Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

VPN y VPLS

Una VPN es una conexión cifrada a través de Internet desde un dispositivo hasta una red que evita el acceso no autorizado que escucha el tráfico y permite al usuario realizar el trabajo de forma remota. Para obtener más información, consulte los siguientes temas:

Introducción a VPLS

VPLS es una VPN de capa 2 basada en Ethernet de punto a multipunto. Le permite conectar sitios de redes de área local (LAN) dispersas geográficamente entre sí a través de una red troncal MPLS. Para los clientes que implementan VPLS, todos los sitios parecen estar en la misma LAN Ethernet, a pesar de que el tráfico viaja a través de la red del proveedor de servicios.

VPLS, en su implementación y configuración, tiene mucho en común con una VPN de capa 2. En VPLS, un paquete que se origina en la red de un proveedor de servicios se envía primero a un dispositivo de borde del cliente (CE) (por ejemplo, un enrutador o un conmutador Ethernet). Luego, se envía a un enrutador de borde de proveedor (PE) dentro de la red del proveedor de servicios. El paquete atraviesa la red del proveedor de servicios a través de una ruta de conmutación de etiquetas MPLS (LSP). Llega al enrutador de PE de salida, que luego reenvía el tráfico al dispositivo CE en el sitio del cliente de destino.

Nota:

En la documentación de VPLS, el enrutador de palabras en términos como enrutador pe se utiliza para hacer referencia a cualquier dispositivo que proporcione funciones de enrutamiento.

La diferencia es que, para VPLS, los paquetes pueden atravesar la red del proveedor de servicios de manera de punto a multipunto, lo que significa que un paquete que se origina en un dispositivo CE se puede transmitir a todos los enrutadores de PE que participan en una instancia de enrutamiento VPLS. Por el contrario, una VPN de capa 2 reenvía paquetes solo de manera punto a punto.

Las rutas que transportan tráfico VPLS entre cada enrutador de PE que participa en una instancia de enrutamiento se denominan pseudocables. Los pseudocables se señalizan mediante BGP o LDP.

Ejemplo: Uso de sistemas lógicos para configurar enrutadores de borde y proveedor de proveedores en un escenario VPN y VPLS de capa 3

En este ejemplo, se proporcionan procedimientos paso a paso para configurar enrutadores de borde de proveedor (PE) y de proveedor (P) en un escenario VPN y VPLS mediante sistemas lógicos.

Requisitos

En este ejemplo, no se requiere ninguna configuración especial más allá de la inicialización del dispositivo.

Visión general

En este ejemplo, las VPN se utilizan para separar el tráfico del cliente a través de una red troncal del proveedor.

Topología

La figura 1 muestra cuatro pares de enrutadores CE conectados a través de una red troncal MPLS:

  • Los enrutadores CE1 y CE5 forman parte de la VPN roja.

  • Los enrutadores CE2 y CE6 están en la VPN azul.

  • Los enrutadores CE3 y CE7 pertenecen a un dominio VPLS.

  • Los enrutadores CE4 y CE8 están conectados con protocolos estándar.

Dos sistemas lógicos se configuran en los enrutadores PE1 y PE2 y en el enrutador de núcleo del proveedor P0. Cada uno de estos tres enrutadores tiene dos sistemas lógicos: LS1 y LS2. Para ilustrar el concepto de un sistema lógico, ambas VPN forman parte del sistema lógico LS1, la instancia VPLS pertenece al sistema lógico LS2 y los enrutadores restantes utilizan la parte principal del enrutador de los enrutadores PE1, P0 y PE2.

Figura 1: Diagrama de topología de sistema lógico de proveedor de borde y proveedor Provider Edge and Provider Logical System Topology Diagram

En el enrutador PE1, se crean dos instancias de enrutamiento y reenvío vpn (VRF) en el sistema lógico LS1. Las instancias de enrutamiento se denominan rojas y azules. El ejemplo configura las interfaces lógicas orientadas al borde del cliente (CE) para que el tráfico del enrutador CE1 se coloque en la VPN roja y el tráfico del enrutador CE2 se coloque en la VPN azul. Una interfaz lógica en fe-0/0/1.1 se conecta al sistema lógico LS1 en el enrutador P0. Una instancia de enrutamiento VPLS está en el sistema lógico LS2. La interfaz lógica se configura de modo que el tráfico del enrutador CE3 se envíe al dominio VPLS. Esta interfaz lógica se conecta al sistema lógico LS2 en el enrutador P0. El ejemplo también contiene un administrador para Logical System LS1. El administrador del sistema lógico es responsable del mantenimiento de este sistema lógico. Por último, el ejemplo muestra cómo configurar una interfaz lógica para interconectar el enrutador CE4 con la parte principal del enrutador PE1.

