VPN basada en BGP
Descripción de VPN de operadora de operadora
El cliente de un proveedor de servicios VPN puede ser un proveedor de servicios para el cliente final. Los siguientes son los dos tipos principales de VPN de operadora de operadora (como se describe en RFC 4364:
Proveedor de servicios de Internet como cliente— El cliente vpn es un ISP que utiliza la red del proveedor de servicios VPN para conectar sus redes regionales geográficamente dispares. El cliente no tiene que configurar MPLS dentro de sus redes regionales.
Proveedor de servicios VPN como cliente—El cliente VPN es en sí mismo un proveedor de servicios VPN que ofrece un servicio VPN a sus clientes. El cliente del servicio VPN de operadora de operadoras confía en el proveedor de servicios VPN troncal para la conectividad entre sitios. El proveedor de servicios VPN del cliente está obligado a ejecutar MPLS dentro de sus redes regionales.
Figura 1 ilustra la arquitectura de red utilizada para un servicio VPN de operadora de operadoras.
En este tema, se trata lo siguiente:
Proveedor de servicios de Internet como cliente
En este tipo de configuración vpn de operadora de operadoras, el ISP A configura su red para proporcionar servicio de Internet al ISP B. El ISP B proporciona la conexión al cliente que desea el servicio de Internet, pero el ISP A proporciona el servicio de Internet real.
Este tipo de configuración vpn de operadora de operadoras tiene las siguientes características:
El cliente de servicio VPN de operadora de operadoras (ISP B) no necesita configurar MPLS en su red.
El proveedor de servicios VPN (ISP A) de operadora de operadoras debe configurar MPLS en su red.
La MPLS también debe configurarse en los enrutadores CE y los enrutadores de PE conectados entre sí en las redes de los clientes del servicio VPN de operadora de operadoras y de operadora de operadoras de VPN.
Proveedor de servicios VPN como cliente
Un operador de telecomunicaciones VPN puede tener clientes que sean a su vez proveedores de servicios VPN. En este tipo de configuración, también denominada VPN jerárquica o recursiva, las rutas VPN-IPv4 del proveedor de servicios vpn del cliente se consideran rutas externas, y el proveedor de servicios VPN troncal no las importa a su tabla VRF. El proveedor de servicios vpn troncal importa solo las rutas internas del proveedor de servicios VPN del cliente en su tabla VRF.
Las similitudes y diferencias entre las VPN de interproveedor y carrier-of-carrier se muestran en Tabla 1.
Característica |
Cliente del ISP |
Cliente del operador de telecomunicaciones VPN |
|---|---|---|
Dispositivo de borde del cliente |
Enrutador de borde del AS |
enrutador de PE |
Sesiones del IBGP |
Transporte de rutas IPv4 |
Lleve rutas VPN-IPv4 externas con etiquetas asociadas |
Reenvío dentro de la red del cliente |
MPLS es opcional |
Se requiere MPLS |
Soporte para el servicio VPN, ya que el cliente es compatible con conmutadores QFX10000 a partir de Junos OS versión 17.1R1.
Descripción de VPN de interproveedor y operadora de operadoras
Todas las VPN de interproveedor y operadora de operadoras comparten las siguientes características:
Cada cliente VPN de interproveedor o operadora de operadoras debe distinguir entre rutas de clientes internas y externas.
El proveedor de servicios VPN debe mantener las rutas internas de los clientes en sus enrutadores de PE.
Las rutas externas de los clientes solo son llevadas por las plataformas de enrutamiento del cliente, no por las plataformas de enrutamiento del proveedor de servicios VPN.
La diferencia clave entre las VPN entre interproveedor y carrier-of-carrier es si los sitios del cliente pertenecen al mismo AS o a AS independientes:
VPN de interproveedor: los sitios de clientes pertenecen a AS diferentes. Debe configurar el EBGP para intercambiar las rutas externas del cliente.
Descripción de VPN de operadora de operadora: los sitios de clientes pertenecen al mismo AS. Debe configurar IBGP para intercambiar las rutas externas del cliente.
En general, cada proveedor de servicios de una jerarquía VPN debe mantener sus propias rutas internas en sus enrutadores P y las rutas internas de sus clientes en sus enrutadores de PE. Mediante la aplicación recursiva de esta regla, es posible crear una jerarquía de VPN.
Las siguientes son definiciones de los tipos de enrutadores de PE específicos de VPN de interproveedor y carrier-of-carrier:
El enrutador de borde del AS se encuentra en el borde del AS y controla el tráfico que sale y entra en el AS.
El enrutador de PE final es el enrutador de PE en la VPN del cliente; está conectado al enrutador CE en el sitio del cliente final.
Configuración de VPN de operadora de operadora para clientes que proporcionan servicio VPN
Puede configurar un servicio VPN de operadora de operadoras para los clientes que quieran un servicio VPN.
