Túneles dinámicos basados en el siguiente salto
Ejemplo: Configuración de túneles dinámicos MPLS-over-UDP basados en next-hop
En este ejemplo, se muestra cómo configurar un túnel MPLS-over-UDP dinámico que incluye un salto compuesto de túnel. La función MPLS sobre UDP ofrece una ventaja de escalabilidad en la cantidad de túneles IP compatibles con un dispositivo.
A partir de Junos OS versión 18.3R1, los túneles MPLS sobre UDP se admiten en enrutadores serie PTX y conmutadores de la serie QFX. Para cada túnel dinámico configurado en un enrutador PTX o un conmutador QFX, se crea un siguiente salto compuesto de túnel, un salto siguiente indirecto y un salto siguiente de reenvío para resolver la ruta de destino del túnel. También puede usar el control de políticas para resolver el túnel dinámico mediante prefijos seleccionados incluyendo la instrucción de configuración de rib de reenvío en el [edit routing-options dynamic-tunnels] nivel jerárquico.
Requisitos
En este ejemplo, se utilizan los siguientes componentes de hardware y software:
-
Cinco enrutadores serie MX con MPC y MIC.
-
Junos OS versión 16.2 o posterior se ejecuta en los enrutadores de borde del proveedor (PE).
Antes de empezar:
-
Configure las interfaces del dispositivo, incluida la interfaz de circuito cerrado.
-
Configure el ID de enrutador y el número de sistema automático para el dispositivo.
-
Establezca una sesión de BGP interna (IBGP) con el dispositivo de PE remoto.
-
Establezca el emparejamiento OSPF entre los dispositivos.
Descripción general
A partir de Junos OS versión 16.2, un túnel UDP dinámico admite la creación de un siguiente salto compuesto de túnel para cada túnel UDP configurado. Estos túneles UDP dinámicos basados en el salto siguiente se denominan túneles MPLS sobre UDP. El siguiente salto compuesto de túneles está habilitado de forma predeterminada para los túneles MPLS-over-UDP.
Los túneles MPLS sobre UDP pueden ser de naturaleza bidireccional o unidireccional.
-
Bidireccional: cuando los dispositivos PE se conectan a través de túneles MPLS-sobre-UDP en ambas direcciones, se denomina túnel MPLS-sobre-UDP bidireccional.
-
Unidireccional: cuando dos dispositivos PE se conectan a través del túnel MPLS-over-UDP en una dirección y a través de MPLS/IGP en la otra dirección, se denomina túnel unidireccional MPLS-over-UDP.
Los túneles unidireccionales MPLS sobre UDP se utilizan en escenarios de migración o en casos en los que dos dispositivos PE proporcionan conectividad entre sí a través de dos redes desarticuladas. Dado que no existe un túnel de dirección inversa para túneles unidireccionales MPLS-sobre-UDP, debe configurar una desencapsulación MPLS-sobre-UDP basada en filtros en el dispositivo PE remoto para reenviar el tráfico.
A partir de Junos OS versión 18.2R1, en enrutadores serie PTX y QFX10000 con túneles unidireccionales MPLS sobre UDP, debe configurar el dispositivo pe remoto con un filtro de entrada para paquetes MPLS-over-UDP y una acción para desencapsular los encabezados IP y UDP para reenviar los paquetes en la dirección inversa del túnel.
Por ejemplo, en el dispositivo PE remoto, el dispositivo PE2, se requiere la siguiente configuración para túneles unidireccionales MPLS sobre UDP:
PE2
[edit firewall filter] user@host# set Decap_Filter term udp_decap from protocol udp user@host# set Decap_Filter term udp_decap from destination-port 6635 user@host# set Decap_Filter term udp_decap then count UDP_PKTS user@host# set Decap_Filter term udp_decap then decapsulate mpls-in-udp user@host# set Decap_Filter term def then count def_pkt user@host# set Decap_Filter term def then accept
En la configuración de ejemplo anterior, Decap_Filter es el nombre del filtro de firewall utilizado para la decapsulación MPLS-over-UDP. El término udp_decap es el filtro de entrada para aceptar paquetes UDP en la interfaz de núcleo del dispositivo PE2 y, luego, desencapsular los paquetes MPLS sobre UDP a paquetes MPLS-over-IP para reenvío.
Puede usar los comandos del modo operativo de firewall existentes, como show firewall filter para ver la decapsulación MPLS-over-UDP basada en filtros.
Por ejemplo:
user@host >show firewall filter Decap_Filter Filter: Decap_Filter Counters: Name Bytes Packets UDP_PKTS 16744 149 def_pkt 13049 136
Para túneles unidireccionales MPLS sobre UDP:
-
Solo se admite la dirección IPv4 como encabezado externo. La desencapsulación MPLS-over-UDP basada en filtros no admite dirección IPv6 en el encabezado externo.
-
Solo se admite la instancia de enrutamiento predeterminada después de la decapsulación.
A partir de Junos OS versión 17.1, en enrutadores serie MX con MPC y MIC, se aumenta el límite de escalabilidad de los túneles MPLS sobre UDP.
A partir de la versión 19.2R1 de Junos, en los enrutadores serie MX con MPC y MIC, la arquitectura de operadora compatible con operadora (CSC) se puede implementar con túneles MPLS sobre UDP que transportan tráfico MPLS a través de túneles UDP dinámicos IPv4 que se establecen entre los dispositivos PE de la operadora que admiten. Con esta mejora, aumenta aún más la ventaja de escalabilidad que proporcionan los túneles MPLS sobre UDP. La compatibilidad de CSC con túnel MPLS-over-UDP no se admite para el túnel IPv6 UDP.
La función de túnel dinámico existente requiere una configuración estática completa. Actualmente, la información de túnel recibida de dispositivos pares en rutas anunciadas se ignora. A partir de Junos OS versión 17.4R1, en los enrutadores serie MX, los túneles dinámicos de MPLS sobre UDP basados en el salto siguiente se señalan mediante la comunidad extendida de encapsulación del BGP. La política de exportación del BGP se utiliza para especificar los tipos de túnel, anunciar la información del túnel del remitente y analizar y transmitir la información del túnel del lado del receptor. Un túnel se crea de acuerdo con la comunidad de túnel de tipo recibido.
BGP admite varias encapsulaciones de túnel. Al recibir varias capacidades, el túnel dinámico basado en el salto siguiente se crea según la política del BGP configurada y la preferencia de túnel. La preferencia de túnel debe ser coherente en ambos extremos del túnel para que se configure el túnel. De forma predeterminada, se prefiere el túnel MPLS sobre UDP sobre los túneles GRE. Si existe la configuración de túnel dinámico, tiene prioridad sobre la comunidad de túnel recibida.
Al configurar un túnel dinámico MPLS-over-UDP basado en el próximo salto, tenga en cuenta las siguientes consideraciones:
-
Se debe configurar una sesión de IBGP entre los dispositivos pe.
-
Se permite una conmutación entre las encapsulaciones de túnel dinámicas basadas en el salto siguiente (UDP y GRE), lo que puede afectar el rendimiento de la red en términos de los valores de escala de túnel IP admitidos en cada modo.
-
Tener tipos de encapsulación de túnel dinámicos basados en gre y UDP para el mismo destino del túnel conduce a una falla de confirmación.
-
Para los túneles unidireccionales MPLS sobre UDP, debe configurar explícitamente la decapsulación MPLS-sobre-UDP basada en filtros en el dispositivo PE remoto para que los paquetes se reenvíen.
-
El cambio graceful routing engine (GRES) se admite con MPLS-over-UDP, y las marcas de tipo de túnel MPLS-over-UDP están unificadas conformes con ISSU y NSR.
-
Los túneles MPLS sobre UDP se admiten en MX virtual (vMX) en modo Lite.
-
Los túneles MPLS-over-UDP admiten la creación dinámica de túnel GRE basada en los nuevos saltos próximos IPv4-maped-IPv6.
-
El túnel MPLS sobre UDP se admite en interoperabilidad con contrail, en el que los túneles MPLS sobre UDP se crean desde el vRouter de Contrail a una puerta de enlace MX. Para habilitar esto, es necesario anunciar la siguiente comunidad en la ruta desde el enrutador de la serie MX al enrutador contrail vRouter:
[edit policy-options community] udp members 0x030c:64512:13;
En un momento dado, solo se admite un tipo de túnel en el contrail vRouter: túneles GRE dinámicos basados en el salto siguiente, túneles MPLS sobre UDP o VXLAN.
-
No se admiten las siguientes funciones con la configuración de túnel dinámico MPLS-over-UDP basado en el próximo salto:
-
Malla automática RSVP
-
Configuración de túnel IPV6 GRE y UDP sin formato
-
Sistemas lógicos
-
Topología
Figura 1 muestra un escenario de VPN de capa 3 sobre túneles dinámicos MPLS sobre UDP. Los dispositivos de borde del cliente (CE), CE1 y CE2, se conectan a los dispositivos de borde del proveedor (PE), PE1 y PE2, respectivamente. Los dispositivos PE se conectan a un dispositivo proveedor (dispositivo P1) y una sesión de BGP interna (IBGP) interconecta los dos dispositivos de PE. Se configura un túnel dinámico de MPL-sobre UDP basado en el siguiente salto entre los dispositivos pe.
El túnel MPLS-over-UDP se maneja de la siguiente manera:
-
Después de configurar un túnel MPLS-over-UDP, se crea una ruta de máscara de destino de túnel con un siguiente salto compuesto de túnel para el túnel en la tabla de enrutamiento inet.3. Esta ruta de túnel IP solo se retira cuando se elimina la configuración del túnel dinámico.
Los atributos de siguiente salto compuestos de túnel incluyen los siguientes:
-
Cuando el siguiente salto compuesto de VPN de capa 3 está deshabilitado: dirección de origen y destino, cadena de encapsulación y etiqueta de VPN.
-
Cuando se habilita la asignación de etiquetas de VPN compuesta de capa 3 del salto del siguiente salto y por prefijo: dirección de origen, dirección de destino y cadena de encapsulación.
-
Cuando se habilita el siguiente salto compuesto de VPN de capa 3 y se deshabilita la asignación de etiquetas de VPN por prefijo: dirección de origen, dirección de destino y cadena de encapsulación. La ruta en este caso se agrega a la otra tabla de instancia de enrutamiento y reenvío virtual con una ruta secundaria.
-
-
Los dispositivos de PE se interconectan mediante una sesión de IBGP. La ruta del IBGP siguiente salto a un vecino de BGP remoto es el siguiente salto de protocolo, que se resuelve mediante la ruta de máscara de túnel con el siguiente salto de túnel.
-
Después de que el siguiente salto de protocolo se resuelve sobre el siguiente salto compuesto de túnel, se crean saltos indirectos próximos con reenvío los próximos saltos.
-
El siguiente salto compuesto de túnel se utiliza para reenviar los próximos saltos de los próximos saltos indirectos.
Configuración
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit desde el [edit] modo de configuración.
CE1
set interfaces ge-0/0/0 unit 0 family inet address 10.0.0.1/8 set interfaces lo0 unit 0 family inet address 10.127.0.1/32 set routing-options router-id 10.127.0.1 set routing-options autonomous-system 65200 set protocols bgp group ce1-pe1 export export-loopback-direct set protocols bgp group ce1-pe1 peer-as 100 set protocols bgp group ce1-pe1 neighbor 10.0.0.2 set policy-options policy-statement export-loopback-direct term term-1 from interface lo0.0 set policy-options policy-statement export-loopback-direct term term-1 from route-filter 10.127.0.1/32 exact set policy-options policy-statement export-loopback-direct term term-1 then accept
CE2
set interfaces ge-0/0/0 unit 0 family inet address 203.0.113.2/24 set interfaces lo0 unit 0 family inet address 10.127.0.5/32 set routing-options router-id 10.127.0.5 set routing-options autonomous-system 65200 set protocols bgp group ce1-pe1 export export-loopback-direct set protocols bgp group ce1-pe1 peer-as 65100 set protocols bgp group ce1-pe1 neighbor 203.0.113.1 set policy-options policy-statement export-loopback-direct term term-1 from interface lo0.0 set policy-options policy-statement export-loopback-direct term term-1 from route-filter 10.127.0.5/32 exact set policy-options policy-statement export-loopback-direct term term-1 then accept
PE1
set interfaces ge-0/0/0 unit 0 family inet address 10.0.0.2/8 set interfaces ge-0/0/1 unit 0 family inet address 192.0.2.1/24 set interfaces ge-0/0/1 unit 0 family mpls set interfaces lo0 unit 0 family inet address 10.127.0.2/32 set routing-options static route 10.33.0/16 next-hop 192.0.2.2 set routing-options router-id 10.127.0.2 set routing-options autonomous-system 65100 set routing-options forwarding-table export pplb set routing-options dynamic-tunnels gre next-hop-based-tunnel set routing-options dynamic-tunnels udp-dyn-tunnel-to-pe2 source-address 10.127.0.2 set routing-options dynamic-tunnels udp-dyn-tunnel-to-pe2 udp set routing-options dynamic-tunnels udp-dyn-tunnel-to-pe2 destination-networks 10.127.0.0/24 set protocols bgp group IBGP type internal set protocols bgp group IBGP local-address 10.127.0.2 set protocols bgp group IBGP family inet-vpn unicast set protocols bgp group IBGP neighbor 10.127.0.4 set protocols ospf area 0.0.0.0 interface ge-0/0/1.0 set protocols ospf area 0.0.0.0 interface lo0.0 passive set routing-instances MPLS-over-UDP-PE1 instance-type vrf set routing-instances MPLS-over-UDP-PE1 interface ge-0/0/0.0 set routing-instances MPLS-over-UDP-PE1 route-distinguisher 10.127.0.2:1 set routing-instances MPLS-over-UDP-PE1 vrf-target target:600:1 set routing-instances MPLS-over-UDP-PE1 protocols bgp group pe1-ce1 peer-as 65200 set routing-instances MPLS-over-UDP-PE1 protocols bgp group pe1-ce1 neighbor 10.0.0.1 as-override
P1
set interfaces ge-0/0/0 unit 0 family inet address 192.0.2.2/24 set interfaces ge-0/0/0 unit 0 family mpls set interfaces ge-0/0/1 unit 0 family inet address 198.51.100.1/24 set interfaces ge-0/0/1 unit 0 family mpls set interfaces lo0 unit 0 family inet address 10.127.0.3/32 set routing-options router-id 10.127.0.3 set routing-options autonomous-system 65100 set protocols ospf area 0.0.0.0 interface ge-0/0/0.0 set protocols ospf area 0.0.0.0 interface ge-0/0/1.0 set protocols ospf area 0.0.0.0 interface lo0.0 passive
PE2
set interfaces ge-0/0/0 unit 0 family inet address 203.0.113.1/24 set interfaces ge-0/0/1 unit 0 family inet address 198.51.100.2/24 set interfaces ge-0/0/1 unit 0 family mpls set interfaces lo0 unit 0 family inet address 10.127.0.4/8 set routing-options nonstop-routing set routing-options router-id 10.127.0.4 set routing-options autonomous-system 65100 set routing-options forwarding-table export pplb set routing-options dynamic-tunnels udp-dyn-tunnel-to-pe1 source-address 10.127.0.4 set routing-options dynamic-tunnels udp-dyn-tunnel-to-pe1 udp set routing-options dynamic-tunnels udp-dyn-tunnel-to-pe1 destination-networks 10.127.0.0/24 set protocols bgp group IBGP type internal set protocols bgp group IBGP local-address 10.127.0.4 set protocols bgp group IBGP family inet-vpn unicast set protocols bgp group IBGP neighbor 10.127.0.2 set protocols ospf area 0.0.0.0 interface ge-0/0/1.0 set protocols ospf area 0.0.0.0 interface lo0.0 passive set routing-instances MPLS-over-UDP-PE2 instance-type vrf set routing-instances MPLS-over-UDP-PE2 interface ge-0/0/0.0 set routing-instances MPLS-over-UDP-PE2 route-distinguisher 10.127.0.4:1 set routing-instances MPLS-over-UDP-PE2 vrf-target target:600:1 set routing-instances MPLS-over-UDP-PE2 protocols bgp group ebgp peer-as 65200 set routing-instances MPLS-over-UDP-PE2 protocols bgp group ebgp neighbor 203.0.113.2 as-override
Procedimiento
Procedimiento paso a paso
El siguiente ejemplo requiere que navegue por varios niveles en la jerarquía de configuración. Para obtener más información acerca de cómo navegar por la CLI, consulte Uso del editor de CLI en el modo de configuración en la Guía del usuario de CLI.
Para configurar el dispositivo PE1:
-
Configure las interfaces del dispositivo, incluida la interfaz de circuito cerrado del dispositivo.
[edit interfaces] user@PE1# set ge-0/0/0 unit 0 family inet address 10.0.0.2/8 user@PE1# set ge-0/0/1 unit 0 family inet address 192.0.2.1/24 user@PE1# set ge-0/0/1 unit 0 family mpls user@PE1# set lo0 unit 0 family inet address 10.127.0.2/8
-
Configure una ruta estática para rutas desde el dispositivo PE1 con el dispositivo P1 como destino del salto siguiente.
[edit routing-options] user@PE1# set static route 10.33.0.0/16 next-hop 192.0.2.2
-
Configure el ID de enrutador y el número de sistema autónomo para el dispositivo PE1.
[edit routing-options] user@PE1# set router-id 10.127.0.2 user@PE1# set autonomous-system 65100
-
(Solo serie PTX) Configure el control de políticas para resolver la ruta de túnel dinámico MPLS sobre UDP mediante prefijos seleccionados.
[edit routing-options dynamic-tunnels] user@PTX-PE1# set forwarding-rib inet.0 inet-import dynamic-tunnel-fwd-route-import
-
(Solo serie PTX) Configure la política de importación de inet para resolver rutas de destino de túnel dinámico a través de .
