Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Descripción general de VPN de capa 3 de BGP sobre túneles IP-IP

Los servicios VPN tradicionales utilizan la técnica de reenvío basado en etiquetas de MPLS. Algunas redes pueden pasar de una red MPLS a una red de núcleo de estructura IP. La etiqueta vpn no se admite en la red de núcleo de estructura IP.

Presentamos compatibilidad con túneles de VPN de capa 3 de BGP a través de IP sobre IP (IP-IP) para crear un nuevo servicio de transporte que no requiere una etiqueta VPN para identificar el VRF en pe de salida. Esto ofrece transportar diferentes tipos de tráfico mediante la misma infraestructura y la misma topología de BGP con RD y destinos de ruta a través de la red IP-IP. Los túneles IP-IP terminan en VRF de capa de servicio, por lo que no es necesario usar una etiqueta de servicio. Esta característica permite la interoperabilidad entre el nuevo VRF y el VRF tradicional, por lo que ambos tipos de superposiciones pueden coexistir en su red. Puede usar esta función para pasar de una red MPLS a una red de núcleo de estructura IP y para proteger su red de ataques distribuidos de denegación de servicio (DDoS).

Figura 1: Red de muestra que muestra la coexistencia de VRF Sample Network That Shows Coexistence of New and Traditional VRFs nuevas y tradicionales

En la Figura 1, PE1 es un PE de salida que admite tanto tipos de túneles tradicionales como nuevos, por lo que anunciará ambos tipos de túneles en sus rutas L3VPN. PE2 es un PE de entrada que usa un nuevo tipo de túnel para llegar a CE1 y PE3 es un PE de entrada que utiliza un túnel tradicional para llegar a CE1. Si se selecciona un túnel IP-IP para reenviar el tráfico, se omite la etiqueta del servicio de la aplicación y se utiliza un filtro de firewall para demultiplexar el tráfico. El tráfico de L3VPN se desencapsula y, luego, realiza una búsqueda de ruta en el VRF mientras que el tráfico IPv4/IPv6 está desencapsulado y realiza una búsqueda de ruta en la tabla inet.0/inet6.0.

Los prefijos del sistema de mitigación de amenazas se intercambian a través de actualizaciones de unidifusión inetvpn o inet6vpn BGP. Estas actualizaciones del BGP llevan atributos de encapsulado de túnel. El BGP L3VPN separa el prefijo de mitigación de amenazas de las rutas de Internet y no afecta a la mejor selección de ruta de internet, lo que minimiza la probabilidad de formar un bucle de enrutamiento. En Junos OS 20.3R1 y versiones posteriores, puede elegir usar VPN mediante transporte MPLS o cambiar a IP sobre túnel IP según el atributo de túnel de túnel. Si el enrutador receptor se ejecuta en Junos OS 20.2 o versiones anteriores, el atributo de ruta se ignora y utiliza el servicio de transporte MPLS tradicional.

Para usar VPN a través de un túnel IP-IP, debe configurar un atributo de túnel. Cuando se anuncian rutas directamente desde la tabla VRF, puede usar una política de exportación de BGP o VRF para adjuntar el atributo de túnel. Cuando la instrucción advertise-from-main-vpn-tables está habilitada, o cuando el dispositivo actúa como reflector de ruta o como enrutador de límite del AS, debe adjuntar el atributo de túnel mediante una política de exportación del BGP en BGP.

Puede configurar el receptor para que programe el túnel dinámico mediante el atributo tunel para habilitar el atributo túnel en pares BGP de confianza. El reflector de ruta puede reflejar la ruta con el atributo tunnel incluso si este no está configurado.