Para configurar los enrutadores (o conmutadores) en las redes del cliente y del proveedor para habilitar el servicio VPN de operadora de operadoras, realice los pasos en las siguientes secciones:
- Configuración del enrutador de PE del cliente de operadora de operadora
- Configuración del enrutador CE (o conmutador) del operador de operadoras del cliente
- Configuración del enrutador o conmutador pe del proveedor
Configuración del enrutador de PE del cliente de operadora de operadora
El enrutador pe (o conmutador) del cliente de la operadora de operadoras está conectado al enrutador CE (o conmutador) del cliente final.
En las siguientes secciones se describe cómo configurar el enrutador pe (o conmutador) del operador de operadora de operadoras del cliente:
- Configuración de MPLS
- Configuración del BGP
- Configuración de OSPF
- Configuración de LDP
- Configuración del servicio VPN en la instancia de enrutamiento
- Configuración de opciones de política
Configuración de MPLS
Para configurar MPLS en el enrutador de PE (o conmutador) del operador de operadora de operadoras del cliente, incluya la mpls instrucción:
mpls {
interface interface-name;
interface interface-name;
}
Puede incluir esta instrucción en los siguientes niveles jerárquicos:
[edit protocols][edit logical-systems logical-system-name protocols]
Configuración del BGP
Incluya la labeled-unicast instrucción en la configuración de la sesión de IBGP al enrutador CE (o conmutador) del operador de operadora de operadoras del cliente e incluya la family-inet-vpn instrucción en la configuración de la sesión de IBGP al enrutador pe de operadora (o conmutador) al otro lado de la red:
bgp {
group group-name {
type internal;
local-address address;
neighbor address {
family inet {
labeled-unicast;
resolve-vpn;
}
}
}
neighbor address {
family inet-vpn {
any;
}
}
}
Puede incluir estas instrucciones en los siguientes niveles jerárquicos:
[edit protocols][edit logical-systems logical-system-name protocols]
Configuración de OSPF
Para configurar OSPF en el enrutador pe (o conmutador) del cliente de la operadora de operadoras, incluya la ospf instrucción:
ospf {
area area-id {
interface interface-name {
passive;
}
interface interface-name;
}
}
Puede incluir esta instrucción en los siguientes niveles jerárquicos:
[edit protocols][edit logical-systems logical-system-name protocols]
Configuración de LDP
Para configurar LDP en el enrutador pe (o conmutador) del operador de operadora de operadoras del cliente, incluya la ldp instrucción:
ldp {
interface interface-name;
}
Puede incluir esta instrucción en los siguientes niveles jerárquicos:
[edit protocols][edit logical-systems logical-system-name protocols]
Configuración del servicio VPN en la instancia de enrutamiento
Para configurar el servicio VPN para el enrutador CE (o conmutador) del cliente final en el enrutador pe (o conmutador) del operador de operadoras del cliente, incluya las siguientes instrucciones:
instance-type vrf;
interface interface-name;
route-distinguisher address;
vrf-import policy-name;
vrf-export policy-name;
protocols {
bgp {
group group-name {
peer-as as-number;
neighbor address;
}
}
}
Puede incluir estas instrucciones en los siguientes niveles jerárquicos:
[edit routing-instances routing-instance-name][edit logical-systems logical-system-name routing-instances routing-instance-name]
Configuración de opciones de política
Para configurar las opciones de política para importar y exportar rutas hacia y desde el enrutador CE (o conmutador) del cliente final, incluya las policy-statement instrucciones y community :
policy-statement policy-name {
term term-name {
from {
protocol bgp;
community community-name;
}
then accept;
}
term term-name {
then reject;
}
}
policy-statement policy-name {
term term-name {
from protocol bgp;
then {
community add community-name;
accept;
}
}
term term-name {
then reject;
}
}
community community-name members value;
Puede incluir estas instrucciones en los siguientes niveles jerárquicos:
[edit policy-options][edit logical-systems logical-system-name policy-options]
Configuración del enrutador CE (o conmutador) del operador de operadoras del cliente
El enrutador CE (o conmutador) del cliente de la operadora de operadoras se conecta al enrutador PE (o conmutador) del proveedor. Complete las instrucciones de las siguientes secciones para configurar el enrutador CE (o conmutador) de los clientes de operadora de operadoras:
- Configuración de MPLS
- Configuración del BGP
- Configuración de OSPF y LDP
- Configuración de opciones de política
Configuración de MPLS
En la configuración de MPLS para el enrutador CE (o conmutador) del operador de operadora del cliente, incluya las interfaces al enrutador PE (o conmutador) del proveedor y a un enrutador P (o conmutador) en la red del cliente:
mpls {
traffic-engineering bgp-igp;
interface interface-name;
interface interface-name;
}
Puede incluir estas instrucciones en los siguientes niveles jerárquicos:
[edit protocols][edit logical-systems logical-system-name protocols]
Configuración del BGP
