Descripción general de la VPN BGP de capa 3 sobre túneles IP-IP
Los servicios VPN tradicionales utilizan la técnica de reenvío basada en etiquetas de MPLS. Algunas redes pueden pasar de una red MPLS a una red núcleo de estructura IP. La etiqueta VPN no se admite en la red principal de la estructura IP.
Presentamos compatibilidad con túneles BGP VPN de capa 3 sobre IP sobre IP (IP-IP) para crear un nuevo servicio de transporte que no requiere una etiqueta VPN para identificar el VRF en el PE de salida. Esta oferta transporta diferentes tipos de tráfico utilizando la misma infraestructura y la misma topología BGP con RD y destinos de ruta a través de la red IP-IP. Los túneles IP-IP terminan en VRF de capa de servicio, por lo que no es necesario usar una etiqueta de servicio. Esta característica permite la interoperabilidad entre el nuevo VRF y el VRF tradicional, por lo que ambos tipos de superposiciones pueden coexistir en su red. Puede usar esta función para realizar la transición de una red MPLS a una red núcleo de estructura IP y para proteger su red de ataques de denegación de servicio distribuido (DDoS).

En la Figura 1, PE1 es un PE de salida que admite tipos de túneles tradicionales y nuevos, por lo que anunciará ambos tipos de túneles en sus rutas L3VPN. PE2 es un PE de entrada que utiliza un nuevo tipo de túnel para llegar a CE1 y PE3 es un PE de entrada que utiliza un túnel tradicional para llegar a CE1. Si se selecciona un túnel IP-IP para reenviar el tráfico, se omite la etiqueta del servicio de la aplicación y se utiliza un filtro de firewall para demultiplexar el tráfico. El tráfico L3VPN se desencapsula y luego realiza la búsqueda de ruta en el VRF mientras que el tráfico IPv4/IPv6 se desencapsula y realiza la búsqueda de ruta en la tabla inet.0/inet6.0.
Los prefijos del sistema de mitigación de amenazas se intercambian a través de BGP inetvpn o actualizaciones de unidifusión inet6vpn. Estas actualizaciones de BGP contienen atributos de encapsulado de túnel. BGP L3VPN separa el prefijo de mitigación de amenazas de las rutas de Internet y no afecta la mejor selección de ruta de Internet, minimizando así la probabilidad de formar un bucle de enrutamiento. En Junos OS 20.3R1 y versiones posteriores, puede elegir usar VPN a través de transporte MPLS o cambiar a túnel IP a través de IP según el atributo tunnel. Si el enrutador receptor se ejecuta en Junos OS 20.2 o versiones anteriores, el atributo path se omite y utiliza el servicio de transporte MPLS tradicional.
Para utilizar VPN a través de un túnel IP-IP, debe configurar un atributo tunnel. Cuando las rutas se anuncian directamente desde la tabla VRF, puede utilizar una política de exportación BGP o VRF para adjuntar el atributo de túnel. Cuando la instrucción advertise-from-main-vpn-tables está habilitada, o cuando el dispositivo actúa como reflector de ruta o como enrutador de límite AS, debe adjuntar el atributo de túnel mediante una política de exportación de BGP en BGP.
Puede configurar el receptor para programar el túnel dinámico mediante el atributo tunnel para habilitar tunnel-attribute en pares BGP de confianza. El reflector de ruta puede reflejar la ruta con el atributo tunnel incluso si no está configurado.