[edit policy-options] user@PTX-PE1# set policy-statement dynamic-tunnel-fwd-route-import term 1 from route-filter 10.127.0.4/32 exact user@PTX-PE1# set policy-statement dynamic-tunnel-fwd-route-import term 1 then accept user@PTX-PE1# set policy-options policy-statement dynamic-tunnel-fwd-route-import then reject
-
Configure el emparejamiento de IBGP entre los dispositivos de PE.
[edit protocols] user@PE1# set bgp group IBGP type internal user@PE1# set bgp group IBGP local-address 10.127.0.2 user@PE1# set bgp group IBGP family inet-vpn unicast user@PE1# set bgp group IBGP neighbor 10.127.0.4
-
Configure el OSPF en todas las interfaces del dispositivo PE1, excluyendo la interfaz de administración.
[edit protocols] user@PE1# set ospf area 0.0.0.0 interface ge-0/0/1.0 user@PE1# set ospf area 0.0.0.0 interface lo0.0 passive
-
Habilite la configuración del túnel gre dinámico basado en el salto siguiente en el dispositivo PE1.
Nota:Este paso solo es necesario para ilustrar la diferencia de implementación entre los túneles GRE dinámicos basados en el salto siguiente y los túneles MPLS sobre UDP.
[edit routing-options] user@PE1# set dynamic-tunnels gre next-hop-based-tunnel
-
Configure los parámetros de túnel MPLS-over-UDP desde el dispositivo PE1 hasta el DISPOSITIVO PE2.
[edit routing-options] user@PE1# set dynamic-tunnels udp-dyn-tunnel-to-pe2 source-address 10.127.0.2 user@PE1# set dynamic-tunnels udp-dyn-tunnel-to-pe2 udp user@PE1# set dynamic-tunnels udp-dyn-tunnel-to-pe2 destination-networks 10.127.0.0/24
-
Configure una instancia de enrutamiento VRF en el dispositivo PE1 y otros parámetros de instancia de enrutamiento.
[edit routing-instances] user@PE1# set MPLS-over-UDP-PE1 instance-type vrf user@PE1# set MPLS-over-UDP-PE1 interface ge-0/0/0.0 user@PE1# set MPLS-over-UDP-PE1 route-distinguisher 10.127.0.2:1 user@PE1# set MPLS-over-UDP-PE1 vrf-target target:600:1
-
Habilite el BGP en la configuración de la instancia de enrutamiento para el emparejamiento con el dispositivo CE1.
[edit routing-instances] user@PE1# set MPLS-over-UDP-PE1 protocols bgp group pe1-ce1 peer-as 65200 user@PE1# set MPLS-over-UDP-PE1 protocols bgp group pe1-ce1 neighbor 10.0.0.1 as-override
Resultados
Desde el modo de configuración, ingrese los comandos , show routing-options, show protocolsy show routing-instances para confirmar la show interfacesconfiguración. Si el resultado no muestra la configuración deseada, repita las instrucciones en este ejemplo para corregir la configuración.
user@PE1# show interfaces
ge-0/0/0 {
unit 0 {
family inet {
address 10.0.0.2/8;
}
}
}
ge-0/0/1 {
unit 0 {
family inet {
address 192.0.2.1/24;
}
family mpls;
}
}
lo0 {
unit 0 {
family inet {
address 10.127.0.2/32;
}
}
}
user@PE1# show routing-options
static {
route 10.33.0.0/16 next-hop 192.0.2.2;
}
router-id 10.127.0.2;
autonomous-system 65100;
forwarding-table {
export pplb;
}
dynamic-tunnels {
gre next-hop-based-tunnel;
udp-dyn-tunnel-to-pe2 {
source-address 10.127.0.2;
udp;
destination-networks {
10.127.0.0/24;
}
}
}
user@PE1# show protocols
bgp {
group IBGP {
type internal;
local-address 10.127.0.2;
family inet-vpn {
unicast;
}
neighbor 10.127.0.4;
}
}
ospf {
area 0.0.0.0 {
interface ge-0/0/1.0;
interface lo0.0 {
passive;
}
}
}
user@PE1# show routing-instances
MPLS-over-UDP-PE1 {
instance-type vrf;
interface ge-0/0/0.0;
route-distinguisher 10.127.0.2:1;
vrf-target target:600:1;
protocols {
bgp {
group pe1-ce1 {
peer-as 65200;
neighbor 10.0.0.1 {
as-override;
}
}
}
}
}
Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.
Verificación
Confirme que la configuración funciona correctamente.
- Verificar la conexión entre dispositivos PE
- Verificar las rutas de túnel dinámico en el dispositivo PE1
- Verificar las rutas de túnel dinámico en el dispositivo PE2
- Verificar que las rutas tengan el indicador de próximo salto indirecto esperado
Verificar la conexión entre dispositivos PE
Propósito
Compruebe el estado de emparejamiento del BGP entre los dispositivos PE1 y PE2, y las rutas BGP recibidas del dispositivo PE2.
Acción
Desde el modo operativo, ejecute los show bgp summary comandos y show route receive-protocol bgp ip-address table bgp.l3vpn.0 .
user@PE1> show bgp summary
Groups: 2 Peers: 2 Down peers: 0
Table Tot Paths Act Paths Suppressed History Damp State Pending
bgp.l3vpn.0
2 2 0 0 0 0
Peer AS InPkt OutPkt OutQ Flaps Last Up/Dwn State|#Active/Received/Accepted/Damped...
10.127.0.4 65100 139 136 0 0 58:23 Establ
bgp.l3vpn.0: 2/2/2/0
MPLS-over-UDP-PE1.inet.0: 2/2/2/0
10.10.0.1 65200 135 136 0 0 58:53 Establ
MPLS-over-UDP-PE1.inet.0: 1/1/1/0user@PE1> show route receive-protocol bgp 10.127.0.4 table bgp.l3vpn.0 bgp.l3vpn.0: 2 destinations, 2 routes (2 active, 0 holddown, 0 hidden) Prefix Nexthop MED Lclpref AS path 10.127.0.4:1:127.0.0.5/8 * 10.127.0.4 65100 65200 I
Significado
-
En la primera salida, el estado de sesión del BGP es
Establ, lo que significa que la sesión está activa y los dispositivos PE están emparejados. -
En la segunda salida, el dispositivo PE1 aprendió una ruta BGP del dispositivo PE2.
Verificar las rutas de túnel dinámico en el dispositivo PE1
Propósito
Verifique las rutas en la tabla de enrutamiento inet.3 y la información de base de datos de túnel dinámico en el dispositivo PE1.
Acción
Desde el modo operativo, ejecute los show route table inet.3comandos , show dynamic-tunnels database terseshow dynamic-tunnels database, yshow dynamic-tunnels database summary.
user@PE1> show route table inet.3
inet.3: 2 destinations, 2 routes (2 active, 0 holddown, 0 hidden)
+ = Active Route, - = Last Active, * = Both
10.127.0.0/24 *[Tunnel/300] 00:21:18
Tunnel
127.0.0.4/8 *[Tunnel/300] 00:21:18
Tunnel Compositeuser@PE1> show dynamic-tunnels database terse Table: inet.3 Destination-network: 10.127.0.0/24 Destination Source Next-hop Type Status 10.127.0.4/8 10.127.0.2 0xb395b10 nhid 613 udp Up
user@PE1> show dynamic-tunnels database
Table: inet.3
. . .
Tunnel to: 10.127.0.4/32
Reference count: 2
Next-hop type: UDP
Source address: 10.127.0.2 Tunnel Id: 2
Next hop: tunnel-composite, 0xb395b10, nhid 613
VPN Label: Push 299776 Reference count: 3
Traffic Statistics: Packets 0, Bytes 0
State: Upuser@PE1> show dynamic-tunnels database summary Dynamic Tunnels, Total 1 displayed GRE Tunnel: Active Tunnel Mode, Next Hop Base IFL Based, Total 0 displayed, Up 0, Down 0 Nexthop Based, Total 0 displayed, Up 0, Down 0 RSVP Tunnel: Total 0 displayed UDP Tunnel: Total 1 displayed, Up 1, Down 0
Significado
-
En el primer resultado, dado que el dispositivo PE1 está configurado con el túnel MPLS-over-UDP, se crea una ruta compuesta de túnel para la entrada de ruta de tabla de enrutamiento inet.3.
-
En las salidas restantes, el túnel MPLS-over-UDP se muestra con el tipo de encapsulación de túnel, los parámetros del siguiente salto de túnel y el estado del túnel.
Verificar las rutas de túnel dinámico en el dispositivo PE2
Propósito
Verifique las rutas en la tabla de enrutamiento inet.3 y la información de base de datos de túnel dinámico en el dispositivo PE2.
Acción
Desde el modo operativo, ejecute los show route table inet.3comandos , y los show dynamic-tunnels database terse .
user@PE2> show route table inet.3
inet.3: 2 destinations, 2 routes (2 active, 0 holddown, 0 hidden)
+ = Active Route, - = Last Active, * = Both
10.127.0.0/24 *[Tunnel/300] 00:39:31
Tunnel
10.127.0.2/32 *[Tunnel/300] 00:24:53
Tunnel Compositeuser@PE1> show dynamic-tunnels database terse Table: inet.3 Destination-network: 127.0.0.0/8 Destination Source Next-hop Type Status 10.127.0.2/32 10.127.0.4 0xb395450 nhid 615 udp Up
Significado
Los resultados muestran la creación del túnel MPLS-over-UDP y el ID del siguiente salto asignado como la interfaz de salto siguiente, similar al dispositivo PE1.
Verificar que las rutas tengan el indicador de próximo salto indirecto esperado
Propósito
Verifique que los dispositivos PE1 y PE2 estén configurados para mantener el próximo salto indirecto para reenviar el enlace del siguiente salto en la tabla de reenvío del motor de reenvío de paquetes.
Acción
Desde el modo operativo, ejecute el comando en los show krt indirect-next-hop dispositivos PE1 y PE2.
user@PE1> show krt indirect-next-hop
Indirect Nexthop:
Index: 1048574 Protocol next-hop address: 10.127.0.4
RIB Table: bgp.l3vpn.0
Label: Push 299776
Policy Version: 1 References: 1
Locks: 3 0xb2ab630
Flags: 0x0
INH Session ID: 0x0
INH Version ID: 0
Ref RIB Table: unknown
Tunnel type: UDP, Reference count: 3, nhid: 613
Destination address: 10.127.0.4, Source address: 10.127.0.2
Tunnel id: 2, VPN Label: Push 299776, TTL action: prop-ttl
IGP FRR Interesting proto count : 1
Chain IGP FRR Node Num : 1
IGP Resolver node(hex) : 0xb3c70dc
IGP Route handle(hex) : 0xb1ae688 IGP rt_entry protocol : Tunnel
IGP Actual Route handle(hex) : 0x0 IGP Actual rt_entry protocol : Anyuser@PE2> show krt indirect-next-hop
Indirect Nexthop:
Index: 1048575 Protocol next-hop address: 10.127.0.2
RIB Table: bgp.l3vpn.0
Label: Push 299776
Policy Version: 1 References: 2
Locks: 3 0xb2ab740
Flags: 0x0
INH Session ID: 0x0
INH Version ID: 0
Ref RIB Table: unknown
Tunnel type: UDP, Reference count: 3, nhid: 615
Destination address: 10.127.0.2, Source address: 10.127.0.4
Tunnel id: 1, VPN Label: Push 299776, TTL action: prop-ttl
IGP FRR Interesting proto count : 2
Chain IGP FRR Node Num : 1
IGP Resolver node(hex) : 0xb3d3a28
IGP Route handle(hex) : 0xb1ae634 IGP rt_entry protocol : Tunnel
IGP Actual Route handle(hex) : 0x0 IGP Actual rt_entry protocol : AnySignificado
Los resultados muestran que se crea un túnel dinámico MPLS-over-UDP basado en el siguiente salto entre los dispositivos PE.
Solución de problemas
Para solucionar problemas de los túneles dinámicos basados en el salto siguiente, consulte:
Comandos de solución de problemas
Problema
La configuración de túnel dinámico MPLS sobre UDP basado en el siguiente salto no está teniendo efecto.
Solución
Para solucionar problemas de la configuración del túnel MPLS-over-UDP basada en el próximo salto, utilice los siguientes traceroute comandos en la jerarquía de instrucciones [edit routing-options dynamic-tunnels] :
-
traceoptions file file-name -
traceoptions file size file-size -
traceoptions flag all
Por ejemplo:
[edit routing-options dynamic-tunnels]
traceoptions {
file udp_dyn_pe1.wri size 4294967295;
flag all;
}
Descripción general de la protección contra la suplantación de datos para túneles dinámicos basados en el próximo salto
Con el aumento del despliegue de túneles IP de alta escala en los centros de datos, es necesario agregar medidas de seguridad que permitan a los usuarios limitar el tráfico malicioso de máquinas virtuales (VM) comprometidas. Un posible ataque es la inyección de tráfico a una VPN de cliente arbitraria desde un servidor comprometido a través del enrutador de puerta de enlace. En estos casos, las comprobaciones antisofing en túneles IP garantizan que solo las fuentes legítimas estén inyectando tráfico a los centros de datos desde sus túneles IP designados.
Los túneles IP dinámicos basados en el siguiente salto crean un siguiente salto compuesto de túnel para cada túnel dinámico creado en el dispositivo. Dado que los túneles dinámicos basados en el salto siguiente eliminan la dependencia de interfaces físicas para cada túnel dinámico nuevo configurado, la configuración de túneles dinámicos basados en el siguiente salto ofrece una ventaja de escalabilidad sobre la cantidad de túneles dinámicos que se pueden crear en un dispositivo. A partir de Junos OS versión 17.1, se proporcionan capacidades antispoofing para túneles IP dinámicos basados en el próximo salto. Con esta mejora, se implementa una medida de seguridad para evitar la inyección de tráfico en una VPN de cliente arbitraria desde un servidor comprometido a través del enrutador de puerta de enlace.
La suplantación se implementa mediante comprobaciones de reenvío de rutas inversas en el motor de reenvío de paquetes. Las comprobaciones se implementan para el tráfico que viene a través del túnel a la instancia de enrutamiento. Actualmente, cuando el enrutador de puerta de enlace recibe tráfico de un túnel, solo el destino nos busca y el paquete se reenvía como corresponda. Cuando se habilita la protección contra la suplantación, el enrutador de la puerta de enlace también realiza una búsqueda de dirección de origen del encabezado IP del paquete de encapsulación en la VPN, además de la búsqueda de destino del túnel. Esto garantiza que las fuentes legítimas estén inyectando tráfico a través de sus túneles IP designados. Como resultado, la protección contra la suplantación garantiza que el tráfico de túnel se reciba de un origen legítimo en los túneles designados.
Figura 2 muestra una topología de ejemplo con los requisitos para la protección antispoofing.
En este ejemplo, el enrutador de puerta de enlace es el enrutador G. El enrutador G tiene dos VPN: verde y azul. Los dos servidores, el servidor A y el servidor B, pueden llegar a las VPN verdes y azules del enrutador G a través de los túneles dinámicos basados en el próximo salto T1 y T2, respectivamente. Varios hosts y máquinas virtuales (P, Q, R, S y T) conectados a los servidores pueden llegar a las VPN a través del enrutador de puerta de enlace, el enrutador G. El enrutador G tiene las tablas de enrutamiento y reenvío virtual (VRF) para VPN verdes y azules, cada una llena con la información de accesibilidad para las máquinas virtuales en esas VPN.
Por ejemplo, en VPN Green, el enrutador G usa el túnel T1 para llegar al host P, el túnel T2 para llegar a los hosts R y S, y el equilibrio de carga se realiza entre los túneles T1 y T2 para llegar al host multihomed Q. En vpn azul, el enrutador G usa el túnel T1 para llegar a los hosts P y R, y el túnel T2 para llegar a los hosts Q y T.
La comprobación se realiza para el reenvío de ruta inversa cuando:
Un paquete proviene de un origen legítimo en su túnel designado.
El host P en VPN Green envía un paquete al host X mediante el túnel T1. Dado que el enrutador G puede llegar al host P a través del túnel T1, permite que el paquete pase y reenvíe el paquete al host X.
Un paquete proviene de un origen multihomed en sus túneles designados.
Host Q en VPN Green es multihomed en los servidores A y B, y puede llegar al enrutador G a través de los túneles T1 y T2. El host Q envía un paquete al host Y mediante el túnel T1 y un paquete al host X mediante el túnel T2. Dado que el enrutador G puede llegar al host Q a través de los túneles T1 y T2, permite que los paquetes pasen y los reenvíen a los hosts Y y X, respectivamente.
Las VPN de capa 3 no tienen habilitada la protección contra la suplantación de datos de forma predeterminada. Para habilitar la antispoofing para túneles dinámicos basados en el siguiente salto, incluya la ip-tunnel-rpf-check instrucción en el [edit routing-instances routing-instance-name routing-options forwarding-table] nivel de jerarquía. La comprobación de reenvío de ruta inversa solo se aplica a la instancia de enrutamiento VRF. El modo predeterminado se establece en strict, donde el paquete que viene de un origen en un túnel no designado no pasa la comprobación. El ip-tunnel-rpf-check modo se puede establecer como loose, donde la comprobación de reenvío de ruta inversa falla cuando el paquete proviene de un origen no existente. Se puede configurar un filtro de firewall opcional en la ip-tunnel-rpf-check instrucción para contar y registrar los paquetes que fallaron en la comprobación de reenvío de ruta inversa.
El siguiente resultado de ejemplo muestra una configuración antispoofing:
[edit routing-instances routing-instance-name routing-options forwarding-table]
ip-tunnel-rpf-check {
mode loose;
fail-filter filter-name;
}
Tome en consideración las siguientes pautas al configurar la protección contra la suplantación de datos para túneles dinámicos basados en el próximo salto:
Solo se puede habilitar la protección contra la suplantación de datos para túneles IPv4 y tráfico de datos IPv4. Las capacidades antisoofing no se admiten en túneles IPv6 y tráfico de datos IPv6.
