Túneles dinámicos basados en el siguiente salto
Ejemplo: Configuración de túneles dinámicos MPLS a través de UDP basados en el siguiente salto
En este ejemplo se muestra cómo configurar un túnel dinámico MPLS a través de UDP que incluye un próximo salto compuesto de túnel. La función MPLS a través de UDP proporciona una ventaja de escala en el número de túneles IP admitidos en un dispositivo.
A partir de Junos OS versión 18.3R1, los túneles MPLS a través de UDP son compatibles con los enrutadores de la serie PTX y los conmutadores de la serie QFX. Para cada túnel dinámico configurado en un enrutador PTX o un conmutador QFX, se crea un siguiente salto compuesto de túnel, un salto siguiente indirecto y un siguiente salto de reenvío para resolver la ruta de destino del túnel. También puede usar el control de políticas para resolver el túnel dinámico sobre prefijos seleccionados incluyendo la instrucción de configuración forwarding-rib en el nivel de [edit routing-options dynamic-tunnels] jerarquía.
Requisitos
En este ejemplo, se utilizan los siguientes componentes de hardware y software:
-
Cinco enrutadores de la serie MX con MPC y MIC.
-
Junos OS versión 16.2 o posterior ejecutándose en los enrutadores perimetrales del proveedor (PE).
Antes de empezar:
-
Configure las interfaces de dispositivo, incluida la interfaz de circuito cerrado.
-
Configure el ID del enrutador y el número de sistema autónomo del dispositivo.
-
Establezca una sesión interna de BGP (IBGP) con el dispositivo de PE remoto.
-
Establezca un emparejamiento OSPF entre los dispositivos.
Descripción general
A partir de Junos OS versión 16.2, un túnel UDP dinámico admite la creación de un próximo salto compuesto de túnel para cada túnel UDP configurado. Estos túneles UDP dinámicos basados en el próximo salto se denominan túneles MPLS sobre UDP. El siguiente salto compuesto de túnel está habilitado de forma predeterminada para los túneles MPLS sobre UDP.
Los túneles MPLS sobre UDP pueden ser de naturaleza bidireccional o unidireccional.
-
Bidireccional: cuando los dispositivos PE se conectan a través de túneles MPLS a través de UDP en ambas direcciones, se denomina túnel MPLS sobre UDP bidireccional.
-
Unidireccional: cuando dos dispositivos PE están conectados a través del túnel MPLS sobre UDP en una dirección y a través de MPLS/IGP en la otra dirección, se denomina túnel MPLS sobre UDP unidireccional.
Los túneles MPLS a través de UDP unidireccionales se usan en escenarios de migración o en casos en los que dos dispositivos PE se proporcionan conectividad entre sí a través de dos redes separadas. Dado que no existe un túnel de dirección inversa para los túneles MPLS sobre UDP unidireccionales, debe configurar una desencapsulación MPLS sobre UDP basada en filtros en el dispositivo de PE remoto para reenviar el tráfico.
A partir de Junos OS versión 18.2R1, en enrutadores serie PTX y QFX10000 con túneles MPLS a través de UDP unidireccionales, debe configurar el dispositivo PE remoto con un filtro de entrada para paquetes MPLS sobre UDP y una acción para desencapsular los encabezados IP y UDP para reenviar los paquetes en la dirección inversa del túnel.
Por ejemplo, en el dispositivo de PE remoto, el dispositivo PE2, se requiere la siguiente configuración para los túneles MPLS a través de UDP unidireccionales:
PE2
[edit firewall filter] user@host# set Decap_Filter term udp_decap from protocol udp user@host# set Decap_Filter term udp_decap from destination-port 6635 user@host# set Decap_Filter term udp_decap then count UDP_PKTS user@host# set Decap_Filter term udp_decap then decapsulate mpls-in-udp user@host# set Decap_Filter term def then count def_pkt user@host# set Decap_Filter term def then accept
En la configuración de ejemplo anterior, Decap_Filter es el nombre del filtro de firewall utilizado para la desencapsulación MPLS-over-UDP. El término udp_decap es el filtro de entrada para aceptar paquetes UDP en la interfaz central del dispositivo PE2 y, a continuación, desencapsular los paquetes MPLS sobre UDP en paquetes MPLS sobre IP para reenviarlos.
Puede usar los comandos del modo operativo del firewall existente, por ejemplo show firewall filter , para ver la desencapsulación MPLS sobre UDP basada en filtros.
Por ejemplo:
user@host >show firewall filter Decap_Filter Filter: Decap_Filter Counters: Name Bytes Packets UDP_PKTS 16744 149 def_pkt 13049 136
Para túneles MPLS a través de UDP unidireccionales:
-
Solo se admite la dirección IPv4 como encabezado externo. La desencapsulación MPLS sobre UDP basada en filtros no admite la dirección IPv6 en el encabezado externo.
-
Solo se admite la instancia de enrutamiento predeterminada después de la desencapsulación.
A partir de Junos OS versión 17.1, en los enrutadores serie MX con MPC y MIC, se aumenta el límite de escala de los túneles MPLS a través de UDP.
A partir de la versión 19.2R1 de Junos, en los enrutadores serie MX con MPC y MIC, la arquitectura de operadora compatible con operadora (CSC) se puede implementar con túneles MPLS sobre UDP que transportan tráfico MPLS a través de túneles UDP IPv4 dinámicos que se establecen entre los dispositivos PE de la operadora compatibles. Con esta mejora, la ventaja de escalabilidad que proporcionaban los túneles MPLS sobre UDP aumenta aún más. La compatibilidad de CSC con túnel MPLS a través de UDP no es compatible con el túnel UDP IPv6.
La característica de túnel dinámico existente requiere una configuración estática completa. Actualmente, se ignora la información del túnel recibida de los dispositivos del mismo nivel en las rutas anunciadas. A partir de Junos OS versión 17.4R1, en los enrutadores de la serie MX, los túneles dinámicos MPLS a través de UDP basados en el siguiente salto se señalizan mediante la comunidad extendida de encapsulación BGP. La política de exportación de BGP se utiliza para especificar los tipos de túnel, anunciar la información del túnel del lado del remitente, y analizar y transmitir la información del túnel del lado del receptor. Se crea un túnel de acuerdo con la comunidad de túneles de tipo recibido.
BGP admite múltiples encapsulaciones de túnel. Al recibir varias capacidades, se crea el túnel dinámico basado en el salto siguiente en función de la política de BGP configurada y las preferencias de túnel. La preferencia de túnel debe ser coherente en ambos extremos del túnel para que se configure el túnel. De forma predeterminada, se prefiere el túnel MPLS sobre UDP sobre los túneles GRE. Si existe una configuración de túnel dinámico, tiene prioridad sobre la comunidad de túneles recibidos.
Al configurar un túnel MPLS a través de UDP dinámico basado en el siguiente salto, tenga en cuenta las siguientes consideraciones:
-
Se debe configurar una sesión de IBGP entre los dispositivos PE.
-
Se permite un cambio entre las encapsulaciones de túnel dinámico basadas en el próximo salto (UDP y GRE), lo que puede afectar al rendimiento de la red en términos de los valores de escala de túnel IP admitidos en cada modo.
-
Tener tipos de encapsulación de túnel dinámico basados en el próximo salto GRE y UDP para el mismo destino de túnel conduce a un error de confirmación.
-
Para túneles MPLS a través de UDP unidireccionales, debe configurar explícitamente la desencapsulación MPLS sobre UDP basada en filtros en el dispositivo PE remoto para que los paquetes se reenvíen.
-
El cambio de motor de enrutamiento correcto (GRES) es compatible con MPLS-over-UDP, y los indicadores de tipo de túnel MPLS-over-UDP son compatibles con ISSU y NSR unificados.
-
Los túneles MPLS a través de UDP son compatibles con MX virtual (vMX) en modo Lite.
-
Los túneles MPLS sobre UDP admiten la creación de túneles GRE dinámicos basados en los próximos saltos IPv6 mapeados IPv4.
-
Los túneles MPLS sobre UDP son compatibles con la interoperabilidad con la estela, en la que los túneles MPLS sobre UDP se crean desde el contrail vRouter a una puerta de enlace MX. Para habilitar esto, se requiere que la siguiente comunidad se anuncie en la ruta desde el enrutador de la serie MX al enrutador contrail vRouter:
[edit policy-options community] udp members 0x030c:64512:13;
En un momento dado, solo se admite un tipo de túnel en el enrutador virtual contrail: túneles GRE dinámicos basados en el próximo salto, túneles MPLS sobre UDP o VXLAN.
-
Las siguientes características no son compatibles con la configuración de túnel MPLS a través de UDP dinámica basada en el próximo salto:
-
RSVP malla automática
-
Configuración de túnel GRE y UDP IPV6 simple
-
Sistemas lógicos
-
Topología
Figura 1 ilustra un escenario de VPN de capa 3 sobre túneles MPLS dinámicos a través de UDP. Los dispositivos perimetrales del cliente (CE), CE1 y CE2, se conectan a los dispositivos perimetrales del proveedor (PE), PE1 y PE2, respectivamente. Los dispositivos PE están conectados a un dispositivo de proveedor (dispositivo P1) y una sesión interna de BGP (IBGP) interconecta los dos dispositivos de PE. Se configura un túnel dinámico MPL a través de UDP bidireccional basado en el siguiente salto entre los dispositivos PE.
El túnel MPLS-over-UDP se maneja de la siguiente manera:
-
Después de configurar un túnel MPLS a través de UDP, se crea una ruta de máscara de destino de túnel con un próximo salto compuesto de túnel para el túnel en la tabla de enrutamiento inet.3. Esta ruta de túnel IP solo se retira cuando se elimina la configuración del túnel dinámico.
Entre los atributos del próximo salto compuesto de túnel se incluyen los siguientes:
-
Cuando el siguiente salto compuesto de VPN de capa 3 está deshabilitado: dirección de origen y destino, cadena de encapsulación y etiqueta VPN.
-
Cuando la asignación de etiquetas VPN compuesta por el siguiente salto y por prefijo de la VPN de capa 3 está habilitada: dirección de origen, dirección de destino y cadena de encapsulación.
-
Cuando se habilita el siguiente salto compuesto de VPN de capa 3 y se deshabilita la asignación de etiquetas VPN por prefijo: dirección de origen, dirección de destino y cadena de encapsulación. En este caso, la ruta se agrega a la otra tabla de instancia de enrutamiento y reenvío virtual con una ruta secundaria.
-
-
Los dispositivos PE se interconectan mediante una sesión de IBGP. La ruta del IBGP del siguiente salto a un vecino remoto del BGP es el protocolo del siguiente salto, que se resuelve mediante la ruta de la máscara de túnel con el siguiente salto del túnel.
-
Después de que el protocolo del siguiente salto se resuelve sobre el siguiente salto compuesto del túnel, se crean los siguientes saltos indirectos con los siguientes saltos de reenvío.
-
El siguiente salto compuesto de túnel se utiliza para reenviar los siguientes saltos de los siguientes saltos indirectos.
Configuración
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía [edit] y, luego, ingrese commit desde el modo de configuración.
CE1
set interfaces ge-0/0/0 unit 0 family inet address 10.0.0.1/8 set interfaces lo0 unit 0 family inet address 10.127.0.1/32 set routing-options router-id 10.127.0.1 set routing-options autonomous-system 65200 set protocols bgp group ce1-pe1 export export-loopback-direct set protocols bgp group ce1-pe1 peer-as 100 set protocols bgp group ce1-pe1 neighbor 10.0.0.2 set policy-options policy-statement export-loopback-direct term term-1 from interface lo0.0 set policy-options policy-statement export-loopback-direct term term-1 from route-filter 10.127.0.1/32 exact set policy-options policy-statement export-loopback-direct term term-1 then accept
CE2
set interfaces ge-0/0/0 unit 0 family inet address 203.0.113.2/24 set interfaces lo0 unit 0 family inet address 10.127.0.5/32 set routing-options router-id 10.127.0.5 set routing-options autonomous-system 65200 set protocols bgp group ce1-pe1 export export-loopback-direct set protocols bgp group ce1-pe1 peer-as 65100 set protocols bgp group ce1-pe1 neighbor 203.0.113.1 set policy-options policy-statement export-loopback-direct term term-1 from interface lo0.0 set policy-options policy-statement export-loopback-direct term term-1 from route-filter 10.127.0.5/32 exact set policy-options policy-statement export-loopback-direct term term-1 then accept
PE1
set interfaces ge-0/0/0 unit 0 family inet address 10.0.0.2/8 set interfaces ge-0/0/1 unit 0 family inet address 192.0.2.1/24 set interfaces ge-0/0/1 unit 0 family mpls set interfaces lo0 unit 0 family inet address 10.127.0.2/32 set routing-options static route 10.33.0/16 next-hop 192.0.2.2 set routing-options router-id 10.127.0.2 set routing-options autonomous-system 65100 set routing-options forwarding-table export pplb set routing-options dynamic-tunnels gre next-hop-based-tunnel set routing-options dynamic-tunnels udp-dyn-tunnel-to-pe2 source-address 10.127.0.2 set routing-options dynamic-tunnels udp-dyn-tunnel-to-pe2 udp set routing-options dynamic-tunnels udp-dyn-tunnel-to-pe2 destination-networks 10.127.0.0/24 set protocols bgp group IBGP type internal set protocols bgp group IBGP local-address 10.127.0.2 set protocols bgp group IBGP family inet-vpn unicast set protocols bgp group IBGP neighbor 10.127.0.4 set protocols ospf area 0.0.0.0 interface ge-0/0/1.0 set protocols ospf area 0.0.0.0 interface lo0.0 passive set routing-instances MPLS-over-UDP-PE1 instance-type vrf set routing-instances MPLS-over-UDP-PE1 interface ge-0/0/0.0 set routing-instances MPLS-over-UDP-PE1 route-distinguisher 10.127.0.2:1 set routing-instances MPLS-over-UDP-PE1 vrf-target target:600:1 set routing-instances MPLS-over-UDP-PE1 protocols bgp group pe1-ce1 peer-as 65200 set routing-instances MPLS-over-UDP-PE1 protocols bgp group pe1-ce1 neighbor 10.0.0.1 as-override
P1
set interfaces ge-0/0/0 unit 0 family inet address 192.0.2.2/24 set interfaces ge-0/0/0 unit 0 family mpls set interfaces ge-0/0/1 unit 0 family inet address 198.51.100.1/24 set interfaces ge-0/0/1 unit 0 family mpls set interfaces lo0 unit 0 family inet address 10.127.0.3/32 set routing-options router-id 10.127.0.3 set routing-options autonomous-system 65100 set protocols ospf area 0.0.0.0 interface ge-0/0/0.0 set protocols ospf area 0.0.0.0 interface ge-0/0/1.0 set protocols ospf area 0.0.0.0 interface lo0.0 passive
PE2
set interfaces ge-0/0/0 unit 0 family inet address 203.0.113.1/24 set interfaces ge-0/0/1 unit 0 family inet address 198.51.100.2/24 set interfaces ge-0/0/1 unit 0 family mpls set interfaces lo0 unit 0 family inet address 10.127.0.4/8 set routing-options nonstop-routing set routing-options router-id 10.127.0.4 set routing-options autonomous-system 65100 set routing-options forwarding-table export pplb set routing-options dynamic-tunnels udp-dyn-tunnel-to-pe1 source-address 10.127.0.4 set routing-options dynamic-tunnels udp-dyn-tunnel-to-pe1 udp set routing-options dynamic-tunnels udp-dyn-tunnel-to-pe1 destination-networks 10.127.0.0/24 set protocols bgp group IBGP type internal set protocols bgp group IBGP local-address 10.127.0.4 set protocols bgp group IBGP family inet-vpn unicast set protocols bgp group IBGP neighbor 10.127.0.2 set protocols ospf area 0.0.0.0 interface ge-0/0/1.0 set protocols ospf area 0.0.0.0 interface lo0.0 passive set routing-instances MPLS-over-UDP-PE2 instance-type vrf set routing-instances MPLS-over-UDP-PE2 interface ge-0/0/0.0 set routing-instances MPLS-over-UDP-PE2 route-distinguisher 10.127.0.4:1 set routing-instances MPLS-over-UDP-PE2 vrf-target target:600:1 set routing-instances MPLS-over-UDP-PE2 protocols bgp group ebgp peer-as 65200 set routing-instances MPLS-over-UDP-PE2 protocols bgp group ebgp neighbor 203.0.113.2 as-override
Procedimiento
Procedimiento paso a paso
El ejemplo siguiente requiere que navegue por varios niveles en la jerarquía de configuración. Para obtener información acerca de cómo navegar por la CLI, consulte Uso del editor de CLI en modo de configuración en la Guía del usuario de CLI.
Para configurar el dispositivo PE1:
-
Configure las interfaces del dispositivo, incluida la interfaz de circuito cerrado del dispositivo.
[edit interfaces] user@PE1# set ge-0/0/0 unit 0 family inet address 10.0.0.2/8 user@PE1# set ge-0/0/1 unit 0 family inet address 192.0.2.1/24 user@PE1# set ge-0/0/1 unit 0 family mpls user@PE1# set lo0 unit 0 family inet address 10.127.0.2/8
-
Configure una ruta estática para las rutas del dispositivo PE1 con el dispositivo P1 como destino del próximo salto.
[edit routing-options] user@PE1# set static route 10.33.0.0/16 next-hop 192.0.2.2
-
Configure el ID del enrutador y el número de sistema autónomo para el dispositivo PE1.
[edit routing-options] user@PE1# set router-id 10.127.0.2 user@PE1# set autonomous-system 65100
-
(Solo serie PTX) Configure el control de políticas para resolver la ruta del túnel dinámico MPLS a través de UDP sobre prefijos seleccionados.
[edit routing-options dynamic-tunnels] user@PTX-PE1# set forwarding-rib inet.0 inet-import dynamic-tunnel-fwd-route-import
-
(Solo serie PTX) Configure la política de importación de inet para resolver rutas de destino de túnel dinámico a través de .
