Ejemplo de configuración de VPN de capa 2
En las siguientes secciones se explica cómo configurar la funcionalidad de VPN de capa 2 en los enrutadores de borde de proveedor (PE) conectados a cada sitio:
Descripción general simple de VPN de capa 2 de malla completa
En las siguientes secciones, configura una VPN simple de malla completa de capa 2 que abarca tres sitios: Sunnyvale, Austin y Portland. Cada sitio se conecta a un enrutador de PE. Los enrutadores de borde del cliente (CE) en cada sitio usan Frame Relay para transportar tráfico de capa 2 a los enrutadores de PE. Dado que en este ejemplo se utiliza una topología de malla completa entre los tres sitios, cada sitio requiere dos interfaces lógicas (una para cada uno de los otros enrutadores CE), aunque solo se necesita un vínculo físico para conectar cada enrutador PE a cada enrutador CE. La Figura 1 muestra la topología de esta VPN de capa 2.
VPN simple de malla completa de capa 2
Habilitar un IGP en los enrutadores de PE
Para permitir que los enrutadores de PE intercambien información de enrutamiento entre ellos, debe configurar un protocolo de puerta de enlace interior (IGP) o rutas estáticas en estos enrutadores. Configure el IGP en la instancia principal del proceso de protocolo de enrutamiento (rpd) (es decir, en el [edit protocols] nivel de jerarquía), no en la instancia de enrutamiento VPN de capa 2 (es decir, no en el [edit routing-instances] nivel de jerarquía). Active la ingeniería de tráfico en el IGP.
Puede configurar el IGP de manera estándar. En este ejemplo no se incluye esta parte de la configuración.
Configuración de túneles LSP de MPLS entre los enrutadores de PE
En este ejemplo de configuración, RSVP se utiliza para la señalización MPLS. Por lo tanto, además de configurar RSVP, debe crear una ruta de conmutación de etiquetas (LSP) de MPLS para tunelización del tráfico vpn.
En el enrutador A, habilite RSVP y configure un extremo del túnel LSP MPLS al enrutador B. Cuando configure el LSP MPLS, incluya todas las interfaces que usen la interface all instrucción.
[edit]
protocols {
rsvp {
interface all;
}
mpls {
interface all;
label-switched-path RouterA-to-RouterB {
to 192.168.37.5;
primary Path-to-RouterB;
}
label-switched-path RouterA-to-RouterC {
to 192.168.37.10;
primary Path-to-RouterC;
}
}
}
En el enrutador B, habilite RSVP y configure el otro extremo del túnel LSP MPLS. Una vez más, configure las interfaces mediante la interface all instrucción.
[edit]
protocols {
rsvp {
interface all;
}
mpls {
interface all;
label-switched-path RouterB-to-RouterA {
to 192.168.37.1;
primary Path-to-RouterA;
}
label-switched-path RouterB-to-RouterC {
to 192.168.37.10;
primary Path-to-RouterC;
}
}
}
En el enrutador C, habilite RSVP y configure el otro extremo del túnel LSP MPLS. Una vez más, configure todas las interfaces mediante la interface all instrucción.
[edit]
protocols {
rsvp {
interface all;
}
mpls {
interface all;
label-switched-path RouterC-to-RouterA {
to 192.168.37.1;
primary Path-to-RouterA;
}
label-switched-path RouterC-to-RouterB {
to 192.168.37.5;
primary Path-to-RouterB;
}
}
}
Configuración del IBGP en los enrutadores de PE
En los enrutadores de PE, configure una sesión de IBGP con los siguientes parámetros:
VPN de capa 2: para indicar que la sesión del IBGP es para una VPN de capa 2, incluya la
family l2vpninstrucción.Dirección local: la dirección IP de la
local-addressinstrucción es la misma que la dirección configurada en la instrucción en elto[edit protocols mpls label-switched-path lsp-path-name]nivel jerárquico del enrutador de PE remoto. La sesión de IBGP para VPN de capa 2 se ejecuta a través de esta dirección.Dirección de vecino (neighbor address): incluye la
neighborinstrucción, que especifica la dirección IP del enrutador de PE vecino.
En el enrutador A, configure EL IBGP:
[edit]
protocols {
bgp {
import match-all;
export match-all;
group pe-pe {
type internal;
neighbor 192.168.37.5 {
local-address 192.168.37.1;
family l2vpn {
signaling;
}
}
neighbor 192.168.37.10 {
local-address 192.168.37.1;
family l2vpn {
signaling;
}
}
}
}
}
En el enrutador B, configure el IBGP:
[edit]
protocols {
bgp {
local-address 192.168.37.5;
import match-all;
export match-all;
group pe-pe {
type internal;
neighbor 192.168.37.1 {
local-address 192.168.37.5;
family l2vpn {
signaling;
}
}
neighbor 192.168.37.10 {
local-address 192.168.37.5;
family l2vpn {
signaling;
}
}
}
}
}
En el enrutador C, configure el IBGP:
[edit]
protocols {
bgp {
local-address 192.168.37.10;
import match-all;
export match-all;
group pe-pe {
type internal;
neighbor 192.168.37.1 {
local-address 192.168.37.10;
family l2vpn {
signaling;
}
}
neighbor 192.168.37.5 {
local-address 192.168.37.10;
family l2vpn {
signaling;
}
}
}
}
}
Configuración de instancias de enrutamiento para VPN de capa 2 en los enrutadores de PE
Los tres enrutadores de PE proporcionan servicio a la VPN de capa 2, por lo que debe configurar una instancia de enrutamiento en cada enrutador. Para la VPN, debe definir lo siguiente en cada instancia de enrutamiento:
Distinguidor de ruta, que debe ser único para cada instancia de enrutamiento en el enrutador de PE. Se utiliza para distinguir las direcciones de una VPN de las de otra VPN.
