SCU con configuración de VPN de capa 3
Configuración de SCU en una VPN de capa 3
Figura 1 muestra una topología VPN de capa 3. CE1 y CE2 son enrutadores de borde del cliente (CE) conectados por una VPN a través de los enrutadores de proveedor PE1, P0 y PE2. El EBGP se establece entre los enrutadores CE1 y PE1, el IBGP conecta los enrutadores PE1 y PE2 mediante un núcleo IS-IS/MPLS/LDP, y un segundo EBGP fluye de conexión entre los enrutadores PE2 y CE2.
En el enrutador CE1, comience su VPN configurando una conexión EBGP a PE1. Instale una ruta estática de 10.114.1.0/24 y anuncie esta ruta a su vecino del EBGP.
Enrutador CE1
[edit]
interfaces {
ge-0/0/0 {
unit 0 {
family inet {
address 10.20.250.1/30;
}
}
}
}
routing-options {
static {
route 10.114.1.0/24 reject;
}
autonomous-system 100;
}
protocols {
bgp {
group to-pe1 {
local-address 10.20.250.1;
export inject-direct;
peer-as 300;
neighbor 10.20.250.2;
}
}
}
policy-options {
policy-statement inject-direct {
term 1 {
from {
protocol static;
route-filter 10.114.1.0/24 exact;
}
then accept;
}
term 2 {
from protocol direct;
then accept;
}
}
}
En PE1, complete la conexión del EBGP a CE1 mediante una instancia de enrutamiento VRF. Establezca una política de exportación para su instancia de VRF que ponga tráfico de BGP en una comunidad y una política de importación que acepte el tráfico de la comunidad de su vecino de VPN. Por último, configure una relación de IBGP con el enrutador PE2 que se ejecuta en un núcleo IS-IS, MPLS y LDP.
Enrutador PE1
[edit]
interfaces {
ge-0/0/1 {
unit 0 {
family inet {
address 10.20.250.2/30;
}
}
}
so-0/2/1 {
unit 0 {
family inet {
address 10.20.251.1/30;
}
family iso;
family mpls;
}
}
lo0 {
unit 0 {
family inet {
address 10.250.245.245/32;
}
family iso;
family mpls;
}
}
}
routing-options {
autonomous-system 300;
}
protocols {
mpls {
interface so-0/2/1;
}
bgp {
group ibgp {
type internal;
local-address 10.250.245.245;
family inet-vpn {
unicast;
}
neighbor 10.250.71.14;
}
}
isis {
interface so-0/2/1;
}
ldp {
interface so-0/2/1;
}
}
policy-options {
policy-statement red-import {
from {
protocol bgp;
community red-com;
}
then accept;
}
policy-statement red-export {
from protocol bgp;
then {
community add red-com;
accept;
}
}
community red-com members target:20:20;
}
routing-instances {
red {
instance-type vrf;
interface ge-0/0/1.0;
route-distinguisher 10.250.245.245:100;
vrf-import red-import;
vrf-export red-export;
protocols {
bgp {
group to-ce1 {
local-address 10.20.250.2;
peer-as 100;
neighbor 10.20.250.1;
}
}
}
}
}
En P0, conecte a los vecinos del IBGP ubicados en PE1 y PE2. Recuerde incluir protocolos relacionados con VPN (MPLS, LDP e IGP) en todas las interfaces.
Enrutador P0
[edit]
interfaces {
so-0/1/0 {
unit 0 {
family inet {
address 10.20.252.1/30;
}
family iso;
family mpls;
}
}
so-0/2/0 {
unit 0 {
family inet {
address 10.20.251.2/30;
}
family iso;
family mpls;
}
}
lo0 {
unit 0 {
family inet {
address 10.250.245.246/32;
}
family iso;
family mpls;
}
}
}
routing-options {
autonomous-system 300;
}
protocols {
mpls {
interface so-0/1/0;
interface so-0/2/0;
}
isis {
interface all;
}
ldp {
interface all;
}
}
En PE2, complete la relación del IBGP con el enrutador PE1. Establezca una conexión EBGP con CE2 a través de una instancia de enrutamiento VRF. Establezca una política de exportación para la instancia de VRF que coloca tráfico de BGP en una comunidad y una política de importación que acepte como tráfico de comunidad del vecino de VPN. A continuación, establezca una política que agregue la ruta estática de CE1 a una clase de origen denominada GOLD1. Además, exporte esta política de SCU a la tabla de reenvío. Por último, establezca su vt interfaz como interfaz de entrada SCU y establezca la interfaz ce-cara como la interfaz so-0/0/0 de salida SCU.