[edit policy-options] user@PTX-PE1# set policy-statement dynamic-tunnel-fwd-route-import term 1 from route-filter 10.127.0.4/32 exact user@PTX-PE1# set policy-statement dynamic-tunnel-fwd-route-import term 1 then accept user@PTX-PE1# set policy-options policy-statement dynamic-tunnel-fwd-route-import then reject
-
Configure el emparejamiento de IBGP entre los dispositivos PE.
[edit protocols] user@PE1# set bgp group IBGP type internal user@PE1# set bgp group IBGP local-address 10.127.0.2 user@PE1# set bgp group IBGP family inet-vpn unicast user@PE1# set bgp group IBGP neighbor 10.127.0.4
-
Configure OSPF en todas las interfaces del dispositivo PE1, excluyendo la interfaz de administración.
[edit protocols] user@PE1# set ospf area 0.0.0.0 interface ge-0/0/1.0 user@PE1# set ospf area 0.0.0.0 interface lo0.0 passive
-
Habilite la configuración del túnel GRE dinámico basado en el próximo salto en el dispositivo PE1.
Nota:Este paso solo es necesario para ilustrar la diferencia de implementación entre los túneles GRE dinámicos basados en el próximo salto y los túneles MPLS sobre UDP.
[edit routing-options] user@PE1# set dynamic-tunnels gre next-hop-based-tunnel
-
Configure los parámetros del túnel MPLS sobre UDP del dispositivo PE1 al dispositivo PE2.
[edit routing-options] user@PE1# set dynamic-tunnels udp-dyn-tunnel-to-pe2 source-address 10.127.0.2 user@PE1# set dynamic-tunnels udp-dyn-tunnel-to-pe2 udp user@PE1# set dynamic-tunnels udp-dyn-tunnel-to-pe2 destination-networks 10.127.0.0/24
-
Configure una instancia de enrutamiento VRF en el dispositivo PE1 y otros parámetros de instancia de enrutamiento.
[edit routing-instances] user@PE1# set MPLS-over-UDP-PE1 instance-type vrf user@PE1# set MPLS-over-UDP-PE1 interface ge-0/0/0.0 user@PE1# set MPLS-over-UDP-PE1 route-distinguisher 10.127.0.2:1 user@PE1# set MPLS-over-UDP-PE1 vrf-target target:600:1
-
Habilite BGP en la configuración de la instancia de enrutamiento para emparejamiento con el dispositivo CE1.
[edit routing-instances] user@PE1# set MPLS-over-UDP-PE1 protocols bgp group pe1-ce1 peer-as 65200 user@PE1# set MPLS-over-UDP-PE1 protocols bgp group pe1-ce1 neighbor 10.0.0.1 as-override
Resultados
Desde el modo de configuración, ingrese los comandos show interfaces, show routing-options, show protocols y show routing-instances para confirmar la configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones en este ejemplo para corregir la configuración.
user@PE1# show interfaces
ge-0/0/0 {
unit 0 {
family inet {
address 10.0.0.2/8;
}
}
}
ge-0/0/1 {
unit 0 {
family inet {
address 192.0.2.1/24;
}
family mpls;
}
}
lo0 {
unit 0 {
family inet {
address 10.127.0.2/32;
}
}
}
user@PE1# show routing-options
static {
route 10.33.0.0/16 next-hop 192.0.2.2;
}
router-id 10.127.0.2;
autonomous-system 65100;
forwarding-table {
export pplb;
}
dynamic-tunnels {
gre next-hop-based-tunnel;
udp-dyn-tunnel-to-pe2 {
source-address 10.127.0.2;
udp;
destination-networks {
10.127.0.0/24;
}
}
}
user@PE1# show protocols
bgp {
group IBGP {
type internal;
local-address 10.127.0.2;
family inet-vpn {
unicast;
}
neighbor 10.127.0.4;
}
}
ospf {
area 0.0.0.0 {
interface ge-0/0/1.0;
interface lo0.0 {
passive;
}
}
}
user@PE1# show routing-instances
MPLS-over-UDP-PE1 {
instance-type vrf;
interface ge-0/0/0.0;
route-distinguisher 10.127.0.2:1;
vrf-target target:600:1;
protocols {
bgp {
group pe1-ce1 {
peer-as 65200;
neighbor 10.0.0.1 {
as-override;
}
}
}
}
}
Cuando termine de configurar el dispositivo, ingrese commit en el modo de configuración.
Verificación
Confirme que la configuración funcione correctamente.
- Verificación de la conexión entre dispositivos PE
- Verificar las rutas de túnel dinámico en el dispositivo PE1
- Verificar las rutas de túnel dinámico en el dispositivo PE2
- Verificar que las rutas tengan el indicador indirecto esperado de próximo salto
Verificación de la conexión entre dispositivos PE
Propósito
Compruebe el estado de emparejamiento del BGP entre el dispositivo PE1 y el dispositivo PE2, y las rutas del BGP recibidas del dispositivo PE2.
Acción
Desde el modo operativo, ejecute los show bgp summary comandos y show route receive-protocol bgp ip-address table bgp.l3vpn.0 .
user@PE1> show bgp summary
Groups: 2 Peers: 2 Down peers: 0
Table Tot Paths Act Paths Suppressed History Damp State Pending
bgp.l3vpn.0
2 2 0 0 0 0
Peer AS InPkt OutPkt OutQ Flaps Last Up/Dwn State|#Active/Received/Accepted/Damped...
10.127.0.4 65100 139 136 0 0 58:23 Establ
bgp.l3vpn.0: 2/2/2/0
MPLS-over-UDP-PE1.inet.0: 2/2/2/0
10.10.0.1 65200 135 136 0 0 58:53 Establ
MPLS-over-UDP-PE1.inet.0: 1/1/1/0user@PE1> show route receive-protocol bgp 10.127.0.4 table bgp.l3vpn.0 bgp.l3vpn.0: 2 destinations, 2 routes (2 active, 0 holddown, 0 hidden) Prefix Nexthop MED Lclpref AS path 10.127.0.4:1:127.0.0.5/8 * 10.127.0.4 65100 65200 I
Significado
-
En la primera salida, el estado de sesión BGP es
Establ, lo que significa que la sesión está activa y los dispositivos PE están emparejados. -
En la segunda salida, el dispositivo PE1 aprendió una ruta BGP del dispositivo PE2.
Verificar las rutas de túnel dinámico en el dispositivo PE1
Propósito
Compruebe las rutas en la tabla de enrutamiento inet.3 y la información de la base de datos de túnel dinámico en el dispositivo PE1.
Acción
Desde el modo operativo, ejecute los show route table inet.3comandos , show dynamic-tunnels database terse, show dynamic-tunnels databasey show dynamic-tunnels database summary .
user@PE1> show route table inet.3
inet.3: 2 destinations, 2 routes (2 active, 0 holddown, 0 hidden)
+ = Active Route, - = Last Active, * = Both
10.127.0.0/24 *[Tunnel/300] 00:21:18
Tunnel
127.0.0.4/8 *[Tunnel/300] 00:21:18
Tunnel Compositeuser@PE1> show dynamic-tunnels database terse Table: inet.3 Destination-network: 10.127.0.0/24 Destination Source Next-hop Type Status 10.127.0.4/8 10.127.0.2 0xb395b10 nhid 613 udp Up
user@PE1> show dynamic-tunnels database
Table: inet.3
. . .
Tunnel to: 10.127.0.4/32
Reference count: 2
Next-hop type: UDP
Source address: 10.127.0.2 Tunnel Id: 2
Next hop: tunnel-composite, 0xb395b10, nhid 613
VPN Label: Push 299776 Reference count: 3
Traffic Statistics: Packets 0, Bytes 0
State: Upuser@PE1> show dynamic-tunnels database summary Dynamic Tunnels, Total 1 displayed GRE Tunnel: Active Tunnel Mode, Next Hop Base IFL Based, Total 0 displayed, Up 0, Down 0 Nexthop Based, Total 0 displayed, Up 0, Down 0 RSVP Tunnel: Total 0 displayed UDP Tunnel: Total 1 displayed, Up 1, Down 0
Significado
-
En el primer resultado, dado que el dispositivo PE1 está configurado con el túnel MPLS a través de UDP, se crea una ruta compuesta de túnel para la entrada de ruta de la tabla de enrutamiento inet.3.
-
En las salidas restantes, el túnel MPLS a través de UDP se muestra con el tipo de encapsulación del túnel, los parámetros del próximo salto del túnel y el estado del túnel.
Verificar las rutas de túnel dinámico en el dispositivo PE2
Propósito
Compruebe las rutas en la tabla de enrutamiento inet.3 y la información de la base de datos de túnel dinámico en el dispositivo PE2.
Acción
Desde el modo operativo, ejecute el comando y los show route table inet.3show dynamic-tunnels database terse comandos.
user@PE2> show route table inet.3
inet.3: 2 destinations, 2 routes (2 active, 0 holddown, 0 hidden)
+ = Active Route, - = Last Active, * = Both
10.127.0.0/24 *[Tunnel/300] 00:39:31
Tunnel
10.127.0.2/32 *[Tunnel/300] 00:24:53
Tunnel Compositeuser@PE1> show dynamic-tunnels database terse Table: inet.3 Destination-network: 127.0.0.0/8 Destination Source Next-hop Type Status 10.127.0.2/32 10.127.0.4 0xb395450 nhid 615 udp Up
Significado
Los resultados muestran la creación del túnel MPLS a través de UDP y el ID del salto siguiente asignado como interfaz del salto siguiente, similar al dispositivo PE1.
Verificar que las rutas tengan el indicador indirecto esperado de próximo salto
Propósito
Compruebe que los dispositivos PE1 y PE2 estén configurados para mantener el siguiente salto indirecto al enlace del siguiente salto de reenvío en la tabla de reenvío del motor de reenvío de paquetes.
Acción
Desde el modo operativo, ejecute el comando en los show krt indirect-next-hop dispositivos PE1 y PE2.
user@PE1> show krt indirect-next-hop
Indirect Nexthop:
Index: 1048574 Protocol next-hop address: 10.127.0.4
RIB Table: bgp.l3vpn.0
Label: Push 299776
Policy Version: 1 References: 1
Locks: 3 0xb2ab630
Flags: 0x0
INH Session ID: 0x0
INH Version ID: 0
Ref RIB Table: unknown
Tunnel type: UDP, Reference count: 3, nhid: 613
Destination address: 10.127.0.4, Source address: 10.127.0.2
Tunnel id: 2, VPN Label: Push 299776, TTL action: prop-ttl
IGP FRR Interesting proto count : 1
Chain IGP FRR Node Num : 1
IGP Resolver node(hex) : 0xb3c70dc
IGP Route handle(hex) : 0xb1ae688 IGP rt_entry protocol : Tunnel
IGP Actual Route handle(hex) : 0x0 IGP Actual rt_entry protocol : Anyuser@PE2> show krt indirect-next-hop
Indirect Nexthop:
Index: 1048575 Protocol next-hop address: 10.127.0.2
RIB Table: bgp.l3vpn.0
Label: Push 299776
Policy Version: 1 References: 2
Locks: 3 0xb2ab740
Flags: 0x0
INH Session ID: 0x0
INH Version ID: 0
Ref RIB Table: unknown
Tunnel type: UDP, Reference count: 3, nhid: 615
Destination address: 10.127.0.2, Source address: 10.127.0.4
Tunnel id: 1, VPN Label: Push 299776, TTL action: prop-ttl
IGP FRR Interesting proto count : 2
Chain IGP FRR Node Num : 1
IGP Resolver node(hex) : 0xb3d3a28
IGP Route handle(hex) : 0xb1ae634 IGP rt_entry protocol : Tunnel
IGP Actual Route handle(hex) : 0x0 IGP Actual rt_entry protocol : AnySignificado
Los resultados muestran que se crea un túnel MPLS sobre UDP dinámico basado en el siguiente salto entre los dispositivos PE.
Solución de problemas
Para solucionar problemas de los túneles dinámicos basados en el próximo salto, consulte:
Comandos de solución de problemas
Problema
La configuración del túnel MPLS a través de UDP dinámica basada en el siguiente salto no está surtiendo efecto.
Solución
Para solucionar problemas de la configuración del túnel MPLS a través de UDP basada en el salto siguiente, use los siguientes traceroute comandos en la jerarquía de instrucciones [edit routing-options dynamic-tunnels] :
-
traceoptions file file-name -
traceoptions file size file-size -
traceoptions flag all
Por ejemplo:
[edit routing-options dynamic-tunnels]
traceoptions {
file udp_dyn_pe1.wri size 4294967295;
flag all;
}
Descripción general de la protección antisuplantación de identidad para túneles dinámicos basados en el próximo salto
Con el aumento en el despliegue de túneles IP a gran escala en los centros de datos, es necesario agregar medidas de seguridad que permitan a los usuarios limitar el tráfico malicioso de las máquinas virtuales (VM) comprometidas. Un posible ataque es la inyección de tráfico en una VPN de cliente arbitraria desde un servidor comprometido a través del enrutador de puerta de enlace. En tales casos, las comprobaciones antisuplantación de identidad en túneles IP garantizan que solo las fuentes legítimas inyecten tráfico en los centros de datos desde sus túneles IP designados.
Los túneles IP dinámicos basados en el siguiente salto crean un túnel compuesto del siguiente salto para cada túnel dinámico creado en el dispositivo. Dado que los túneles dinámicos basados en el salto siguiente eliminan la dependencia de las interfaces físicas para cada nuevo túnel dinámico configurado, la configuración de túneles dinámicos basados en el salto siguiente proporciona una ventaja de escalabilidad sobre el número de túneles dinámicos que se pueden crear en un dispositivo. A partir de Junos OS versión 17.1, las capacidades anti-spoofing para túneles IP dinámicos basados en el próximo salto se proporcionan para túneles dinámicos basados en el salto siguiente. Con esta mejora, se implementa una medida de seguridad para evitar la inyección de tráfico en una VPN arbitraria del cliente desde un servidor comprometido a través del enrutador de puerta de enlace.
La suplantación de identidad se implementa mediante comprobaciones de reenvío de ruta inversa en el motor de reenvío de paquetes. Las comprobaciones se implementan para el tráfico que llega a través del túnel hacia la instancia de enrutamiento. Actualmente, cuando el enrutador de la puerta de enlace recibe tráfico de un túnel, solo se realiza la búsqueda de destino y el paquete se reenvía en consecuencia. Cuando la protección antisuplantación está habilitada, el enrutador de puerta de enlace también realiza una búsqueda de dirección de origen del encabezado IP del paquete de encapsulación en la VPN, además de la búsqueda de destino del túnel. Esto garantiza que las fuentes legítimas inyecten tráfico a través de sus túneles IP designados. Como resultado, la protección antisuplantación garantiza que el tráfico del túnel se reciba de una fuente legítima en los túneles designados.
Figura 2 Muestra una topología de ejemplo con los requisitos para la protección contra suplantación de identidad.
En este ejemplo, el enrutador de puerta de enlace es el enrutador G. El enrutador G tiene dos VPN: verde y azul. Los dos servidores, el servidor A y el servidor B, pueden llegar a las VPN verde y azul en el enrutador G a través de los túneles dinámicos T1 y T2 basados en el próximo salto, respectivamente. Varios hosts y máquinas virtuales (P, Q, R, S y T) conectados a los servidores pueden llegar a las VPN a través del enrutador de puerta de enlace, el enrutador G. El enrutador G tiene las tablas de enrutamiento y reenvío virtual (VRF) para VPN verdes y azules, cada una rellenada con la información de accesibilidad para las máquinas virtuales en esas VPN.
Por ejemplo, en VPN Green, el enrutador G utiliza el túnel T1 para llegar al host P, el túnel T2 para llegar a los hosts R y S, y el equilibrio de carga se realiza entre los túneles T1 y T2 para llegar al host de host múltiple Q. En VPN Blue, el enrutador G utiliza el túnel T1 para llegar a los hosts P y R, y el túnel T2 para llegar a los hosts Q y T.
La comprobación pasa por reenvío de ruta inversa cuando:
Un paquete proviene de una fuente legítima en su túnel designado.
El host P en VPN Green envía un paquete al host X mediante el túnel T1. Dado que el enrutador G puede llegar al host P a través del túnel T1, permite que el paquete pase y reenvíe el paquete al host X.
Un paquete proviene de un origen multihost en sus túneles designados.
El host Q en VPN Green es multihost en los servidores A y B, y puede llegar al enrutador G a través de los túneles T1 y T2. El host Q envía un paquete al host Y mediante el túnel T1 y un paquete al host X mediante el túnel T2. Debido a que el enrutador G puede llegar al host Q a través de los túneles T1 y T2, permite que los paquetes pasen y los reenvíe a los hosts Y y X, respectivamente.
Las VPN de capa 3 no tienen habilitada la protección antisuplantación de identidad de forma predeterminada. Para habilitar la suplantación de identidad para túneles dinámicos basados en el salto siguiente, incluya la ip-tunnel-rpf-check instrucción en el nivel jerárquico [edit routing-instances routing-instance-name routing-options forwarding-table] . La comprobación de reenvío de ruta inversa solo se aplica a la instancia de enrutamiento VRF. El modo predeterminado se establece en strict, donde el paquete que proviene de un origen en un túnel no designado no pasa la comprobación. El ip-tunnel-rpf-check modo se puede establecer como loose, donde la comprobación de reenvío de ruta inversa falla cuando el paquete proviene de una fuente inexistente. Se puede configurar un filtro de firewall opcional bajo la ip-tunnel-rpf-check instrucción para contar y registrar los paquetes que no superaron la comprobación de reenvío de ruta inversa.
La siguiente salida de ejemplo muestra una configuración antisuplantación de identidad:
[edit routing-instances routing-instance-name routing-options forwarding-table]
ip-tunnel-rpf-check {
mode loose;
fail-filter filter-name;
}
Tenga en cuenta las siguientes directrices cuando configure la protección contra suplantación de identidad para túneles dinámicos basados en el próximo salto:
La protección antisuplantación de identidad solo se puede habilitar para túneles IPv4 y tráfico de datos IPv4. Las capacidades anti-spoofing no son compatibles con túneles IPv6 ni con tráfico de datos IPv6.
