
[edit routing-instances routing-instance-name][edit logical-systems logical-system-name routing-instances routing-instance-name]
Configuration des interfaces pour le routage VPN
Sur chaque routeur PE, vous devez configurer une interface sur laquelle le trafic VPN transite entre les routeurs PE et CE.
Les sections suivantes décrivent comment configurer les interfaces pour les VPN :
- Configuration générale du routage VPN
- Configuration des interfaces pour les VPN de couche 3
- Configuration des interfaces pour les VPN Carrier-of-Carriers
- Configuration du RPF unicast sur les interfaces VPN
Configuration générale du routage VPN
La configuration décrite dans cette section s’applique à tous les types de VPN. Pour les VPN de couche 3 et les VPN de type carrier-of-carriers, effectuez la configuration décrite dans cette section avant de passer aux sections de configuration d’interface spécifiques à ces rubriques.
Pour configurer les interfaces pour le routage VPN, incluez l’instruction interface suivante :
interface interface-name;
Vous pouvez inclure cette instruction aux niveaux hiérarchiques suivants :
[edit routing-instances routing-instance-name][edit logical-systems logical-system-name routing-instances routing-instance-name]
Spécifiez les parties physique et logique du nom d’interface, dans le format suivant :
physical.logical
Par exemple, dans at-1/2/1.2, at-1/2/1 est la partie physique du nom de l’interface et 2 est la partie logique. Si vous ne spécifiez pas la partie logique du nom de l’interface, la valeur 0 est définie par défaut.
Une interface logique ne peut être associée qu’à une seule instance de routage. Si vous activez un protocole de routage sur toutes les instances en spécifiant interfaces all lors de la configuration de l’instance principale du protocole au niveau de la [edit protocols] hiérarchie, et si vous configurez une interface spécifique pour le routage VPN au niveau de la [edit routing-instances routing-instance-name] hiérarchie ou au niveau de la [edit logical-systems logical-system-name routing-instances routing-instance-name] hiérarchie, cette dernière instruction d’interface est prioritaire et l’interface est utilisée exclusivement pour le VPN.
Si vous configurez explicitement le même nom d’interface au niveau de la [edit protocols] hiérarchie et au niveau de [edit logical-systems logical-system-name routing-instances routing-instance-name] la [edit routing-instances routing-instance-name] hiérarchie, une tentative de validation de la configuration échoue.
Configuration des interfaces pour les VPN de couche 3
Lorsque vous configurez les interfaces VPN de couche 3 au niveau de la hiérarchie, vous devez également configurer family inet lors de la [edit interfaces] configuration de l’interface logique :
[edit interfaces]
interface-name {
unit logical-unit-number {
family inet;
}
}
Configuration des interfaces pour les VPN Carrier-of-Carriers
Lorsque vous configurez des VPN de type carrier-of-carriers, vous devez configurer l’instruction family mpls en plus de l’instruction family inet pour les interfaces entre les routeurs PE et CE. Pour les VPN de type carrier-of-carriers, configurez l’interface logique comme suit :
[edit interfaces]
interface-name {
unit logical-unit-number {
family inet;
family mpls;
}
}
Si vous configurez family mpls sur l’interface logique, puis que vous configurez cette interface pour une instance de routage non-carrier-of-carriers, l’instruction family mpls est automatiquement supprimée de la configuration de l’interface logique, car elle n’est pas nécessaire.
Configuration du RPF unicast sur les interfaces VPN
Pour les interfaces VPN qui acheminent le trafic IP version 4 ou version 6 (IPv4 ou IPv6), vous pouvez réduire l’impact des attaques par déni de service (DoS) en configurant le transfert RPF (unicast). Le RPF unicast permet de déterminer la source des attaques et rejette les paquets provenant d’adresses sources inattendues sur les interfaces où le RPF unicast est activé.
Vous pouvez configurer le RPF unicast sur une interface VPN en activant le RPF unicast sur l’interface et en incluant l’instruction interface au niveau de la [edit routing-instances routing-instance-name] hiérarchie.
Vous ne pouvez pas configurer le RPF unicast sur les interfaces centrales. Vous ne pouvez configurer RPF unicast que sur les interfaces routeur-routeur PE CE sur le routeur PE. Toutefois, pour les instances de routage de routeur virtuel, le RPF unicast est pris en charge sur toutes les interfaces que vous spécifiez dans l’instance de routage.
Pour plus d’informations sur la configuration du RPF unicast sur les interfaces VPN, consultez Présentation du RPF unicast (routeurs).
Configuration du séparateur de route
Chaque instance de routage que vous configurez sur un routeur PE doit être associée à un séparateur de route unique. Les instances de routage VPN ont besoin d’un séparateur de route pour aider le BGP à faire la distinction entre des messages NLRI (Network Layer Accessibility Information) potentiellement identiques reçus de différents VPN. Si vous configurez différentes instances de routage VPN avec le même séparateur de route, la validation échoue.
