Configuración de instancias de enrutamiento en enrutadores de PE en VPN
Debe configurar una instancia de enrutamiento para cada VPN en cada uno de los enrutadores de PE que participan en la VPN. Los procedimientos de configuración descritos en esta sección se aplican a VPN de capa 2, VPN de capa 3 y VPLS. Los procedimientos de configuración específicos de cada tipo de VPN se describen en las secciones correspondientes en los demás capítulos de configuración.
Para configurar instancias de enrutamiento para VPN, incluya las siguientes instrucciones:
description text; instance-type type; interface interface-name; route-distinguisher (as-number:number | ip-address:number); vrf-import [ policy-names ]; vrf-export [ policy-names ]; vrf-target { export community-name; import community-name; }
Puede incluir estas instrucciones en los siguientes niveles jerárquicos:
[edit routing-instances routing-instance-name][edit logical-systems logical-system-name routing-instances routing-instance-name]
Para configurar instancias de enrutamiento VPN, realice los pasos en las siguientes secciones:
Configurar el nombre de instancia de enrutamiento para una VPN
El nombre de la instancia de enrutamiento para una VPN puede tener un máximo de 128 caracteres y puede contener letras, números y guiones. En la versión 9.0 y posteriores de Junos OS, ya no puede especificar default como el nombre real de la instancia de enrutamiento. Tampoco se pueden utilizar caracteres especiales (! @ # $ % ^ & * , +< >: ;) dentro del nombre de una instancia de enrutamiento.
En la versión 9.6 y posteriores de Junos OS, puede incluir una barra diagonal (/) en un nombre de instancia de enrutamiento solo si no se configura un sistema lógico. Es decir, no puede incluir el carácter de barra diagonal en un nombre de instancia de enrutamiento si un sistema lógico distinto del predeterminado está configurado explícitamente.
Especifique el nombre de la instancia de enrutamiento con la routing-instance instrucción:
routing-instance routing-instance-name {...}
Puede incluir esta instrucción en los siguientes niveles jerárquicos:
[edit][edit logical-systems logical-system-name]
Configurar la descripción
Para proporcionar una descripción de texto para la instancia de enrutamiento, incluya la description instrucción. Si el texto incluye uno o más espacios, encierre entre comillas (" "). Cualquier texto descriptivo que incluya se muestra en el resultado del show route instance detail comando y no tiene ningún efecto en la operación de la instancia de enrutamiento.
Para configurar una descripción de texto, incluya la description instrucción:
description text;
Puede incluir esta instrucción en los siguientes niveles jerárquicos:
[edit routing-instances routing-instance-name][edit logical-systems logical-system-name routing-instances routing-instance-name]
Configuración del tipo de instancia
El tipo de instancia que configure varía según si está configurando VPN de capa 2, VPN de capa 3, VPLS o enrutadores virtuales. Especifique el tipo de instancia incluyendo la instance-type instrucción:
Para habilitar el enrutamiento VPN de capa 2 en un enrutador de PE, incluya la
instance-typeinstrucción y especifique el valorl2vpn:instance-type l2vpn;
Para habilitar el enrutamiento VPLS en un enrutador de PE, incluya la
instance-typeinstrucción y especifique el valorvpls:instance-type vpls;
Las VPN de capa 3 requieren que cada enrutador de PE tenga una tabla de enrutamiento y reenvío VPN (VRF) para distribuir rutas dentro de la VPN. Para crear la tabla VRF en el enrutador de PE, incluya la
instance-typeinstrucción y especifique el valorvrf:instance-type vrf;
Nota:El muestreo basado en motor de enrutamiento no se admite en instancias de enrutamiento VRF.