La suplantación de identidad para túneles dinámicos basados en el próximo salto puede detectar y evitar una máquina virtual comprometida (comprobación de reenvío de ruta inversa de origen interno), pero no un servidor comprometido que suplantación de etiquetas.
Los túneles IP basados en el salto siguiente pueden originarse y terminar en una tabla de enrutamiento inet.0.
La protección antisuplantación de identidad es eficaz cuando la instancia de enrutamiento VRF tiene interfaces de conmutación de etiquetas (LSI) (mediante el
vrf-table-label) o interfaces de túnel virtual (VT). Conper-next-hoplabel en la instancia de enrutamiento VRF, no se admite la protección antisuplantación de identidad.El
rpf fail-filtersolo es aplicable al paquete IP interno.La habilitación de las comprobaciones antisuplantación de identidad no afecta al límite de escala de los túneles dinámicos basados en el salto siguiente en un dispositivo.
La utilización de recursos del sistema con la protección antisuplantación habilitada para la instancia de enrutamiento VRF es ligeramente superior a la utilización de túneles dinámicos basados en el salto siguiente sin la protección antisuplantación habilitada.
La protección antisuplantación requiere comprobaciones adicionales de la dirección IP de origen, lo que tiene un impacto mínimo en el rendimiento de la red.
El cambio de motor de enrutamiento elegante (GRES) y la actualización de software en servicio (ISSU) son compatibles con la protección antisuplantación de identidad.
Ejemplo: Configuración de la protección antisuplantación de identidad para túneles dinámicos basados en el salto siguiente
En este ejemplo se muestra cómo configurar las comprobaciones de reenvío de ruta inversa para la instancia de enrutamiento virtual de enrutamiento y reenvío (VRF) para habilitar la protección antisuplantación de identidad para túneles dinámicos basados en el salto siguiente. Las comprobaciones aseguran que las fuentes legítimas inyectan tráfico a través de sus túneles IP designados.
Requisitos
En este ejemplo, se utilizan los siguientes componentes de hardware y software:
Tres enrutadores de la serie MX con MIC, cada uno conectado a un dispositivo host.
Junos OS versión 17.1 o posterior ejecutándose en uno o todos los enrutadores.
Antes de empezar:
Habilite la configuración de servicios de túnel en el concentrador PIC flexible.
Configure las interfaces del enrutador.
Configure el ID del enrutador y asigne un número de sistema autónomo para el enrutador.
Establezca una sesión interna de BGP (IBGP) con los extremos del túnel.
Configure RSVP en todos los enrutadores.
Configure OSPF o cualquier otro protocolo de puerta de enlace interior en todos los enrutadores.
Configure dos túneles IP dinámicos basados en el próximo salto entre los dos enrutadores.
Configure una instancia de enrutamiento VRF para cada conexión de enrutador a host.
Descripción general
A partir de Junos OS versión 17.1, las capacidades antisuplantación de identidad se agregan a los túneles IP dinámicos basados en el próximo salto, donde se implementan comprobaciones del tráfico que llega a través del túnel a la instancia de enrutamiento mediante el reenvío de ruta inversa en el motor de reenvío de paquetes.
Actualmente, cuando el enrutador de puerta de enlace recibe tráfico de un túnel, solo se realiza la búsqueda de la dirección de destino antes del reenvío. Con la protección antisuplantación de identidad, el enrutador de puerta de enlace realiza una búsqueda de dirección de origen del encabezado IP del paquete de encapsulación en la VPN para asegurarse de que las fuentes legítimas inyectan tráfico a través de sus túneles IP designados. Esto se denomina modo estricto y es el comportamiento predeterminado de la protección anti-suplantación de identidad. Para pasar tráfico desde túneles no designados, la comprobación de reenvío de ruta inversa está habilitada en el modo de pérdida. Para el tráfico recibido de orígenes inexistentes, se produce un error en la comprobación del reenvío de ruta inversa tanto para los modos estrictos como para los sueltos.
La suplantación de identidad se admite en las instancias de enrutamiento VRF. Para habilitar la suplantación de identidad para túneles dinámicos, incluya la ip-tunnel-rpf-check instrucción en el nivel jerárquico [edit routing-instances routing-instance-name routing-options forwarding-table] .
Topología
Figura 3 Muestra un ejemplo de topología de red habilitada con protección antisuplantación de identidad. Los enrutadores R0, R1 y R2 están conectados a los hosts Host0, Host1 y Host2, respectivamente. Dos túneles dinámicos basados en el próximo salto de encapsulación de enrutamiento genérico (GRE), el túnel 1 y el túnel 2, conectan el enrutador R0 con los enrutadores R1 y R2, respectivamente. La instancia de enrutamiento VRF se ejecuta entre cada enrutador y sus dispositivos host conectados.
Tomando como ejemplo, se reciben tres paquetes (paquetes A, B y C) en el enrutador 0 desde el enrutador R2 a través del túnel GRE dinámico basado en el siguiente salto (túnel 2). La dirección IP de origen de estos paquetes es 172.17.0.2 (paquete A), 172.18.0.2 (paquete B) y 172.20.0.2 (paquete C).
La dirección IP de origen de los paquetes A y B pertenece al host 2 y al host 1, respectivamente. El paquete C es un túnel de origen inexistente. El túnel designado en este ejemplo es el túnel 2 y el túnel no designado es el túnel 1. Por lo tanto, los paquetes se procesan de la siguiente manera:
Packet A—Dado que el origen procede de un túnel designado (túnel 2), el paquete A pasa la comprobación de reenvío de ruta inversa y se procesa para su reenvío a través del túnel 2.
Packet B—Dado que el origen proviene del túnel 1, que es un túnel no desinado, el paquete B no supera de forma predeterminada la comprobación de reenvío de ruta inversa en el modo estricto. Si el modo flexible está habilitado, se permite el reenvío del paquete B.
Packet C: dado que el origen es un origen de túnel inexistente, el paquete C no supera la comprobación de reenvío de ruta inversa y el paquete no se reenvía.
Configuración
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía [edit] y, luego, ingrese commit desde el modo de configuración.
Enrutador R0
set interfaces ge-0/0/0 unit 0 family inet address 192.0.2.1/24 set interfaces ge-0/0/1 unit 0 family inet address 198.51.100.1/24 set interfaces ge-0/0/2 vlan-tagging set interfaces ge-0/0/2 unit 0 vlan-id 1 set interfaces ge-0/0/2 unit 0 family inet address 172.16.0.1/16 set interfaces lo0 unit 0 family inet address 10.1.1.1/32 set routing-options router-id 10.1.1.1 set routing-options autonomous-system 100 set routing-options dynamic-tunnels gre next-hop-based-tunnel set routing-options dynamic-tunnels T1 source-address 192.0.2.1 set routing-options dynamic-tunnels T1 gre set routing-options dynamic-tunnels T1 destination-networks 192.0.2.0/24 set routing-options dynamic-tunnels T2 source-address 198.51.100.1 set routing-options dynamic-tunnels T2 gre set routing-options dynamic-tunnels T2 destination-networks 198.51.100.0/24 set protocols rsvp interface all set protocols rsvp interface fxp0.0 disable set protocols bgp group IBGP type internal set protocols bgp group IBGP local-address 10.1.1.1 set protocols bgp group IBGP family inet-vpn unicast set protocols bgp group IBGP neighbor 20.1.1.1 set protocols bgp group IBGP neighbor 30.1.1.1 set protocols ospf traffic-engineering set protocols ospf area 0.0.0.0 interface lo0.0 passive set protocols ospf area 0.0.0.0 interface all set routing-instances VPN1 instance-type vrf set routing-instances VPN1 interface ge-0/0/2.0 set routing-instances VPN1 route-distinguisher 100:100 set routing-instances VPN1 vrf-target target:100:1 set routing-instances VPN1 vrf-table-label set routing-instances VPN1 routing-options forwarding-table ip-tunnel-rpf-check mode strict set routing-instances VPN1 protocols bgp group External type external set routing-instances VPN1 protocols bgp group External family inet unicast set routing-instances VPN1 protocols bgp group External peer-as 200 set routing-instances VPN1 protocols bgp group External neighbor 172.16.0.1
Enrutador R1
set interfaces ge-0/0/0 unit 0 family inet address 192.0.2.2/24 set interfaces ge-0/0/1 vlan-tagging set interfaces ge-0/0/1 unit 0 vlan-id 2 set interfaces ge-0/0/1 unit 0 family inet address 172.18.0.1/16 set interfaces lo0 unit 0 family inet address 20.1.1.1/32 set routing-options router-id 20.1.1.1 set routing-options autonomous-system 100 set routing-options dynamic-tunnels gre next-hop-based-tunnel set routing-options dynamic-tunnels T1 source-address 192.0.2.2 set routing-options dynamic-tunnels T1 gre set routing-options dynamic-tunnels T1 destination-networks 192.0.2.0/24 set protocols rsvp interface all set protocols rsvp interface fxp0.0 disable set protocols bgp group IBGP type internal set protocols bgp group IBGP local-address 20.1.1.1 set protocols bgp group IBGP family inet-vpn unicast set protocols bgp group IBGP neighbor 30.1.1.1 set protocols bgp group IBGP neighbor 10.1.1.1 set protocols ospf traffic-engineering set protocols ospf area 0.0.0.0 interface lo0.0 passive set protocols ospf area 0.0.0.0 interface all set routing-instances VPN2 instance-type vrf set routing-instances VPN2 interface ge-0/0/1.0 set routing-instances VPN2 route-distinguisher 100:200 set routing-instances VPN2 vrf-target target:200:1 set routing-instances VPN2 vrf-table-label
R2
set interfaces ge-0/0/1 unit 0 family inet address 198.51.100.2/24 set interfaces ge-0/0/2 vlan-tagging set interfaces ge-0/0/2 unit 0 vlan-id 3 set interfaces ge-0/0/2 unit 0 family inet address 172.17.0.1/16 set interfaces lo0 unit 0 family inet address 30.1.1.1/32 set routing-options router-id 30.1.1.1 set routing-options autonomous-system 100 set routing-options dynamic-tunnels gre next-hop-based-tunnel set routing-options dynamic-tunnels T2 source-address 198.51.100.2 set routing-options dynamic-tunnels T2 gre set routing-options dynamic-tunnels T2 destination-networks 198.51.100.0/24 set protocols rsvp interface all set protocols rsvp interface fxp0.0 disable set protocols bgp group IBGP type internal set protocols bgp group IBGP local-address 30.1.1.1 set protocols bgp group IBGP family inet-vpn unicast set protocols bgp group IBGP neighbor 20.1.1.1 set protocols bgp group IBGP neighbor 10.1.1.1 set protocols ospf traffic-engineering set protocols ospf area 0.0.0.0 interface lo0.0 passive set protocols ospf area 0.0.0.0 interface all set routing-instances VPN3 instance-type vrf set routing-instances VPN3 interface ge-0/0/2.0 set routing-instances VPN3 route-distinguisher 100:300 set routing-instances VPN3 vrf-target target:300:1 set routing-instances VPN3 vrf-table-label
Procedimiento
Procedimiento paso a paso
El ejemplo siguiente requiere que navegue por varios niveles en la jerarquía de configuración. Para obtener información acerca de cómo navegar por la CLI, consulte Uso del editor de CLI en modo de configuración en la Guía del usuario de CLI.
Para configurar el enrutador R0:
Configure las interfaces del enrutador R0, incluida la interfaz de circuito cerrado.
[edit interfaces] user@R0# set ge-0/0/0 unit 0 family inet address 192.0.2.1/24 user@R0# set ge-0/0/1 unit 0 family inet address 198.51.100.1/24 user@R0# set ge-0/0/2 vlan-tagging user@R0# set ge-0/0/2 unit 0 vlan-id 1 user@R0# set ge-0/0/2 unit 0 family inet address 172.16.0.1/16 user@R0# set lo0 unit 0 family inet address 10.1.1.1/32
Asigne el ID del enrutador y el número de sistema autónomo para el enrutador R0.
[edit routing-options] user@R0# set router-id 10.1.1.1 user@R0# set autonomous-system 100
Configure el emparejamiento de IBGP entre los enrutadores.
[edit protocols] user@R0# set bgp group IBGP type internal user@R0# set bgp group IBGP local-address 10.1.1.1 user@R0# set bgp group IBGP family inet-vpn unicast user@R0# set bgp group IBGP neighbor 20.1.1.1 user@R0# set bgp group IBGP neighbor 30.1.1.1
Configure OSPF en todas las interfaces del enrutador R0, excluyendo la interfaz de administración.
[edit protocols] user@R0# set ospf traffic-engineering user@R0# set ospf area 0.0.0.0 interface lo0.0 passive user@R0# set ospf area 0.0.0.0 interface all
Configure RSVP en todas las interfaces del enrutador R0, excluyendo la interfaz de administración.
[edit protocols] user@R0# set rsvp interface all user@R0# set rsvp interface fxp0.0 disable
Habilite la configuración del túnel GRE dinámico basado en el próximo salto en el enrutador R0.
[edit routing-options] user@R0# set dynamic-tunnels gre next-hop-based-tunnel
Configure los parámetros dinámicos del túnel GRE del enrutador R0 al enrutador R1.
[edit routing-options] user@R0# set dynamic-tunnels T1 source-address 192.0.2.1 user@R0# set dynamic-tunnels T1 gre user@R0# set dynamic-tunnels T1 destination-networks 192.0.2.0/24
Configure los parámetros dinámicos del túnel GRE del enrutador R0 al enrutador R2.
[edit routing-options] user@R0# set dynamic-tunnels T2 source-address 198.51.100.1 user@R0# set dynamic-tunnels T2 gre user@R0# set dynamic-tunnels T2 destination-networks 198.51.100.0/24
Configure una instancia de enrutamiento y reenvío virtual (VRF) en el enrutador R0 y asigne la interfaz que se conecta al host 1 a la instancia de VRF.
[edit routing-instances] user@R0# set VPN1 instance-type vrf user@R0# set VPN1 route-distinguisher 100:100 user@R0# set VPN1 vrf-target target:100:1 user@R0# set VPN1 vrf-table-label user@R0# set VPN1 interface ge-0/0/2.0
Configure una sesión BGP externa con el host 1 para la instancia de enrutamiento VRF.
[edit routing-instances] user@R0# set VPN1 protocols bgp group External type external user@R0# set VPN1 protocols bgp group External family inet unicast user@R0# set VPN1 protocols bgp group External peer-as 200 user@R0# set VPN1 protocols bgp group External neighbor 172.16.0.1
Configure la protección antisuplantación de identidad para la instancia de enrutamiento VRF en el enrutador R0. Esto permite la comprobación del reenvío de ruta inversa para los túneles dinámicos basados en el próximo salto, T1 y T2, en el enrutador 0.
[edit routing-instances] user@R0# set VPN1 routing-options forwarding-table ip-tunnel-rpf-check mode strict
Resultados
Desde el modo de configuración, ingrese los comandos show interfaces, show routing-options, show protocols y show routing-options para confirmar la configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones en este ejemplo para corregir la configuración.
user@R0# show interfaces
ge-0/0/0 {
unit 0 {
family inet {
address 192.0.2.1/24;
}
}
}
ge-0/0/1 {
unit 0 {
family inet {
address 198.51.100.1/24;
}
}
}
ge-0/0/2 {
vlan-tagging;
unit 0 {
vlan-id 1;
family inet {
address 172.16.0.1/16;
}
}
}
lo0 {
unit 0 {
family inet {
address 10.1.1.1/32;
}
}
}
user@R0# show routing-options
router-id 10.1.1.1;
autonomous-system 100;
dynamic-tunnels {
gre next-hop-based-tunnel;
T1 {
source-address 192.0.2.1;
gre;
destination-networks {
192.0.2.0/24;
}
}
T2 {
source-address 198.51.100.1;
gre;
destination-networks {
198.51.100.0/24;
}
}
}
user@R0# show protocols
rsvp {
interface all;
interface fxp0.0 {
disable;
}
}
bgp {
group IBGP {
type internal;
local-address 10.1.1.1;
family inet-vpn {
unicast;
}
neighbor 20.1.1.1;
neighbor 30.1.1.1;
}
}
ospf {
traffic-engineering;
area 0.0.0.0 {
interface lo0.0 {
passive;
}
interface all;
}
}
user@R0# show routing-instances
VPN1 {
instance-type vrf;
interface ge-0/0/2.0;
route-distinguisher 100:100;
vrf-target target:100:1;
vrf-table-label;
routing-options {
forwarding-table {
ip-tunnel-rpf-check {
mode strict;
}
}
}
protocols {
bgp {
group External {
type external;
family inet {
unicast;
}
peer-as 200;
neighbor 172.16.0.1;
}
}
}
}
Verificación
Confirme que la configuración funcione correctamente.
- Verificación de la configuración básica
- Comprobación de la configuración del túnel dinámico
- Verificación de la configuración de la protección contra suplantación de identidad
Verificación de la configuración básica
Propósito
Verifique el estado de emparejamiento OSPF y BGP entre el enrutador R0 y los enrutadores R1 y R2.
Acción
Desde el modo operativo, ejecute los show ospf neighbor comandos y show bgp summary.
user@R0> show ospf neighbor
Address Interface State ID Pri Dead
192.0.2.2 ge-0/0/0.0 Full 20.1.1.1 128 32
198.51.100.2 ge-0/0/1.0 Full 30.1.1.1 128 32
user@R0> show bgp summary
Groups: 2 Peers: 3 Down peers: 1
Table Tot Paths Act Paths Suppressed History Damp State Pending
bgp.l3vpn.0
0 0 0 0 0 0
Peer AS InPkt OutPkt OutQ Flaps Last Up/Dwn State|#Active/Received/Accepted/Damped...
