Configuración de instancias de enrutamiento en enrutadores de PE en VPN
Debe configurar una instancia de enrutamiento para cada VPN en cada uno de los enrutadores de PE que participan en la VPN. Los procedimientos de configuración descritos en esta sección son aplicables a VPN de capa 2, VPN de capa 3 y VPLS. Los procedimientos de configuración específicos de cada tipo de VPN se describen en las secciones correspondientes de los otros capítulos de configuración.
Para configurar instancias de enrutamiento para VPN, incluya las siguientes instrucciones:
description text; instance-type type; interface interface-name; route-distinguisher (as-number:number | ip-address:number); vrf-import [ policy-names ]; vrf-export [ policy-names ]; vrf-target { export community-name; import community-name; }
Puede incluir estas instrucciones en los siguientes niveles jerárquicos:
[edit routing-instances routing-instance-name][edit logical-systems logical-system-name routing-instances routing-instance-name]
Para configurar instancias de enrutamiento VPN, siga los pasos de las secciones siguientes:
Configuración del nombre de instancia de enrutamiento para una VPN
El nombre de la instancia de enrutamiento de una VPN puede tener un máximo de 128 caracteres y puede contener letras, números y guiones. En las versiones modernas de Junos OS, no se puede especificar default como el nombre real de la instancia de enrutamiento. Tampoco puede usar ningún carácter especial (! @ # $ % ^ & * , +< > : ;) dentro del nombre de una instancia de enrutamiento.
Puede incluir una barra diagonal (/) en un nombre de instancia de enrutamiento solo si no hay un sistema lógico configurado. Es decir, no puede incluir el carácter de barra diagonal en un nombre de instancia de enrutamiento si se configura explícitamente un sistema lógico distinto del predeterminado.
Especifique el nombre de instancia de enrutamiento con la routing-instance instrucción:
routing-instance routing-instance-name {...}
Puede incluir esta instrucción en los siguientes niveles de jerarquía:
[edit][edit logical-systems logical-system-name]
Configuración de la descripción
Para proporcionar una descripción de texto para la instancia de enrutamiento, incluya la description instrucción. Si el texto incluye uno o más espacios, póngalos entre comillas (" "). Cualquier texto descriptivo que incluya se muestra en la salida del show route instance detail comando y no tiene ningún efecto en el funcionamiento de la instancia de enrutamiento.
Para configurar una descripción de texto, incluya la description instrucción:
description text;
Puede incluir esta instrucción en los siguientes niveles de jerarquía:
[edit routing-instances routing-instance-name][edit logical-systems logical-system-name routing-instances routing-instance-name]
Configuración del tipo de instancia
El tipo de instancia que configure varía en función de si está configurando VPN de capa 2, VPN de capa 3, VPLS o enrutadores virtuales. Especifique el tipo de instancia incluyendo la instance-type instrucción:
Para habilitar el enrutamiento VPN de capa 2 en un enrutador PE, incluya la
instance-typeinstrucción y especifique el valorl2vpn:instance-type l2vpn;
Para habilitar el enrutamiento VPLS en un enrutador de PE, incluya la
instance-typeinstrucción y especifique el valorvpls:instance-type vpls;
Las VPN de capa 3 requieren que cada enrutador de PE tenga una tabla de enrutamiento y reenvío VPN (VRF) para distribuir rutas dentro de la VPN. Para crear la tabla VRF en el enrutador de PE, incluya la
instance-typeinstrucción y especifique el valorvrf:instance-type vrf;
Nota:El muestreo basado en motor de enrutamiento no se admite en instancias de enrutamiento VRF.
Para habilitar la instancia de enrutamiento de enrutador virtual, incluya la
instance-typeinstrucción y especifique el valorvirtual-router:instance-type virtual-router;
Puede incluir esta instrucción en los siguientes niveles de jerarquía:
[edit routing-instances routing-instance-name][edit logical-systems logical-system-name routing-instances routing-instance-name]
Configuración de interfaces para enrutamiento VPN
En cada enrutador de PE, debe configurar una interfaz por la que el tráfico VPN se desplace entre los enrutadores de PE y CE.
En las siguientes secciones, se describe cómo configurar interfaces para VPN:
- Configuración general para enrutamiento VPN
- Configuración de interfaces para VPN de capa 3
- Configuración de interfaces para VPN de operadora de operadoras
- Configuración de RPF de unidifusión en interfaces VPN
Configuración general para enrutamiento VPN
La configuración descrita en esta sección se aplica a todos los tipos de VPN. Para VPN de capa 3 y VPN de carrier de carriers, complete la configuración descrita en esta sección antes de continuar con las secciones de configuración de interfaz específicas para esos temas.
Para configurar interfaces para el enrutamiento VPN, incluya la interface instrucción:
interface interface-name;
Puede incluir esta instrucción en los siguientes niveles de jerarquía:
[edit routing-instances routing-instance-name][edit logical-systems logical-system-name routing-instances routing-instance-name]
Especifique las partes físicas y lógicas del nombre de la interfaz con el siguiente formato:
physical.logical
Por ejemplo, en at-1/2/1.2, at-1/2/1 es la parte física del nombre de la interfaz y 2 es la parte lógica. Si no especifica la parte lógica del nombre de la interfaz, el valor 0 se establece de forma predeterminada.
Una interfaz lógica solo se puede asociar a una instancia de enrutamiento. Si habilita un protocolo de enrutamiento en todas las instancias especificando interfaces all al configurar la instancia principal del protocolo en el [edit protocols] nivel de jerarquía y si configura una interfaz específica para el enrutamiento VPN en el nivel de [edit routing-instances routing-instance-name] jerarquía o en el nivel de [edit logical-systems logical-system-name routing-instances routing-instance-name] jerarquía, la última instrucción de interfaz tendrá prioridad y la interfaz se utilizará exclusivamente para la VPN.