El enrutador PE2 tiene las dos instancias de enrutamiento VRF en el sistema lógico LS1: rojo y azul. Las interfaces lógicas orientadas a CE permiten que el tráfico del enrutador CE5 se coloque en la VPN roja y el tráfico del enrutador CE6 en la VPN azul. Una interfaz lógica en so-1/2/0.1 se conecta al sistema lógico LS1 en el enrutador P0. La instancia de enrutamiento VPLS está configurada en el sistema lógico LS2. Una interfaz lógica permite que el tráfico del enrutador CE7 se envíe al dominio VPLS y se conecte al sistema lógico LS2 en el enrutador P0. En el ejemplo se muestra cómo configurar una interfaz lógica para interconectar el ENRUTADOR CE8 con la parte principal del enrutador P0. Por último, opcionalmente, puede crear un administrador de sistema lógico que tenga privilegios de configuración para el sistema lógico LS1 y privilegios de visualización para el sistema lógico LS2.

En el enrutador P0, el ejemplo muestra cómo configurar los sistemas lógicos LS1, LS2 y el enrutador principal. Debe configurar las propiedades de interfaz física en el nivel de jerarquía del enrutador [edit interfaces] principal. A continuación, en el ejemplo se muestra cómo configurar protocolos (como RSVP, MPLS, BGP e IS-IS), opciones de enrutamiento y opciones de política para los sistemas lógicos. Por último, en el ejemplo se muestra cómo configurar el mismo administrador para el sistema lógico LS1 configurado en el enrutador PE1. Este administrador del sistema para Logical System LS2 tiene permiso para ver la configuración de LS2, pero no para cambiar la configuración de Logical System LS2.

El sistema lógico LS1 transporta tráfico para la VPN roja que existe entre los enrutadores CE1 y CE5. El sistema lógico LS1 también conecta la VPN azul que existe entre los enrutadores CE2 y CE6. El sistema lógico LS2 transporta tráfico VPLS entre los enrutadores CE3 y CE7. Para el enrutador principal en el enrutador P0, puede configurar el enrutador como de costumbre. El enrutador principal transporta tráfico entre los enrutadores CE4 y CE8. En el ejemplo se muestra cómo configurar las interfaces y los protocolos de enrutamiento (OSPF, BGP) para conectarse a la parte principal del enrutador de los enrutadores PE1 y PE2.

Configuración

Para configurar los enrutadores PE y P en sistemas lógicos, es necesario realizar las siguientes tareas:

Configuración de interfaces en los dispositivos de borde del cliente

Procedimiento paso a paso

En el ejemplo siguiente, debe navegar por varios niveles en la jerarquía de configuración. Para obtener información acerca de cómo navegar por la CLI, consulte Uso del editor de CLI en el modo de configuración en la Guía del usuario de la CLI.

  1. En el enrutador CE1, configure OSPF para conectarse a la VPN roja en el sistema lógico LS1 en el enrutador PE1.

  2. En el enrutador CE2, configure el BGP para conectarse a la VPN azul en el sistema lógico LS1 en el enrutador PE1.

  3. En el enrutador CE3, configure la interfaz Fast Ethernet en la VLAN 600 para conectarse con la instancia de enrutamiento VPLS en el sistema lógico LS2 en el enrutador PE1.

  4. En el enrutador CE4, configure la interfaz Fast Ethernet para conectarse con el enrutador principal en el enrutador PE1.

  5. En el enrutador CE5, configure OSPF para conectarse a la VPN roja en el sistema lógico LS1 en el enrutador PE2.

  6. En el enrutador CE6, configure el BGP para conectarse a la VPN azul en el sistema lógico LS1 en el enrutador PE2.

  7. En el enrutador CE7, configure la interfaz Fast Ethernet en la VLAN 600 para conectarse con la instancia de enrutamiento VPLS en el sistema lógico LS2 en el enrutador PE2.

  8. En el enrutador CE8, configure la interfaz Fast Ethernet para conectarse con el enrutador principal en el enrutador PE2.

Configuración del enrutador PE1

Procedimiento paso a paso
  1. Configure el enrutador principal en el enrutador PE1.