20.1.1.1 100 182 178 0 0 1:20:27 Establ
bgp.l3vpn.0: 0/0/0/0
30.1.1.1 100 230 225 0 0 1:41:51 Establ
bgp.l3vpn.0: 0/0/0/0
172.16.0.1 200 0 0 0 0 1:42:08 EstablSignificado
Las sesiones OSPF y BGP están en funcionamiento entre los enrutadores R0, R1 y R2.
Comprobación de la configuración del túnel dinámico
Propósito
Verifique el estado de los túneles GRE dinámicos basados en el próximo salto entre el enrutador R0 y los enrutadores R1 y R2.
Acción
Desde el modo operativo, ejecute el comando y los show route table inet.3show dynamic-tunnels database terse comandos.
user@R0> show route table inet.3
inet.3: 2 destinations, 2 routes (2 active, 0 holddown, 0 hidden)
+ = Active Route, - = Last Active, * = Both
192.0.2.0/24 *[Tunnel/300] 01:47:57
Tunnel
192.0.2.2/24 *[Tunnel/300] 01:47:57
Tunnel Composite
198.51.100.0/24 *[Tunnel/300] 01:47:57
Tunnel
198.51.100.2/24 *[Tunnel/300] 01:47:57
Tunnel Compositeuser@R0> show dynamic-tunnels database terse Table: inet.3 Destination-network: 192.0.2.0/24 Destination Source Next-hop Type Status 192.0.2.2/24 192.0.2.1 0xb395e70 nhid 612 gre Up Destination-network: 198.51.100.0/24 Destination Source Next-hop Type Status 198.51.100.2 198.51.100.1 0xb395e70 nhid 612 gre Up
Significado
Los dos túneles GRE dinámicos basados en el próximo salto, el túnel 1 y el túnel 2, están activos.
Verificación de la configuración de la protección contra suplantación de identidad
Propósito
Compruebe que la comprobación de reenvío de ruta inversa se haya habilitado en la instancia de enrutamiento VRF en el enrutador R0.
Acción
Desde el modo operativo, ejecute el show krt table VPN1.inet.0 detailarchivo .
user@R0> show krt table VPN1.inet.0 detail
KRT tables:
VPN1.inet.0 : GF: 1 krt-index: 8 ID: 0 kernel-id: 8
flags: (null)
tunnel rpf config data : enable, strict, filter [0], 0x2
tunnel rpf tlv data : enable, strict, filter [0], 0x4
unicast reverse path: disabled
fast-reroute-priority: 0
Permanent NextHops
Multicast : 0 Broadcast : 0
Receive : 0 Discard : 0
Multicast Discard: 0 Reject : 0
Local : 0 Deny : 0
Table : 0Significado
La comprobación de reenvío de ruta inversa configurada se habilita en la instancia de enrutamiento VRF en el modo estricto.
Descripción general de la localización de túneles dinámicos basada en el siguiente salto
Los túneles dinámicos basados en el siguiente salto incluyen túneles de encapsulación de enrutamiento genérico (GRE) y túneles MPLS a través de UDP. Estos túneles proporcionan una ventaja de escala sobre los túneles basados en interfaz. Sin embargo, a diferencia de los túneles basados en interfaz, los túneles dinámicos basados en el salto siguiente no tienen anclas por naturaleza, donde la información de reenvío de los túneles se distribuye a los motores de reenvío de paquetes (PFE) en cada tarjeta de línea del dispositivo. Esto limita el número máximo de túneles admitidos en el dispositivo a la capacidad de túnel de una sola tarjeta de línea. Con la compatibilidad con la localización, puede configurar la localización de túnel dinámico basada en el salto siguiente para crear la información de reenvío solo en el PFE de una tarjeta de línea designada como PFE de anclaje. Los PFE de las otras tarjetas de línea del dispositivo tienen información de reenvío de estado para dirigir los paquetes al PFE de anclaje. Esto proporciona una ventaja de escalabilidad al aumentar el número máximo de túneles admitidos en un dispositivo.
- Beneficios de la localización de túneles dinámicos basada en el siguiente salto
- Casos de uso para la localización de túneles dinámicos basada en el siguiente salto
- Gestión del tráfico con localización de túneles dinámicos basados en saltos siguientes
- Configuración de la localización de túneles dinámicos basados en saltos siguientes
- Solución de problemas de túneles dinámicos localizados basados en saltos siguientes
- Características no compatibles para la localización de túneles dinámicos basados en el próximo salto
Beneficios de la localización de túneles dinámicos basada en el siguiente salto
Proporciona una ventaja de escalabilidad al aumentar el número máximo de túneles admitidos en un dispositivo.
Casos de uso para la localización de túneles dinámicos basada en el siguiente salto
Los dispositivos de puerta de enlace IPsec que hospedan varios MS-MPC se utilizan para terminar túneles IPSec y deben admitir una carga moderada. Esta compatibilidad se ve afectada con el uso de túneles dinámicos basados en el salto siguiente cuando se alcanza el límite de escala del dispositivo. Con la localización de túneles dinámicos basados en el próximo salto, se aumenta el número máximo de túneles admitidos, lo que permite que el dispositivo pueda acomodar más túneles a costa de un salto de estructura adicional.
Para los dispositivos de puerta de enlace VPN o de Internet, como un centro de datos de nube pública virtual, es necesario que los dispositivos de puerta de enlace se comuniquen con un gran número de servidores. Se puede acceder a los servidores del centro de datos a través de túneles dinámicos basados en el próximo salto. La propiedad sin anclaje de los túneles dinámicos limita los números de escala generales del dispositivo. Los dispositivos de puerta de enlace alojan varias MPC, con mayores demandas de tráfico. Con la localización de los túneles dinámicos basados en el próximo salto, los túneles se pueden distribuir a través de los MPC, lo que facilita un aumento en el número de escalas de túneles.
Gestión del tráfico con localización de túneles dinámicos basados en saltos siguientes
Con la compatibilidad con la localización, el estado del túnel dinámico basado en el salto siguiente se localiza en un motor de reenvío de paquetes de ancla, mientras que el otro motor de reenvío de paquetes tiene el estado de túnel para dirigir el tráfico al anclaje del túnel.
Figura 4 Muestra la ruta de reenvío de los túneles dinámicos basados en el salto siguiente sin localización.
Figura 5 Muestra la ruta de reenvío de los túneles dinámicos basados en el próximo salto con localización.
Configuración de la localización de túneles dinámicos basados en saltos siguientes
La compatibilidad con la localización se puede configurar para túneles dinámicos basados en saltos siguientes recién creados o para túneles dinámicos no locales existentes.
- Configuración de la localización para nuevos túneles dinámicos basados en saltos siguientes
- Configuración de la localización para túneles dinámicos existentes basados en saltos siguientes
Configuración de la localización para nuevos túneles dinámicos basados en saltos siguientes
La localización de túneles dinámicos basados en el próximo salto utiliza un enfoque basado en políticas para especificar grupos de prefijos. En otras palabras, las políticas de ruta se utilizan para aplicar las propiedades de localización a los túneles dinámicos basados en el salto siguiente. Los perfiles de atributo de túnel dinámico se crean y configuran en Opciones de enrutamiento para asociarlos con el grupo de prefijos mediante la directiva.
Creación de perfiles de túnel dinámico.
El perfil de túnel dinámico especifica el tipo de túnel y la información del motor de reenvío de paquetes de anclaje. Se pueden crear varios perfiles de túneles dinámicos para la localización de los túneles dinámicos. Los valores para el tipo de túnel dinámico pueden ser GRE, UDP o BGP-SIGNAL.
Aunque BGP-SIGNAL no es un tipo de túnel válido, al asignar BGP-SIGNAL como tipo de túnel, los túneles creados a partir de los atributos señalizados por BGP se localizan. Cuando se utiliza BGP-SIGNAL, el tipo de túnel se decide en función del tipo anunciado por BGP en su TLV. Los túneles BGP-SIGNAL son siempre túneles basados en el próximo salto. Los túneles GRE creados dinámicamente por BGP-SIGNAL siempre se basan en el siguiente salto, incluso si el usuario ha configurado manualmente túneles creados por GRE para usar IFL.
El valor del motor de reenvío de paquetes de ancla es la tarjeta de línea del motor de reenvío de paquetes de anclaje, por ejemplo, pfe-x/y/0. Esta información se puede ver desde la
show interfaces terse pfe*salida del comando.Sample Configuration:
[edit routing-options] dynamic-tunnels { dynamic-tunnel-attributes attribute-1 { dynamic-tunnel-type <GRE | UDP | BGP-SIGNAL>; dynamic-tunnel-anchor-pfe pfe-1/0/0; } }Asociar el perfil de túnel dinámico a la lista de prefijos.
Al configurar una política con
dynamic-tunnel-attributescomo la acción, se asocia el túnel dinámico a la lista de prefijos. La acción de políticafrompermite la creación de un túnel con atributos especificados para cualquier condición coincidente, como un intervalo de prefijos, una comunidad o una dirección de origen de rutas BGP, etc.Sample configuration:
[edit policy-options] policy-statement policy-name { term term { from { <route-filter | next-hop | community>>; } then { dynamic-tunnel-attributes <attribute-name>; } } }Incluir la política de túnel en la directiva de exportación de la tabla de reenvío.
Una vez configurada la directiva, se incluye en la directiva de exportación de la tabla de reenvío para su análisis.
Mediante la política de exportación, los atributos de túnel se asocian a la ruta. Siempre que una ruta de BGP se pone en cola para su resolución, se evalúa la directiva de exportación de la tabla de reenvío y los atributos de túnel se obtienen del módulo de políticas en función de los filtros aplicados. Los atributos de túnel obtenidos se unen al siguiente salto en forma de un siguiente salto compuesto de túnel. Las estructuras de reenvío de anclaje correspondientes, basadas en el nombre y el tipo de túnel del motor de reenvío de paquetes, se crean y se envían a la tabla de reenvío antes de enviar un siguiente salto compuesto de túnel. Sin embargo, si ninguno de los atributos se asigna al siguiente salto compuesto del túnel, la estructura de reenvío se crea en cada motor de reenvío de paquetes, de manera similar a los túneles dinámicos no localizados.
Sample configuration:
[edit routing-options] forwarding-table { export dynamic-tunnel; }
Configuración de la localización para túneles dinámicos existentes basados en saltos siguientes
Realizar cambios sobre la marcha en los atributos de túnel dinámico puede provocar un bloqueo de FPC debido a un alto uso de la memoria. Por lo tanto, recomendamos desactivar la configuración de túneles dinámicos antes de configurar la localización.
Para actualizar los atributos de túnel para túneles dinámicos existentes basados en el próximo salto, se debe realizar lo siguiente:
Desactive
dynamic-tunnelsla configuración en el nivel de[edit routing-options]jerarquía.Sample configuration:
[edit routing-options] user@host# deactivate dynamic-tunnels user@host# commit
Cambie los atributos del túnel según sea necesario.
Active
dynamic-tunnelsla configuración en el nivel jerárquico[edit routing-options].Sample configuration:
[edit routing-options] user@host# activate dynamic-tunnels user@host# commit
Para configurar la localización de túneles dinámicos no locales existentes basados en el próximo salto:
Realizar cambios sobre la marcha para configurar la localización de túneles dinámicos no locales existentes basados en el próximo salto puede provocar un bloqueo del FPC debido a un alto uso de la memoria. Por lo tanto, recomendamos desactivar la configuración de túneles dinámicos antes de configurar la localización.
Desactive la
dynamic-tunnelsconfiguración en el nivel jerárquico[edit routing-options].Cree un perfil de atributos de túnel y agregue políticas para localizar los túneles dinámicos, de manera similar a los nuevos túneles dinámicos basados en el próximo salto.
Active la
dynamic-tunnelsconfiguración.
Solución de problemas de túneles dinámicos localizados basados en saltos siguientes
Con la localización de túneles dinámicos basados en el próximo salto, los siguientes saltos compuestos del túnel se asocian con ID de motor de reenvío de paquetes de anclaje. Las siguientes instrucciones de configuración traceroute en el nivel de [edit routing-options] jerarquía ayudan a solucionar problemas de los túneles dinámicos localizados:
dynamic-tunnels traceoptions flag all—Seguimiento de la creación y eliminación de túneles en DTM.resolution traceoptions flag tunnel: seguimiento de las operaciones de resolución en la ruta BGP.forwarding-table traceoptions flag all—Seguimiento de túneles enviados al kernel.traceoptions flag all—Seguimiento del proceso de aprendizaje de rutas.
Se pueden utilizar los siguientes comandos para comprobar si una ruta utiliza un túnel dinámico localizado basado en el siguiente salto:
show route prefix extensive—Para obtener el siguiente salto indirecto.
Por ejemplo:
user@host> show route 1.2.3.4 extensive MPLS-over-UDP-PE1.inet.0: 24 destinations, 26 routes (24 active, 0 holddown, 0 hidden) 1.2.3.4/32 (1 entry, 1 announced) TSI: KRT in-kernel 1.2.3.4/32 -> {indirect(1048577)} Page 0 idx 1, (group pe1-ce1 type External) Type 1 val 0xb209a78 (adv_entry) Advertised metrics: Nexthop: Self AS path: [100] I Communities: target:600:1 encapsulation:mpls-in-udp(0xd)show krt indirect-next-hop index indirect-next-hop detail: para comprobar el campo Motor de reenvío de paquetes de anclaje en la salida detallada del siguiente salto indirecto.
Por ejemplo:
user@host> show krt indirect-next-hop index 1048577 detail Indirect Nexthop detail: Index: 1048577 Protocol next-hop address: 1.1.1.6 RIB Table: bgp.l3vpn.0 Label: Push 299808 Policy Version: 2 References: 11 Locks: 3 0xb227980 Flags: 0x0 INH Session ID: 0x0 Ref RIB Table: unknown Export policy detail: (Dynamic tunnel hash : 309985522) Tunnel type: UDP, Reference count: 4, nhid: 1016 Destination address: 1.1.1.6, Source address: 1.1.1.2 Anchored-PFE: pfe-1/0/0 VPN Label: Push 299808, TTL action: prop-ttl IGP FRR Interesting proto count : 11 Chain IGP FRR Node Num : 1 IGP Resolver node(hex) : 0xc838b94 IGP Route handle(hex) : 0xb1d7674 IGP rt_entry protocol : Tunnel IGP Actual Route handle(hex) : 0x0 IGP Actual rt_entry protocol : Any
Características no compatibles para la localización de túneles dinámicos basados en el próximo salto
Junos OS no admite la siguiente funcionalidad con la localización de túneles dinámicos basados en el salto siguiente:
Siguiente salto compuesto encadenado en el nivel jerárquico
[edit routing-options forwarding-table chained-composite-next-hop ingress l3vpn].Resistencia del motor de reenvío de paquetes de anclaje.
No hay soporte de resistencia para túneles dinámicos basados en el próximo salto con localización. Después de la localización de los túneles dinámicos basados en el salto siguiente, el motor de reenvío del empaquetador de ancla se convierte en la única entidad para procesar cualquier túnel dado en el dispositivo. Aunque no se admite la resistencia del motor de reenvío del empaquetador de anclaje, para los dispositivos de puerta de enlace, la redundancia en el dispositivo de puerta de enlace garantiza que cuando el motor de reenvío del empaquetador en el que se delega el próximo salto compuesto de túnel desciende, el tráfico se debe redirigir al dispositivo de puerta de enlace redundante. El proceso de protocolo de enrutamiento supervisa el estado del motor de reenvío del empaquetador y retira el anuncio BGP de todas las rutas que apuntan a los siguientes saltos compuestos del túnel anclados en ese motor de reenvío del empaquetador.
Solo el motor de reenvío de paquetes anclado tiene el próximo salto compuesto de túnel completo y todos los demás motores de reenvío de paquetes solo tienen entradas de dirección para reenviar el tráfico al motor de reenvío de paquetes de ancla. Estas entradas de dirección no se retiran cuando un FPC de anclaje se cae.
La localización de túneles dinámicos basados en el próximo salto no se admite en los sistemas lógicos.
IPv6 no se admite con la localización de túneles dinámicos basados en el próximo salto.
Con la localización, el comando no muestra un
show dynamic-tunnels database summaryresumen preciso de túneles cuando el estado de la tarjeta de línea del motor de reenvío de paquetes de anclaje no está activo. Como solución alternativa, utilice el resultado delshow dynamic-tunnels databasecomando yshow dynamic-tunnels database terse.
Descripción general de la tunelización dinámica basada en el siguiente salto mediante encapsulación IP a través de IP
- Ventajas
- ¿Qué es la tunelización dinámica basada en el siguiente salto de IP a través de IP?
- Costura de túnel IP a través de IP
Ventajas
La tunelización de IP a través de IP ofrece las siguientes ventajas:
-
Alternative to MPLS over UDP—Se puede utilizar como alternativa a la tunelización MPLS a través de UDP para proporcionar un servicio IP en el que haya un dispositivo dedicado por servicio.
-
Ability to steer specific traffic—Permite una migración fluida cuando las redes MPLS e IP coexisten, ya que las rutas se pueden filtrar para dirigir tráfico específico a través de túneles IP en lugar de túneles MPLS.
-
Ability to support tunnels at increasing scale—La creación dinámica de túneles mediante el plano de control BGP puede facilitar la creación de túneles a escala.
¿Qué es la tunelización dinámica basada en el siguiente salto de IP a través de IP?
Una red IP contiene dispositivos perimetrales y dispositivos centrales. Para lograr una mayor escala y confiabilidad entre estos dispositivos, debe aislar lógicamente la red principal de la red externa con la que interactúan los dispositivos perimetrales mediante una encapsulación de superposición.