La suplantación de datos para túneles dinámicos basados en el próximo salto puede detectar e impedir una máquina virtual comprometida (comprobación de reenvío de ruta inversa de fuente interna), pero no un servidor comprometido que esté suplantando etiquetas.
Los túneles IP basados en el siguiente salto pueden originarse y finalizar en una tabla de enrutamiento inet.0.
La protección contra la suplantación es efectiva cuando la instancia de enrutamiento vrf tiene interfaces conmutadas por etiquetas (LSIs) (mediante el uso de la ), o interfaces de
vrf-table-labeltúnel virtual (VT). Conper-next-hopla etiqueta en la instancia de enrutamiento VRF, no se admite la protección antispoofing.El
rpf fail-filtersolo se aplica al paquete IP interno.La habilitación de comprobaciones antispoofing no afecta al límite de escalabilidad de los túneles dinámicos basados en el siguiente salto en un dispositivo.
La utilización de recursos del sistema con protección antispoofing habilitada para la instancia de enrutamiento VRF es ligeramente mayor que la utilización de túneles dinámicos basados en el próximo salto sin la protección antispoofing habilitada.
La protección contra la suplantación requiere comprobaciones adicionales de direcciones IP de origen, lo que tiene un impacto mínimo en el rendimiento de la red.
El cambio graceful del motor de enrutamiento (GRES) y la actualización de software en servicio (ISSU) se admiten con protección contra la suplantación de datos.
Ejemplo: Configuración de la protección antisoofing para túneles dinámicos basados en el siguiente salto
En este ejemplo, se muestra cómo configurar las comprobaciones de reenvío de ruta inversa para la instancia de enrutamiento de enrutamiento virtual de enrutamiento (VRF) para habilitar la protección antispoofing para túneles dinámicos basados en el próximo salto. Las comprobaciones garantizan que las fuentes legítimas estén inyectando tráfico a través de sus túneles IP designados.
Requisitos
En este ejemplo, se utilizan los siguientes componentes de hardware y software:
Tres enrutadores serie MX con MIC, cada uno conectado a un dispositivo host.
Junos OS versión 17.1 o posterior se ejecuta en uno o todos los enrutadores.
Antes de empezar:
Habilite la configuración de servicios de túnel en el concentrador de PIC flexible.
Configure las interfaces del enrutador.
Configure el ID del enrutador y asigne un número de sistema autónomo para el enrutador.
Establezca una sesión de BGP interna (IBGP) con los puntos de conexión del túnel.
Configure RSVP en todos los enrutadores.
Configure el OSPF o cualquier otro protocolo de puerta de enlace interior en todos los enrutadores.
Configure dos túneles IP dinámicos basados en saltos entre los dos enrutadores.
Configure una instancia de enrutamiento VRF para cada conexión de enrutador a host.
Descripción general
A partir de la versión 17.1 de Junos OS, se agregan capacidades antispoofing a los túneles de IP dinámicos basados en el próximo salto, donde se implementan comprobaciones para el tráfico que pasa por el túnel a la instancia de enrutamiento mediante el reenvío de ruta inversa en el motor de reenvío de paquetes.
Actualmente, cuando el enrutador de puerta de enlace recibe tráfico de un túnel, solo se realiza la búsqueda de la dirección de destino antes del reenvío. Con la protección contra la suplantación, el enrutador de la puerta de enlace realiza una búsqueda de dirección de origen del encabezado IP del paquete de encapsulación en la VPN para garantizar que las fuentes legítimas estén inyectando tráfico a través de sus túneles IP designados. Esto se denomina modo estricto y es el comportamiento predeterminado de la protección antispoofing. Para pasar tráfico desde túneles no designados, la comprobación de reenvío de ruta inversa está habilitada en el modo de pérdida. Para el tráfico recibido de fuentes no existentes, la comprobación de reenvío de ruta inversa falla tanto para los modos estrictos como para los sueltos.
La suplantación se admite en instancias de enrutamiento VRF. Para habilitar la antisoofing para túneles dinámicos, incluya la ip-tunnel-rpf-check instrucción en el [edit routing-instances routing-instance-name routing-options forwarding-table] nivel jerárquico.
Topología
Figura 3 muestra una topología de red de ejemplo habilitada con protección antispoofing. Los enrutadores R0, R1 y R2 están conectados a los hosts Host0, Host1 y Host2, respectivamente. Dos túneles dinámicos basados en el próximo salto de encapsulación de enrutamiento (GRE), los túneles 1 y 2, conectan el enrutador R0 con los enrutadores R1 y R2, respectivamente. La instancia de enrutamiento VRF se ejecuta entre cada enrutador y sus dispositivos host conectados.
Tomando como ejemplo, tres paquetes (paquetes A, B y C) se reciben en el enrutador 0 desde el enrutador R2 hasta el túnel GRE dinámico basado en el salto siguiente (túnel 2). La dirección IP de origen de estos paquetes es 172.17.0.2 (paquete A), 172.18.0.2 (paquete B) y 172.20.0.2 (paquete C).
La dirección IP de origen de los paquetes A y B pertenecen al host 2 y al host 1, respectivamente. El paquete C es un túnel de origen no existente. El túnel designado en este ejemplo es el túnel 2 y el túnel no designado es el túnel 1. Por lo tanto, los paquetes se procesan de la siguiente manera:
Packet A— Dado que el origen proviene de un túnel designado (túnel 2), el paquete A pasa la comprobación de reenvío de ruta inversa y se procesa para el reenvío a través del túnel 2.
Packet B— Dado que el origen proviene del túnel 1, que es un túnel no adesinado, de forma predeterminada, el paquete B falla la comprobación de reenvío de ruta inversa en el modo estricto. Si el modo libre está habilitado, se permite el reenvío del paquete B.
Packet C— Dado que el origen es un origen de túnel no existente, el paquete C falla en la comprobación de reenvío de ruta inversa y el paquete no se reenvía.
Configuración
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit desde el [edit] modo de configuración.
Enrutador R0
set interfaces ge-0/0/0 unit 0 family inet address 192.0.2.1/24 set interfaces ge-0/0/1 unit 0 family inet address 198.51.100.1/24 set interfaces ge-0/0/2 vlan-tagging set interfaces ge-0/0/2 unit 0 vlan-id 1 set interfaces ge-0/0/2 unit 0 family inet address 172.16.0.1/16 set interfaces lo0 unit 0 family inet address 10.1.1.1/32 set routing-options router-id 10.1.1.1 set routing-options autonomous-system 100 set routing-options dynamic-tunnels gre next-hop-based-tunnel set routing-options dynamic-tunnels T1 source-address 192.0.2.1 set routing-options dynamic-tunnels T1 gre set routing-options dynamic-tunnels T1 destination-networks 192.0.2.0/24 set routing-options dynamic-tunnels T2 source-address 198.51.100.1 set routing-options dynamic-tunnels T2 gre set routing-options dynamic-tunnels T2 destination-networks 198.51.100.0/24 set protocols rsvp interface all set protocols rsvp interface fxp0.0 disable set protocols bgp group IBGP type internal set protocols bgp group IBGP local-address 10.1.1.1 set protocols bgp group IBGP family inet-vpn unicast set protocols bgp group IBGP neighbor 20.1.1.1 set protocols bgp group IBGP neighbor 30.1.1.1 set protocols ospf traffic-engineering set protocols ospf area 0.0.0.0 interface lo0.0 passive set protocols ospf area 0.0.0.0 interface all set routing-instances VPN1 instance-type vrf set routing-instances VPN1 interface ge-0/0/2.0 set routing-instances VPN1 route-distinguisher 100:100 set routing-instances VPN1 vrf-target target:100:1 set routing-instances VPN1 vrf-table-label set routing-instances VPN1 routing-options forwarding-table ip-tunnel-rpf-check mode strict set routing-instances VPN1 protocols bgp group External type external set routing-instances VPN1 protocols bgp group External family inet unicast set routing-instances VPN1 protocols bgp group External peer-as 200 set routing-instances VPN1 protocols bgp group External neighbor 172.16.0.1
Enrutador R1
set interfaces ge-0/0/0 unit 0 family inet address 192.0.2.2/24 set interfaces ge-0/0/1 vlan-tagging set interfaces ge-0/0/1 unit 0 vlan-id 2 set interfaces ge-0/0/1 unit 0 family inet address 172.18.0.1/16 set interfaces lo0 unit 0 family inet address 20.1.1.1/32 set routing-options router-id 20.1.1.1 set routing-options autonomous-system 100 set routing-options dynamic-tunnels gre next-hop-based-tunnel set routing-options dynamic-tunnels T1 source-address 192.0.2.2 set routing-options dynamic-tunnels T1 gre set routing-options dynamic-tunnels T1 destination-networks 192.0.2.0/24 set protocols rsvp interface all set protocols rsvp interface fxp0.0 disable set protocols bgp group IBGP type internal set protocols bgp group IBGP local-address 20.1.1.1 set protocols bgp group IBGP family inet-vpn unicast set protocols bgp group IBGP neighbor 30.1.1.1 set protocols bgp group IBGP neighbor 10.1.1.1 set protocols ospf traffic-engineering set protocols ospf area 0.0.0.0 interface lo0.0 passive set protocols ospf area 0.0.0.0 interface all set routing-instances VPN2 instance-type vrf set routing-instances VPN2 interface ge-0/0/1.0 set routing-instances VPN2 route-distinguisher 100:200 set routing-instances VPN2 vrf-target target:200:1 set routing-instances VPN2 vrf-table-label
R2
set interfaces ge-0/0/1 unit 0 family inet address 198.51.100.2/24 set interfaces ge-0/0/2 vlan-tagging set interfaces ge-0/0/2 unit 0 vlan-id 3 set interfaces ge-0/0/2 unit 0 family inet address 172.17.0.1/16 set interfaces lo0 unit 0 family inet address 30.1.1.1/32 set routing-options router-id 30.1.1.1 set routing-options autonomous-system 100 set routing-options dynamic-tunnels gre next-hop-based-tunnel set routing-options dynamic-tunnels T2 source-address 198.51.100.2 set routing-options dynamic-tunnels T2 gre set routing-options dynamic-tunnels T2 destination-networks 198.51.100.0/24 set protocols rsvp interface all set protocols rsvp interface fxp0.0 disable set protocols bgp group IBGP type internal set protocols bgp group IBGP local-address 30.1.1.1 set protocols bgp group IBGP family inet-vpn unicast set protocols bgp group IBGP neighbor 20.1.1.1 set protocols bgp group IBGP neighbor 10.1.1.1 set protocols ospf traffic-engineering set protocols ospf area 0.0.0.0 interface lo0.0 passive set protocols ospf area 0.0.0.0 interface all set routing-instances VPN3 instance-type vrf set routing-instances VPN3 interface ge-0/0/2.0 set routing-instances VPN3 route-distinguisher 100:300 set routing-instances VPN3 vrf-target target:300:1 set routing-instances VPN3 vrf-table-label
Procedimiento
Procedimiento paso a paso
El siguiente ejemplo requiere que navegue por varios niveles en la jerarquía de configuración. Para obtener más información acerca de cómo navegar por la CLI, consulte Uso del editor de CLI en el modo de configuración en la Guía del usuario de CLI.
Para configurar el enrutador R0:
Configure las interfaces del enrutador R0, incluida la interfaz de circuito cerrado.
[edit interfaces] user@R0# set ge-0/0/0 unit 0 family inet address 192.0.2.1/24 user@R0# set ge-0/0/1 unit 0 family inet address 198.51.100.1/24 user@R0# set ge-0/0/2 vlan-tagging user@R0# set ge-0/0/2 unit 0 vlan-id 1 user@R0# set ge-0/0/2 unit 0 family inet address 172.16.0.1/16 user@R0# set lo0 unit 0 family inet address 10.1.1.1/32
Asigne el ID de enrutador y el número de sistema autónomo para el enrutador R0.
[edit routing-options] user@R0# set router-id 10.1.1.1 user@R0# set autonomous-system 100
Configure el emparejamiento de IBGP entre los enrutadores.
[edit protocols] user@R0# set bgp group IBGP type internal user@R0# set bgp group IBGP local-address 10.1.1.1 user@R0# set bgp group IBGP family inet-vpn unicast user@R0# set bgp group IBGP neighbor 20.1.1.1 user@R0# set bgp group IBGP neighbor 30.1.1.1
Configure OSPF en todas las interfaces del enrutador R0, excluyendo la interfaz de administración.
[edit protocols] user@R0# set ospf traffic-engineering user@R0# set ospf area 0.0.0.0 interface lo0.0 passive user@R0# set ospf area 0.0.0.0 interface all
Configure RSVP en todas las interfaces del enrutador R0, excluyendo la interfaz de administración.
[edit protocols] user@R0# set rsvp interface all user@R0# set rsvp interface fxp0.0 disable
Habilite la configuración de túnel gre dinámico basado en el salto siguiente en el enrutador R0.
[edit routing-options] user@R0# set dynamic-tunnels gre next-hop-based-tunnel
Configure los parámetros de túnel GRE dinámicos del enrutador R0 al R1.
[edit routing-options] user@R0# set dynamic-tunnels T1 source-address 192.0.2.1 user@R0# set dynamic-tunnels T1 gre user@R0# set dynamic-tunnels T1 destination-networks 192.0.2.0/24
Configure los parámetros de túnel GRE dinámicos del enrutador R0 al R2.
[edit routing-options] user@R0# set dynamic-tunnels T2 source-address 198.51.100.1 user@R0# set dynamic-tunnels T2 gre user@R0# set dynamic-tunnels T2 destination-networks 198.51.100.0/24
Configure una instancia de enrutamiento de enrutamiento virtual y reenvío (VRF) en el enrutador R0 y asigne la interfaz que se conecta al host 1 a la instancia de VRF.
[edit routing-instances] user@R0# set VPN1 instance-type vrf user@R0# set VPN1 route-distinguisher 100:100 user@R0# set VPN1 vrf-target target:100:1 user@R0# set VPN1 vrf-table-label user@R0# set VPN1 interface ge-0/0/2.0
Configure una sesión de BGP externa con el host 1 para la instancia de enrutamiento VRF.
[edit routing-instances] user@R0# set VPN1 protocols bgp group External type external user@R0# set VPN1 protocols bgp group External family inet unicast user@R0# set VPN1 protocols bgp group External peer-as 200 user@R0# set VPN1 protocols bgp group External neighbor 172.16.0.1
Configure la protección antispoofing para la instancia de enrutamiento VRF en el enrutador R0. Esto permite la comprobación de reenvío de rutas inversas para los túneles dinámicos basados en el siguiente salto, T1 y T2, en el enrutador 0.
[edit routing-instances] user@R0# set VPN1 routing-options forwarding-table ip-tunnel-rpf-check mode strict
Resultados
Desde el modo de configuración, ingrese los comandos , show routing-options, show protocolsy show routing-options para confirmar la show interfacesconfiguración. Si el resultado no muestra la configuración deseada, repita las instrucciones en este ejemplo para corregir la configuración.
user@R0# show interfaces
ge-0/0/0 {
unit 0 {
family inet {
address 192.0.2.1/24;
}
}
}
ge-0/0/1 {
unit 0 {
family inet {
address 198.51.100.1/24;
}
}
}
ge-0/0/2 {
vlan-tagging;
unit 0 {
vlan-id 1;
family inet {
address 172.16.0.1/16;
}
}
}
lo0 {
unit 0 {
family inet {
address 10.1.1.1/32;
}
}
}
user@R0# show routing-options
router-id 10.1.1.1;
autonomous-system 100;
dynamic-tunnels {
gre next-hop-based-tunnel;
T1 {
source-address 192.0.2.1;
gre;
destination-networks {
192.0.2.0/24;
}
}
T2 {
source-address 198.51.100.1;
gre;
destination-networks {
198.51.100.0/24;
}
}
}
user@R0# show protocols
rsvp {
interface all;
interface fxp0.0 {
disable;
}
}
bgp {
group IBGP {
type internal;
local-address 10.1.1.1;
family inet-vpn {
unicast;
}
neighbor 20.1.1.1;
neighbor 30.1.1.1;
}
}
ospf {
traffic-engineering;
area 0.0.0.0 {
interface lo0.0 {
passive;
}
interface all;
}
}
user@R0# show routing-instances
VPN1 {
instance-type vrf;
interface ge-0/0/2.0;
route-distinguisher 100:100;
vrf-target target:100:1;
vrf-table-label;
routing-options {
forwarding-table {
ip-tunnel-rpf-check {
mode strict;
}
}
}
protocols {
bgp {
group External {
type external;
family inet {
unicast;
}
peer-as 200;
neighbor 172.16.0.1;
}
}
}
}
Verificación
Confirme que la configuración funciona correctamente.
- Verificación de la configuración básica
- Verificación de la configuración dinámica de túnel
- Verificar la configuración de protección antisoofing
Verificación de la configuración básica
Propósito
Verifique el estado de emparejamiento de OSPF y BGP entre el enrutador R0 y los enrutadores R1 y R2.
Acción
Desde el modo operativo, ejecute los show ospf neighbor comandos y show bgp summary.
user@R0> show ospf neighbor
Address Interface State ID Pri Dead
192.0.2.2 ge-0/0/0.0 Full 20.1.1.1 128 32
198.51.100.2 ge-0/0/1.0 Full 30.1.1.1 128 32
user@R0> show bgp summary
Groups: 2 Peers: 3 Down peers: 1
Table Tot Paths Act Paths Suppressed History Damp State Pending
bgp.l3vpn.0
0 0 0 0 0 0
Peer AS InPkt OutPkt OutQ Flaps Last Up/Dwn State|#Active/Received/Accepted/Damped...
20.1.1.1 100 182 178 0 0 1:20:27 Establ
bgp.l3vpn.0: 0/0/0/0
30.1.1.1 100 230 225 0 0 1:41:51 Establ
bgp.l3vpn.0: 0/0/0/0
172.16.0.1 200 0 0 0 0 1:42:08 EstablSignificado
Las sesiones de OSPF y BGP están funcionando entre los enrutadores R0, R1 y R2.