Si configura explícitamente el mismo nombre de interfaz en el nivel jerárquico [edit protocols] y en los niveles jerárquico [edit routing-instances routing-instance-name] [edit logical-systems logical-system-name routing-instances routing-instance-name] , se producirá un error en un intento de confirmar la configuración.
Configuración de interfaces para VPN de capa 3
Cuando configure las interfaces VPN de capa 3 en el [edit interfaces] nivel de jerarquía, también debe configurar family inet al configurar la interfaz lógica:
[edit interfaces]
interface-name {
unit logical-unit-number {
family inet;
}
}
Configuración de interfaces para VPN de operadora de operadoras
Cuando configure VPN de operadora de operadoras, debe configurar la family mpls instrucción además de la family inet instrucción para las interfaces entre los enrutadores PE y CE. En el caso de VPN de operadora de operadoras, configure la interfaz lógica de la siguiente manera:
[edit interfaces]
interface-name {
unit logical-unit-number {
family inet;
family mpls;
}
}
Si configura family mpls en la interfaz lógica y, luego, configura esta interfaz para una instancia de enrutamiento que no sea de carrier de carriers, la family mpls instrucción se elimina automáticamente de la configuración de la interfaz lógica, ya que no es necesaria.
Configuración de RPF de unidifusión en interfaces VPN
Para las interfaces VPN que llevan tráfico IP versión 4 o versión 6 (IPv4 o IPv6), puede reducir el impacto de los ataques de denegación de servicio (DS) configurando el reenvío de ruta inversa de unidifusión (RPF). El RPF de unidifusión ayuda a determinar el origen de los ataques y rechaza paquetes de direcciones de origen inesperadas en las interfaces en las que está habilitada la RPF de unidifusión.
Puede configurar RPF de unidifusión en una interfaz VPN habilitando RPF de unidifusión en la interfaz e incluyendo la interface instrucción en el [edit routing-instances routing-instance-name] nivel de jerarquía.
No puede configurar RPF de unidifusión en las interfaces orientadas al núcleo. Solo puede configurar RPF de unidifusión en las interfaces de enrutador CE a enrutador PE en el enrutador PE. Sin embargo, para las instancias de enrutamiento de enrutador virtual, se admite RPF de unidifusión en todas las interfaces que especifique en la instancia de enrutamiento.
Para obtener información acerca de cómo configurar RPF de unidifusión en interfaces VPN, consulte Descripción de RPF de unidifusión (enrutadores).
Configuración del distinguidor de ruta
Cada instancia de enrutamiento que configure en un enrutador de PE debe tener un distinguidor de ruta único asociado. Las instancias de enrutamiento VPN necesitan un distinguidor de ruta para ayudar al BGP a distinguir entre mensajes de información de accesibilidad de capa de red (NLRI) potencialmente idénticos recibidos de diferentes VPN. Si configura distintas instancias de enrutamiento VPN con el mismo distinguidor de ruta, se producirá un error en la confirmación.
Para VPN de capa 2 y VPLS, si configuró la l2vpn-use-bgp-rules instrucción, debe configurar un diferenciador de ruta único para cada enrutador de PE que participe en una instancia de enrutamiento específica.
Para otros tipos de VPN, recomendamos que utilice un diferenciador de ruta único para cada enrutador de PE que participe en la instancia de enrutamiento. Aunque puede utilizar el mismo diferenciador de ruta en todos los enrutadores PE para la misma instancia de enrutamiento VPN (excepto para VPN de capa 2 y VPLS), si utiliza un diferenciador de ruta único, puede determinar el enrutador CE desde el cual se originó una ruta dentro de la VPN.
Para configurar un distinguidor de ruta en un enrutador de PE, incluya la route-distinguisher instrucción:
route-distinguisher (as-number:number | ip-address:number);
Para obtener una lista de los niveles de jerarquía en los que puede incluir esta instrucción, consulte la sección Resumen de instrucciones para esta instrucción.
El distinguidor de ruta es un valor de 6 bytes que puede especificar en uno de los siguientes formatos:
as-number:number, dondeas-numberes un número de sistema autónomo (AS) (un valor de 2 bytes) ynumberes cualquier valor de 4 bytes. El número de AS puede estar en el intervalo de 1 a 65.535. Recomendamos que use un número de AS no privado asignado por la Autoridad de números asignados de Internet (AANI), preferiblemente el número de AS propio del proveedor de servicios de Internet (ISP) o el del cliente.ip-address:number, dondeip-addresses una dirección IP (un valor de 4 bytes) ynumberes cualquier valor de 2 bytes. La dirección IP puede ser cualquier dirección de unidifusión única globalmente. Le recomendamos que use la dirección que configure en la instrucción, que es una dirección no privada en elrouter-idintervalo de prefijos asignado.
Configuración de distinguidores de ruta automáticos
Si configura la route-distinguisher-id instrucción en el nivel de [edit routing-options] jerarquía, se asigna automáticamente un distinguidor de ruta a la instancia de enrutamiento. Si también configura la route-distinguisher instrucción además de la instrucción, el valor configurado para route-distinguisher reemplaza el valor generado a partir de route-distinguisher-id.route-distinguisher-id
Para asignar un distinguidor de ruta automáticamente, incluya la route-distinguisher-id instrucción:
route-distinguisher-id ip-address;
Puede incluir esta instrucción en los siguientes niveles de jerarquía:
[edit routing-options][edit logical-systems logical-system-name routing-options]
Se asigna automáticamente un distinguidor de ruta tipo 1 a la instancia de enrutamiento con el formato ip-address:number. La instrucción especifica la route-distinguisher-id dirección IP y el número es único para la instancia de enrutamiento.