A partir de Junos OS versión 20.3R1, admitimos una encapsulación de IP a través de IP para facilitar la construcción de superposición IP a través de la red de transporte IP. IP sobre IP se basa en una infraestructura basada en el próximo salto para admitir una escala superior. La función admite la encapsulación IPv4 de la carga IPv6 e IPv4. Entre las otras encapsulaciones de superposición compatibles, la encapsulación IP sobre IP es el único tipo que permite:
-
Dispositivos de tránsito para analizar la carga interna y usar campos de paquetes internos para el cálculo de hash
-
Dispositivos perimetrales del cliente para enrutar el tráfico dentro y fuera del túnel sin reducir el rendimiento
En los enrutadores de la serie MX, el demonio de protocolo de enrutamiento (RPD) envía el encabezado de encapsulación con el próximo salto compuesto del túnel y el motor de reenvío de paquetes (PFE) encuentra la dirección de destino del túnel y reenvía el paquete. En los enrutadores y conmutadores QFX10000 de la serie PTX, RPD envía el túnel basado en el siguiente salto completamente resuelto al motor de reenvío de paquetes. El protocolo BGP se utiliza para distribuir rutas y señalar túneles dinámicos.
La siguiente ilustración muestra cómo se envía el tráfico IPv4 o IPv6 de R-1 a R-5 a través de un túnel IP a través de IP establecido entre R-2 y R-4:
Costura de túnel IP a través de IP
En Junos OS versión 21.3R1, presentamos la unión de túnel IP a través de IP en MX240, MX480, MX960, PTX1000, PTX10008, PTX10016 y QFX10002. Puede utilizar esta función para terminar un túnel de IP a través de IP en un dispositivo e iniciar otro túnel en el mismo dispositivo. Cuando un dispositivo recibe el paquete IP a través de IP, desencapsula el encabezado del paquete externo y se produce una búsqueda interna de paquetes. A continuación, el encabezado del paquete IP interno apunta a otro túnel en el mismo dispositivo, donde el mismo dispositivo encapsula el paquete de nuevo con otro encabezado IP a través de IP.
Ejemplo: Configuración de túneles dinámicos de IP a través de IP basados en el siguiente salto
Obtenga información sobre cómo configurar túneles basados en el próximo salto mediante la encapsulación IP a través de IP.
- Requisitos
- Descripción general
- Configuración de túneles dinámicos de IP a través de IP con un protocolo de próximo salto
- Ejemplo: Configurar un túnel IPoIP en un entorno MPLS con túnel LDP, resuelto mediante inetcolor.0 mediante configuración estática
- Ejemplo: Configurar un túnel IPoIP con túnel LDP en una nube MPLS, resuelto mediante inetcolor.0 Uso de la señalización BGP
- Verificación
Requisitos
En este ejemplo, se utilizan los siguientes componentes de hardware y software:
5 enrutadores de la serie MX.
Junos OS versión 20.3R1 o posterior.
- Consulte el Explorador de características para conocer las plataformas compatibles.
Descripción general
A partir de Junos OS versión 20.3R1, admitimos una encapsulación de IP a través de IP para facilitar la construcción de superposición IP a través de la red de transporte IP. En este ejemplo se muestra el establecimiento de túneles IP a través de IP de unidifusión entre dispositivos con un protocolo de salto siguiente (PNH) a través de un emparejamiento IBGP entre R2 y R4, que están conectados a través de un núcleo OSPF, para intercambiar rutas y señalar túneles dinámicos.
Topología
La figura 1 ilustra un escenario de IP a través de IP con 5 dispositivos.
En este ejemplo, estamos intercambiando rutas de R1 a R5 y viceversa a través de túneles dinámicos IP-over-IP establecidos entre R2 y R4. Las rutas de R1 se exportan a R2 y las rutas de R5 se exportan a R4, utilizando el protocolo IS-IS. Configuramos un túnel Tunnel-01 IPIP de unidifusión de R2 a R4 y otro túnel Tunnel-01 de R4 a R2. Los prefijos de ruta que se generan dentro de las máscaras de red desde las redes de destino configuradas del dispositivo par se utilizan para crear el túnel y los flujos de tráfico en la dirección opuesta a las rutas en el túnel.
Configuración de túneles dinámicos de IP a través de IP con un protocolo de próximo salto
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, a continuación, ingrese commit desde el [edit] modo de configuración.
R1
set interfaces xe-0/2/0 unit 0 description R1-to-R2 set interfaces xe-0/2/0 unit 0 family inet address 192.168.12.1/30 set interfaces xe-0/2/0 unit 0 family iso set interfaces lo0 unit 0 family inet address 192.168.255.1/32 set interfaces lo0 unit 0 family iso address 49.0001.1920.1682.5501.00 set routing-options router-id 192.168.255.1 set protocols isis interface xe-0/2/0.0 set protocols isis interface lo0.0 set protocols isis level 1 disable
R2
set interfaces xe-0/2/0 description R2-to-R1 set interfaces xe-0/2/0 unit 0 family inet address 192.168.12.2/30 set interfaces xe-0/2/0 unit 0 family iso set interfaces xe-0/2/1 description R2-to-R3 set interfaces xe-0/2/1 unit 0 family inet address 10.1.23.1/30 set interfaces lo0 unit 0 family inet address 10.1.255.2/32 set interfaces lo0 unit 0 family iso address 49.0001.0010.1255.0002.00 set policy-options policy-statement export-bgp term t1 from protocol bgp set policy-options policy-statement export-bgp term t1 then accept set policy-options policy-statement export-isis term t1 from protocol isis set policy-options policy-statement export-isis term t1 then next-hop self set policy-options policy-statement export-isis term t1 then accept set routing-options resolution rib inet.0 resolution-ribs inet.3 set routing-options router-id 10.1.255.2 set routing-options autonomous-system 65000 set routing-options dynamic-tunnels Tunnel-01 source-address 10.1.255.2 set routing-options dynamic-tunnels Tunnel-01 ipip set routing-options dynamic-tunnels Tunnel-01 destination-networks 10.1.255.0/24 set protocols bgp group iBGP type internal set protocols bgp group iBGP local-address 10.1.255.2 set protocols bgp group iBGP family inet unicast set protocols bgp group iBGP export export-isis set protocols bgp group iBGP neighbor 10.1.255.4 set protocols isis interface xe-0/2/0.0 set protocols isis interface lo0.0 set protocols isis level 1 disable set protocols isis export export-bgp set protocols ospf area 0.0.0.0 interface xe-0/2/1.0 set protocols ospf area 0.0.0.0 interface lo0.0
R3
set interfaces xe-0/2/0 unit 0 description R3-to-R2 set interfaces xe-0/2/0 unit 0 family inet address 10.1.23.2/30 set interfaces xe-0/2/1 unit 0 description R3-to-R4 set interfaces xe-0/2/1 unit 0 family inet address 10.1.34.1/30 set interfaces lo0 unit 0 family inet address 10.1.255.3/32 set routing-options router-id 10.1.255.3 set protocols ospf area 0.0.0.0 interface xe-0/2/0.0 set protocols ospf area 0.0.0.0 interface xe-0/2/1.0 set protocols ospf area 0.0.0.0 interface lo0.0 passive
R4
set interfaces xe-0/2/0 unit 0 description R4-to-R3 set interfaces xe-0/2/0 unit 0 family inet address 10.1.34.2/30 set interfaces xe-0/2/1 unit 0 description R4-to-R5 set interfaces xe-0/2/1 unit 0 family inet address 192.168.45.1/30 set interfaces xe-0/2/1 unit 0 family iso set interfaces lo0 unit 0 family inet address 10.1.255.4/32 set interfaces lo0 unit 0 family iso address 49.0001.0010.1255.0004.00 set policy-options policy-statement export-bgp term t1 from protocol bgp set policy-options policy-statement export-bgp term t1 then accept set policy-options policy-statement export-isis term t1 from protocol isis set policy-options policy-statement export-isis term t1 then next-hop self set policy-options policy-statement export-isis term t1 then accept set routing-options resolution rib inet.0 resolution-ribs inet.3 set routing-options router-id 10.1.255.4 set routing-options autonomous-system 65000 set routing-options dynamic-tunnels Tunnel-01 source-address 10.1.255.4 set routing-options dynamic-tunnels Tunnel-01 ipip set routing-options dynamic-tunnels Tunnel-01 destination-networks 10.1.255.0/24 set protocols bgp group iBGP type internal set protocols bgp group iBGP local-address 10.1.255.4 set protocols bgp group iBGP family inet unicast set protocols bgp group iBGP export export-isis set protocols bgp group iBGP neighbor 10.1.255.2 set protocols isis interface xe-0/2/1.0 set protocols isis interface lo0.0 set protocols isis level 1 disable set protocols isis export export-bgp set protocols ospf area 0.0.0.0 interface xe-0/2/0.0 set protocols ospf area 0.0.0.0 interface lo0.0
R5
set interfaces xe-0/2/0 unit 0 description R5-to-R4 set interfaces xe-0/2/0 unit 0 family inet address 192.168.45.2/30 set interfaces xe-0/2/0 unit 0 family iso set interfaces lo0 unit 0 family inet address 192.168.255.5/32 set interfaces lo0 unit 0 family iso address 49.0001.1920.1682.5505.00 set routing-options router-id 192.168.255.5 set protocols isis interface xe-0/2/0.0 set protocols isis interface lo0.0 set protocols isis level 1 disable
Configuración de túneles dinámicos IP-IP con un protocolo Next Hop
- Procedimiento paso a paso para R1
- Procedimiento paso a paso para R2
- Procedimiento paso a paso para R3
- Resultados
Procedimiento paso a paso para R1
R1 y R5 tienen una configuración similar, por lo que solo mostraremos el procedimiento paso a paso para R1.
-
Ingrese al modo de configuración en R1.
-
Configure la interfaz conectada a R2 y la interfaz lo0. Asegúrese de configurar tanto family
inetcomoiso. La familiaisoes necesaria para el protocolo IS-IS.[edit] user@R1# set interfaces xe-0/2/0 unit 0 description R1-to-R2 user@R1# set interfaces xe-0/2/0 unit 0 family inet address 192.168.12.1/30 user@R1# set interfaces xe-0/2/0 unit 0 family iso user@R1# set interfaces lo0 unit 0 family inet address 192.168.255.1/32 user@R1# set interfaces lo0 unit 0 family iso address 49.0001.1920.1682.5501.00
-
Configure el ID del enrutador.
[edit] user@R1# set routing-options router-id 192.168.255.1
-
Configure los protocolos IS-IS. Las rutas se anuncian entre R1 y R2 utilizando el protocolo IS-IS.
[edit] user@R1# set protocols isis interface xe-0/2/0.0 user@R1# set protocols isis interface lo0.0 user@R1# set protocols isis level 1 disable
-
Ingrese
commiten R1 desde el modo de configuración.
Procedimiento paso a paso para R2
R2 y R4 tienen una configuración similar, por lo que solo mostraremos el procedimiento paso a paso para R2.
-
Ingrese al modo de configuración en R2.
-
Configure las interfaces conectadas a R1 y R3 y la interfaz lo0. Asegúrese de configurar tanto la familia
inetcomoisola interfaz conectada a R1 y lo0.[edit] user@R2# set interfaces xe-0/2/0 description R2-to-R1 user@R2# set interfaces xe-0/2/0 unit 0 family inet address 192.168.12.2/30 user@R2# set interfaces xe-0/2/0 unit 0 family iso user@R2# set interfaces xe-0/2/1 description R2-to-R3 user@R2# set interfaces xe-0/2/1 unit 0 family inet address 10.1.23.1/30 user@R2# set interfaces lo0 unit 0 family inet address 10.1.255.2/32 user@R2# set interfaces lo0 unit 0 family iso address 49.0001.0010.1255.0002.00
-
Configure los protocolos IS-IS para la interfaz conectada a R1. La política de exportación para anunciar rutas BGP en IS-IS se muestra en el paso de configuración de la política.
[edit] user@R2# set protocols isis interface xe-0/2/0.0 user@R2# set protocols isis interface lo0.0 user@R2# set protocols isis level 1 disable user@R2# set protocols isis export export-bgp
-
Configure el protocolo OSPF para la interfaz conectada a R3 para la accesibilidad lo0.
[edit] user@R2# set protocols ospf area 0.0.0.0 interface xe-0/2/1.0 user@R2# set protocols ospf area 0.0.0.0 interface lo0.0
-
Configure el
router-idy ,autonomous-systemy el IBGP entre R2 y R4. La política de exportación para anunciar rutas IS-IS a BGP se muestra en el paso de configuración de políticas.[edit] user@R2# set routing-options router-id 10.1.255.2 user@R2# set routing-options autonomous-system 65000 user@R2# set protocols bgp group iBGP type internal user@R2# set protocols bgp group iBGP local-address 10.1.255.2 user@R2# set protocols bgp group iBGP family inet unicast user@R2# set protocols bgp group iBGP export export-isis user@R2# set protocols bgp group iBGP neighbor 10.1.255.4
-
Configure las directivas de exportación BGP e IS-IS que se aplicaron durante los pasos anteriores. La
export-bgppolítica se aplica a los protocolos IS-IS como una exportación para anunciar rutas BGP en IS-IS y laexport-isispolítica se aplica a BGP como una exportación para anunciar rutas IS-IS en BGP. La opción self del siguiente salto permite a R2 anunciar las rutas IS-IS en BGP con R2 como el siguiente salto en lugar del siguiente salto de la interfaz de R1.[edit] user@R2# set policy-options policy-statement export-bgp term t1 from protocol bgp user@R2# set policy-options policy-statement export-bgp term t1 then accept user@R2# set policy-options policy-statement export-isis term t1 from protocol isis user@R2# set policy-options policy-statement export-isis term t1 then next-hop self user@R2# set policy-options policy-statement export-isis term t1 then accept
-
Configure el túnel Tunnel-01 dinámico IP-IP de R2 a R4. La opción
resolution-ribs inet.3de configuración permite que la resolución de ruta tenga lugar en inet.3 y es necesaria para establecer el túnel.[edit] user@R2# set routing-options resolution rib inet.0 resolution-ribs inet.3 user@R2# set routing-options dynamic-tunnels Tunnel-01 source-address 10.1.255.2 user@R2# set routing-options dynamic-tunnels Tunnel-01 ipip user@R2# set routing-options dynamic-tunnels Tunnel-01 destination-networks 10.1.255.0/24
-
(Opcional): configuración alternativa para el túnel Tunnel-01 dinámico IP-IP de R2 a R4. En lugar de configurar el
resolution-ribs inet.3puede configurar la preferencia de túnel inferior a la preferencia del protocolo del próximo salto para la ruta al extremo del túnel. La ruta para R4 se aprende usando OSPF y tiene una preferencia de 10 y la preferencia predeterminada del túnel es 305. Configurar la preferencia de túnel por debajo de la preferencia OSPF permite que el túnel sea preferido y se establezca.[edit] user@R2# set routing-options dynamic-tunnels Tunnel-01 source-address 10.1.255.2 user@R2# set routing-options dynamic-tunnels Tunnel-01 ipip user@R2# set routing-options dynamic-tunnels Tunnel-01 destination-networks 10.1.255.0/24 preference 9
-
Ingrese
commitdesde el modo de configuración en R2.
Procedimiento paso a paso para R3
-
Ingrese al modo de configuración en R3.
-
Configure las interfaces conectadas a R2 y R4 y la interfaz lo0.
[edit] user@R3# set interfaces xe-0/2/0 unit 0 description R3-to-R2 user@R3# set interfaces xe-0/2/0 unit 0 family inet address 10.1.23.2/30 user@R3# set interfaces xe-0/2/1 unit 0 description R3-to-R4 user@R3# set interfaces xe-0/2/1 unit 0 family inet address 10.1.34.1/30 user@R3# set interfaces lo0 unit 0 family inet address 10.1.255.3/32
-
Configure el ID del enrutador.
[edit] user@R3# set routing-options router-id 10.1.255.3
-
Configure el protocolo OSPF para las interfaces conectadas a R2 y R4 para lograr una accesibilidad lo0.
[edit] user@R3# set protocols ospf area 0.0.0.0 interface xe-0/2/0.0 user@R3# set protocols ospf area 0.0.0.0 interface xe-0/2/1.0 user@R3# set protocols ospf area 0.0.0.0 interface lo0.0 passive
-
Ingrese
commitdesde el modo de configuración en el dispositivo R3.
Resultados
Verifique su configuración comprobando las siguientes configuraciones de dispositivos de la siguiente manera:
Así es como puede verificar las configuraciones en R2:
user@R2# show interfaces
xe-0/2/0 {
description R2-to-R1;
unit 0 {
family inet {
address 192.168.12.2/30;
}
family iso;
}
}
xe-0/2/1 {
description R2-to-R3;
unit 0 {
family inet {
address 10.1.23.1/30;
}
}
}
lo0 {
unit 0 {
family inet {
address 10.1.255.2/32;
}
family iso {
address 49.0001.0010.1255.0002.00;
}
}
}
user@R2# show routing-options
resolution {
rib inet.0 {
resolution-ribs inet.3;
}
}
router-id 10.1.255.2;
autonomous-system 65000;
dynamic-tunnels {
Tunnel-01 {
source-address 10.1.255.2;
ipip;
destination-networks {
10.1.255.0/24;
}
}
}
user@R2# show protocols
bgp {
group iBGP {
type internal;
local-address 10.1.255.2;
family inet {
unicast;
}
export export-isis;
neighbor 10.1.255.4;
}
}
isis {
interface xe-0/2/0.0;
interface lo0.0;
level 1 disable;
export export-bgp;
}
ospf {
area 0.0.0.0 {
interface xe-0/2/1.0;
interface lo0.0;
}
}
user@R2# show policy-options
policy-statement export-bgp {
term t1 {
from protocol bgp;
then accept;
}
}
policy-statement export-isis {
term t1 {
from protocol isis;
then {
next-hop self;
accept;
}
}
}
Verificación
- Comprobar la base de datos de túnel dinámico
- Verificar tabla de rutas en inet.3
- Comprobar rutas BGP mediante el túnel
- Verificar la accesibilidad de extremo a extremo
Comprobar la base de datos de túnel dinámico
Propósito
Para comprobar la información de la base de datos de túnel dinámico, utilice el comando de modo show dynamic-tunnels database operativo.