Pour les VPN et VPLS de couche 2, si vous avez configuré l’instruction l2vpn-use-bgp-rules , vous devez configurer un séparateur de route unique pour chaque routeur PE participant à une instance de routage spécifique.
Pour les autres types de VPN, nous vous recommandons d’utiliser un séparateur de route unique pour chaque routeur PE participant à l’instance de routage. Bien que vous puissiez utiliser le même séparateur de route sur tous les routeurs PE pour la même instance de routage VPN (à l’exception des VPN de couche 2 et VPLS), si vous utilisez un séparateur de route unique, vous pouvez déterminer le routeur CE à partir duquel une route provient dans le VPN.
Pour configurer un séparateur de route sur un routeur PE, incluez l’instruction route-distinguisher suivante :
route-distinguisher (as-number:number | ip-address:number);
Pour obtenir la liste des niveaux hiérarchiques auxquels vous pouvez inclure cette instruction, reportez-vous à la section Résumé de cette instruction.
Le séparateur de route est une valeur de 6 octets que vous pouvez spécifier dans l’un des formats suivants :
as-number:number, oùas-numberest un nombre de système autonome (AS) (une valeur de 2 octets) etnumberest une valeur de 4 octets. Le nombre AS peut être compris entre 1 et 65 535. Nous vous recommandons d’utiliser un numéro AS non privé attribué par l’Internet Assigned Numbers Authority (IANA), de préférence le numéro AS du fournisseur d’accès à Internet (FAI) ou celui du client.ip-address:number, oùip-addressest une adresse IP (une valeur de 4 octets) etnumberest une valeur de 2 octets. L’adresse IP peut être n’importe quelle adresse unicast unique au monde. Nous vous recommandons d’utiliser l’adresse que vous configurez dans l’instruction, qui est une adresse non privée dans larouter-idplage de préfixes qui vous a été attribuée.
Configuration des distinguificateurs d’itinéraires automatiques
Si vous configurez l’instruction route-distinguisher-id au niveau de la [edit routing-options] hiérarchie, un séparateur de route est automatiquement affecté à l’instance de routage. Si vous configurez également l’instruction route-distinguisher en plus de l’instruction route-distinguisher-id , la valeur configurée pour route-distinguisher remplace la valeur générée à partir de route-distinguisher-id.
Pour attribuer automatiquement un distingueur d’itinéraire, incluez l’instruction route-distinguisher-id suivante :
route-distinguisher-id ip-address;
Vous pouvez inclure cette instruction aux niveaux hiérarchiques suivants :
[edit routing-options][edit logical-systems logical-system-name routing-options]
Un séparateur de route de type 1 est automatiquement affecté à l’instance de routage à l’aide du format ip-address:number. L’adresse IP est spécifiée par l’instruction route-distinguisher-id et le numéro est unique pour l’instance de routage.
Configuration des instances de routage de routeur virtuel dans les VPN
Une instance de routage de routeur virtuel, telle qu’une instance de routage VRF, gère des tables de routage et de transfert distinctes pour chaque instance. Toutefois, la plupart des étapes de configuration requises pour les instances de routage VRF ne sont pas nécessaires pour les instances de routage de routeur virtuel. Plus précisément, vous n’avez pas besoin de configurer un séparateur de route, une stratégie de table de routage (les vrf-exportinstructions , vrf-importet route-distinguisher ), ou MPLS entre les routeurs du fournisseur de services.
Configurez une instance de routage de routeur virtuel en incluant les instructions suivantes :
description text; instance-type virtual-router; interface interface-name; protocols { ... }
Vous pouvez inclure ces instructions aux niveaux hiérarchiques suivants :
[edit routing-instances routing-instance-name][edit logical-systems logical-system-name routing-instances routing-instance-name]
Les sections suivantes expliquent comment configurer une instance de routage de routeur virtuel :
- Configuration d’un protocole de routage entre les routeurs du fournisseur de services
- Configuration des interfaces logiques entre les routeurs participants
Configuration d’un protocole de routage entre les routeurs du fournisseur de services
Les routeurs des fournisseurs de services doivent pouvoir échanger des informations de routage. Vous pouvez configurer les protocoles suivants pour la configuration de l’instruction d’instance protocols de routage du routeur virtuel au niveau de la [edit routing-instances routing-instance-name] hiérarchie :
BGP
IS-IS
LDP
OSPF
PIM (Protocol Independent Multicast)
DÉCHIRER
Vous pouvez également configurer des itinéraires statiques.
La réflexion de route IBGP n’est pas prise en charge pour les instances de routage de routeur virtuel.