Enrutador PE2
[edit]
interfaces {
so-0/1/1 {
unit 0 {
family inet {
address 10.20.252.2/30;
}
family iso;
family mpls;
}
}
so-0/0/0 {
unit 0 {
family inet {
accounting {
source-class-usage {
output;
}
}
address 10.20.253.1/30;
}
}
}
vt-4/1/0 {
unit 0 {
family inet {
accounting {
source-class-usage {
input;
}
}
address 10.250.71.14/32;
}
family iso;
family mpls;
}
}
}
routing-options {
autonomous-system 300;
forwarding-table {
export inject-customer2-dest-class;
}
}
protocols {
mpls {
interface so-0/1/1;
interface vt-4/1/0;
}
bgp {
group ibgp {
type internal;
local-address 10.250.71.14;
family inet-vpn {
unicast;
}
neighbor 10.250.245.245;
}
}
isis {
interface so-0/1/1;
}
ldp {
interface so-0/1/1;
}
}
routing-instances {
red {
instance-type vrf;
interface so-0/0/0.0;
interface vt-4/1/0.0;
route-distinguisher 10.250.71.14:100;
vrf-import red-import;
vrf-export red-export;
protocols {
bgp {
group to-ce2 {
local-address 10.20.253.1;
peer-as 400;
neighbor 10.20.253.2;
}
}
}
}
}
policy-options {
policy-statement red-import {
from {
protocol bgp;
community red-com;
}
then accept;
}
policy-statement red-export {
from protocol bgp;
then {
community add red-com;
accept;
}
}
policy-statement inject-customer2-dest-class {
term term-gold1-traffic {
from {
route-filter 10.114.1.0/24 exact;
}
then source-class GOLD1;
}
}
community red-com members target:20:20;
}
En el enrutador CE2, complete la ruta vpn terminando la conexión de EBGP a PE2.
Enrutador CE2
[edit]
interfaces {
so-0/0/1 {
unit 0 {
family inet {
address 10.20.253.2/30;
}
}
}
}
routing-options {
autonomous-system 400;
}
protocols {
bgp {
group to-pe2 {
local-address 10.20.253.2;
export inject-direct;
peer-as 300;
neighbor 10.20.253.1;
}
}
}
policy-options {
policy-statement inject-direct {
from {
protocol direct;
}
then accept;
}
}
Verificar su trabajo
Para comprobar que SCU funciona correctamente en la VPN de capa 3, utilice los siguientes comandos:
show interfaces interface-name statisticsshow interfaces source-class source-class-name interface-nameshow interfaces interface-name(extensive|detail)show route(extensive|detail)clear interface interface-name statistics
Siempre debe verificar las estadísticas de SCU en la interfaz SCU saliente en la que configuró la output instrucción. Para comprobar la funcionalidad de la SCU, siga estos pasos:
Desactive todos los contadores en su enrutador habilitado para SCU y verifique que estén vacíos.
Envíe un ping desde el enrutador CE de entrada al segundo enrutador CE para generar tráfico de SCU en la ruta VPN habilitada para SCU.
Compruebe que los contadores se incrementan correctamente en la interfaz saliente.
En la siguiente sección se muestra el resultado de estos comandos utilizados con el ejemplo de configuración.
user@pe2> clear interfaces statistics all
user@pe2> show interfaces so-0/0/0.0 statistics
Logical interface so-0/0/0.0 (Index 6) (SNMP ifIndex 113)
Flags: Point-To-Point SNMP-Traps Encapsulation: PPP
Protocol inet, MTU: 4470
Source class Packets Bytes
GOLD1 0 0
Addresses, Flags: Is-Preferred Is-Primary
user@pe2> show interfaces source-class GOLD1 so-0/0/0.0
Protocol inet
Source class Packets Bytes
GOLD1 0 0
user@ce1> ping 10.20.253.2 source 10.114.1.1 rapid count 10000
user@scu> show interfaces source-class GOLD1 so-0/0/0.0
Protocol inet
Source class Packets Bytes
GOLD1 20000 1680000
user@scu> show interfaces so-0/0/0.0 statistics
Logical interface so-0/0/0.0 (Index 6) (SNMP ifIndex 113)
Flags: Point-To-Point SNMP-Traps Encapsulation: PPP
Protocol inet, MTU: 4470
Source class Packets Bytes
GOLD1 20000 1680000
Addresses, Flags: Is-Preferred Is-Primary
Destination: 10.20.253/24, Local: 10.20.253.1