Verificación de la configuración dinámica de túnel
Propósito
Compruebe el estado de los túneles GRE dinámicos basados en el salto siguiente entre el enrutador R0 y los enrutadores R1 y R2.
Acción
Desde el modo operativo, ejecute los show route table inet.3comandos , y los show dynamic-tunnels database terse .
user@R0> show route table inet.3
inet.3: 2 destinations, 2 routes (2 active, 0 holddown, 0 hidden)
+ = Active Route, - = Last Active, * = Both
192.0.2.0/24 *[Tunnel/300] 01:47:57
Tunnel
192.0.2.2/24 *[Tunnel/300] 01:47:57
Tunnel Composite
198.51.100.0/24 *[Tunnel/300] 01:47:57
Tunnel
198.51.100.2/24 *[Tunnel/300] 01:47:57
Tunnel Compositeuser@R0> show dynamic-tunnels database terse Table: inet.3 Destination-network: 192.0.2.0/24 Destination Source Next-hop Type Status 192.0.2.2/24 192.0.2.1 0xb395e70 nhid 612 gre Up Destination-network: 198.51.100.0/24 Destination Source Next-hop Type Status 198.51.100.2 198.51.100.1 0xb395e70 nhid 612 gre Up
Significado
Los dos túneles GRE dinámicos basados en el salto siguiente, el túnel 1 y el túnel 2, ya están en marcha.
Verificar la configuración de protección antisoofing
Propósito
Compruebe que la comprobación de reenvío de ruta inversa se ha habilitado en la instancia de enrutamiento VRF en el enrutador R0.
Acción
Desde el modo operativo, ejecute el show krt table VPN1.inet.0 detail.
user@R0> show krt table VPN1.inet.0 detail
KRT tables:
VPN1.inet.0 : GF: 1 krt-index: 8 ID: 0 kernel-id: 8
flags: (null)
tunnel rpf config data : enable, strict, filter [0], 0x2
tunnel rpf tlv data : enable, strict, filter [0], 0x4
unicast reverse path: disabled
fast-reroute-priority: 0
Permanent NextHops
Multicast : 0 Broadcast : 0
Receive : 0 Discard : 0
Multicast Discard: 0 Reject : 0
Local : 0 Deny : 0
Table : 0Significado
La comprobación de reenvío de ruta inversa configurada está habilitada en la instancia de enrutamiento VRF en el modo estricto.
Descripción general de la localización de túnel dinámico basada en el salto siguiente
Los túneles dinámicos basados en el siguiente salto incluyen túneles de encapsulación de enrutamiento genérico (GRE) y túneles MPLS sobre UDP. Estos túneles ofrecen una ventaja de escalabilidad sobre los túneles basados en interfaz. Sin embargo, a diferencia de los túneles basados en interfaz, los túneles dinámicos basados en salto siguiente son de naturaleza sin anclaje, donde la información de reenvío de los túneles se distribuye a los motores de reenvío de paquetes (PFP) en cada tarjeta de línea del dispositivo. Esto limita la cantidad máxima de túneles compatibles en el dispositivo a la capacidad de túnel de una sola tarjeta de línea. Con la compatibilidad con la localización, puede configurar la localización de túnel dinámica basada en el salto siguiente para crear la información de reenvío solo en el PFE de una tarjeta de línea que se designa como PFE de anclaje. Los PFE de las otras tarjetas de línea del dispositivo tienen información de reenvío de estado para dirigir los paquetes al ancla PFE. Esto ofrece una ventaja de escalabilidad al aumentar la cantidad máxima de túneles compatibles con un dispositivo.
- Beneficios de la localización de túneles dinámicos basados en el salto siguiente
- Casos de uso para la localización de túnel dinámico basada en el salto siguiente
- Manejo de tráfico con localización de túneles dinámicos basados en el próximo salto
- Configuración de la localización de túneles dinámicos basados en el salto siguiente
- Solución de problemas de túneles dinámicos localizados basados en el próximo salto
- Funciones no compatibles para la localización de túneles dinámicos basados en el salto siguiente
Beneficios de la localización de túneles dinámicos basados en el salto siguiente
Ofrece una ventaja de escalabilidad al aumentar la cantidad máxima de túneles compatibles con un dispositivo.
Casos de uso para la localización de túnel dinámico basada en el salto siguiente
Los dispositivos de puerta de enlace IPsec que alojan una serie de MS-MPC se utilizan para finalizar los túneles IPSec y son necesarios para admitir carga moderada. Esta compatibilidad se ve afectada con el uso de túneles dinámicos basados en el siguiente salto cuando se alcanza el límite de escalabilidad del dispositivo. Con la localización de túneles dinámicos basados en el siguiente salto, se aumenta el número máximo de túneles compatibles, lo que permite que el dispositivo admita más túneles a costa de un salto adicional de estructura.
En el caso de los dispositivos de puerta de enlace de Internet o VPN, como un centro de datos de nube pública virtual, existe la necesidad de que los dispositivos de puerta de enlace se comuniquen con una gran cantidad de servidores. Se puede llegar a los servidores del centro de datos a través de túneles dinámicos basados en el siguiente salto. La propiedad sin anclaje de los túneles dinámicos limita los números de escalado general del dispositivo. Los dispositivos de puerta de enlace alojan varios MPC, con mayores demandas de tráfico. Con la localización de los túneles dinámicos basados en el próximo salto, los túneles se pueden extender a través de los MPC, lo que facilita un aumento en los números de escala de túneles.
Manejo de tráfico con localización de túneles dinámicos basados en el próximo salto
Con soporte para la localización, el estado de túnel dinámico basado en el siguiente salto se localiza en un motor de reenvío de paquetes ancla, y el otro motor de reenvío de paquetes tiene el estado de túnel para dirigir el tráfico al ancla de túnel.
Figura 4 muestra la ruta de reenvío de los túneles dinámicos basados en el salto siguiente sin localización.
Figura 5 ilustra la ruta de reenvío de los túneles dinámicos basados en el salto siguiente con localización.
Configuración de la localización de túneles dinámicos basados en el salto siguiente
La compatibilidad con la localización se puede configurar para túneles dinámicos basados en el siguiente salto recién creados o para túneles dinámicos no locales existentes.
- Configuración de la localización para nuevos túneles dinámicos basados en el próximo salto
- Configuración de la localización para túneles dinámicos existentes basados en el próximo salto
Configuración de la localización para nuevos túneles dinámicos basados en el próximo salto
La localización de túneles dinámicos basados en el salto siguiente utiliza un enfoque basado en políticas para especificar grupos de prefijo. En otras palabras, las políticas de ruta se utilizan para aplicar las propiedades de localización a los túneles dinámicos basados en el siguiente salto. Los perfiles de atributos de túnel dinámicos se crean y configuran en opciones de enrutamiento para asociarse con el grupo de prefijo mediante la política.
Creación de perfiles de túnel dinámicos.
El perfil de túnel dinámico especifica el tipo de túnel y la información del motor de reenvío de paquetes de anclaje. Se pueden crear varios perfiles de túnel dinámico para la localización de los túneles dinámicos. Los valores del tipo de túnel dinámico pueden ser GRE, UDP o BGP-SIGNAL.
Aunque BGP-SIGNAL no es un tipo de túnel válido, al asignar BGP-SIGNAL como tipo de túnel, los túneles creados a partir de los atributos señalizados del BGP se localizarán. Cuando se utiliza BGP-SIGNAL, el tipo de túnel se decide según el tipo anunciado por el BGP en su TLV. Los túneles BGP-SIGNAL siempre son túneles basados en el salto siguiente. Los túneles GRE creados dinámicamente por BGP-SIGNAL siempre se basan en el salto siguiente, incluso si el usuario ha configurado manualmente túneles creados por GRE para usar IFL.
El valor del motor de reenvío de paquetes de anclaje es la tarjeta de línea del motor de reenvío de paquetes de anclaje, por ejemplo, pfe-x/y/0. Esta información se puede ver desde la salida del
show interfaces terse pfe*comando.Sample Configuration:
[edit routing-options] dynamic-tunnels { dynamic-tunnel-attributes attribute-1 { dynamic-tunnel-type <GRE | UDP | BGP-SIGNAL>; dynamic-tunnel-anchor-pfe pfe-1/0/0; } }Asociar perfil de túnel dinámico a lista de prefijos.
Configurar una política con
dynamic-tunnel-attributescomo acción asocia el túnel dinámico a la lista de prefijos. La acción de políticafrompermite la creación de túnel con atributos especificados para cualquier condición coincidente, como un rango de prefijo, comunidad o dirección de origen de rutas BGP, etc.Sample configuration:
[edit policy-options] policy-statement policy-name { term term { from { <route-filter | next-hop | community>>; } then { dynamic-tunnel-attributes <attribute-name>; } } }Incluida la política de túnel en la política de exportación de tabla de reenvío.
Después de configurar la política, se incluye en la política de exportación de tabla de reenvío para el análisis de la política.
Mediante la política de exportación, los atributos de túnel se asocian a la ruta. Cada vez que se pone en cola una ruta del BGP para su resolución, se evalúa la política de exportación de tabla de reenvío y los atributos de túnel se obtienen del módulo de política según los filtros aplicados. Los atributos de túnel obtenidos se adjuntan al siguiente salto en forma de siguiente salto compuesto de túnel. Las estructuras de reenvío de anclaje correspondientes, basadas en el nombre del motor de reenvío de paquetes y el tipo de túnel, se crean y se envían a la tabla de reenvío antes de enviar un salto compuesto de túnel. Sin embargo, si ninguno de los atributos se asignan al siguiente salto compuesto de túnel, la estructura de reenvío se crea en cada motor de reenvío de paquetes, de manera similar a los túneles dinámicos no localizados.
Sample configuration:
[edit routing-options] forwarding-table { export dynamic-tunnel; }
Configuración de la localización para túneles dinámicos existentes basados en el próximo salto
Hacer cambios sobre la marcha en atributos de túnel dinámicos puede dar lugar a una falla de FPC debido a la alta utilización de memoria. Por lo tanto, recomendamos desactivar la configuración de túneles dinámicos antes de configurar la localización.
Para actualizar los atributos de túnel para túneles dinámicos basados en el siguiente salto existentes, se debe realizar lo siguiente:
Desactive
dynamic-tunnelsla configuración en el[edit routing-options]nivel de jerarquía.Sample configuration:
[edit routing-options] user@host# deactivate dynamic-tunnels user@host# commit
Cambie los atributos de túnel según sea necesario.
Active
dynamic-tunnelsla configuración en el[edit routing-options]nivel de jerarquía.Sample configuration:
[edit routing-options] user@host# activate dynamic-tunnels user@host# commit
Para configurar la localización para túneles dinámicos no locales basados en el siguiente salto existentes:
Hacer cambios sobre la marcha para configurar la localización para túneles dinámicos no locales basados en el próximo salto puede dar lugar a una falla de FPC debido a la alta utilización de memoria. Por lo tanto, recomendamos desactivar la configuración de túneles dinámicos antes de configurar la localización.
Desactive la
dynamic-tunnelsconfiguración en el[edit routing-options]nivel de jerarquía.Cree un perfil de atributos de túnel y agregue políticas para localizar los túneles dinámicos, de manera similar a los túneles dinámicos nuevos basados en el salto siguiente.
Active la
dynamic-tunnelsconfiguración.
Solución de problemas de túneles dinámicos localizados basados en el próximo salto
Con la localización de túneles dinámicos basados en el siguiente salto, los próximos saltos compuestos de túnel se asocian con los IDENTIFICA de ancla del motor de reenvío de paquetes. Las siguientes instrucciones de configuración de traceroute en el [edit routing-options] nivel jerárquico ayudan a solucionar problemas de los túneles dinámicos localizados:
dynamic-tunnels traceoptions flag all— Seguimiento de la creación y eliminación de túneles en DTM.resolution traceoptions flag tunnel— Seguimiento de las operaciones de resolución en la ruta del BGP.forwarding-table traceoptions flag all— Seguimiento de túneles enviados al kernel.traceoptions flag all—Seguimiento del proceso de aprendizaje de rutas.
Los siguientes comandos se pueden usar para comprobar si una ruta está usando un túnel dinámico localizado basado en el siguiente salto:
show route prefix extensive— Para obtener el siguiente salto indirecto.
Por ejemplo:
user@host> show route 1.2.3.4 extensive MPLS-over-UDP-PE1.inet.0: 24 destinations, 26 routes (24 active, 0 holddown, 0 hidden) 1.2.3.4/32 (1 entry, 1 announced) TSI: KRT in-kernel 1.2.3.4/32 -> {indirect(1048577)} Page 0 idx 1, (group pe1-ce1 type External) Type 1 val 0xb209a78 (adv_entry) Advertised metrics: Nexthop: Self AS path: [100] I Communities: target:600:1 encapsulation:mpls-in-udp(0xd)show krt indirect-next-hop index indirect-next-hop detail— Para comprobar si ancla el campo motor de reenvío de paquetes en la salida detallada del siguiente salto indirecto.
Por ejemplo:
user@host> show krt indirect-next-hop index 1048577 detail Indirect Nexthop detail: Index: 1048577 Protocol next-hop address: 1.1.1.6 RIB Table: bgp.l3vpn.0 Label: Push 299808 Policy Version: 2 References: 11 Locks: 3 0xb227980 Flags: 0x0 INH Session ID: 0x0 Ref RIB Table: unknown Export policy detail: (Dynamic tunnel hash : 309985522) Tunnel type: UDP, Reference count: 4, nhid: 1016 Destination address: 1.1.1.6, Source address: 1.1.1.2 Anchored-PFE: pfe-1/0/0 VPN Label: Push 299808, TTL action: prop-ttl IGP FRR Interesting proto count : 11 Chain IGP FRR Node Num : 1 IGP Resolver node(hex) : 0xc838b94 IGP Route handle(hex) : 0xb1d7674 IGP rt_entry protocol : Tunnel IGP Actual Route handle(hex) : 0x0 IGP Actual rt_entry protocol : Any
Funciones no compatibles para la localización de túneles dinámicos basados en el salto siguiente
Junos OS no admite la siguiente funcionalidad con localización para túneles dinámicos basados en el siguiente salto:
Próximos saltos compuestos encadenados en el
[edit routing-options forwarding-table chained-composite-next-hop ingress l3vpn]nivel jerárquico.Resistencia del motor de reenvío de paquetes de anclaje.
No hay soporte de resistencia para túneles dinámicos basados en el siguiente salto con localización. Después de la localización de los túneles dinámicos basados en el siguiente salto, el motor de reenvío packer de anclaje se convierte en la única entidad para procesar cualquier túnel determinado en el dispositivo. Aunque no se admite la resistencia del motor de reenvío de packer de anclaje, en el caso de los dispositivos de puerta de enlace, la redundancia en el dispositivo de puerta de enlace garantiza que cuando el motor de reenvío Packer al que se delega el siguiente salto compuesto de túnel se desvíe, el tráfico debe redirigirse al dispositivo de puerta de enlace redundante. El proceso de protocolo de enrutamiento monitorea el estado del motor de reenvío Packer y retira el anuncio del BGP de todas las rutas que apuntan a los próximos saltos compuestos de túnel anclados en ese motor de reenvío Packer.
Solo el motor de reenvío de paquetes anclado tiene el siguiente salto compuesto de túnel completo, y todos los demás motores de reenvío de paquetes solo tienen entradas de dirección para reenviar tráfico al motor de reenvío de paquetes de anclaje. Estas entradas de dirección no se retiran cuando un ancla FPC cae.
La localización de túneles dinámicos basados en el salto siguiente no se admite en sistemas lógicos.
IPv6 no se admite con la localización de túneles dinámicos basados en el siguiente salto.
Con la localización, el
show dynamic-tunnels database summarycomando no muestra un resumen preciso de túneles cuando el estado de la tarjeta de línea del motor de reenvío de paquetes de ancla no está activo. Como solución alternativa, utilice la salida deshow dynamic-tunnels databasecomando yshow dynamic-tunnels database terse.
Descripción general de la tunelización dinámica basada en el salto siguiente mediante la encapsulación de IP sobre IP
SUMMARY
- Ventajas
- ¿Qué es la tunelización dinámica del próximo salto de IP sobre IP?
- Unión de túnel ip sobre IP
Ventajas
La tunelización de IP sobre IP ofrece los siguientes beneficios:
-
Alternative to MPLS over UDP— Se puede utilizar como alternativa a la tunelización MPLS-over-UDP para proporcionar un servicio de IP en el que hay un dispositivo dedicado por servicio.
-
Ability to steer specific traffic: permite una migración fluida cuando las redes MPLS e IP coexisten, ya que las rutas se pueden filtrar para dirigir el tráfico específico a través de túneles IP en lugar de túneles MPLS.
-
Ability to support tunnels at increasing scale— La creación dinámica de túneles mediante el plano de control BGP puede facilitar la creación de túneles a escala.
¿Qué es la tunelización dinámica del próximo salto de IP sobre IP?
Una red IP contiene dispositivos de borde y dispositivos de núcleo. Para lograr una mayor escala y confiabilidad entre estos dispositivos, debe aislar lógicamente la red central de la red externa con la que interactúan los dispositivos de borde mediante el uso de una encapsulación superpuesta.
A partir de Junos OS versión 20.3R1, apoyamos una encapsulación de IP sobre IP para facilitar la construcción de superposición de IP a través de la red de transporte de IP. La IP sobre IP depende de una próxima infraestructura basada en saltos para admitir una escala más alta. La función admite la encapsulación IPv4 de la carga IPv6 e IPv4. Entre las otras encapsulaciones superpuestas compatibles, la encapsulación de IP sobre IP es la única que permite:
-
dispositivos de tránsito para analizar la carga interna y usar campos internos de paquete para el cálculo hash
-
dispositivos de borde del cliente para enrutar el tráfico hacia y fuera del túnel sin reducir la transferencia de datos
En los enrutadores serie MX, el demonio de protocolo de enrutamiento (RPD) envía el encabezado de encapsulación con el nexthop compuesto de túnel y el motor de reenvío de paquetes (PFE) encuentra la dirección de destino del túnel y reenvía el paquete. En enrutadores serie PTX y conmutadores QFX10000, RPD envía el siguiente túnel basado en saltos completamente resuelto al motor de reenvío de paquetes. El protocolo BGP se utiliza para distribuir rutas y señales de túneles dinámicos.