Acción
user@R2> show dynamic-tunnels database
*- Signal Tunnels #- PFE-down
Table: inet.3
Destination-network: 10.1.255.0/24
Tunnel to: 10.1.255.4/32
Reference count: 3
Next-hop type: IPoIP (forwarding-nexthop)
Source address: 10.1.255.2
Next hop: tunnel-composite, 0x76b6c50, nhid 515
Reference count: 2
Ingress Route: [OSPF] 10.1.255.4/32, via metric 2
Traffic Statistics: Packets 0, Bytes 0
State: Up
Aggregate Traffic Statistics:
Tunnel Encapsulation: Dest 10.1.255.4, Src 10.1.255.2, IPoIP, Tunnel-Id 1
Traffic Statistics: Packets 0, Bytes 0 user@R4> show dynamic-tunnels database
*- Signal Tunnels #- PFE-down
Table: inet.3
Destination-network: 10.1.255.0/24
Tunnel to: 10.1.255.2/32
Reference count: 3
Next-hop type: IPoIP (forwarding-nexthop)
Source address: 10.1.255.4
Next hop: tunnel-composite, 0x76b6c50, nhid 513
Reference count: 2
Ingress Route: [OSPF] 10.1.255.2/32, via metric 2
Traffic Statistics: Packets 0, Bytes 0
State: Up
Aggregate Traffic Statistics:
Tunnel Encapsulation: Dest 10.1.255.2, Src 10.1.255.4, IPoIP, Tunnel-Id 1
Traffic Statistics: Packets 0, Bytes 0Significado
El resultado indica que se ha establecido un túnel IPoIP entre R2 (192.168.0.21 origen) y R4 (192.168.0.41 destino) y que se establece otro túnel IPoIP entre R4 (192.168.0.41 origen) y R2 (192.168.0.21 destino).
Verificar tabla de rutas en inet.3
Propósito
Para verificar las rutas generadas en la tabla inet.3, utilice el comando modo show route table inet.3 operativo.
Acción
user@R2> show route table inet.3
inet.3: 2 destinations, 2 routes (2 active, 0 holddown, 0 hidden)
+ = Active Route, - = Last Active, * = Both
10.1.255.0/24 *[Tunnel/305] 02:02:44
Tunnel
10.1.255.4/32 *[Tunnel/305] 02:02:44, metric 2
Tunnel Composite, IPoIP (src 10.1.255.2 dest 10.1.255.4)user@R4> show route table inet.3
inet.3: 2 destinations, 2 routes (2 active, 0 holddown, 0 hidden)
+ = Active Route, - = Last Active, * = Both
10.1.255.0/24 *[Tunnel/305] 6d 01:35:50
Tunnel
10.1.255.2/32 *[Tunnel/305] 6d 01:35:48, metric 2
Tunnel Composite, IPoIP (src 10.1.255.4 dest 10.1.255.2)Significado
El resultado indica la ruta utilizada para resolver el tráfico BGP que utilizará el túnel.
Comprobar rutas BGP mediante el túnel
Propósito
Para comprobar que las rutas BGP recibidas en R2 y R4 para R1 y R5 están utilizando el túnel.
Acción
user@R2> show route protocol bgp
inet.0: 17 destinations, 17 routes (17 active, 0 holddown, 0 hidden)
+ = Active Route, - = Last Active, * = Both
192.168.255.5/32 *[BGP/170] 02:42:48, MED 10, localpref 100, from 10.1.255.4
AS path: I, validation-state: unverified
> via Tunnel Composite, IPoIP (src 10.1.255.2 dest 10.1.255.4)
inet.3: 2 destinations, 2 routes (2 active, 0 holddown, 0 hidden)
iso.0: 1 destinations, 1 routes (1 active, 0 holddown, 0 hidden)
inet6.0: 1 destinations, 1 routes (1 active, 0 holddown, 0 hidden)user@R4> show route protocol bgp
inet.0: 17 destinations, 17 routes (17 active, 0 holddown, 0 hidden)
+ = Active Route, - = Last Active, * = Both
192.168.255.1/32 *[BGP/170] 00:13:30, MED 10, localpref 100, from 10.1.255.2
AS path: I, validation-state: unverified
> via Tunnel Composite, IPoIP (src 10.1.255.4 dest 10.1.255.2)
inet.3: 2 destinations, 2 routes (2 active, 0 holddown, 0 hidden)
iso.0: 1 destinations, 1 routes (1 active, 0 holddown, 0 hidden)
inet6.0: 1 destinations, 1 routes (1 active, 0 holddown, 0 hidden)Significado
El resultado indica que R2 está usando el túnel para la ruta BGP a R5 y R4 está usando el túnel para la ruta BGP a R1.
Verificar la accesibilidad de extremo a extremo
Propósito
Compruebe que R1 puede hacer ping a R5 mediante el comando del ping 192.168.255.5 source 192.168.255.1 count 2 modo operativo.
Acción
user@R1>ping 192.168.255.5 source 192.168.255.1 count 2
PING 192.168.255.5 (192.168.255.5): 56 data bytes
64 bytes from 192.168.255.5: icmp_seq=0 ttl=62 time=5.565 ms
64 bytes from 192.168.255.5: icmp_seq=1 ttl=62 time=5.957 ms
--- 192.168.255.5 ping statistics ---
2 packets transmitted, 2 packets received, 0% packet loss
round-trip min/avg/max/stddev = 5.565/5.761/5.957/0.196 msSignificado
La salida de R1 muestra que R1 puede hacer ping a R5.
Ejemplo: Configurar un túnel IPoIP en un entorno MPLS con túnel LDP, resuelto mediante inetcolor.0 mediante configuración estática
De forma predeterminada, MPLS tiene una preferencia más alta que IP. Por ejemplo, con MPLS y LDP configurados entre R2, R3 y R4, en los que se puede llegar a R2 con R4 a través de LDP, las rutas de R2 se resolverán a través de LDP, en lugar de IP sobre IP, debido a la preferencia más alta.
Si prefiere que una ruta determinada se resuelva a través de IP sobre IP en lugar de LDP, puede hacerlo creando una tabla inetcolor, donde IP-over-IP tiene una preferencia más alta y configurando BGP para resolver esa ruta sobre la tabla inetcolor en lugar de la tabla inet3. En el ejemplo siguiente se muestra cómo hacerlo mediante la configuración estática.
Topología
En este ejemplo, estamos intercambiando rutas de R1 a R5 y viceversa a través de túneles dinámicos IP-over-IP establecidos entre R2 y R4. Las rutas de R1 se exportan a R2 y las rutas de R5 se exportan a R4, utilizando el protocolo IS-IS. Configuramos un túnel Tunnel-01 IPIP de unidifusión de R2 a R4 y otro túnel Tunnel-01 de R4 a R2. Los prefijos de ruta que se generan dentro de las máscaras de red desde las redes de destino configuradas del dispositivo par se utilizan para crear el túnel y los flujos de tráfico en la dirección opuesta a las rutas del túnel.
Configuración rápida de CLI
R1
set interfaces xe-0/2/0 unit 0 description R1-to-R2 set interfaces xe-0/2/0 unit 0 family inet address 192.168.12.1/30 set interfaces xe-0/2/0 unit 0 family iso set interfaces lo0 unit 0 family inet address 192.168.255.1/32 set interfaces lo0 unit 0 family iso address 49.0001.1920.1682.5501.00 set routing-options router-id 192.168.255.1 set protocols isis interface xe-0/2/0.0 set protocols isis interface lo0.0 set protocols isis level 1 disable
R2
set interfaces xe-0/2/0 description R2-to-R1 set interfaces xe-0/2/0 unit 0 family inet address 192.168.12.2/30 set interfaces xe-0/2/0 unit 0 family iso set interfaces xe-0/2/1 description R2-to-R3 set interfaces xe-0/2/1 unit 0 family inet address 10.1.23.1/30 set interfaces xe-0/2/1 unit 0 family mpls set interfaces lo0 unit 0 family inet address 10.1.255.2/32 set interfaces lo0 unit 0 family iso address 49.0001.0010.1255.0002.00 set policy-options policy-statement export-bgp term t1 from protocol bgp set policy-options policy-statement export-bgp term t1 then accept set policy-options policy-statement export-isis term t1 from protocol isis set policy-options policy-statement export-isis term t1 then next-hop self set policy-options policy-statement export-isis term t1 then accept set policy-options policy-statement ipip-tunnel-color term term-01 from route-filter 192.168.255.5/32 exact set policy-options policy-statement ipip-tunnel-color term term-01 then community add red set policy-options policy-statement ipip-tunnel-color term term-01 then accept set policy-options policy-statement set-dynamic-tunnel-ep term t1 from route-filter 10.1.255.4/32 exact set policy-options policy-statement set-dynamic-tunnel-ep term t1 then tunnel-end-point-address 10.1.255.4 set policy-options policy-statement set-dynamic-tunnel-ep term t1 then accept set policy-options community red members color:0:100 set routing-options router-id 10.1.255.2 set routing-options autonomous-system 65000 set routing-options dynamic-tunnels Tunnel-01 source-address 10.1.255.2 set routing-options dynamic-tunnels Tunnel-01 ipip set routing-options dynamic-tunnels Tunnel-01 destination-networks 10.1.255.0/24 dyn-tunnel-attribute-policy set-dynamic-tunnel-ep set routing-options dynamic-tunnels Tunnel-01 destination-networks 10.1.255.0/24 colors 100 set protocols bgp group iBGP type internal set protocols bgp group iBGP local-address 10.1.255.2 set protocols bgp group iBGP import ipip-tunnel-color set protocols bgp group iBGP family inet unicast extended-nexthop-color set protocols bgp group iBGP export export-isis set protocols bgp group iBGP neighbor 10.1.255.4 set protocols isis interface xe-0/2/0.0 set protocols isis interface lo0.0 set protocols isis level 1 disable set protocols isis export export-bgp set protocols ldp interface xe-0/2/1.0 set protocols mpls interface xe-0/2/1.0 set protocols ospf area 0.0.0.0 interface xe-0/2/1.0 set protocols ospf area 0.0.0.0 interface lo0.0
R3
set interfaces xe-0/2/0 unit 0 description R3-to-R2 set interfaces xe-0/2/0 unit 0 family inet address 10.1.23.2/30 set interfaces xe-0/2/0 unit 0 family mpls set interfaces xe-0/2/1 unit 0 description R3-to-R4 set interfaces xe-0/2/1 unit 0 family inet address 10.1.34.1/30 set interfaces xe-0/2/1 unit 0 family mpls set interfaces lo0 unit 0 family inet address 10.1.255.3/32 set routing-options router-id 10.1.255.3 set protocols ldp interface xe-0/2/0.0 set protocols ldp interface xe-0/2/1.0 set protocols mpls interface xe-0/2/0.0 set protocols mpls interface xe-0/2/1.0 set protocols ospf area 0.0.0.0 interface xe-0/2/0.0 set protocols ospf area 0.0.0.0 interface xe-0/2/1.0 set protocols ospf area 0.0.0.0 interface lo0.0 passive
R4
set interfaces xe-0/2/0 unit 0 description R4-to-R3 set interfaces xe-0/2/0 unit 0 family inet address 10.1.34.2/30 set interfaces xe-0/2/0 unit 0 family mpls set interfaces xe-0/2/1 unit 0 description R4-to-R5 set interfaces xe-0/2/1 unit 0 family inet address 192.168.45.1/30 set interfaces xe-0/2/1 unit 0 family iso set interfaces lo0 unit 0 family inet address 10.1.255.4/32 set interfaces lo0 unit 0 family iso address 49.0001.0010.1255.0004.00 set policy-options policy-statement export-bgp term t1 from protocol bgp set policy-options policy-statement export-bgp term t1 then accept set policy-options policy-statement export-isis term t1 from protocol isis set policy-options policy-statement export-isis term t1 then next-hop self set policy-options policy-statement export-isis term t1 then accept set policy-options policy-statement ipip-tunnel-color term term-01 from route-filter 192.168.255.1/32 exact set policy-options policy-statement ipip-tunnel-color term term-01 then community add red set policy-options policy-statement ipip-tunnel-color term term-01 then accept set policy-options policy-statement set-dynamic-tunnel-ep term t1 from route-filter 10.1.255.2/32 exact set policy-options policy-statement set-dynamic-tunnel-ep term t1 then tunnel-end-point-address 10.1.255.2 set policy-options policy-statement set-dynamic-tunnel-ep term t1 then accept set policy-options community red members color:0:100 set routing-options router-id 10.1.255.4 set routing-options autonomous-system 65000 set routing-options dynamic-tunnels Tunnel-01 source-address 10.1.255.4 set routing-options dynamic-tunnels Tunnel-01 ipip set routing-options dynamic-tunnels Tunnel-01 destination-networks 10.1.255.0/24 dyn-tunnel-attribute-policy set-dynamic-tunnel-ep set routing-options dynamic-tunnels Tunnel-01 destination-networks 10.1.255.0/24 colors 100 set protocols bgp group iBGP type internal set protocols bgp group iBGP local-address 10.1.255.4 set protocols bgp group iBGP import ipip-tunnel-color set protocols bgp group iBGP family inet unicast extended-nexthop-color set protocols bgp group iBGP export export-isis set protocols bgp group iBGP neighbor 10.1.255.2 set protocols isis interface xe-0/2/1.0 set protocols isis interface lo0.0 set protocols isis level 1 disable set protocols isis export export-bgp set protocols ldp interface xe-0/2/0.0 set protocols mpls interface xe-0/2/0.0 set protocols ospf area 0.0.0.0 interface xe-0/2/0.0 set protocols ospf area 0.0.0.0 interface lo0.0
R5
set interfaces xe-0/2/0 unit 0 description R5-to-R4 set interfaces xe-0/2/0 unit 0 family inet address 192.168.45.2/30 set interfaces xe-0/2/0 unit 0 family iso set interfaces lo0 unit 0 family inet address 192.168.255.5/32 set interfaces lo0 unit 0 family iso address 49.0001.1920.1682.5505.00 set routing-options router-id 192.168.255.5 set protocols isis interface xe-0/2/0.0 set protocols isis interface lo0.0 set protocols isis level 1 disable
Procedimiento
- Procedimiento paso a paso para R1
- Procedimiento paso a paso para R2
- Procedimiento paso a paso para R3
- Resultados
Procedimiento paso a paso para R1
R1 y R5 tienen una configuración similar, por lo que solo mostraremos el procedimiento paso a paso para R1.
-
Ingrese al modo de configuración en R1.
-
Configure la interfaz conectada a R2 y la interfaz lo0. Asegúrese de configurar tanto family
inetcomoiso. La familiaisoes necesaria para el protocolo IS-IS.[edit] user@R1# set interfaces xe-0/2/0 unit 0 description R1-to-R2 user@R1# set interfaces xe-0/2/0 unit 0 family inet address 192.168.12.1/30 user@R1# set interfaces xe-0/2/0 unit 0 family iso user@R1# set interfaces lo0 unit 0 family inet address 192.168.255.1/32 user@R1# set interfaces lo0 unit 0 family iso address 49.0001.1920.1682.5501.00
-
Configure el ID del enrutador.
[edit] user@R1# set routing-options router-id 192.168.255.1
-
Configure los protocolos IS-IS. Las rutas se anuncian entre R1 y R2 utilizando el protocolo IS-IS.
[edit] user@R1# set protocols isis interface xe-0/2/0.0 user@R1# set protocols isis interface lo0.0 user@R1# set protocols isis level 1 disable
-
Ingrese
commiten R1 desde el modo de configuración.
Procedimiento paso a paso para R2
R2 y R4 tienen una configuración similar, por lo que solo mostraremos el procedimiento paso a paso para R2.
-
Ingrese al modo de configuración en R2.
-
Configure las interfaces conectadas a R1 y R3 y la interfaz lo0. Asegúrese de configurar tanto la familia
inetcomoisoen la interfaz conectada a R1 y lo0, y de configurar ambas familiasinetymplsen la interfaz conectada a R3.[edit] user@R2# set interfaces xe-0/2/0 description R2-to-R1 user@R2# set interfaces xe-0/2/0 unit 0 family inet address 192.168.12.2/30 user@R2# set interfaces xe-0/2/0 unit 0 family iso user@R2# set interfaces xe-0/2/1 description R2-to-R3 user@R2# set interfaces xe-0/2/1 unit 0 family inet address 10.1.23.1/30 user@R2# set interfaces xe-0/2/0 unit 0 family mpls user@R2# set interfaces lo0 unit 0 family inet address 10.1.255.2/32 user@R2# set interfaces lo0 unit 0 family iso address 49.0001.0010.1255.0002.00
-
Configure los protocolos IS-IS para la interfaz conectada a R1. La política de exportación para anunciar rutas BGP en IS-IS se muestra en el paso de configuración de la política.
[edit] user@R2# set protocols isis interface xe-0/2/0.0 user@R2# set protocols isis interface lo0.0 user@R2# set protocols isis level 1 disable user@R2# set protocols isis export export-bgp
-
Configure el protocolo OSPF para la interfaz conectada a R3 para la accesibilidad lo0.
[edit] user@R2# set protocols ospf area 0.0.0.0 interface xe-0/2/1.0 user@R2# set protocols ospf area 0.0.0.0 interface lo0.0
-
Configure los protocolos LDP y MPLS para la interfaz conectada a R3.