  2. Configure el sistema lógico LS1 en el enrutador PE1.

  3. Configure el sistema lógico LS2 en el enrutador PE1.

Configuración del enrutador PE2

Procedimiento paso a paso
  1. Configure el enrutador principal en el enrutador PE2.

  2. Configure el sistema lógico LS1 en el enrutador PE2.

  3. Configure el sistema lógico LS2 en el enrutador PE2.

Configuración del enrutador P0

Procedimiento paso a paso
  1. Configure el enrutador principal en el enrutador P0.

  2. Configure el sistema lógico LS1 en el enrutador P0.

  3. Configure el sistema lógico LS2 en el enrutador P0.

Resultados

En el enrutador CE1, configure OSPF para conectarse a la VPN roja en el sistema lógico LS1 en el enrutador PE1:

Enrutador CE1

En el enrutador CE2, configure el BGP para conectarse a la VPN azul en el sistema lógico LS1 en el enrutador PE1:

Enrutador CE2

En el enrutador CE3, configure la interfaz Fast Ethernet en la VLAN 600 para conectarse con la instancia de enrutamiento VPLS en el sistema lógico LS2 en el enrutador PE1:

Enrutador CE3

En el enrutador CE4, configure la interfaz Fast Ethernet para conectarse con el enrutador principal en el enrutador PE1:

Enrutador CE4

En el enrutador PE1, cree dos instancias de enrutamiento y reenvío VPN (VRF) en el sistema lógico LS1: rojo y azul. Configure las interfaces lógicas orientadas a CE para que el tráfico del enrutador CE1 se coloque en la VPN roja, y el tráfico del enrutador CE2 se coloque en la VPN azul. A continuación, cree una interfaz lógica en fe-0/0/1.1 para conectarse al sistema lógico LS1 en el enrutador P0.

También en el enrutador PE1, cree una instancia de enrutamiento VPLS en el sistema lógico LS2. Configure una interfaz lógica para que el tráfico del enrutador CE3 se envíe al dominio VPLS y se conecte al sistema lógico LS2 en el enrutador P0.

Cree un administrador para el sistema lógico LS1. El administrador del sistema lógico puede ser responsable del mantenimiento de este sistema lógico.

Por último, configure una interfaz lógica para interconectar el enrutador CE4 con la parte principal del enrutador P0.

Enrutador PE1

En el enrutador P0, configure Logical Systems LS1, LS2 y el enrutador principal. Para el sistema lógico, debe configurar propiedades de interfaz física en el nivel de jerarquía del enrutador [edit interfaces] principal y asignar las interfaces lógicas a los sistemas lógicos. A continuación, debe configurar protocolos (como RSVP, MPLS, BGP e IS-IS), opciones de enrutamiento y opciones de política para los sistemas lógicos. Por último, configure el mismo administrador para el sistema lógico LS1 que configuró en el enrutador PE1. Configure este mismo administrador para el sistema lógico LS2 para tener permiso para ver la configuración de LS2, pero no cambiar la configuración para LS2.

En este ejemplo, el sistema lógico LS1 transporta tráfico para la VPN roja que existe entre los enrutadores CE1 y CE5. El sistema lógico LS1 también conecta la VPN azul que existe entre los enrutadores CE2 y CE6. El sistema lógico LS2 transporta tráfico VPLS entre los enrutadores CE3 y CE7.

Para el enrutador principal en el enrutador P0, puede configurar el enrutador como de costumbre. En este ejemplo, el enrutador principal transporta tráfico entre los enrutadores CE4 y CE8. Como resultado, configure las interfaces y los protocolos de enrutamiento (OSPF, BGP) para conectarse a la parte principal del enrutador de los enrutadores PE1 y PE2.

Enrutador P0

En el enrutador PE2, cree dos instancias de enrutamiento VRF en el sistema lógico LS1: rojo y azul. Configure las interfaces lógicas orientadas a CE para que el tráfico del enrutador CE5 se coloque en la VPN roja y el tráfico del enrutador CE6 se coloque en la VPN azul. A continuación, cree una interfaz lógica en so-1/2/0.1 para conectarse al sistema lógico LS1 en el enrutador P0.

También en el enrutador PE2, cree una instancia de enrutamiento VPLS en el sistema lógico LS2. Configure una interfaz lógica para que el tráfico del enrutador CE7 se envíe al dominio VPLS y se conecte al sistema lógico LS2 en el enrutador P0.