La siguiente ilustración muestra cómo el tráfico IPv4 o IPv6 se envía de R-1 a R-5 a través de un túnel IP sobre IP establecido entre R-2 y R-4:
Unión de túnel ip sobre IP
En Junos OS versión 21.3R1, presentamos la unión de túnel IP sobre IP en MX240, MX480, MX960, PTX1000, PTX10008, PTX10016 y QFX10002. Puede usar esta función para finalizar un túnel IP sobre IP en un dispositivo e iniciar otro túnel en el mismo dispositivo. Cuando un dispositivo recibe el paquete IP sobre IP, desencapsula el encabezado del paquete externo y se produce una búsqueda de paquete interno. Luego, el encabezado del paquete IP interno apunta a otro túnel en el mismo dispositivo, donde el mismo dispositivo encapsula el paquete de nuevo con otro encabezado IP sobre IP.
Ejemplo: Configuración de túneles dinámicos de IP sobre IP basados en salto siguiente
SUMMARY Aprenda a configurar los próximos túneles basados en saltos mediante la encapsulación de IP sobre IP.
- Requisitos
- Descripción general
- Configuración de túneles dinámicos de IP sobre IP con un siguiente salto de protocolo
- Ejemplo: Configurar un túnel IPoIP en un entorno MPLS con túnel LDP, resuelto mediante inetcolor.0 mediante configuración estática
- Ejemplo: Configure un túnel IPoIP con túnel LDP en una nube MPLS, resuelto mediante inetcolor.0 mediante señalización del BGP
- Verificación
Requisitos
En este ejemplo, se utilizan los siguientes componentes de hardware y software:
5 enrutadores serie MX.
Junos OS versión 20.3R1 o posterior.
- Consulte el Explorador de funciones para ver las plataformas compatibles.
Descripción general
A partir de Junos OS versión 20.3R1, apoyamos una encapsulación de IP sobre IP para facilitar la construcción de superposición de IP a través de la red de transporte de IP. En este ejemplo, se muestra el establecimiento de túneles de IP sobre IP de unidifusión entre dispositivos con un próximo salto de protocolo (PNH) mediante un emparejamiento ibgp entre R2 y R4, que están conectados a través de un núcleo OSPF, para intercambiar rutas y señalizar túneles dinámicos.
Topología
La Figura 1 muestra un escenario de IP sobre IP con 5 dispositivos.
En este ejemplo, estamos intercambiando rutas de R1 a R5 y viceversa a través de túneles dinámicos IP sobre IP establecidos entre R2 y R4. Las rutas de R1 se exportan a R2 y las rutas de R5 se exportan a R4, mediante el protocolo IS-IS. Configuramos un túnel Tunnel-01 IPIP de unidifusión de R2 a R4 y otro túnel Tunnel-01 de R4 a R2. Los prefijos de ruta que se generan en las máscaras de red a partir de las redes de destino configuradas del dispositivo par se utilizan para crear el túnel y los flujos de tráfico en la dirección opuesta a las rutas en el túnel.
Configuración de túneles dinámicos de IP sobre IP con un siguiente salto de protocolo
- Configuración rápida de CLI
- Configuración de túneles dinámicos IP-IP con un protocolo de salto siguiente
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese la confirmación desde el [edit] modo de configuración.
R1
set interfaces xe-0/2/0 unit 0 description R1-to-R2 set interfaces xe-0/2/0 unit 0 family inet address 192.168.12.1/30 set interfaces xe-0/2/0 unit 0 family iso set interfaces lo0 unit 0 family inet address 192.168.255.1/32 set interfaces lo0 unit 0 family iso address 49.0001.1920.1682.5501.00 set routing-options router-id 192.168.255.1 set protocols isis interface xe-0/2/0.0 set protocols isis interface lo0.0 set protocols isis level 1 disable
R2
set interfaces xe-0/2/0 description R2-to-R1 set interfaces xe-0/2/0 unit 0 family inet address 192.168.12.2/30 set interfaces xe-0/2/0 unit 0 family iso set interfaces xe-0/2/1 description R2-to-R3 set interfaces xe-0/2/1 unit 0 family inet address 10.1.23.1/30 set interfaces lo0 unit 0 family inet address 10.1.255.2/32 set interfaces lo0 unit 0 family iso address 49.0001.0010.1255.0002.00 set policy-options policy-statement export-bgp term t1 from protocol bgp set policy-options policy-statement export-bgp term t1 then accept set policy-options policy-statement export-isis term t1 from protocol isis set policy-options policy-statement export-isis term t1 then next-hop self set policy-options policy-statement export-isis term t1 then accept set routing-options resolution rib inet.0 resolution-ribs inet.3 set routing-options router-id 10.1.255.2 set routing-options autonomous-system 65000 set routing-options dynamic-tunnels Tunnel-01 source-address 10.1.255.2 set routing-options dynamic-tunnels Tunnel-01 ipip set routing-options dynamic-tunnels Tunnel-01 destination-networks 10.1.255.0/24 set protocols bgp group iBGP type internal set protocols bgp group iBGP local-address 10.1.255.2 set protocols bgp group iBGP family inet unicast set protocols bgp group iBGP export export-isis set protocols bgp group iBGP neighbor 10.1.255.4 set protocols isis interface xe-0/2/0.0 set protocols isis interface lo0.0 set protocols isis level 1 disable set protocols isis export export-bgp set protocols ospf area 0.0.0.0 interface xe-0/2/1.0 set protocols ospf area 0.0.0.0 interface lo0.0
R3
set interfaces xe-0/2/0 unit 0 description R3-to-R2 set interfaces xe-0/2/0 unit 0 family inet address 10.1.23.2/30 set interfaces xe-0/2/1 unit 0 description R3-to-R4 set interfaces xe-0/2/1 unit 0 family inet address 10.1.34.1/30 set interfaces lo0 unit 0 family inet address 10.1.255.3/32 set routing-options router-id 10.1.255.3 set protocols ospf area 0.0.0.0 interface xe-0/2/0.0 set protocols ospf area 0.0.0.0 interface xe-0/2/1.0 set protocols ospf area 0.0.0.0 interface lo0.0 passive
R4
set interfaces xe-0/2/0 unit 0 description R4-to-R3 set interfaces xe-0/2/0 unit 0 family inet address 10.1.34.2/30 set interfaces xe-0/2/1 unit 0 description R4-to-R5 set interfaces xe-0/2/1 unit 0 family inet address 192.168.45.1/30 set interfaces xe-0/2/1 unit 0 family iso set interfaces lo0 unit 0 family inet address 10.1.255.4/32 set interfaces lo0 unit 0 family iso address 49.0001.0010.1255.0004.00 set policy-options policy-statement export-bgp term t1 from protocol bgp set policy-options policy-statement export-bgp term t1 then accept set policy-options policy-statement export-isis term t1 from protocol isis set policy-options policy-statement export-isis term t1 then next-hop self set policy-options policy-statement export-isis term t1 then accept set routing-options resolution rib inet.0 resolution-ribs inet.3 set routing-options router-id 10.1.255.4 set routing-options autonomous-system 65000 set routing-options dynamic-tunnels Tunnel-01 source-address 10.1.255.4 set routing-options dynamic-tunnels Tunnel-01 ipip set routing-options dynamic-tunnels Tunnel-01 destination-networks 10.1.255.0/24 set protocols bgp group iBGP type internal set protocols bgp group iBGP local-address 10.1.255.4 set protocols bgp group iBGP family inet unicast set protocols bgp group iBGP export export-isis set protocols bgp group iBGP neighbor 10.1.255.2 set protocols isis interface xe-0/2/1.0 set protocols isis interface lo0.0 set protocols isis level 1 disable set protocols isis export export-bgp set protocols ospf area 0.0.0.0 interface xe-0/2/0.0 set protocols ospf area 0.0.0.0 interface lo0.0
R5
set interfaces xe-0/2/0 unit 0 description R5-to-R4 set interfaces xe-0/2/0 unit 0 family inet address 192.168.45.2/30 set interfaces xe-0/2/0 unit 0 family iso set interfaces lo0 unit 0 family inet address 192.168.255.5/32 set interfaces lo0 unit 0 family iso address 49.0001.1920.1682.5505.00 set routing-options router-id 192.168.255.5 set protocols isis interface xe-0/2/0.0 set protocols isis interface lo0.0 set protocols isis level 1 disable
Configuración de túneles dinámicos IP-IP con un protocolo de salto siguiente
- Procedimiento paso a paso para R1
- Procedimiento paso a paso para R2
- Procedimiento paso a paso para R3
- Resultados
Procedimiento paso a paso para R1
R1 y R5 tienen una configuración similar, por lo que solo mostraremos el procedimiento paso a paso para R1.
-
Ingrese al modo de configuración en R1.
-
Configure la interfaz conectada a R2 y lo0 de interfaz. Asegúrese de configurar tanto la familia
inetisocomo . La familiaisoes necesaria para el protocolo IS-IS.[edit] user@R1# set interfaces xe-0/2/0 unit 0 description R1-to-R2 user@R1# set interfaces xe-0/2/0 unit 0 family inet address 192.168.12.1/30 user@R1# set interfaces xe-0/2/0 unit 0 family iso user@R1# set interfaces lo0 unit 0 family inet address 192.168.255.1/32 user@R1# set interfaces lo0 unit 0 family iso address 49.0001.1920.1682.5501.00
-
Configure el ID de enrutador.
[edit] user@R1# set routing-options router-id 192.168.255.1
-
Configure los protocolos IS-IS. Las rutas se anuncian entre R1 y R2 mediante el protocolo IS-IS.
[edit] user@R1# set protocols isis interface xe-0/2/0.0 user@R1# set protocols isis interface lo0.0 user@R1# set protocols isis level 1 disable
-
Ingrese
commiten R1 desde el modo de configuración.
Procedimiento paso a paso para R2
R2 y R4 tienen una configuración similar, por lo que solo mostraremos el procedimiento paso a paso para R2.
-
Ingrese al modo de configuración en R2.
-
Configure las interfaces conectadas a R1 y R3 y lo0 de interfaz. Asegúrese de configurar tanto la familia
inetisocomo en la interfaz conectada a R1 y lo0.[edit] user@R2# set interfaces xe-0/2/0 description R2-to-R1 user@R2# set interfaces xe-0/2/0 unit 0 family inet address 192.168.12.2/30 user@R2# set interfaces xe-0/2/0 unit 0 family iso user@R2# set interfaces xe-0/2/1 description R2-to-R3 user@R2# set interfaces xe-0/2/1 unit 0 family inet address 10.1.23.1/30 user@R2# set interfaces lo0 unit 0 family inet address 10.1.255.2/32 user@R2# set interfaces lo0 unit 0 family iso address 49.0001.0010.1255.0002.00
-
Configure los protocolos IS-IS para la interfaz conectada a R1. La política de exportación para anunciar rutas de BGP a IS-IS se muestra en el paso de configuración de política.
[edit] user@R2# set protocols isis interface xe-0/2/0.0 user@R2# set protocols isis interface lo0.0 user@R2# set protocols isis level 1 disable user@R2# set protocols isis export export-bgp
-
Configure el protocolo OSPF para la interfaz conectada a R3 para la accesibilidad lo0.
[edit] user@R2# set protocols ospf area 0.0.0.0 interface xe-0/2/1.0 user@R2# set protocols ospf area 0.0.0.0 interface lo0.0
-
Configure el
router-idyautonomous-system, e IBGP entre R2 y R4. La política de exportación para anunciar rutas IS-IS al BGP se muestra en el paso de configuración de política.[edit] user@R2# set routing-options router-id 10.1.255.2 user@R2# set routing-options autonomous-system 65000 user@R2# set protocols bgp group iBGP type internal user@R2# set protocols bgp group iBGP local-address 10.1.255.2 user@R2# set protocols bgp group iBGP family inet unicast user@R2# set protocols bgp group iBGP export export-isis user@R2# set protocols bgp group iBGP neighbor 10.1.255.4
-
Configure las políticas de exportación de BGP e IS-IS que se aplicaron durante los pasos anteriores. La
export-bgppolítica se aplica a los protocolos IS-IS como exportación para anunciar rutas de BGP a IS-IS y laexport-isispolítica se aplica al BGP como exportación para anunciar rutas IS-IS al BGP. La opción de self-next-hop permite que R2 anuncie las rutas IS-IS al BGP con R2 como el siguiente salto en lugar de la interfaz del salto siguiente de R1.[edit] user@R2# set policy-options policy-statement export-bgp term t1 from protocol bgp user@R2# set policy-options policy-statement export-bgp term t1 then accept user@R2# set policy-options policy-statement export-isis term t1 from protocol isis user@R2# set policy-options policy-statement export-isis term t1 then next-hop self user@R2# set policy-options policy-statement export-isis term t1 then accept
-
Configure el túnel Tunnel-01 dinámico IP-IP de R2 a R4. La opción de
resolution-ribs inet.3configuración permite que la resolución de ruta se lleve a cabo en inet.3 y es necesaria para establecer el túnel.[edit] user@R2# set routing-options resolution rib inet.0 resolution-ribs inet.3 user@R2# set routing-options dynamic-tunnels Tunnel-01 source-address 10.1.255.2 user@R2# set routing-options dynamic-tunnels Tunnel-01 ipip user@R2# set routing-options dynamic-tunnels Tunnel-01 destination-networks 10.1.255.0/24
-
(Opcional) - Configuración alternativa para el túnel Tunnel-01 dinámico IP-IP de R2 a R4. En lugar de configurar el
resolution-ribs inet.3túnel, puede configurar la preferencia de túnel inferior a la preferencia del próximo salto del protocolo para la ruta al punto de conexión del túnel. La ruta para R4 se aprende mediante OSPF y tiene una preferencia de 10 y la preferencia predeterminada del túnel es 305. Configurar la preferencia de túnel inferior a la preferencia OSPF permite que se prefiera y se establezca el túnel.[edit] user@R2# set routing-options dynamic-tunnels Tunnel-01 source-address 10.1.255.2 user@R2# set routing-options dynamic-tunnels Tunnel-01 ipip user@R2# set routing-options dynamic-tunnels Tunnel-01 destination-networks 10.1.255.0/24 preference 9
-
Ingrese
commitdesde el modo de configuración en R2.
Procedimiento paso a paso para R3
-
Ingrese al modo de configuración en R3.
-
Configure las interfaces conectadas a R2 y R4 y lo0 de interfaz.
[edit] user@R3# set interfaces xe-0/2/0 unit 0 description R3-to-R2 user@R3# set interfaces xe-0/2/0 unit 0 family inet address 10.1.23.2/30 user@R3# set interfaces xe-0/2/1 unit 0 description R3-to-R4 user@R3# set interfaces xe-0/2/1 unit 0 family inet address 10.1.34.1/30 user@R3# set interfaces lo0 unit 0 family inet address 10.1.255.3/32
-
Configure el ID de enrutador.
[edit] user@R3# set routing-options router-id 10.1.255.3
-
Configure el protocolo OSPF para las interfaces conectadas a R2 y R4 para la accesibilidad lo0.
[edit] user@R3# set protocols ospf area 0.0.0.0 interface xe-0/2/0.0 user@R3# set protocols ospf area 0.0.0.0 interface xe-0/2/1.0 user@R3# set protocols ospf area 0.0.0.0 interface lo0.0 passive
-
Ingrese
commitdesde el modo de configuración en el dispositivo R3.
Resultados
Compruebe su configuración comprobando las siguientes configuraciones desde los dispositivos de la siguiente manera:
Así es como puede verificar las configuraciones en R2:
user@R2# show interfaces
xe-0/2/0 {
description R2-to-R1;
unit 0 {
family inet {
address 192.168.12.2/30;
}
family iso;
}
}
xe-0/2/1 {
description R2-to-R3;
unit 0 {
family inet {
address 10.1.23.1/30;
}
}
}
lo0 {
unit 0 {
family inet {
address 10.1.255.2/32;
}
family iso {
address 49.0001.0010.1255.0002.00;
}
}
}
user@R2# show routing-options
resolution {
rib inet.0 {
resolution-ribs inet.3;
}
}
router-id 10.1.255.2;
autonomous-system 65000;
dynamic-tunnels {
Tunnel-01 {
source-address 10.1.255.2;
ipip;
destination-networks {
10.1.255.0/24;
}
}
}
user@R2# show protocols
bgp {
group iBGP {
type internal;
local-address 10.1.255.2;
family inet {
unicast;
}
export export-isis;
neighbor 10.1.255.4;
}
}
isis {
interface xe-0/2/0.0;
interface lo0.0;
level 1 disable;
export export-bgp;
}
ospf {
area 0.0.0.0 {
interface xe-0/2/1.0;
interface lo0.0;
}
}
user@R2# show policy-options
policy-statement export-bgp {
term t1 {
from protocol bgp;
then accept;
}
}
policy-statement export-isis {
term t1 {
from protocol isis;
then {
next-hop self;
accept;
}
}
}
Verificación
- Verificar base de datos de túnel dinámico
- Verificar tabla de rutas en inet.3
- Verificar rutas del BGP mediante el túnel
- Verificar la accesibilidad de extremo a extremo
Verificar base de datos de túnel dinámico
Propósito
Para verificar la información de la base de datos de túnel dinámico, utilice el comando de show dynamic-tunnels database modo operativo.