Para habilitar la instancia de enrutamiento de enrutador virtual, incluya la
instance-typeinstrucción y especifique el valorvirtual-router:instance-type virtual-router;
Puede incluir esta instrucción en los siguientes niveles jerárquicos:
[edit routing-instances routing-instance-name][edit logical-systems logical-system-name routing-instances routing-instance-name]
Configuración de interfaces para enrutamiento VPN
En cada enrutador de PE, debe configurar una interfaz por la cual el tráfico vpn viaja entre los enrutadores PE y CE.
Las siguientes secciones describen cómo configurar interfaces para VPN:
- Configuración general para el enrutamiento VPN
- Configuración de interfaces para VPN de capa 3
- Configuración de interfaces para VPN de operadora de operadora
- Configuración de RPF de unidifusión en interfaces VPN
Configuración general para el enrutamiento VPN
La configuración descrita en esta sección se aplica a todos los tipos de VPN. Para VPN de capa 3 y VPN de operadora de operadoras, complete la configuración descrita en esta sección antes de pasar a las secciones de configuración de interfaz específicas para esos temas.
Para configurar interfaces para el enrutamiento VPN, incluya la interface instrucción:
interface interface-name;
Puede incluir esta instrucción en los siguientes niveles jerárquicos:
[edit routing-instances routing-instance-name][edit logical-systems logical-system-name routing-instances routing-instance-name]
Especifique las partes físicas y lógicas del nombre de interfaz, en el siguiente formato:
physical.logical
Por ejemplo, en at-1/2/1.2, at-1/2/1 es la parte física del nombre de interfaz y 2 es la parte lógica. Si no especifica la parte lógica del nombre de interfaz, el valor 0 se establece de forma predeterminada.
Una interfaz lógica se puede asociar con una sola instancia de enrutamiento. Si habilita un protocolo de enrutamiento en todas las instancias especificando interfaces all al configurar la instancia maestra del protocolo en el [edit protocols] nivel de jerarquía, y si configura una interfaz específica para el enrutamiento VPN en el [edit routing-instances routing-instance-name] nivel de jerarquía o en el [edit logical-systems logical-system-name routing-instances routing-instance-name] nivel de jerarquía, esta última instrucción de interfaz tiene prioridad y la interfaz se utiliza exclusivamente para la VPN.
Si configura explícitamente el mismo nombre de interfaz en el [edit protocols] nivel de jerarquía y en el [edit routing-instances routing-instance-name] o [edit logical-systems logical-system-name routing-instances routing-instance-name] nivel de jerarquía, se produce un error al intentar confirmar la configuración.
Configuración de interfaces para VPN de capa 3
Cuando configure las interfaces VPN de capa 3 en el [edit interfaces] nivel de jerarquía, también debe configurar family inet al configurar la interfaz lógica:
[edit interfaces]
interface-name {
unit logical-unit-number {
family inet;
}
}
Configuración de interfaces para VPN de operadora de operadora
Cuando configure VPN de operadora de operadoras, debe configurar la instrucción además de la family mpls instrucción para las family inet interfaces entre los enrutadores PE y CE. Para VPN de operadora de operadora, configure la interfaz lógica de la siguiente manera:
[edit interfaces]
interface-name {
unit logical-unit-number {
family inet;
family mpls;
}
}
Si configura family mpls en la interfaz lógica y, a continuación, configura esta interfaz para una instancia de enrutamiento que no sea una operadora de operadoras, la family mpls instrucción se elimina automáticamente de la configuración para la interfaz lógica, ya que no es necesaria.
Configuración de RPF de unidifusión en interfaces VPN
En el caso de las interfaces VPN que contienen tráfico de IP versión 4 o 6 (IPv4 o IPv6), puede reducir el impacto de los ataques de denegación de servicio (DoS) mediante la configuración del reenvío de ruta inversa (RPF) de unidifusión. RPF de unidifusión ayuda a determinar el origen de los ataques y rechaza paquetes de direcciones de origen inesperadas en interfaces donde RPF de unidifusión está habilitado.
