Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Descripción general de VPN de capa 3 bgp sobre túneles IP-IP

Los servicios VPN tradicionales utilizan la técnica de reenvío basada en etiquetas de MPLS. Algunas redes pueden pasar de la red MPLS a la red central de estructura IP. La etiqueta VPN no se admite en la red de núcleo de la estructura IP.

Presentamos compatibilidad con túneles VPN de capa 3 bgp sobre IP sobre IP (IP-IP) para crear un nuevo servicio de transporte que no requiere una etiqueta VPN para identificar el VRF en el PE de salida. Esta oferta ofrece transportar diferentes tipos de tráfico con la misma infraestructura y la misma topología BGP con RD y destinos de ruta a través de la red IP-IP. Los túneles IP-IP terminan en VRF de capa de servicio, por lo que no es necesario usar una etiqueta de servicio. Esta función permite la interoperabilidad entre el nuevo VRF y el VRF tradicional, por lo que ambos tipos de superposiciones pueden coexistir en su red. Puede usar esta función para pasar de una red MPLS a una red de núcleo de estructura IP y para proteger su red de ataques distribuidos de denegación de servicio (DDoS).

Figura 1: Red de muestra que muestra la coexistencia de VRFs Sample Network That Shows Coexistence of New and Traditional VRFs nuevas y tradicionales

En la Figura 1, PE1 es un PE de salida que admite tanto los tipos tradicionales como los nuevos de túneles, por lo que anunciará ambos tipos de túneles en sus rutas L3VPN. EL PE2 es un PE de entrada que utiliza un nuevo tipo de túnel para alcanzar CE1 y PE3 es un PE de entrada que utiliza el túnel tradicional para llegar al CE1. Si se selecciona un túnel IP-IP para reenviar el tráfico, se omite la etiqueta del servicio de aplicación y se utiliza un filtro de firewall para demultiplexar el tráfico. El tráfico L3VPN se desencapsula y, luego, realiza la búsqueda de rutas en el VRF, mientras que el tráfico IPv4/IPv6 se desencapsula y realiza la búsqueda de rutas en la tabla inet.0/inet6.0.

Los prefijos del sistema de mitigación de amenazas se intercambian a través de actualizaciones de unidifusión bgp inetvpn o inet6vpn. Estas actualizaciones del BGP llevan atributos de encapsulación de túnel. El BGP L3VPN separa el prefijo de mitigación de amenazas de las rutas de Internet y no afecta a la mejor selección de rutas de Internet, lo que minimiza la probabilidad de formar un bucle de enrutamiento. En Junos OS 20.3R1 y versiones posteriores, puede elegir usar VPN mediante transporte MPLS o cambiar a IP a través de túnel IP según el atributo de túnel. Si el enrutador receptor se ejecuta en Junos OS 20.2 o versiones anteriores, el atributo de ruta se ignora y utiliza el servicio de transporte MPLS tradicional.

Para usar VPN a través de un túnel IP-IP, debe configurar un atributo de túnel. Cuando las rutas se anuncian directamente desde la tabla VRF, puede usar una política de exportación de BGP o VRF para adjuntar el atributo de túnel. Cuando está habilitada la instrucción advertise-from-main-vpn-tables, o cuando el dispositivo actúa como reflector de ruta o enrutador de límite del AS, debe adjuntar el atributo de túnel mediante una política de exportación bgp en BGP.

Puede configurar el receptor para programar el túnel dinámico mediante el atributo de túnel para habilitar el atributo de túnel en pares bgp de confianza. El reflector de ruta puede reflejar la ruta con el atributo de túnel, incluso si esto no está configurado.