Acción
user@R2> show dynamic-tunnels database
*- Signal Tunnels #- PFE-down
Table: inet.3
Destination-network: 10.1.255.0/24
Tunnel to: 10.1.255.4/32
Reference count: 3
Next-hop type: IPoIP (forwarding-nexthop)
Source address: 10.1.255.2
Next hop: tunnel-composite, 0x76b6c50, nhid 515
Reference count: 2
Ingress Route: [OSPF] 10.1.255.4/32, via metric 2
Traffic Statistics: Packets 0, Bytes 0
State: Up
Aggregate Traffic Statistics:
Tunnel Encapsulation: Dest 10.1.255.4, Src 10.1.255.2, IPoIP, Tunnel-Id 1
Traffic Statistics: Packets 0, Bytes 0 user@R4> show dynamic-tunnels database
*- Signal Tunnels #- PFE-down
Table: inet.3
Destination-network: 10.1.255.0/24
Tunnel to: 10.1.255.2/32
Reference count: 3
Next-hop type: IPoIP (forwarding-nexthop)
Source address: 10.1.255.4
Next hop: tunnel-composite, 0x76b6c50, nhid 513
Reference count: 2
Ingress Route: [OSPF] 10.1.255.2/32, via metric 2
Traffic Statistics: Packets 0, Bytes 0
State: Up
Aggregate Traffic Statistics:
Tunnel Encapsulation: Dest 10.1.255.2, Src 10.1.255.4, IPoIP, Tunnel-Id 1
Traffic Statistics: Packets 0, Bytes 0Significado
El resultado indica que se establece un túnel IPoIP entre R2 (192.168.0.21 origen) y R4 (192.168.0.41 destino) y otro túnel IPoIP se establece entre R4 (192.168.0.41 origen) y R2 (192.168.0.21 destino).
Verificar tabla de rutas en inet.3
Propósito
Para comprobar las rutas generadas en la tabla inet.3, utilice el comando de show route table inet.3 modo operativo.
Acción
user@R2> show route table inet.3
inet.3: 2 destinations, 2 routes (2 active, 0 holddown, 0 hidden)
+ = Active Route, - = Last Active, * = Both
10.1.255.0/24 *[Tunnel/305] 02:02:44
Tunnel
10.1.255.4/32 *[Tunnel/305] 02:02:44, metric 2
Tunnel Composite, IPoIP (src 10.1.255.2 dest 10.1.255.4)user@R4> show route table inet.3
inet.3: 2 destinations, 2 routes (2 active, 0 holddown, 0 hidden)
+ = Active Route, - = Last Active, * = Both
10.1.255.0/24 *[Tunnel/305] 6d 01:35:50
Tunnel
10.1.255.2/32 *[Tunnel/305] 6d 01:35:48, metric 2
Tunnel Composite, IPoIP (src 10.1.255.4 dest 10.1.255.2)Significado
El resultado indica la ruta utilizada para resolver el tráfico del BGP que utilizará el túnel.
Verificar rutas del BGP mediante el túnel
Propósito
Para comprobar que las rutas del BGP recibidas en R2 y R4 para R1 y R5 utilizan el túnel.
Acción
user@R2> show route protocol bgp
inet.0: 17 destinations, 17 routes (17 active, 0 holddown, 0 hidden)
+ = Active Route, - = Last Active, * = Both
192.168.255.5/32 *[BGP/170] 02:42:48, MED 10, localpref 100, from 10.1.255.4
AS path: I, validation-state: unverified
> via Tunnel Composite, IPoIP (src 10.1.255.2 dest 10.1.255.4)
inet.3: 2 destinations, 2 routes (2 active, 0 holddown, 0 hidden)
iso.0: 1 destinations, 1 routes (1 active, 0 holddown, 0 hidden)
inet6.0: 1 destinations, 1 routes (1 active, 0 holddown, 0 hidden)user@R4> show route protocol bgp
inet.0: 17 destinations, 17 routes (17 active, 0 holddown, 0 hidden)
+ = Active Route, - = Last Active, * = Both
192.168.255.1/32 *[BGP/170] 00:13:30, MED 10, localpref 100, from 10.1.255.2
AS path: I, validation-state: unverified
> via Tunnel Composite, IPoIP (src 10.1.255.4 dest 10.1.255.2)
inet.3: 2 destinations, 2 routes (2 active, 0 holddown, 0 hidden)
iso.0: 1 destinations, 1 routes (1 active, 0 holddown, 0 hidden)
inet6.0: 1 destinations, 1 routes (1 active, 0 holddown, 0 hidden)Significado
El resultado indica que R2 está usando el túnel para la ruta del BGP a R5, y R4 está usando el túnel para la ruta del BGP a R1.
Verificar la accesibilidad de extremo a extremo
Propósito
Verificar que R1 puede hacer ping a R5 mediante el comando del ping 192.168.255.5 source 192.168.255.1 count 2 modo operativo.
Acción
user@R1>ping 192.168.255.5 source 192.168.255.1 count 2
PING 192.168.255.5 (192.168.255.5): 56 data bytes
64 bytes from 192.168.255.5: icmp_seq=0 ttl=62 time=5.565 ms
64 bytes from 192.168.255.5: icmp_seq=1 ttl=62 time=5.957 ms
--- 192.168.255.5 ping statistics ---
2 packets transmitted, 2 packets received, 0% packet loss
round-trip min/avg/max/stddev = 5.565/5.761/5.957/0.196 msSignificado
La salida de R1 muestra que R1 puede hacer ping a R5.
Ejemplo: Configurar un túnel IPoIP en un entorno MPLS con túnel LDP, resuelto mediante inetcolor.0 mediante configuración estática
De forma predeterminada, MPLS tiene una preferencia más alta que LA IP. Por ejemplo, con MPLS y LDP configurados entre R2, R3 y R4, en el que R2 es accesible con R4 a LDP, las rutas desde R2 se resolverán a través de LDP, en lugar de IP sobre IP, debido a la preferencia más alta.
Si prefiere tener una ruta determinada para resolver a través de IP-sobre-IP en lugar de LDP, puede hacerlo mediante la creación de una tabla inetcolor, en la que IP sobre IP tiene una preferencia más alta y establecer el BGP para resolver esa ruta a través de la tabla inetcolor en lugar de la tabla inetcolor en lugar de la tabla inet3. En el siguiente ejemplo, se muestra cómo hacerlo mediante la configuración estática.
Topología
En este ejemplo, estamos intercambiando rutas de R1 a R5 y viceversa a través de túneles dinámicos IP sobre IP establecidos entre R2 y R4. Las rutas de R1 se exportan a R2 y las rutas de R5 se exportan a R4, mediante el protocolo IS-IS. Configuramos un túnel Tunnel-01 IPIP de unidifusión de R2 a R4 y otro túnel Tunnel-01 de R4 a R2. Los prefijos de ruta que se generan en las máscaras de red desde las redes de destino configuradas del dispositivo par se utilizan para crear el túnel y flujos de tráfico en la dirección opuesta a las rutas en el túnel.
Configuración rápida de CLI
R1
set interfaces xe-0/2/0 unit 0 description R1-to-R2 set interfaces xe-0/2/0 unit 0 family inet address 192.168.12.1/30 set interfaces xe-0/2/0 unit 0 family iso set interfaces lo0 unit 0 family inet address 192.168.255.1/32 set interfaces lo0 unit 0 family iso address 49.0001.1920.1682.5501.00 set routing-options router-id 192.168.255.1 set protocols isis interface xe-0/2/0.0 set protocols isis interface lo0.0 set protocols isis level 1 disable
R2
set interfaces xe-0/2/0 description R2-to-R1 set interfaces xe-0/2/0 unit 0 family inet address 192.168.12.2/30 set interfaces xe-0/2/0 unit 0 family iso set interfaces xe-0/2/1 description R2-to-R3 set interfaces xe-0/2/1 unit 0 family inet address 10.1.23.1/30 set interfaces xe-0/2/1 unit 0 family mpls set interfaces lo0 unit 0 family inet address 10.1.255.2/32 set interfaces lo0 unit 0 family iso address 49.0001.0010.1255.0002.00 set policy-options policy-statement export-bgp term t1 from protocol bgp set policy-options policy-statement export-bgp term t1 then accept set policy-options policy-statement export-isis term t1 from protocol isis set policy-options policy-statement export-isis term t1 then next-hop self set policy-options policy-statement export-isis term t1 then accept set policy-options policy-statement ipip-tunnel-color term term-01 from route-filter 192.168.255.5/32 exact set policy-options policy-statement ipip-tunnel-color term term-01 then community add red set policy-options policy-statement ipip-tunnel-color term term-01 then accept set policy-options policy-statement set-dynamic-tunnel-ep term t1 from route-filter 10.1.255.4/32 exact set policy-options policy-statement set-dynamic-tunnel-ep term t1 then tunnel-end-point-address 10.1.255.4 set policy-options policy-statement set-dynamic-tunnel-ep term t1 then accept set policy-options community red members color:0:100 set routing-options router-id 10.1.255.2 set routing-options autonomous-system 65000 set routing-options dynamic-tunnels Tunnel-01 source-address 10.1.255.2 set routing-options dynamic-tunnels Tunnel-01 ipip set routing-options dynamic-tunnels Tunnel-01 destination-networks 10.1.255.0/24 dyn-tunnel-attribute-policy set-dynamic-tunnel-ep set routing-options dynamic-tunnels Tunnel-01 destination-networks 10.1.255.0/24 colors 100 set protocols bgp group iBGP type internal set protocols bgp group iBGP local-address 10.1.255.2 set protocols bgp group iBGP import ipip-tunnel-color set protocols bgp group iBGP family inet unicast extended-nexthop-color set protocols bgp group iBGP export export-isis set protocols bgp group iBGP neighbor 10.1.255.4 set protocols isis interface xe-0/2/0.0 set protocols isis interface lo0.0 set protocols isis level 1 disable set protocols isis export export-bgp set protocols ldp interface xe-0/2/1.0 set protocols mpls interface xe-0/2/1.0 set protocols ospf area 0.0.0.0 interface xe-0/2/1.0 set protocols ospf area 0.0.0.0 interface lo0.0
R3
set interfaces xe-0/2/0 unit 0 description R3-to-R2 set interfaces xe-0/2/0 unit 0 family inet address 10.1.23.2/30 set interfaces xe-0/2/0 unit 0 family mpls set interfaces xe-0/2/1 unit 0 description R3-to-R4 set interfaces xe-0/2/1 unit 0 family inet address 10.1.34.1/30 set interfaces xe-0/2/1 unit 0 family mpls set interfaces lo0 unit 0 family inet address 10.1.255.3/32 set routing-options router-id 10.1.255.3 set protocols ldp interface xe-0/2/0.0 set protocols ldp interface xe-0/2/1.0 set protocols mpls interface xe-0/2/0.0 set protocols mpls interface xe-0/2/1.0 set protocols ospf area 0.0.0.0 interface xe-0/2/0.0 set protocols ospf area 0.0.0.0 interface xe-0/2/1.0 set protocols ospf area 0.0.0.0 interface lo0.0 passive
R4
set interfaces xe-0/2/0 unit 0 description R4-to-R3 set interfaces xe-0/2/0 unit 0 family inet address 10.1.34.2/30 set interfaces xe-0/2/0 unit 0 family mpls set interfaces xe-0/2/1 unit 0 description R4-to-R5 set interfaces xe-0/2/1 unit 0 family inet address 192.168.45.1/30 set interfaces xe-0/2/1 unit 0 family iso set interfaces lo0 unit 0 family inet address 10.1.255.4/32 set interfaces lo0 unit 0 family iso address 49.0001.0010.1255.0004.00 set policy-options policy-statement export-bgp term t1 from protocol bgp set policy-options policy-statement export-bgp term t1 then accept set policy-options policy-statement export-isis term t1 from protocol isis set policy-options policy-statement export-isis term t1 then next-hop self set policy-options policy-statement export-isis term t1 then accept set policy-options policy-statement ipip-tunnel-color term term-01 from route-filter 192.168.255.1/32 exact set policy-options policy-statement ipip-tunnel-color term term-01 then community add red set policy-options policy-statement ipip-tunnel-color term term-01 then accept set policy-options policy-statement set-dynamic-tunnel-ep term t1 from route-filter 10.1.255.2/32 exact set policy-options policy-statement set-dynamic-tunnel-ep term t1 then tunnel-end-point-address 10.1.255.2 set policy-options policy-statement set-dynamic-tunnel-ep term t1 then accept set policy-options community red members color:0:100 set routing-options router-id 10.1.255.4 set routing-options autonomous-system 65000 set routing-options dynamic-tunnels Tunnel-01 source-address 10.1.255.4 set routing-options dynamic-tunnels Tunnel-01 ipip set routing-options dynamic-tunnels Tunnel-01 destination-networks 10.1.255.0/24 dyn-tunnel-attribute-policy set-dynamic-tunnel-ep set routing-options dynamic-tunnels Tunnel-01 destination-networks 10.1.255.0/24 colors 100 set protocols bgp group iBGP type internal set protocols bgp group iBGP local-address 10.1.255.4 set protocols bgp group iBGP import ipip-tunnel-color set protocols bgp group iBGP family inet unicast extended-nexthop-color set protocols bgp group iBGP export export-isis set protocols bgp group iBGP neighbor 10.1.255.2 set protocols isis interface xe-0/2/1.0 set protocols isis interface lo0.0 set protocols isis level 1 disable set protocols isis export export-bgp set protocols ldp interface xe-0/2/0.0 set protocols mpls interface xe-0/2/0.0 set protocols ospf area 0.0.0.0 interface xe-0/2/0.0 set protocols ospf area 0.0.0.0 interface lo0.0
R5
set interfaces xe-0/2/0 unit 0 description R5-to-R4 set interfaces xe-0/2/0 unit 0 family inet address 192.168.45.2/30 set interfaces xe-0/2/0 unit 0 family iso set interfaces lo0 unit 0 family inet address 192.168.255.5/32 set interfaces lo0 unit 0 family iso address 49.0001.1920.1682.5505.00 set routing-options router-id 192.168.255.5 set protocols isis interface xe-0/2/0.0 set protocols isis interface lo0.0 set protocols isis level 1 disable
Procedimiento
- Procedimiento paso a paso para R1
- Procedimiento paso a paso para R2
- Procedimiento paso a paso para R3
- Resultados
Procedimiento paso a paso para R1
R1 y R5 tienen una configuración similar, por lo que solo mostraremos el procedimiento paso a paso para R1.
-
Ingrese al modo de configuración en R1.
-
Configure la interfaz conectada a R2 y lo0 de interfaz. Asegúrese de configurar tanto la familia
inetisocomo . La familiaisoes necesaria para el protocolo IS-IS.[edit] user@R1# set interfaces xe-0/2/0 unit 0 description R1-to-R2 user@R1# set interfaces xe-0/2/0 unit 0 family inet address 192.168.12.1/30 user@R1# set interfaces xe-0/2/0 unit 0 family iso user@R1# set interfaces lo0 unit 0 family inet address 192.168.255.1/32 user@R1# set interfaces lo0 unit 0 family iso address 49.0001.1920.1682.5501.00
-
Configure el ID de enrutador.
[edit] user@R1# set routing-options router-id 192.168.255.1
-
Configure los protocolos IS-IS. Las rutas se anuncian entre R1 y R2 mediante el protocolo IS-IS.
[edit] user@R1# set protocols isis interface xe-0/2/0.0 user@R1# set protocols isis interface lo0.0 user@R1# set protocols isis level 1 disable
-
Ingrese
commiten R1 desde el modo de configuración.
Procedimiento paso a paso para R2
R2 y R4 tienen una configuración similar, por lo que solo mostraremos el procedimiento paso a paso para R2.
-
Ingrese al modo de configuración en R2.
-
Configure las interfaces conectadas a R1 y R3 y lo0 de interfaz. Asegúrese de configurar ambas familias
inetyisoen la interfaz conectada a R1 y lo0, y de configurar ambas familiasinetymplsen la interfaz conectada a R3.[edit] user@R2# set interfaces xe-0/2/0 description R2-to-R1 user@R2# set interfaces xe-0/2/0 unit 0 family inet address 192.168.12.2/30 user@R2# set interfaces xe-0/2/0 unit 0 family iso user@R2# set interfaces xe-0/2/1 description R2-to-R3 user@R2# set interfaces xe-0/2/1 unit 0 family inet address 10.1.23.1/30 user@R2# set interfaces xe-0/2/0 unit 0 family mpls user@R2# set interfaces lo0 unit 0 family inet address 10.1.255.2/32 user@R2# set interfaces lo0 unit 0 family iso address 49.0001.0010.1255.0002.00
-
Configure los protocolos IS-IS para la interfaz conectada a R1. La política de exportación para anunciar rutas de BGP a IS-IS se muestra en el paso de configuración de política.
[edit] user@R2# set protocols isis interface xe-0/2/0.0 user@R2# set protocols isis interface lo0.0 user@R2# set protocols isis level 1 disable user@R2# set protocols isis export export-bgp
-
Configure el protocolo OSPF para la interfaz conectada a R3 para la accesibilidad lo0.
[edit] user@R2# set protocols ospf area 0.0.0.0 interface xe-0/2/1.0 user@R2# set protocols ospf area 0.0.0.0 interface lo0.0
-
Configure los protocolos LDP y MPLS para la interfaz conectada a R3.