Configure una interfaz lógica para interconectar el CE8 del enrutador con la parte principal del enrutador P0.

Por último, opcionalmente, puede crear un administrador de sistema lógico que tenga privilegios de configuración para el sistema lógico LS1 y privilegios de visualización para el sistema lógico LS2.

PE2 del enrutador

En el enrutador CE5, configure OSPF para conectarse a la VPN roja en el sistema lógico LS1 en el enrutador PE2:

Enrutador CE5

En el enrutador CE6, configure el BGP para conectarse a la VPN azul en el sistema lógico LS1 en el enrutador PE2:

Enrutador CE6

En el enrutador CE7, configure la interfaz Fast Ethernet en la VLAN 600 para conectarse con la instancia de enrutamiento VPLS en el sistema lógico LS2 en el enrutador PE2:

Enrutador CE7

En el enrutador CE8, configure la interfaz Fast Ethernet para conectarse con el enrutador principal en el enrutador PE2:

Enrutador CE8

Verificación

Confirme que la configuración funciona correctamente ejecutando estos comandos:

  • muestra el resumen del bgp (sistema logical-system-namelógico)

  • show isis adyacencia (sistema logical-system-namelógico)

  • muestra mpls lsp (sistema logical-system-namelógico)

  • muestra (ospf | ospf3) vecino (sistema logical-system-namelógico)

  • mostrar ruta (sistema logical-system-namelógico)

  • muestra el protocolo de ruta (sistema logical-system-namelógico)

  • muestra la sesión rsvp (sistema logical-system-namelógico)

En las siguientes secciones se muestra el resultado de los comandos utilizados con el ejemplo de configuración:

Estado del enrutador CE1

Propósito

Verifique la conectividad.

Acción

Estado del enrutador CE2

Propósito

Verifique la conectividad.

Acción

Estado del enrutador CE3

Propósito

Verifique la conectividad.

Acción

Estado del ENRUTADOR PE1: Enrutador principal

Propósito

Verifique la operación del BGP.

Acción

Estado del ENRUTADOR PE1: Sistema lógico LS1

Propósito

Verifique la operación del BGP.

Acción

VPN roja

El administrador principal o el administrador del sistema lógico pueden emitir el siguiente comando para ver el resultado de un sistema lógico específico.

VPN azul

El administrador principal o el administrador del sistema lógico pueden emitir el siguiente comando para ver el resultado de un sistema lógico específico.

Estado del ENRUTADOR PE1: Sistema lógico LS2

Propósito

Verifique la operación VPLS.

Acción

Estado del enrutador P0: Enrutador principal

Propósito

Verifique la conectividad.

Acción

Estado del enrutador P0: Enrutador principal

Propósito

Verifique la operación de los protocolos de enrutamiento.

Acción

Estado del enrutador P0: sistema lógico LS1

Propósito

Verifique la operación de los protocolos de enrutamiento.

Acción

Estado del enrutador P0: sistema lógico LS2

Propósito

Verifique la operación de los protocolos de enrutamiento.

Acción

Estado del PE2 del enrutador: enrutador principal

Propósito

Verifique la operación de los protocolos de enrutamiento.

Acción

Estado del ENRUTADOR PE2: Sistema lógico LS1

Propósito

Verifique la operación de los protocolos de enrutamiento.

Acción

VPN roja

VPN azul

Estado del ENRUTADOR PE2: Sistema lógico LS2

Propósito

Verifique la operación de los protocolos de enrutamiento.

Acción

Estado del enrutador CE5

Propósito

Verifique la conectividad.

Acción

Estado del enrutador CE6

Propósito

Verifique la conectividad.

Acción

Estado del enrutador CE7

Propósito

Verifique la conectividad.

Acción

Resultado de la verificación del administrador del sistema lógico

Propósito

Dado que los administradores de sistemas lógicos solo tienen acceso a la información de configuración de los sistemas lógicos a los que se les asigna, el resultado de la verificación también se limita a estos sistemas lógicos. En el siguiente resultado se muestra lo que vería el administrador del sistema lógico LS1-admin en esta configuración de ejemplo.

Para comprobar que cada par de enrutadores CE tiene conectividad de extremo a extremo, ejecute el ping comando en los enrutadores CE1, CE2 y CE3:

Acción

Del CE1, ping CE5 (el VPN rojo).

Del CE2, haga ping al CE6 (la VPN azul).

Del CE3, ping CE7 (el VPLS).