Puede configurar RPF de unidifusión en una interfaz VPN habilitando RPF de unidifusión en la interfaz e incluyendo la interface instrucción en el [edit routing-instances routing-instance-name] nivel de jerarquía.
No puede configurar RPF de unidifusión en las interfaces de núcleo. Solo puede configurar RPF de unidifusión en las interfaces de enrutador ce a PE en el enrutador pe. Sin embargo, para las instancias de enrutamiento de enrutador virtual, RPF de unidifusión se admite en todas las interfaces especificadas en la instancia de enrutamiento.
Para obtener más información acerca de cómo configurar RPF de unidifusión en interfaces VPN, consulte Descripción de RPF (enrutadores) de unidifusión.
Configurar el diferenciador de ruta
Cada instancia de enrutamiento que configure en un enrutador de PE debe tener un distinguidor de ruta único asociado. Las instancias de enrutamiento VPN necesitan un diferenciador de ruta para ayudar al BGP a distinguir entre mensajes potencialmente idénticos de información de accesibilidad de capa de red (NLRI) recibidos de diferentes VPN. Si configura diferentes instancias de enrutamiento VPN con el mismo distinguidor de ruta, se produce un error en la confirmación.
Para VPN de capa 2 y VPLS, si configuró la l2vpn-use-bgp-rules instrucción, debe configurar un distinguidor de ruta único para cada enrutador de PE que participe en una instancia de enrutamiento específica.
Para otros tipos de VPN, recomendamos que utilice un distinguidor de ruta único para cada enrutador de PE que participe en la instancia de enrutamiento. Aunque puede usar el mismo diferenciador de ruta en todos los enrutadores de PE para la misma instancia de enrutamiento VPN (excepto para VPN de capa 2 y VPLS), si usa un distinguidor de ruta único, puede determinar el enrutador CE desde el que se originó una ruta dentro de la VPN.
Para configurar un distinguidor de ruta en un enrutador de PE, incluya la route-distinguisher instrucción:
route-distinguisher (as-number:number | ip-address:number);
Para obtener una lista de niveles de jerarquía en los que puede incluir esta instrucción, consulte la sección resumen de instrucción de esta instrucción.
El diferenciador de ruta es un valor de 6 bytes que puede especificar en uno de los siguientes formatos:
as-number:number, dondeas-numberes un número de sistema autónomo (AS) (un valor de 2 bytes) ynumberes cualquier valor de 4 bytes. El número del AS puede estar en el intervalo del 1 al 65.535. Recomendamos que utilice un número de AS asignado por la Autoridad de Asignación de Números de Internet (AIANA) y no privado, preferiblemente del proveedor de servicios de Internet (ISP) o del propio número de AS del cliente.ip-address:number, dondeip-addresses una dirección IP (un valor de 4 bytes) ynumberes cualquier valor de 2 bytes. La dirección IP puede ser cualquier dirección de unidifusión única a nivel mundial. Recomendamos que utilice la dirección que configure en la instrucción, querouter-ides una dirección no privada en el intervalo de prefijo asignado.
Configuración de distinguidores de rutas automáticas
Si configura la instrucción en el route-distinguisher-id [edit routing-options] nivel de jerarquía, se asigna automáticamente un distinguidor de ruta a la instancia de enrutamiento. Si también configura la route-distinguisher instrucción además de la route-distinguisher-id instrucción, el valor configurado para route-distinguisher sustituye al valor generado a partir de route-distinguisher-id.
Para asignar un distinguidor de ruta automáticamente, incluya la route-distinguisher-id instrucción:
route-distinguisher-id ip-address;
Puede incluir esta instrucción en los siguientes niveles jerárquicos:
[edit routing-options][edit logical-systems logical-system-name routing-options]
Un distinguidor de ruta de tipo 1 se asigna automáticamente a la instancia de enrutamiento mediante el formato ip-address:number. La dirección IP está especificada por la route-distinguisher-id instrucción y el número es único para la instancia de enrutamiento.