[edit] user@R2# set protocols ldp interface xe-0/2/1.0 user@R2# set protocols mpls interface xe-0/2/1.0
-
Configure el
router-idyautonomous-systembajo larouting-optionsjerarquía, y configure IBGP entre R2 y R4. La política de importación para agregar una comunidad a las rutas aprendidas mediante el BGP y la política de exportación para anunciar rutas IS-IS al BGP se muestran en el paso de configuración de política. Asegúrese de incluirextended-nexthop-colorla opción en lafamily inet unicastconfiguración para permitir la resolución mediante la tabla inetcolor.0.[edit] user@R2# set routing-options router-id 10.1.255.2 user@R2# set routing-options autonomous-system 65000 user@R2# set protocols bgp group iBGP type internal user@R2# set protocols bgp group iBGP local-address 10.1.255.2 user@R2# set protocols bgp group iBGP import ipip-tunnel-color user@R2# set protocols bgp group iBGP family inet unicast extended-nexthop-color user@R2# set protocols bgp group iBGP export export-isis user@R2# set protocols bgp group iBGP neighbor 10.1.255.4
-
Configure el túnel Tunnel-01 dinámico IP-IP de R2 a R4. La
colorsopción de configuración permite crear el túnel en la tabla de rutas inetcolor.0. Configuradyn-tunnel-attribute-policyset-dynamic-tunnel-ep un punto de conexión de túnel estático. La política se muestra con el paso de configuración de políticas.[edit] user@R2# set routing-options dynamic-tunnels Tunnel-01 source-address 10.1.255.2 user@R2# set routing-options dynamic-tunnels Tunnel-01 ipip user@R2# set routing-options dynamic-tunnels Tunnel-01 destination-networks 10.1.255.0/24 dyn-tunnel-attribute-policy set-dynamic-tunnel-ep user@R2# set routing-options dynamic-tunnels Tunnel-01 destination-networks 10.1.255.0/24 colors 100
-
Configure las políticas que se aplicaron durante los pasos de configuración anteriores. La export-bgp política anuncia las rutas del BGP a IS-IS. La export-isis política anuncia las rutas IS-IS al BGP con el cambio del salto siguiente a R2. La ipip-tunnel-color política aplica la comunidad a la ruta que coincide en la
colorsconfiguración del túnel dinámico. La set-dynamic-tunnel-ep política configura R4 como el punto de conexión del túnel.[edit] user@R2# set policy-options policy-statement export-bgp term t1 from protocol bgp user@R2# set policy-options policy-statement export-bgp term t1 then accept user@R2# set policy-options policy-statement export-isis term t1 from protocol isis user@R2# set policy-options policy-statement export-isis term t1 then next-hop self user@R2# set policy-options policy-statement export-isis term t1 then accept user@R2# set policy-options policy-statement ipip-tunnel-color term term-01 from route-filter 192.168.255.5/32 exact user@R2# set policy-options policy-statement ipip-tunnel-color term term-01 then community add red user@R2# set policy-options policy-statement ipip-tunnel-color term term-01 then accept user@R2# set policy-options policy-statement set-dynamic-tunnel-ep term t1 from route-filter 10.1.255.4/32 exact user@R2# set policy-options policy-statement set-dynamic-tunnel-ep term t1 then tunnel-end-point-address 10.1.255.4 user@R2# set policy-options policy-statement set-dynamic-tunnel-ep term t1 then accept user@R2# set policy-options community red members color:0:100
-
Ingrese
commitdesde el modo de configuración.
Procedimiento paso a paso para R3
-
Ingrese al modo de configuración en R3.
-
Configure las interfaces conectadas a R2 y R4 y lo0 de interfaz. Asegúrese de configurar tanto la familia
inetmplscomo en las interfaces conectadas a R2 y R4.[edit] user@R3# set interfaces xe-0/2/0 unit 0 description R3-to-R2 user@R3# set interfaces xe-0/2/0 unit 0 family inet address 10.1.23.2/30 user@R3# set interfaces xe-0/2/0 unit 0 family mpls user@R3# set interfaces xe-0/2/1 unit 0 description R3-to-R4 user@R3# set interfaces xe-0/2/1 unit 0 family inet address 10.1.34.1/30 user@R3# set interfaces xe-0/2/1 unit 0 family mpls user@R3# set interfaces lo0 unit 0 family inet address 10.1.255.3/32
-
Configure el ID de enrutador.
[edit] user@R3# set routing-options router-id 10.1.255.3
-
Configure el protocolo OSPF para las interfaces conectadas a R2 y R4 para la accesibilidad lo0.
[edit] user@R3# set protocols ospf area 0.0.0.0 interface xe-0/2/0.0 user@R3# set protocols ospf area 0.0.0.0 interface xe-0/2/1.0 user@R3# set protocols ospf area 0.0.0.0 interface lo0.0 passive
-
Configure los protocolos LDP y MPLS para las interfaces conectadas a R2 y R4.
[edit] user@R2# set protocols ldp interface xe-0/2/0.0 user@R2# set protocols ldp interface xe-0/2/1.0 user@R2# set protocols mpls interface xe-0/2/0.0 user@R2# set protocols mpls interface xe-0/2/1.0
-
Ingrese
commitdesde el modo de configuración en el dispositivo R3.
Resultados
Compruebe su configuración comprobando las siguientes configuraciones desde los dispositivos.
Así es como puede comprobar las configuraciones en R2:
user@R2# show interfaces
xe-0/2/0 {
description R2-to-R1;
unit 0 {
family inet {
address 192.168.12.2/30;
}
family iso;
}
}
xe-0/2/1 {
description R2-to-R3;
unit 0 {
family inet {
address 10.1.23.1/30;
}
family mpls;
}
}
lo0 {
apply-groups-except global;
unit 0 {
family inet {
address 10.1.255.2/32;
}
family iso {
address 49.0001.0010.1255.0002.00;
}
}
}user@R2 # show protocols
bgp {
group iBGP {
type internal;
local-address 10.1.255.2;
import ipip-tunnel-color;
family inet {
unicast {
extended-nexthop-color;
}
}
export export-isis;
neighbor 10.1.255.4;
}
}
isis {
interface xe-0/2/0.0;
interface lo0.0;
level 1 disable;
export export-bgp;
}
ldp {
interface xe-0/2/1.0;
}
mpls {
interface xe-0/2/1.0;
}
ospf {
area 0.0.0.0 {
interface xe-0/2/1.0;
interface lo0.0;
}
}
user@R2 #show routing-options
router-id 10.1.255.2;
autonomous-system 65000;
dynamic-tunnels {
Tunnel-01 {
source-address 10.1.255.2;
ipip;
destination-networks {
10.1.255.0/24 {
dyn-tunnel-attribute-policy set-dynamic-tunnel-ep;
colors 100;
}
}
}
}
user@R2 #show policy-options
policy-statement export-bgp {
term t1 {
from protocol bgp;
then accept;
}
}
policy-statement export-isis {
term t1 {
from protocol isis;
then {
next-hop self;
accept;
}
}
}
policy-statement ipip-tunnel-color {
term term-01 {
from {
route-filter 192.168.255.5/32 exact;
}
then {
community add red;
accept;
}
}
}
policy-statement set-dynamic-tunnel-ep {
term t1 {
from {
route-filter 10.1.255.4/32 exact;
}
then {
tunnel-end-point-address 10.1.255.4;
accept;
}
}
}
community red members color:0:100;
Verificación
- Verificar la resolución de ruta
- Verificar base de datos de túnel dinámico
- Verificar los próximos saltos de ruta
- Verificar la accesibilidad de extremo a extremo
Verificar la resolución de ruta
Propósito
Para comprobar la resolución de ruta de las rutas en las tablas inet.3 e inetcolor.0, utilice los comandos del modo operativo yshow route table inetcolor.0.show route table inet.3
Acción
user@R2> show route table inet.3
inet.3: 3 destinations, 4 routes (3 active, 0 holddown, 0 hidden)
+ = Active Route, - = Last Active, * = Both
10.1.255.0/24 *[Tunnel/305] 00:12:21
Tunnel
10.1.255.3/32 *[LDP/9] 1d 19:37:01, metric 1
> to 10.1.23.2 via xe-0/2/1.0
10.1.255.4/32 *[LDP/9] 1d 19:32:25, metric 1
> to 10.1.23.2 via xe-0/2/1.0, Push 299792
[Tunnel/305] 00:13:38, metric 2
Tunnel Composite, IPoIP (src 10.1.255.2 dest 10.1.255.4)user@R2> show route table inetcolor.0
inetcolor.0: 2 destinations, 2 routes (2 active, 0 holddown, 0 hidden)
+ = Active Route, - = Last Active, * = Both
10.1.255.0-0<c>/24
*[Tunnel/305] 00:13:26
Tunnel
10.1.255.4-100<c>/64
*[Tunnel/305] 00:13:26, metric 2
Tunnel Composite, IPoIP (src 10.1.255.2 dest 10.1.255.4-100<c>)Significado
La salida R2 indica que en la tabla inet.3, la ruta 10.1.255.4 se resuelve mediante LDP debido a una preferencia más alta que IP sobre IP. Por otro lado, en la tabla inetcolor.0 recién creada, la ruta 10.1.255.4 se resuelve mediante túnel IP sobre IP con <c> adjunto.
Verificar base de datos de túnel dinámico
Propósito
Para comprobar el túnel dinámico IP sobre IP creado por las rutas en la tabla inetcolor.0, utilice el comando de show dynamic-tunnels database terse modo operativo.
Acción
user@R2>show dynamic-tunnels database terse
*- Signal Tunnels #- PFE-down
Table: inet.3
Destination-network: 10.1.255.0/24
*- Signal Tunnels #- PFE-down
Table: inetcolor.0
Destination-network: 10.1.255.0-0<c>/24
Destination Source Next-hop Type Status
10.1.255.4-100<c>/64 10.1.255.2 0x76b71cc nhid 592 IPoIP Up (via metric 2, tunnel-endpoint 10.1.255.4)Significado
La salida R2 indica que la ruta 192.168.0.41 ha creado un túnel dinámico basado en el salto siguiente.
Verificar los próximos saltos de ruta
Propósito
Para comprobar todos los próximos saltos de la ruta que está establecido para resolver mediante IP sobre IP, utilice el comando del show route 192.168.255.5 extensive expanded-nh modo operativo.
Acción
user@R2>show route 192.168.255.5 extensive expanded-nh
inet.0: 18 destinations, 18 routes (18 active, 0 holddown, 0 hidden)
192.168.255.5/32 (1 entry, 1 announced)
Installed-nexthop:
Indr Composite (0x76b7238) 10.1.255.4-100<c>
Krt_cnh (0x6fb1928) Index:593
Krt_inh (0x7164d3c) Index:1048575 PNH: 10.1.255.4-100<c>
Tun-comp (0x76b71cc) Index:592 IPoIP src 10.1.255.2 dest 10.1.255.4-100<c> tunnel-endpoint 10.1.255.4
TSI:
KRT in-kernel 192.168.255.5/32 -> {composite(593)}
IS-IS level 2, LSP fragment 0
*BGP Preference: 170/-101
Next hop type: Indirect, Next hop index: 0
Address: 0x76b7238
Next-hop reference count: 2
Source: 10.1.255.4
Next hop type: Tunnel Composite, Next hop index: 592
Next hop: via Tunnel Composite, IPoIP (src 10.1.255.2 dest 10.1.255.4-100<c> tunnel-endpoint 10.1.255.4), selected
Protocol next hop: 10.1.255.4-100<c>
Composite next hop: 0x6fb1928 593 INH Session ID: 0
Indirect next hop: 0x7164d3c 1048575 INH Session ID: 0
State: <Active Int Ext>
Local AS: 65000 Peer AS: 65000
Age: 20:14 Metric: 10 Metric2: 2
Validation State: unverified
Task: BGP_65000.10.1.255.4
Announcement bits (2): 0-KRT 5-IS-IS
AS path: I
Communities: color:0:100
Accepted
Localpref: 100
Router ID: 10.1.255.4
Route-nexthop:
Indr (0x76b7238) 10.1.255.4-100<c>
Krt_cnh (0x6fb1928) Index:593
Krt_inh (0x7164d3c) Index:1048575
Tun-comp (0x76b71cc) Index:592
Thread: junos-main
Composite next hops: 1
Protocol next hop: 10.1.255.4-100<c> Metric: 2
Composite next hop: 0x6fb1928 593 INH Session ID: 0
Indirect next hop: 0x7164d3c 1048575 INH Session ID: 0
Indirect path forwarding next hops: 1
Next hop type: Tunnel Composite
Tunnel type: IPoIP, (forwarding-nexthop), Reference count: 2, nhid: 592
Destination address: 10.1.255.4-100<c>, Source address: 10.1.255.2
Tunnel endpoint: 10.1.255.4
10.1.255.4-100<c>/64 Originating RIB: inetcolor.0
Metric: 2 Node path count: 1
Forwarding nexthops: 1
Next hop type: Tunnel Composite
Tunnel type: IPoIP, (extended-attr), Reference count: 1, nhid: 0
Destination address: 10.1.255.4-100<c>, Source address: 10.1.255.2
Significado
El resultado de R2 muestra el siguiente salto expandido para la 192.168.255.5 ruta. Como R2 es un enrutador de la serie MX, envía un siguiente salto de protocolo y otro indirecto.
Verificar la accesibilidad de extremo a extremo
Propósito
Verificar que R1 puede hacer ping a R5 mediante el comando del ping 192.168.255.5 source 192.168.255.1 count 2 modo operativo.
Acción
user@R1>ping 192.168.255.5 source 192.168.255.1 count 2
PING 192.168.255.5 (192.168.255.5): 56 data bytes
64 bytes from 192.168.255.5: icmp_seq=0 ttl=62 time=6.009 ms
64 bytes from 192.168.255.5: icmp_seq=1 ttl=62 time=5.398 ms
--- 192.168.255.5 ping statistics ---
2 packets transmitted, 2 packets received, 0% packet loss
round-trip min/avg/max/stddev = 5.398/5.704/6.009/0.306 msSignificado
La salida de R1 muestra que R1 puede hacer ping a R5.
Ejemplo: Configure un túnel IPoIP con túnel LDP en una nube MPLS, resuelto mediante inetcolor.0 mediante señalización del BGP
En un entorno MPLS con LDP habilitado, las rutas del BGP se resuelven mediante LDP en la tabla inet.3 porque MPLS tiene mayor preferencia que IP.
Si aún prefiere que sus rutas se resuelvan mediante IP sobre IP en el entorno MPLS, puede hacerlo mediante la creación de una tabla inetcolor.0 que asigne una mayor preferencia por IP sobre IP y resuelva las rutas elegidas mediante IP sobre IP. Para habilitar esta función mediante el BGP, la resolución de ruta se realiza en el dispositivo final remoto del túnel y con la política de exportación configurada en el dispositivo remoto, las rutas se reciben y anuncian mediante la señalización del BGP. En este ejemplo, se muestra cómo configurar esto mediante la configuración del protocolo BGP.
En este ejemplo, estamos intercambiando rutas de R1 a R5 y viceversa a través de túneles dinámicos IP sobre IP establecidos entre R2 y R4. Las rutas de R1 se exportan a R2 y las rutas de R5 se exportan a R4, mediante el protocolo IS-IS. Configuramos un túnel Tunnel-01 IPIP de unidifusión de R2 a R4 y otro túnel Tunnel-01 de R4 a R2. Los prefijos de ruta que se generan en las máscaras de red desde las redes de destino configuradas del dispositivo par se utilizan para crear el túnel y flujos de tráfico en la dirección opuesta a las rutas en el túnel.