Si vous configurez LDP sous une instance de routeur virtuel, les routes LDP sont placées par défaut dans les tables de routage inet.0 et inet.3 de l’instance de routage (par exemple, sample.inet.0 et sample.inet.3). Pour limiter les routes LDP à la seule table inet.3 de l’instance de routage, incluez l’instruction no-forwarding suivante :
no-forwarding;
Vous pouvez inclure cette instruction aux niveaux hiérarchiques suivants :
[edit routing-instances routing-instance-name protocols ldp][edit logical-systems logical-system-name routing-instances routing-instance-name protocols ldp]
Lorsque vous limitez les routes LDP à la seule table de routage inet.3, la route IGP correspondante dans la table de routage inet.0 peut être redistribuée et annoncée dans d’autres protocoles de routage.
Pour plus d’informations sur les tables de routage, reportez-vous à la section Présentation des tables de routage Junos OS.
Configuration des interfaces logiques entre les routeurs participants
Vous devez configurer une interface avec chaque routeur client participant à l’instance de routage et avec chaque routeur P participant à l’instance de routage. Chaque instance de routage de routeur virtuel requiert ses propres interfaces logiques distinctes pour tous les routeurs P participant à l’instance. Pour configurer les interfaces des instances de routeur virtuel, incluez l’instruction interface suivante :
interface interface-name;
Vous pouvez inclure cette instruction aux niveaux hiérarchiques suivants :
[edit routing-instances routing-instance-name][edit logical-systems logical-system-name routing-instances routing-instance-name]
Spécifiez les parties physique et logique du nom d’interface, dans le format suivant :
physical.logical
Par exemple, dans at-1/2/1.2, at-1/2/1 est la partie physique du nom de l’interface et 2 est la partie logique. Si vous ne spécifiez pas la partie logique du nom de l’interface, 0 est défini par défaut.
Vous devez également configurer les interfaces au niveau de la [edit interfaces] hiérarchie.
L’une des méthodes pour fournir cette interface logique entre les routeurs du fournisseur consiste à configurer des tunnels entre eux. Vous pouvez configurer la sécurité IP (IPsec), l’encapsulation de routage générique (GRE) ou des tunnels IP-IP entre les routeurs du fournisseur, en terminant les tunnels au niveau de l’instance du routeur virtuel.
Pour plus d’informations sur la configuration des tunnels et des interfaces, reportez-vous à la bibliothèque d’interfaces des services Junos OS pour les périphériques de routage.
configuration des vérifications MTU du chemin pour les instances de routage VPN
Par défaut, la vérification de l’unité de transmission maximale (MTU) pour les instances de routage VPN est désactivée sur les routeurs M Series (à l’exception du routeur M320) et activée pour le routeur M320. Sur les routeurs M Series, vous pouvez configurer des vérifications de MTU de chemin sur les interfaces sortantes pour le trafic unicast acheminé sur les instances de routage VRF et sur les instances de routage de routeur virtuel.
Lorsque vous activez une vérification MTU, la plate-forme de routage envoie un message ICMP (Internet Control Message Protocol) lorsqu’un paquet traversant l’instance de routage dépasse la taille MTU et que le do-not-fragment bit est défini. Le message ICMP utilise l’adresse locale VRF comme adresse source.
Pour qu’une vérification MTU fonctionne dans une instance de routage, vous devez à la fois inclure l’instruction vrf-mtu-check au niveau de la [edit chassis] hiérarchie et affecter au moins une interface contenant une adresse IP à l’instance de routage.
Pour plus d’informations sur la vérification MTU du chemin, reportez-vous à la bibliothèque d’administration de Junos OS pour les périphériques de routage.
Pour configurer les vérifications MTU du chemin, effectuez les tâches décrites dans les sections suivantes :
- Activation des vérifications MTU de chemin pour une instance de routage VPN
- Attribution d’une adresse IP à l’instance de routage VPN
Activation des vérifications MTU de chemin pour une instance de routage VPN
Pour activer les vérifications de chemin sur l’interface sortante pour le trafic unicast acheminé sur une instance de routage VRF ou de routeur virtuel, incluez l’instruction suivante vrf-mtu-check au niveau de la [edit chassis] hiérarchie :
[edit chassis] vrf-mtu-check;
Attribution d’une adresse IP à l’instance de routage VPN
Pour que la vérification MTU du chemin fonctionne correctement, au moins une adresse IP doit être associée à chaque instance de routage VRF ou de routeur virtuel. Si aucune adresse IP n’est associée à l’instance de routage, les messages de réponse ICMP ne peuvent pas être envoyés.
En règle générale, l’adresse IP de l’instance de routage VRF ou du routeur virtuel est extraite des adresses IP associées aux interfaces configurées pour cette instance de routage. Si aucune des interfaces associées à une instance de routage VRF ou de routeur virtuel n’est configurée avec une adresse IP, vous devez configurer explicitement une interface de bouclage logique avec une adresse IP. Cette interface doit ensuite être associée à l’instance de routage. Pour plus d’informations, reportez-vous à la section Configuration des unités logiques sur l’interface de bouclage pour les instances de routage dans les VPN de couche 3 .