[edit] user@R2# set protocols ldp interface xe-0/2/1.0 user@R2# set protocols mpls interface xe-0/2/1.0
-
Configure el
router-idyautonomous-systembajo la jerarquía, y configure IBGProuting-optionsentre R2 y R4. La política de importación para agregar una comunidad a las rutas aprendidas con BGP y la política de exportación para anunciar rutas IS-IS en BGP se muestran en el paso de configuración de la política. Asegúrese de incluirextended-nexthop-colorla opción a lafamily inet unicastconfiguración para permitir la resolución mediante la tabla inetcolor.0.[edit] user@R2# set routing-options router-id 10.1.255.2 user@R2# set routing-options autonomous-system 65000 user@R2# set protocols bgp group iBGP type internal user@R2# set protocols bgp group iBGP local-address 10.1.255.2 user@R2# set protocols bgp group iBGP import ipip-tunnel-color user@R2# set protocols bgp group iBGP family inet unicast extended-nexthop-color user@R2# set protocols bgp group iBGP export export-isis user@R2# set protocols bgp group iBGP neighbor 10.1.255.4
-
Configure el túnel Tunnel-01 dinámico IP-IP de R2 a R4. La
colorsopción de configuración permite crear el túnel en la tabla de ruteo inetcolor.0. Eldyn-tunnel-attribute-policyset-dynamic-tunnel-ep configura un extremo de túnel estático. La política se muestra con el paso de configuración de la directiva.[edit] user@R2# set routing-options dynamic-tunnels Tunnel-01 source-address 10.1.255.2 user@R2# set routing-options dynamic-tunnels Tunnel-01 ipip user@R2# set routing-options dynamic-tunnels Tunnel-01 destination-networks 10.1.255.0/24 dyn-tunnel-attribute-policy set-dynamic-tunnel-ep user@R2# set routing-options dynamic-tunnels Tunnel-01 destination-networks 10.1.255.0/24 colors 100
-
Configure las directivas que se aplicaron durante los pasos de configuración anteriores. La export-bgp política anuncia rutas BGP a IS-IS. La export-isis política anuncia rutas de IS-IS a BGP con el cambio del siguiente salto a R2. La ipip-tunnel-color política aplica la comunidad a la ruta que coincide en la
colorsconfiguración del túnel dinámico. La set-dynamic-tunnel-ep política configura R4 como extremo del túnel.[edit] user@R2# set policy-options policy-statement export-bgp term t1 from protocol bgp user@R2# set policy-options policy-statement export-bgp term t1 then accept user@R2# set policy-options policy-statement export-isis term t1 from protocol isis user@R2# set policy-options policy-statement export-isis term t1 then next-hop self user@R2# set policy-options policy-statement export-isis term t1 then accept user@R2# set policy-options policy-statement ipip-tunnel-color term term-01 from route-filter 192.168.255.5/32 exact user@R2# set policy-options policy-statement ipip-tunnel-color term term-01 then community add red user@R2# set policy-options policy-statement ipip-tunnel-color term term-01 then accept user@R2# set policy-options policy-statement set-dynamic-tunnel-ep term t1 from route-filter 10.1.255.4/32 exact user@R2# set policy-options policy-statement set-dynamic-tunnel-ep term t1 then tunnel-end-point-address 10.1.255.4 user@R2# set policy-options policy-statement set-dynamic-tunnel-ep term t1 then accept user@R2# set policy-options community red members color:0:100
-
Ingrese
commitdesde el modo de configuración.
Procedimiento paso a paso para R3
-
Ingrese al modo de configuración en R3.
-
Configure las interfaces conectadas a R2 y R4 y la interfaz lo0. Asegúrese de configurar tanto la familia
inetmplscomo las interfaces conectadas a R2 y R4.[edit] user@R3# set interfaces xe-0/2/0 unit 0 description R3-to-R2 user@R3# set interfaces xe-0/2/0 unit 0 family inet address 10.1.23.2/30 user@R3# set interfaces xe-0/2/0 unit 0 family mpls user@R3# set interfaces xe-0/2/1 unit 0 description R3-to-R4 user@R3# set interfaces xe-0/2/1 unit 0 family inet address 10.1.34.1/30 user@R3# set interfaces xe-0/2/1 unit 0 family mpls user@R3# set interfaces lo0 unit 0 family inet address 10.1.255.3/32
-
Configure el ID del enrutador.
[edit] user@R3# set routing-options router-id 10.1.255.3
-
Configure el protocolo OSPF para las interfaces conectadas a R2 y R4 para lograr una accesibilidad lo0.
[edit] user@R3# set protocols ospf area 0.0.0.0 interface xe-0/2/0.0 user@R3# set protocols ospf area 0.0.0.0 interface xe-0/2/1.0 user@R3# set protocols ospf area 0.0.0.0 interface lo0.0 passive
-
Configure los protocolos LDP y MPLS para las interfaces conectadas a R2 y R4.
[edit] user@R2# set protocols ldp interface xe-0/2/0.0 user@R2# set protocols ldp interface xe-0/2/1.0 user@R2# set protocols mpls interface xe-0/2/0.0 user@R2# set protocols mpls interface xe-0/2/1.0
-
Ingrese
commitdesde el modo de configuración en el dispositivo R3.
Resultados
Verifique su configuración comprobando las siguientes configuraciones de los dispositivos.
Así es como puede verificar las configuraciones en R2:
user@R2# show interfaces
xe-0/2/0 {
description R2-to-R1;
unit 0 {
family inet {
address 192.168.12.2/30;
}
family iso;
}
}
xe-0/2/1 {
description R2-to-R3;
unit 0 {
family inet {
address 10.1.23.1/30;
}
family mpls;
}
}
lo0 {
apply-groups-except global;
unit 0 {
family inet {
address 10.1.255.2/32;
}
family iso {
address 49.0001.0010.1255.0002.00;
}
}
}user@R2# show protocols
bgp {
group iBGP {
type internal;
local-address 10.1.255.2;
import ipip-tunnel-color;
family inet {
unicast {
extended-nexthop-color;
}
}
export export-isis;
neighbor 10.1.255.4;
}
}
isis {
interface xe-0/2/0.0;
interface lo0.0;
level 1 disable;
export export-bgp;
}
ldp {
interface xe-0/2/1.0;
}
mpls {
interface xe-0/2/1.0;
}
ospf {
area 0.0.0.0 {
interface xe-0/2/1.0;
interface lo0.0;
}
}
user@R2#show routing-options
router-id 10.1.255.2;
autonomous-system 65000;
dynamic-tunnels {
Tunnel-01 {
source-address 10.1.255.2;
ipip;
destination-networks {
10.1.255.0/24 {
dyn-tunnel-attribute-policy set-dynamic-tunnel-ep;
colors 100;
}
}
}
}
user@R2#show policy-options
policy-statement export-bgp {
term t1 {
from protocol bgp;
then accept;
}
}
policy-statement export-isis {
term t1 {
from protocol isis;
then {
next-hop self;
accept;
}
}
}
policy-statement ipip-tunnel-color {
term term-01 {
from {
route-filter 192.168.255.5/32 exact;
}
then {
community add red;
accept;
}
}
}
policy-statement set-dynamic-tunnel-ep {
term t1 {
from {
route-filter 10.1.255.4/32 exact;
}
then {
tunnel-end-point-address 10.1.255.4;
accept;
}
}
}
community red members color:0:100;
Verificación
- Verificar la resolución de la ruta
- Comprobar la base de datos de túnel dinámico
- Verificar los próximos saltos de la ruta
- Verificar la accesibilidad de extremo a extremo
Verificar la resolución de la ruta
Propósito
Para comprobar la resolución de ruta de las rutas en las tablas inet.3 e inetcolor.0, utilice los show route table inet.3 comandos y show route table inetcolor.0 modo operativo.
Acción
user@R2> show route table inet.3
inet.3: 3 destinations, 4 routes (3 active, 0 holddown, 0 hidden)
+ = Active Route, - = Last Active, * = Both
10.1.255.0/24 *[Tunnel/305] 00:12:21
Tunnel
10.1.255.3/32 *[LDP/9] 1d 19:37:01, metric 1
> to 10.1.23.2 via xe-0/2/1.0
10.1.255.4/32 *[LDP/9] 1d 19:32:25, metric 1
> to 10.1.23.2 via xe-0/2/1.0, Push 299792
[Tunnel/305] 00:13:38, metric 2
Tunnel Composite, IPoIP (src 10.1.255.2 dest 10.1.255.4)user@R2> show route table inetcolor.0
inetcolor.0: 2 destinations, 2 routes (2 active, 0 holddown, 0 hidden)
+ = Active Route, - = Last Active, * = Both
10.1.255.0-0<c>/24
*[Tunnel/305] 00:13:26
Tunnel
10.1.255.4-100<c>/64
*[Tunnel/305] 00:13:26, metric 2
Tunnel Composite, IPoIP (src 10.1.255.2 dest 10.1.255.4-100<c>)Significado
La salida R2 indica que en la tabla inet.3, LDP resuelve la ruta 10.1.255.4 debido a una preferencia más alta que IP sobre IP. Por otro lado, en la tabla inetcolor.0 recién creada, la ruta 10.1.255.4 se resuelve a través del túnel IP a través de IP con <c> adjunto.
Comprobar la base de datos de túnel dinámico
Propósito
Para comprobar el túnel dinámico de IP a través de IP creado por las rutas de la tabla inetcolor.0, utilice el comando de show dynamic-tunnels database terse modo operativo.
Acción
user@R2>show dynamic-tunnels database terse
*- Signal Tunnels #- PFE-down
Table: inet.3
Destination-network: 10.1.255.0/24
*- Signal Tunnels #- PFE-down
Table: inetcolor.0
Destination-network: 10.1.255.0-0<c>/24
Destination Source Next-hop Type Status
10.1.255.4-100<c>/64 10.1.255.2 0x76b71cc nhid 592 IPoIP Up (via metric 2, tunnel-endpoint 10.1.255.4)Significado
La salida R2 indica que la ruta 192.168.0.41 ha creado un túnel dinámico basado en el salto siguiente.
Verificar los próximos saltos de la ruta
Propósito
Para comprobar todos los próximos saltos de la ruta que está configurada para resolver a través de IP a través de IP, utilice el comando del show route 192.168.255.5 extensive expanded-nh modo operativo.
Acción
user@R2>show route 192.168.255.5 extensive expanded-nh
inet.0: 18 destinations, 18 routes (18 active, 0 holddown, 0 hidden)
192.168.255.5/32 (1 entry, 1 announced)
Installed-nexthop:
Indr Composite (0x76b7238) 10.1.255.4-100<c>
Krt_cnh (0x6fb1928) Index:593
Krt_inh (0x7164d3c) Index:1048575 PNH: 10.1.255.4-100<c>
Tun-comp (0x76b71cc) Index:592 IPoIP src 10.1.255.2 dest 10.1.255.4-100<c> tunnel-endpoint 10.1.255.4
TSI:
KRT in-kernel 192.168.255.5/32 -> {composite(593)}
IS-IS level 2, LSP fragment 0
*BGP Preference: 170/-101
Next hop type: Indirect, Next hop index: 0
Address: 0x76b7238
Next-hop reference count: 2
Source: 10.1.255.4
Next hop type: Tunnel Composite, Next hop index: 592
Next hop: via Tunnel Composite, IPoIP (src 10.1.255.2 dest 10.1.255.4-100<c> tunnel-endpoint 10.1.255.4), selected
Protocol next hop: 10.1.255.4-100<c>
Composite next hop: 0x6fb1928 593 INH Session ID: 0
Indirect next hop: 0x7164d3c 1048575 INH Session ID: 0
State: <Active Int Ext>
Local AS: 65000 Peer AS: 65000
Age: 20:14 Metric: 10 Metric2: 2
Validation State: unverified
Task: BGP_65000.10.1.255.4
Announcement bits (2): 0-KRT 5-IS-IS
AS path: I
Communities: color:0:100
Accepted
Localpref: 100
Router ID: 10.1.255.4
Route-nexthop:
Indr (0x76b7238) 10.1.255.4-100<c>
Krt_cnh (0x6fb1928) Index:593
Krt_inh (0x7164d3c) Index:1048575
Tun-comp (0x76b71cc) Index:592
Thread: junos-main
Composite next hops: 1
Protocol next hop: 10.1.255.4-100<c> Metric: 2
Composite next hop: 0x6fb1928 593 INH Session ID: 0
Indirect next hop: 0x7164d3c 1048575 INH Session ID: 0
Indirect path forwarding next hops: 1
Next hop type: Tunnel Composite
Tunnel type: IPoIP, (forwarding-nexthop), Reference count: 2, nhid: 592
Destination address: 10.1.255.4-100<c>, Source address: 10.1.255.2
Tunnel endpoint: 10.1.255.4
10.1.255.4-100<c>/64 Originating RIB: inetcolor.0
Metric: 2 Node path count: 1
Forwarding nexthops: 1
Next hop type: Tunnel Composite
Tunnel type: IPoIP, (extended-attr), Reference count: 1, nhid: 0
Destination address: 10.1.255.4-100<c>, Source address: 10.1.255.2
Significado
La salida de R2 muestra el siguiente salto expandido para la 192.168.255.5 ruta. Como R2 es un enrutador de la serie MX, envía un protocolo de siguiente salto y un siguiente salto indirecto.
Verificar la accesibilidad de extremo a extremo
Propósito
Compruebe que R1 puede hacer ping a R5 mediante el comando del ping 192.168.255.5 source 192.168.255.1 count 2 modo operativo.
Acción
user@R1>ping 192.168.255.5 source 192.168.255.1 count 2
PING 192.168.255.5 (192.168.255.5): 56 data bytes
64 bytes from 192.168.255.5: icmp_seq=0 ttl=62 time=6.009 ms
64 bytes from 192.168.255.5: icmp_seq=1 ttl=62 time=5.398 ms
--- 192.168.255.5 ping statistics ---
2 packets transmitted, 2 packets received, 0% packet loss
round-trip min/avg/max/stddev = 5.398/5.704/6.009/0.306 msSignificado
La salida de R1 muestra que R1 puede hacer ping a R5.
Ejemplo: Configurar un túnel IPoIP con túnel LDP en una nube MPLS, resuelto mediante inetcolor.0 Uso de la señalización BGP
En un entorno MPLS con LDP habilitado, las rutas BGP se resuelven a través de LDP en la tabla inet.3 porque MPLS tiene una preferencia más alta que IP.
Si aún prefiere que sus rutas se resuelvan a través de IP a través de IP en el entorno MPLS, puede hacerlo creando una tabla inetcolor.0 que asigne una mayor preferencia por IP sobre IP y resuelva las rutas elegidas a través de IP sobre IP. Para habilitar esta característica mediante BGP, la resolución de ruta se realiza en el dispositivo extremo remoto del túnel y, con la política de exportación configurada en el dispositivo remoto, las rutas se reciben y anuncian mediante la señalización BGP. En este ejemplo se muestra cómo configurarlo mediante la configuración del protocolo BGP.
En este ejemplo, estamos intercambiando rutas de R1 a R5 y viceversa a través de túneles dinámicos IP-over-IP establecidos entre R2 y R4. Las rutas de R1 se exportan a R2 y las rutas de R5 se exportan a R4, utilizando el protocolo IS-IS. Configuramos un túnel Tunnel-01 IPIP de unidifusión de R2 a R4 y otro túnel Tunnel-01 de R4 a R2. Los prefijos de ruta que se generan dentro de las máscaras de red desde las redes de destino configuradas del dispositivo par se utilizan para crear el túnel y los flujos de tráfico en la dirección opuesta a las rutas del túnel.