Configuración rápida de CLI
R1
set interfaces xe-0/2/0 unit 0 description R1-to-R2 set interfaces xe-0/2/0 unit 0 family inet address 192.168.12.1/30 set interfaces xe-0/2/0 unit 0 family iso set interfaces lo0 unit 0 family inet address 192.168.255.1/32 set interfaces lo0 unit 0 family iso address 49.0001.1920.1682.5501.00 set routing-options router-id 192.168.255.1 set protocols isis interface xe-0/2/0.0 set protocols isis interface lo0.0 set protocols isis level 1 disable
R2
set interfaces xe-0/2/0 description R2-to-R1 set interfaces xe-0/2/0 unit 0 family inet address 192.168.12.2/30 set interfaces xe-0/2/0 unit 0 family iso set interfaces xe-0/2/1 description R2-to-R3 set interfaces xe-0/2/1 unit 0 family inet address 10.1.23.1/30 set interfaces xe-0/2/1 unit 0 family mpls set interfaces lo0 unit 0 family inet address 10.1.255.2/32 set interfaces lo0 unit 0 family iso address 49.0001.0010.1255.0002.00 set policy-options policy-statement export-bgp term t1 from protocol bgp set policy-options policy-statement export-bgp term t1 then accept set policy-options policy-statement export-tunnel-route term t1 from route-filter 192.168.255.1/32 exact set policy-options policy-statement export-tunnel-route term t1 then tunnel-attribute set tunnel-attr-01 set policy-options policy-statement export-tunnel-route term t1 then next-hop self set policy-options policy-statement export-tunnel-route term t1 then accept set policy-options tunnel-attribute tunnel-attr-01 tunnel-type ipip set policy-options tunnel-attribute tunnel-attr-01 tunnel-color 100 set policy-options tunnel-attribute tunnel-attr-01 remote-end-point 10.1.255.4 set routing-options router-id 10.1.255.2 set routing-options autonomous-system 65000 set routing-options dynamic-tunnels Tunnel-01 source-address 10.1.255.2 set routing-options dynamic-tunnels Tunnel-01 bgp-signal set routing-options dynamic-tunnels Tunnel-01 destination-networks 10.1.255.0/24 colors 100 set protocols bgp group iBGP type internal set protocols bgp group iBGP local-address 10.1.255.2 set protocols bgp group iBGP family inet unicast extended-nexthop-tunnel set protocols bgp group iBGP export export-tunnel-route set protocols bgp group iBGP neighbor 10.1.255.4 set protocols isis interface xe-0/2/0.0 set protocols isis interface lo0.0 set protocols isis level 1 disable set protocols isis export export-bgp set protocols ldp interface xe-0/2/1.0 set protocols mpls interface xe-0/2/1.0 set protocols ospf area 0.0.0.0 interface xe-0/2/1.0 set protocols ospf area 0.0.0.0 interface lo0.0
R3
set interfaces xe-0/2/0 unit 0 description R3-to-R2 set interfaces xe-0/2/0 unit 0 family inet address 10.1.23.2/30 set interfaces xe-0/2/0 unit 0 family mpls set interfaces xe-0/2/1 unit 0 description R3-to-R4 set interfaces xe-0/2/1 unit 0 family inet address 10.1.34.1/30 set interfaces xe-0/2/1 unit 0 family mpls set interfaces lo0 unit 0 family inet address 10.1.255.3/32 set routing-options router-id 10.1.255.3 set protocols ldp interface xe-0/2/0.0 set protocols ldp interface xe-0/2/1.0 set protocols mpls interface xe-0/2/0.0 set protocols mpls interface xe-0/2/1.0 set protocols ospf area 0.0.0.0 interface xe-0/2/0.0 set protocols ospf area 0.0.0.0 interface xe-0/2/1.0 set protocols ospf area 0.0.0.0 interface lo0.0 passive
R4
set interfaces xe-0/2/0 unit 0 description R4-to-R3 set interfaces xe-0/2/0 unit 0 family inet address 10.1.34.2/30 set interfaces xe-0/2/0 unit 0 family mpls set interfaces xe-0/2/1 unit 0 description R4-to-R5 set interfaces xe-0/2/1 unit 0 family inet address 192.168.45.1/30 set interfaces xe-0/2/1 unit 0 family iso set interfaces lo0 unit 0 family inet address 10.1.255.4/32 set interfaces lo0 unit 0 family iso address 49.0001.0010.1255.0004.00 set policy-options policy-statement export-bgp term t1 from protocol bgp set policy-options policy-statement export-bgp term t1 then accept set policy-options policy-statement export-tunnel-route term t1 from route-filter 192.168.255.5/32 exact set policy-options policy-statement export-tunnel-route term t1 then tunnel-attribute set tunnel-attr-01 set policy-options policy-statement export-tunnel-route term t1 then next-hop self set policy-options policy-statement export-tunnel-route term t1 then accept set policy-options tunnel-attribute tunnel-attr-01 tunnel-type ipip set policy-options tunnel-attribute tunnel-attr-01 tunnel-color 100 set policy-options tunnel-attribute tunnel-attr-01 remote-end-point 10.1.255.2 set routing-options router-id 10.1.255.4 set routing-options autonomous-system 65000 set routing-options dynamic-tunnels Tunnel-01 source-address 10.1.255.4 set routing-options dynamic-tunnels Tunnel-01 bgp-signal set routing-options dynamic-tunnels Tunnel-01 destination-networks 10.1.255.0/24 colors 100 set protocols bgp group iBGP type internal set protocols bgp group iBGP local-address 10.1.255.4 set protocols bgp group iBGP family inet unicast extended-nexthop-tunnel set protocols bgp group iBGP export export-tunnel-route set protocols bgp group iBGP neighbor 10.1.255.2 set protocols isis interface xe-0/2/1.0 set protocols isis interface lo0.0 set protocols isis level 1 disable set protocols isis export export-bgp set protocols ldp interface xe-0/2/0.0 set protocols mpls interface xe-0/2/0.0 set protocols ospf area 0.0.0.0 interface xe-0/2/0.0 set protocols ospf area 0.0.0.0 interface lo0.0
R5
set interfaces xe-0/2/0 unit 0 description R5-to-R4 set interfaces xe-0/2/0 unit 0 family inet address 192.168.45.2/30 set interfaces xe-0/2/0 unit 0 family iso set interfaces lo0 unit 0 family inet address 192.168.255.5/32 set interfaces lo0 unit 0 family iso address 49.0001.1920.1682.5505.00 set routing-options router-id 192.168.255.5 set protocols isis interface xe-0/2/0.0 set protocols isis interface lo0.0 set protocols isis level 1 disable
Procedimiento
- Procedimiento paso a paso para R1
- Procedimiento paso a paso para R2
- Procedimiento paso a paso para R3
Procedimiento paso a paso para R1
R1 y R5 tienen una configuración similar, por lo que solo mostraremos el procedimiento paso a paso para R1.
-
Ingrese al modo de configuración en R1.
-
Configure la interfaz conectada a R2 y lo0 de interfaz. Asegúrese de configurar tanto la familia
inetisocomo . La familiaisoes necesaria para el protocolo IS-IS.[edit] user@R1# set interfaces xe-0/2/0 unit 0 description R1-to-R2 user@R1# set interfaces xe-0/2/0 unit 0 family inet address 192.168.12.1/30 user@R1# set interfaces xe-0/2/0 unit 0 family iso user@R1# set interfaces lo0 unit 0 family inet address 192.168.255.1/32 user@R1# set interfaces lo0 unit 0 family iso address 49.0001.1920.1682.5501.00
-
Configure el ID de enrutador.
[edit] user@R1# set routing-options router-id 192.168.255.1
-
Configure los protocolos IS-IS. Las rutas se anuncian entre R1 y R2 mediante el protocolo IS-IS.
[edit] user@R1# set protocols isis interface xe-0/2/0.0 user@R1# set protocols isis interface lo0.0 user@R1# set protocols isis level 1 disable
-
Ingrese
commiten R1 desde el modo de configuración.
Procedimiento paso a paso para R2
R2 y R4 tienen una configuración similar, por lo que solo mostraremos el procedimiento paso a paso para R2.
-
Ingrese al modo de configuración en R2.
-
Configure las interfaces conectadas a R1 y R3 y lo0 de interfaz. Asegúrese de configurar ambas familias
inetyisoen la interfaz conectada a R1 y lo0, y de configurar ambas familiasinetymplsen la interfaz conectada a R3.[edit] user@R2# set interfaces xe-0/2/0 description R2-to-R1 user@R2# set interfaces xe-0/2/0 unit 0 family inet address 192.168.12.2/30 user@R2# set interfaces xe-0/2/0 unit 0 family iso user@R2# set interfaces xe-0/2/1 description R2-to-R3 user@R2# set interfaces xe-0/2/1 unit 0 family inet address 10.1.23.1/30 user@R2# set interfaces xe-0/2/0 unit 0 family mpls user@R2# set interfaces lo0 unit 0 family inet address 10.1.255.2/32 user@R2# set interfaces lo0 unit 0 family iso address 49.0001.0010.1255.0002.00
-
Configure los protocolos IS-IS para la interfaz conectada a R1. La política de exportación para anunciar rutas de BGP a IS-IS se muestra en el paso de configuración de política.
[edit] user@R2# set protocols isis interface xe-0/2/0.0 user@R2# set protocols isis interface lo0.0 user@R2# set protocols isis level 1 disable user@R2# set protocols isis export export-bgp
-
Configure el protocolo OSPF para la interfaz conectada a R3 para la accesibilidad lo0.
[edit] user@R2# set protocols ospf area 0.0.0.0 interface xe-0/2/1.0 user@R2# set protocols ospf area 0.0.0.0 interface lo0.0
-
Configure los protocolos LDP y MPLS para la interfaz conectada a R3.
[edit] user@R2# set protocols ldp interface xe-0/2/1.0 user@R2# set protocols mpls interface xe-0/2/1.0
-
Configure el
router-idyautonomous-systembajo larouting-optionsjerarquía, y configure IBGP entre R2 y R4. La política de importación para agregar una comunidad a las rutas aprendidas mediante el BGP y la política de exportación para anunciar rutas IS-IS en BGP y establecer los atributos de túnel se muestra en el paso de configuración de política. Asegúrese de incluir laextended-nexthop-tunnelopción con lafamily inet unicastconfiguración para permitir la resolución mediante la tabla inetcolor.0.[edit] user@R2# set routing-options router-id 10.1.255.2 user@R2# set routing-options autonomous-system 65000 user@R2# set protocols bgp group iBGP type internal user@R2# set protocols bgp group iBGP local-address 10.1.255.2 user@R2# set protocols bgp group iBGP family inet unicast extended-nexthop-tunnel user@R2# set protocols bgp group iBGP export export-tunnel-route user@R2# set protocols bgp group iBGP neighbor 10.1.255.4
-
Configure las opciones de enrutamiento en R2 para crear un túnel de R2 a R4. La
bgp-signalopción permite la creación de túnel señalizadas por el BGP. Lacolorsopción de configuración permite crear el túnel en la tabla de rutas inetcolor.0.[edit] user@R2# set routing-options dynamic-tunnels Tunnel-01 source-address 10.1.255.2 user@R2# set routing-options dynamic-tunnels Tunnel-01 bgp-signal user@R2# set routing-options dynamic-tunnels Tunnel-01 destination-networks 10.1.255.0/24 colors 100
-
Configure las políticas que se aplicaron durante los pasos de configuración anteriores. La export-bgp política anuncia las rutas del BGP a IS-IS. La export-tunnel-route política anuncia la ruta IS-IS de R1 a BGP con el
tunnel-attributey cambia el salto siguiente a R2. El tunnel-attr-01tunnel-attributeestablece eltunnel-type, el punto de conexión del túnel y el color coincidente en lacolorsconfiguración para el túnel dinámico.[edit] user@R2# set policy-options policy-statement export-bgp term t1 from protocol bgp user@R2# set policy-options policy-statement export-bgp term t1 then accept user@R2# set policy-options policy-statement export-tunnel-route term t1 from route-filter 192.168.255.1/32 exact user@R2# set policy-options policy-statement export-tunnel-route term t1 then tunnel-attribute set tunnel-attr-01 user@R2# set policy-options policy-statement export-tunnel-route term t1 then next-hop self user@R2# set policy-options policy-statement export-tunnel-route term t1 then accept user@R2# set policy-options tunnel-attribute tunnel-attr-01 tunnel-type ipip user@R2# set policy-options tunnel-attribute tunnel-attr-01 tunnel-color 100 user@R2# set policy-options tunnel-attribute tunnel-attr-01 remote-end-point 10.1.255.4
-
Ingrese
commitdesde el modo de configuración.
Procedimiento paso a paso para R3
-
Ingrese al modo de configuración en R3.
-
Configure las interfaces conectadas a R2 y R4 y lo0 de interfaz. Asegúrese de configurar tanto la familia
inetmplscomo en las interfaces conectadas a R2 y R4.[edit] user@R3# set interfaces xe-0/2/0 unit 0 description R3-to-R2 user@R3# set interfaces xe-0/2/0 unit 0 family inet address 10.1.23.2/30 user@R3# set interfaces xe-0/2/0 unit 0 family mpls user@R3# set interfaces xe-0/2/1 unit 0 description R3-to-R4 user@R3# set interfaces xe-0/2/1 unit 0 family inet address 10.1.34.1/30 user@R3# set interfaces xe-0/2/1 unit 0 family mpls user@R3# set interfaces lo0 unit 0 family inet address 10.1.255.3/32
-
Configure el ID de enrutador.
[edit] user@R3# set routing-options router-id 10.1.255.3
-
Configure el protocolo OSPF para las interfaces conectadas a R2 y R4 para la accesibilidad lo0.
[edit] user@R3# set protocols ospf area 0.0.0.0 interface xe-0/2/0.0 user@R3# set protocols ospf area 0.0.0.0 interface xe-0/2/1.0 user@R3# set protocols ospf area 0.0.0.0 interface lo0.0 passive
-
Configure los protocolos LDP y MPLS para las interfaces conectadas a R2 y R4.
[edit] user@R2# set protocols ldp interface xe-0/2/0.0 user@R2# set protocols ldp interface xe-0/2/1.0 user@R2# set protocols mpls interface xe-0/2/0.0 user@R2# set protocols mpls interface xe-0/2/1.0
-
Ingrese
commitdesde el modo de configuración en el dispositivo R3.
Resultados
Puede comprobar sus configuraciones mediante los siguientes comandos show desde el modo de configuración.
Así es como puede comprobar las configuraciones en el dispositivo R2:
user@R2# show interfaces
xe-0/2/0 {
description R2-to-R1;
unit 0 {
family inet {
address 192.168.12.2/30;
}
family iso;
}
}
xe-0/2/1 {
description R2-to-R3;
unit 0 {
family inet {
address 10.1.23.1/30;
}
family mpls;
}
}
lo0 {
apply-groups-except global;
unit 0 {
family inet {
address 10.1.255.2/32;
}
family iso {
address 49.0001.0010.1255.0002.00;
}
}
}user@R2 # show protocols
bgp {
group iBGP {
type internal;
local-address 10.1.255.2;
family inet {
unicast {
extended-nexthop-tunnel;
}
}
export export-tunnel-route;
neighbor 10.1.255.4;
}
}
isis {
interface xe-0/2/0.0;
interface lo0.0;
level 1 disable;
export export-bgp;
}
ldp {
interface xe-0/2/1.0;
}
mpls {
interface xe-0/2/1.0;
}
ospf {
area 0.0.0.0 {
interface xe-0/2/1.0;
interface lo0.0;
}
}user@R2# show routing-options
router-id 10.1.255.2;
autonomous-system 65000;
dynamic-tunnels {
Tunnel-01 {
source-address 10.1.255.2;
bgp-signal;
destination-networks {
10.1.255.0/24 colors 100;
}
}
}
user@R2# show policy-options
policy-statement export-bgp {
term t1 {
from protocol bgp;
then accept;
}
}
policy-statement export-tunnel-route {
term t1 {
from {
route-filter 192.168.255.1/32 exact;
}
then {
tunnel-attribute set tunnel-attr-01;
next-hop self;
accept;
}
}
}
tunnel-attribute tunnel-attr-01 {
tunnel-type ipip;
tunnel-color 100;
remote-end-point 10.1.255.4;
}
Verificación
- Verificar rutas BGP
- Verificar rutas recibidas
- Verificar el túnel dinámico
- Verificar la resolución de ruta
- Verificar la accesibilidad de extremo a extremo
Verificar rutas BGP
Propósito
Verifique las rutas enviadas mediante el protocolo BGP.
Acción
R2
user@R2> show route protocol bgp
inet.0: 18 destinations, 18 routes (18 active, 0 holddown, 0 hidden)
+ = Active Route, - = Last Active, * = Both
192.168.255.5/32 *[BGP/170] 01:21:51, MED 10, localpref 100, from 10.1.255.4
AS path: I, validation-state: unverified
> via Tunnel Composite, IPoIP (src 10.1.255.2 dest 10.1.255.4-100<c> tunnel-endpoint 10.1.255.2)
inet.3: 3 destinations, 3 routes (3 active, 0 holddown, 0 hidden)
iso.0: 1 destinations, 1 routes (1 active, 0 holddown, 0 hidden)
mpls.0: 7 destinations, 7 routes (7 active, 0 holddown, 0 hidden)
inet6.0: 1 destinations, 1 routes (1 active, 0 holddown, 0 hidden)
inetcolor.0: 2 destinations, 2 routes (2 active, 0 holddown, 0 hidden)Significado
El resultado muestra las rutas del BGP.
Verificar rutas recibidas
Propósito
Verifique las rutas recibidas mediante el BGP mediante los siguientes comandos de modo operativo.
Acción
R2
user@R2> show route receive-protocol bgp 10.1.255.4 192.168.255.5 extensive
inet.0: 18 destinations, 18 routes (18 active, 0 holddown, 0 hidden)
* 192.168.255.5/32 (1 entry, 1 announced)
Accepted
Nexthop: 10.1.255.4
MED: 10
Localpref: 100
AS path: I
Tunnel type: ipip, Tunnel color: 100, Remote end point: 10.1.255.2Significado
La salida R2 indica las rutas recibidas en los dispositivos.
Verificar el túnel dinámico
Propósito
Verifique que el túnel dinámico esté activo y que se señale el BGP.
Acción
R2
user@R2> show dynamic-tunnels database
*- Signal Tunnels #- PFE-down
Table: inet.3
Destination-network: 10.1.255.0/24
*- Signal Tunnels #- PFE-down
Table: inetcolor.0
Destination-network: 10.1.255.0-0<c>/24
Tunnel to: 10.1.255.4-100<c>/64
Reference count: 3
Next-hop type: IPoIP (bgp-signalled forwarding-nexthop) Tunnel-endpoint: 10.1.255.2
Source address: 10.1.255.2
Next hop: tunnel-composite, 0x76b7238, nhid 592
Reference count: 2
Ingress Route: [OSPF] 10.1.255.4/32, via metric 2
Tunnel Endpoint Ingress Route: [Direct] 10.1.255.2/32
Traffic Statistics: Packets 0, Bytes 0
State: Up
Aggregate Traffic Statistics:
Tunnel Encapsulation: Dest 10.1.255.2, Src 10.1.255.2, IPoIP, Tunnel-Id 1
Traffic Statistics: Packets 0, Bytes 0 Significado
La salida R2 indica que el túnel está activo y el BGP está señalado.
Verificar la resolución de ruta
Propósito
Para comprobar la resolución de ruta de la ruta en la tabla inetcolor.0, utilice los comandos del show route table inetcolor.0 modo operativo.
Acción
user@R2> show route table inetcolor.0
inetcolor.0: 2 destinations, 2 routes (2 active, 0 holddown, 0 hidden)
+ = Active Route, - = Last Active, * = Both
10.1.255.0-0<c>/24
*[Tunnel/305] 01:33:33
Tunnel
10.1.255.4-100<c>/64
*[Tunnel/305] 01:28:44, metric 2
Tunnel Composite, BGP-Signal (src 10.1.255.2 dest 10.1.255.4-100<c>)Significado
La salida R2 indica que el túnel a 10.1.255.4 está señal de BGP.
Verificar la accesibilidad de extremo a extremo
Propósito
Verificar que R1 puede hacer ping a R5 mediante el comando del ping 192.168.255.5 source 192.168.255.1 count 2 modo operativo.
Acción
user@R1>ping 192.168.255.5 source 192.168.255.1 count 2
PING 192.168.255.5 (192.168.255.5): 56 data bytes
64 bytes from 192.168.255.5: icmp_seq=0 ttl=63 time=2.784 ms
64 bytes from 192.168.255.5: icmp_seq=1 ttl=63 time=1.904 ms
--- 192.168.255.5 ping statistics ---
2 packets transmitted, 2 packets received, 0% packet loss
round-trip min/avg/max/stddev = 1.904/2.344/2.784/0.440 msSignificado
La salida de R1 muestra que R1 puede hacer ping a R5.