En la configuración del BGP para el enrutador CE (o conmutador) del operadora de operadoras del cliente, configure un grupo que incluya la instrucción para extender el labeled-unicast servicio VPN al enrutador (o conmutador) de PE conectado al enrutador CE (o conmutador) del cliente final:
bgp {
group group-name {
type internal;
local-address address;
neighbor address {
family inet {
labeled-unicast;
}
}
}
}
Puede incluir la bgp instrucción en los siguientes niveles de jerarquía:
[edit protocols][edit logical-systems logical-system-name protocols]
Para configurar un grupo para que envíe rutas internas etiquetadas al enrutador (o conmutador) de PE del proveedor, incluya la bgp instrucción:
bgp {
group group-name {
export internal;
peer-as as-number;
neighbor address {
family inet {
labeled-unicast;
}
}
}
}
Puede incluir esta instrucción en los siguientes niveles jerárquicos:
[edit protocols][edit logical-systems logical-system-name protocols]
Configuración de OSPF y LDP
Para configurar OSPF y LDP en el enrutador CE (o conmutador) del operador de operadora de operadoras del cliente, incluya las ospf instrucciones y ldp :
ospf {
area area-id {
interface interface-name {
passive;
}
interface interface-name;
}
}
ldp {
interface interface-name;
}
Puede incluir estas instrucciones en los siguientes niveles jerárquicos:
[edit protocols][edit logical-systems logical-system-name protocols]
Configuración de opciones de política
Para configurar las opciones de política en el enrutador CE (o conmutador) del operadora de operadoras del cliente, incluya la policy-statement instrucción:
policy-statement policy-statement-name {
term term-name {
from protocol [ ospf direct ldp ];
then accept;
}
term term-name {
then reject;
}
}
Puede incluir esta instrucción en los siguientes niveles jerárquicos:
[edit policy-options][edit logical-systems logical-system-name policy-options]
Configuración del enrutador o conmutador pe del proveedor
Los enrutadores de PE (o conmutadores) de la operadora de operadores se conectan a los enrutadores CE (o conmutadores) del cliente de la operadora. Complete las instrucciones en las siguientes secciones para configurar el enrutador (o conmutador de PE) del proveedor:
- Configuración de MPLS
- Configurar una sesión de BGP de PE a PE
- Configuración de IS-IS y LDP
- Configuración de opciones de política
- Configuración de una instancia de enrutamiento para enviar rutas al enrutador CE
Configuración de MPLS
En la configuración de MPLS, especifique al menos dos interfaces: una al enrutador CE (o conmutador) del cliente y otra para conectarse al enrutador de PE (o conmutador) del proveedor en el otro lado de la red del proveedor:
interface interface-name; interface interface-name;
Puede incluir estas instrucciones en los siguientes niveles jerárquicos:
[edit protocols mpls][edit logical-systems logical-system-name protocols mpls]
Configurar una sesión de BGP de PE a PE
Para configurar una sesión de BGP de PE a PE en los enrutadores de PE (o conmutadores) del proveedor para permitir que las rutas VPN-IPv4 pasen entre los enrutadores de PE (o conmutadores, incluya la bgp instrucción:
bgp {
group group-name {
type internal;
local-address address;
family inet-vpn {
any;
}
neighbor address;
}
}
Puede incluir esta instrucción en los siguientes niveles jerárquicos:
[edit protocols][edit logical-systems logical-system-name protocols]
Configuración de IS-IS y LDP
Para configurar IS-IS y LDP en los enrutadores (o conmutadores) de PE del proveedor, incluya las isis instrucciones y ldp :
isis {
interface interface-name;
interface interface-name {
passive;
}
}
ldp {
interface interface-name;
}
Puede incluir estas instrucciones en los siguientes niveles jerárquicos:
[edit protocols][edit logical-systems logical-system-name protocols]
Configuración de opciones de política
Para configurar instrucciones de política en el enrutador de PE (o conmutador) del proveedor para exportar rutas a e importar rutas desde la red del cliente del operador, incluya las policy-statement instrucciones y community :
policy-statement statement-name {
term term-name {
from {
protocol bgp;
community community-name;
}
then accept;
}
term term-name {
then reject;
}
}
policy-statement statement-name {
term term-name {
from protocol bgp;
then {
community add community-name;
accept;
}
}
term term-name {
then reject;
}
}
community community-name members value;
Puede incluir estas instrucciones en los siguientes niveles jerárquicos:
[edit policy-options][edit logical-systems logical-system-name policy-options]
Configuración de una instancia de enrutamiento para enviar rutas al enrutador CE
Para configurar la instancia de enrutamiento en el enrutador de PE (o conmutador) del proveedor para enviar rutas etiquetadas al enrutador CE (o conmutador) del cliente de la operadora, incluya las siguientes instrucciones:
instance-type vrf;
interface interface-name;
route-distinguisher value;
vrf-import policy-name;
vrf-export policy-name;
protocols {
bgp {
group group-name {
peer-as as-number;
neighbor address {
family inet {
labeled-unicast;
}
}
}
}
}
Puede incluir estas instrucciones en los siguientes niveles jerárquicos:
[edit routing-instances routing-instance-name][edit logical-systems logical-system-name routing-instances routing-instance-name]