Configuración rápida de CLI
R1
set interfaces xe-0/2/0 unit 0 description R1-to-R2 set interfaces xe-0/2/0 unit 0 family inet address 192.168.12.1/30 set interfaces xe-0/2/0 unit 0 family iso set interfaces lo0 unit 0 family inet address 192.168.255.1/32 set interfaces lo0 unit 0 family iso address 49.0001.1920.1682.5501.00 set routing-options router-id 192.168.255.1 set protocols isis interface xe-0/2/0.0 set protocols isis interface lo0.0 set protocols isis level 1 disable
R2
set interfaces xe-0/2/0 description R2-to-R1 set interfaces xe-0/2/0 unit 0 family inet address 192.168.12.2/30 set interfaces xe-0/2/0 unit 0 family iso set interfaces xe-0/2/1 description R2-to-R3 set interfaces xe-0/2/1 unit 0 family inet address 10.1.23.1/30 set interfaces xe-0/2/1 unit 0 family mpls set interfaces lo0 unit 0 family inet address 10.1.255.2/32 set interfaces lo0 unit 0 family iso address 49.0001.0010.1255.0002.00 set policy-options policy-statement export-bgp term t1 from protocol bgp set policy-options policy-statement export-bgp term t1 then accept set policy-options policy-statement export-tunnel-route term t1 from route-filter 192.168.255.1/32 exact set policy-options policy-statement export-tunnel-route term t1 then tunnel-attribute set tunnel-attr-01 set policy-options policy-statement export-tunnel-route term t1 then next-hop self set policy-options policy-statement export-tunnel-route term t1 then accept set policy-options tunnel-attribute tunnel-attr-01 tunnel-type ipip set policy-options tunnel-attribute tunnel-attr-01 tunnel-color 100 set policy-options tunnel-attribute tunnel-attr-01 remote-end-point 10.1.255.4 set routing-options router-id 10.1.255.2 set routing-options autonomous-system 65000 set routing-options dynamic-tunnels Tunnel-01 source-address 10.1.255.2 set routing-options dynamic-tunnels Tunnel-01 bgp-signal set routing-options dynamic-tunnels Tunnel-01 destination-networks 10.1.255.0/24 colors 100 set protocols bgp group iBGP type internal set protocols bgp group iBGP local-address 10.1.255.2 set protocols bgp group iBGP family inet unicast extended-nexthop-tunnel set protocols bgp group iBGP export export-tunnel-route set protocols bgp group iBGP neighbor 10.1.255.4 set protocols isis interface xe-0/2/0.0 set protocols isis interface lo0.0 set protocols isis level 1 disable set protocols isis export export-bgp set protocols ldp interface xe-0/2/1.0 set protocols mpls interface xe-0/2/1.0 set protocols ospf area 0.0.0.0 interface xe-0/2/1.0 set protocols ospf area 0.0.0.0 interface lo0.0
R3
set interfaces xe-0/2/0 unit 0 description R3-to-R2 set interfaces xe-0/2/0 unit 0 family inet address 10.1.23.2/30 set interfaces xe-0/2/0 unit 0 family mpls set interfaces xe-0/2/1 unit 0 description R3-to-R4 set interfaces xe-0/2/1 unit 0 family inet address 10.1.34.1/30 set interfaces xe-0/2/1 unit 0 family mpls set interfaces lo0 unit 0 family inet address 10.1.255.3/32 set routing-options router-id 10.1.255.3 set protocols ldp interface xe-0/2/0.0 set protocols ldp interface xe-0/2/1.0 set protocols mpls interface xe-0/2/0.0 set protocols mpls interface xe-0/2/1.0 set protocols ospf area 0.0.0.0 interface xe-0/2/0.0 set protocols ospf area 0.0.0.0 interface xe-0/2/1.0 set protocols ospf area 0.0.0.0 interface lo0.0 passive
R4
set interfaces xe-0/2/0 unit 0 description R4-to-R3 set interfaces xe-0/2/0 unit 0 family inet address 10.1.34.2/30 set interfaces xe-0/2/0 unit 0 family mpls set interfaces xe-0/2/1 unit 0 description R4-to-R5 set interfaces xe-0/2/1 unit 0 family inet address 192.168.45.1/30 set interfaces xe-0/2/1 unit 0 family iso set interfaces lo0 unit 0 family inet address 10.1.255.4/32 set interfaces lo0 unit 0 family iso address 49.0001.0010.1255.0004.00 set policy-options policy-statement export-bgp term t1 from protocol bgp set policy-options policy-statement export-bgp term t1 then accept set policy-options policy-statement export-tunnel-route term t1 from route-filter 192.168.255.5/32 exact set policy-options policy-statement export-tunnel-route term t1 then tunnel-attribute set tunnel-attr-01 set policy-options policy-statement export-tunnel-route term t1 then next-hop self set policy-options policy-statement export-tunnel-route term t1 then accept set policy-options tunnel-attribute tunnel-attr-01 tunnel-type ipip set policy-options tunnel-attribute tunnel-attr-01 tunnel-color 100 set policy-options tunnel-attribute tunnel-attr-01 remote-end-point 10.1.255.2 set routing-options router-id 10.1.255.4 set routing-options autonomous-system 65000 set routing-options dynamic-tunnels Tunnel-01 source-address 10.1.255.4 set routing-options dynamic-tunnels Tunnel-01 bgp-signal set routing-options dynamic-tunnels Tunnel-01 destination-networks 10.1.255.0/24 colors 100 set protocols bgp group iBGP type internal set protocols bgp group iBGP local-address 10.1.255.4 set protocols bgp group iBGP family inet unicast extended-nexthop-tunnel set protocols bgp group iBGP export export-tunnel-route set protocols bgp group iBGP neighbor 10.1.255.2 set protocols isis interface xe-0/2/1.0 set protocols isis interface lo0.0 set protocols isis level 1 disable set protocols isis export export-bgp set protocols ldp interface xe-0/2/0.0 set protocols mpls interface xe-0/2/0.0 set protocols ospf area 0.0.0.0 interface xe-0/2/0.0 set protocols ospf area 0.0.0.0 interface lo0.0
R5
set interfaces xe-0/2/0 unit 0 description R5-to-R4 set interfaces xe-0/2/0 unit 0 family inet address 192.168.45.2/30 set interfaces xe-0/2/0 unit 0 family iso set interfaces lo0 unit 0 family inet address 192.168.255.5/32 set interfaces lo0 unit 0 family iso address 49.0001.1920.1682.5505.00 set routing-options router-id 192.168.255.5 set protocols isis interface xe-0/2/0.0 set protocols isis interface lo0.0 set protocols isis level 1 disable
Procedimiento
- Procedimiento paso a paso para R1
- Procedimiento paso a paso para R2
- Procedimiento paso a paso para R3
Procedimiento paso a paso para R1
R1 y R5 tienen una configuración similar, por lo que solo mostraremos el procedimiento paso a paso para R1.
-
Ingrese al modo de configuración en R1.
-
Configure la interfaz conectada a R2 y la interfaz lo0. Asegúrese de configurar tanto family
inetcomoiso. La familiaisoes necesaria para el protocolo IS-IS.[edit] user@R1# set interfaces xe-0/2/0 unit 0 description R1-to-R2 user@R1# set interfaces xe-0/2/0 unit 0 family inet address 192.168.12.1/30 user@R1# set interfaces xe-0/2/0 unit 0 family iso user@R1# set interfaces lo0 unit 0 family inet address 192.168.255.1/32 user@R1# set interfaces lo0 unit 0 family iso address 49.0001.1920.1682.5501.00
-
Configure el ID del enrutador.
[edit] user@R1# set routing-options router-id 192.168.255.1
-
Configure los protocolos IS-IS. Las rutas se anuncian entre R1 y R2 utilizando el protocolo IS-IS.
[edit] user@R1# set protocols isis interface xe-0/2/0.0 user@R1# set protocols isis interface lo0.0 user@R1# set protocols isis level 1 disable
-
Ingrese
commiten R1 desde el modo de configuración.
Procedimiento paso a paso para R2
R2 y R4 tienen una configuración similar, por lo que solo mostraremos el procedimiento paso a paso para R2.
-
Ingrese al modo de configuración en R2.
-
Configure las interfaces conectadas a R1 y R3 y la interfaz lo0. Asegúrese de configurar tanto la familia
inetcomoisoen la interfaz conectada a R1 y lo0, y de configurar ambas familiasinetymplsen la interfaz conectada a R3.[edit] user@R2# set interfaces xe-0/2/0 description R2-to-R1 user@R2# set interfaces xe-0/2/0 unit 0 family inet address 192.168.12.2/30 user@R2# set interfaces xe-0/2/0 unit 0 family iso user@R2# set interfaces xe-0/2/1 description R2-to-R3 user@R2# set interfaces xe-0/2/1 unit 0 family inet address 10.1.23.1/30 user@R2# set interfaces xe-0/2/0 unit 0 family mpls user@R2# set interfaces lo0 unit 0 family inet address 10.1.255.2/32 user@R2# set interfaces lo0 unit 0 family iso address 49.0001.0010.1255.0002.00
-
Configure los protocolos IS-IS para la interfaz conectada a R1. La política de exportación para anunciar rutas BGP en IS-IS se muestra en el paso de configuración de la política.
[edit] user@R2# set protocols isis interface xe-0/2/0.0 user@R2# set protocols isis interface lo0.0 user@R2# set protocols isis level 1 disable user@R2# set protocols isis export export-bgp
-
Configure el protocolo OSPF para la interfaz conectada a R3 para la accesibilidad lo0.
[edit] user@R2# set protocols ospf area 0.0.0.0 interface xe-0/2/1.0 user@R2# set protocols ospf area 0.0.0.0 interface lo0.0
-
Configure los protocolos LDP y MPLS para la interfaz conectada a R3.
[edit] user@R2# set protocols ldp interface xe-0/2/1.0 user@R2# set protocols mpls interface xe-0/2/1.0
-
Configure el
router-idyautonomous-systembajo la jerarquía, y configure IBGProuting-optionsentre R2 y R4. La política de importación para agregar una comunidad a las rutas aprendidas mediante BGP y la política de exportación para anunciar rutas IS-IS en BGP y establecer los atributos de túnel se muestran en el paso de configuración de la política. Asegúrese de incluir laextended-nexthop-tunnelopción con la configuración para permitir lafamily inet unicastresolución mediante la tabla inetcolor.0.[edit] user@R2# set routing-options router-id 10.1.255.2 user@R2# set routing-options autonomous-system 65000 user@R2# set protocols bgp group iBGP type internal user@R2# set protocols bgp group iBGP local-address 10.1.255.2 user@R2# set protocols bgp group iBGP family inet unicast extended-nexthop-tunnel user@R2# set protocols bgp group iBGP export export-tunnel-route user@R2# set protocols bgp group iBGP neighbor 10.1.255.4
-
Configure las opciones de enrutamiento en R2 para crear un túnel de R2 a R4. La
bgp-signalopción habilita la creación de túneles señalados por BGP. Lacolorsopción de configuración permite crear el túnel en la tabla de ruteo inetcolor.0.[edit] user@R2# set routing-options dynamic-tunnels Tunnel-01 source-address 10.1.255.2 user@R2# set routing-options dynamic-tunnels Tunnel-01 bgp-signal user@R2# set routing-options dynamic-tunnels Tunnel-01 destination-networks 10.1.255.0/24 colors 100
-
Configure las directivas que se aplicaron durante los pasos de configuración anteriores. La export-bgp política anuncia rutas BGP a IS-IS. La export-tunnel-route política anuncia la ruta IS-IS de R1 a BGP con el
tunnel-attributey cambia el salto siguiente a R2. El tunnel-attr-01tunnel-attributeestablece eltunnel-type, el extremo del túnel y el color coincidente en lacolorsconfiguración del túnel dinámico.[edit] user@R2# set policy-options policy-statement export-bgp term t1 from protocol bgp user@R2# set policy-options policy-statement export-bgp term t1 then accept user@R2# set policy-options policy-statement export-tunnel-route term t1 from route-filter 192.168.255.1/32 exact user@R2# set policy-options policy-statement export-tunnel-route term t1 then tunnel-attribute set tunnel-attr-01 user@R2# set policy-options policy-statement export-tunnel-route term t1 then next-hop self user@R2# set policy-options policy-statement export-tunnel-route term t1 then accept user@R2# set policy-options tunnel-attribute tunnel-attr-01 tunnel-type ipip user@R2# set policy-options tunnel-attribute tunnel-attr-01 tunnel-color 100 user@R2# set policy-options tunnel-attribute tunnel-attr-01 remote-end-point 10.1.255.4
-
Ingrese
commitdesde el modo de configuración.
Procedimiento paso a paso para R3
-
Ingrese al modo de configuración en R3.
-
Configure las interfaces conectadas a R2 y R4 y la interfaz lo0. Asegúrese de configurar tanto la familia
inetmplscomo las interfaces conectadas a R2 y R4.[edit] user@R3# set interfaces xe-0/2/0 unit 0 description R3-to-R2 user@R3# set interfaces xe-0/2/0 unit 0 family inet address 10.1.23.2/30 user@R3# set interfaces xe-0/2/0 unit 0 family mpls user@R3# set interfaces xe-0/2/1 unit 0 description R3-to-R4 user@R3# set interfaces xe-0/2/1 unit 0 family inet address 10.1.34.1/30 user@R3# set interfaces xe-0/2/1 unit 0 family mpls user@R3# set interfaces lo0 unit 0 family inet address 10.1.255.3/32
-
Configure el ID del enrutador.
[edit] user@R3# set routing-options router-id 10.1.255.3
-
Configure el protocolo OSPF para las interfaces conectadas a R2 y R4 para lograr una accesibilidad lo0.
[edit] user@R3# set protocols ospf area 0.0.0.0 interface xe-0/2/0.0 user@R3# set protocols ospf area 0.0.0.0 interface xe-0/2/1.0 user@R3# set protocols ospf area 0.0.0.0 interface lo0.0 passive
-
Configure los protocolos LDP y MPLS para las interfaces conectadas a R2 y R4.
[edit] user@R2# set protocols ldp interface xe-0/2/0.0 user@R2# set protocols ldp interface xe-0/2/1.0 user@R2# set protocols mpls interface xe-0/2/0.0 user@R2# set protocols mpls interface xe-0/2/1.0
-
Ingrese
commitdesde el modo de configuración en el dispositivo R3.
Resultados
Puede comprobar las configuraciones mediante los siguientes comandos show desde el modo de configuración.
Así es como puede verificar las configuraciones en el dispositivo R2:
user@R2# show interfaces
xe-0/2/0 {
description R2-to-R1;
unit 0 {
family inet {
address 192.168.12.2/30;
}
family iso;
}
}
xe-0/2/1 {
description R2-to-R3;
unit 0 {
family inet {
address 10.1.23.1/30;
}
family mpls;
}
}
lo0 {
apply-groups-except global;
unit 0 {
family inet {
address 10.1.255.2/32;
}
family iso {
address 49.0001.0010.1255.0002.00;
}
}
}user@R2# show protocols
bgp {
group iBGP {
type internal;
local-address 10.1.255.2;
family inet {
unicast {
extended-nexthop-tunnel;
}
}
export export-tunnel-route;
neighbor 10.1.255.4;
}
}
isis {
interface xe-0/2/0.0;
interface lo0.0;
level 1 disable;
export export-bgp;
}
ldp {
interface xe-0/2/1.0;
}
mpls {
interface xe-0/2/1.0;
}
ospf {
area 0.0.0.0 {
interface xe-0/2/1.0;
interface lo0.0;
}
}user@R2# show routing-options
router-id 10.1.255.2;
autonomous-system 65000;
dynamic-tunnels {
Tunnel-01 {
source-address 10.1.255.2;
bgp-signal;
destination-networks {
10.1.255.0/24 colors 100;
}
}
}
user@R2# show policy-options
policy-statement export-bgp {
term t1 {
from protocol bgp;
then accept;
}
}
policy-statement export-tunnel-route {
term t1 {
from {
route-filter 192.168.255.1/32 exact;
}
then {
tunnel-attribute set tunnel-attr-01;
next-hop self;
accept;
}
}
}
tunnel-attribute tunnel-attr-01 {
tunnel-type ipip;
tunnel-color 100;
remote-end-point 10.1.255.4;
}
Verificación
- Verificar rutas BGP
- Verificar rutas recibidas
- Comprobar el túnel dinámico
- Verificar la resolución de la ruta
- Verificar la accesibilidad de extremo a extremo
Verificar rutas BGP
Propósito
Compruebe las rutas enviadas mediante el protocolo BGP.
Acción
R2
user@R2> show route protocol bgp
inet.0: 18 destinations, 18 routes (18 active, 0 holddown, 0 hidden)
+ = Active Route, - = Last Active, * = Both
192.168.255.5/32 *[BGP/170] 01:21:51, MED 10, localpref 100, from 10.1.255.4
AS path: I, validation-state: unverified
> via Tunnel Composite, IPoIP (src 10.1.255.2 dest 10.1.255.4-100<c> tunnel-endpoint 10.1.255.2)
inet.3: 3 destinations, 3 routes (3 active, 0 holddown, 0 hidden)
iso.0: 1 destinations, 1 routes (1 active, 0 holddown, 0 hidden)
mpls.0: 7 destinations, 7 routes (7 active, 0 holddown, 0 hidden)
inet6.0: 1 destinations, 1 routes (1 active, 0 holddown, 0 hidden)
inetcolor.0: 2 destinations, 2 routes (2 active, 0 holddown, 0 hidden)Significado
El resultado muestra las rutas desde BGP.
Verificar rutas recibidas
Propósito
Compruebe las rutas recibidas a través de BGP mediante los siguientes comandos del modo operativo.
Acción
R2
user@R2> show route receive-protocol bgp 10.1.255.4 192.168.255.5 extensive
inet.0: 18 destinations, 18 routes (18 active, 0 holddown, 0 hidden)
* 192.168.255.5/32 (1 entry, 1 announced)
Accepted
Nexthop: 10.1.255.4
MED: 10
Localpref: 100
AS path: I
Tunnel type: ipip, Tunnel color: 100, Remote end point: 10.1.255.2Significado
La salida R2 indica las rutas recibidas en los dispositivos.
Comprobar el túnel dinámico
Propósito
Compruebe que el túnel dinámico esté activo y que el BGP esté señalizado.
Acción
R2
user@R2> show dynamic-tunnels database
*- Signal Tunnels #- PFE-down
Table: inet.3
Destination-network: 10.1.255.0/24
*- Signal Tunnels #- PFE-down
Table: inetcolor.0
Destination-network: 10.1.255.0-0<c>/24
Tunnel to: 10.1.255.4-100<c>/64
Reference count: 3
Next-hop type: IPoIP (bgp-signalled forwarding-nexthop) Tunnel-endpoint: 10.1.255.2
Source address: 10.1.255.2
Next hop: tunnel-composite, 0x76b7238, nhid 592
Reference count: 2
Ingress Route: [OSPF] 10.1.255.4/32, via metric 2
Tunnel Endpoint Ingress Route: [Direct] 10.1.255.2/32
Traffic Statistics: Packets 0, Bytes 0
State: Up
Aggregate Traffic Statistics:
Tunnel Encapsulation: Dest 10.1.255.2, Src 10.1.255.2, IPoIP, Tunnel-Id 1
Traffic Statistics: Packets 0, Bytes 0 Significado
La salida R2 indica que el túnel está activo y que BGP está señalizado.
Verificar la resolución de la ruta
Propósito
Para comprobar la resolución de ruta de la ruta en la tabla inetcolor.0, utilice los comandos del show route table inetcolor.0 modo operativo.
Acción
user@R2> show route table inetcolor.0
inetcolor.0: 2 destinations, 2 routes (2 active, 0 holddown, 0 hidden)
+ = Active Route, - = Last Active, * = Both
10.1.255.0-0<c>/24
*[Tunnel/305] 01:33:33
Tunnel
10.1.255.4-100<c>/64
*[Tunnel/305] 01:28:44, metric 2
Tunnel Composite, BGP-Signal (src 10.1.255.2 dest 10.1.255.4-100<c>)Significado
La salida R2 indica que el túnel a 10.1.255.4 tiene señal BGP.
Verificar la accesibilidad de extremo a extremo
Propósito
Compruebe que R1 puede hacer ping a R5 mediante el comando del ping 192.168.255.5 source 192.168.255.1 count 2 modo operativo.
Acción
user@R1>ping 192.168.255.5 source 192.168.255.1 count 2
PING 192.168.255.5 (192.168.255.5): 56 data bytes
64 bytes from 192.168.255.5: icmp_seq=0 ttl=63 time=2.784 ms
64 bytes from 192.168.255.5: icmp_seq=1 ttl=63 time=1.904 ms
--- 192.168.255.5 ping statistics ---
2 packets transmitted, 2 packets received, 0% packet loss
round-trip min/avg/max/stddev = 1.904/2.344/2.784/0.440 msSignificado
La salida de R1 muestra que R1 puede hacer ping a R5.
Tabla de historial de cambios
La compatibilidad de la función depende de la plataforma y la versión que utilice. Utilice Feature Explorer a fin de determinar si una función es compatible con la plataforma.