Tipo de instancia de
l2vpn, que configura el enrutador para que ejecute una VPN de capa 2.Interfaces conectadas a los enrutadores CE.
Las políticas de importación y exportación de enrutamiento y reenvío virtual (VRF), que deben ser las mismas en cada enrutador de PE que abaste la misma VPN y se usen para controlar la topología de red. A menos que la política de importación contenga solo una
then rejectinstrucción, debe incluir una referencia a una comunidad. De lo contrario, cuando intenta confirmar la configuración, se produce un error en la operación de confirmación.
En el enrutador A, configure la siguiente instancia de enrutamiento para la VPN de capa 2:
[edit]
routing-instances {
VPN-Sunnyvale-Portland-Austin {
instance-type l2vpn;
interface so-6/0/0.0;
interface so-6/0/0.1;
route-distinguisher 100:1;
vrf-import vpn-SPA-import;
vrf-export vpn-SPA-export;
protocols {
l2vpn {
encapsulation-type frame-relay;
site Sunnyvale {
site-identifier 1;
interface so-6/0/0.0 {
remote-site-id 2;
}
interface so-6/0/0.1 {
remote-site-id 3;
}
}
}
}
}
}
En el enrutador B, configure la siguiente instancia de enrutamiento para la VPN de capa 2:
[edit]
routing-instances {
VPN-Sunnyvale-Portland-Austin {
instance-type l2vpn;
interface so-6/0/0.2;
interface so-6/0/0.3;
route-distinguisher 100:1;
vrf-import vpn-SPA-import;
vrf-export vpn-SPA-export;
protocols {
l2vpn {
encapsulation-type frame-relay;
site Austin {
site-identifier 2;
interface so-6/0/0.2 {
remote-site-id 1;
}
interface so-6/0/0.3 {
remote-site-id 3;
}
}
}
}
}
}
En el enrutador C, configure la siguiente instancia de enrutamiento para la VPN de capa 2:
[edit]
routing-instances {
VPN-Sunnyvale-Portland-Austin {
instance-type l2vpn;
interface so-6/0/0.4;
interface so-6/0/0.5;
route-distinguisher 100:1;
vrf-import vpn-SPA-import;
vrf-export vpn-SPA-export;
protocols {
l2vpn {
encapsulation-type frame-relay;
site Portland {
site-identifier 3;
interface so-6/0/0.4 {
remote-site-id 1;
}
interface so-6/0/0.5 {
remote-site-id 2;
}
}
}
}
}
}
Configuración de la encapsulación CCC en las interfaces
Debe especificar un tipo de encapsulación de conexión cruzada de circuito (CCC) para cada interfaz de enrutador de PE a CE que se ejecute en la VPN de capa 2. Este tipo de encapsulación debe coincidir con el tipo de encapsulación configurado en la instancia de enrutamiento.
Configure los siguientes tipos de encapsulación CCC para las interfaces del enrutador A:
[edit]
interfaces so-6/0/0 {
encapsulation frame-relay-ccc;
unit 0 {
encapsulation frame-relay-ccc;
}
}
interfaces so-6/0/0 {
encapsulation frame-relay-ccc;
unit 1 {
encapsulation frame-relay-ccc;
}
}
Configure los siguientes tipos de encapsulación CCC para las interfaces del enrutador B:
[edit]
interfaces so-6/0/0 {
encapsulation frame-relay-ccc;
unit 2 {
encapsulation frame-relay-ccc;
}
}
interfaces so-6/0/0 {
encapsulation frame-relay-ccc;
unit 3 {
encapsulation frame-relay-ccc;
}
}
Configure los siguientes tipos de encapsulación CCC para las interfaces del enrutador C:
[edit]
interface so-6/0/0 {
encapsulation frame-relay-ccc;
unit 4 {
encapsulation frame-relay-ccc;
}
}
interface so-6/0/0 {
encapsulation frame-relay-ccc;
unit 5 {
encapsulation frame-relay-ccc;
}
}
Configuración de la política de VPN en los enrutadores de PE
Debe configurar las políticas de importación y exportación de VPN en cada uno de los enrutadores de PE para que instalen las rutas adecuadas en sus tablas VRF, que los enrutadores utilizan para reenviar paquetes dentro de la VPN.
Use la community add community-name instrucción en el [edit policy-options policy-statement policy-statement-name term term-name then] nivel de jerarquía para facilitar las políticas de exportación de VPN VRF de capa 2.
En el enrutador A, configure las siguientes políticas de importación y exportación de VPN:
[edit]
policy-options {
policy-statement match-all {
term acceptable {
then accept;
}
}
policy-statement vpn-SPA-export {
term a {
then {
community add SPA-com;
accept;
}
}
term b {
then reject;
}
}
policy-statement vpn-SPA-import {
term a {
from {
protocol bgp;
community SPA-com;
}
then accept;
}
term b {
then reject;
}
}
community SPA-com members target:69:100;
}
En el enrutador B, configure las siguientes políticas de importación y exportación de VPN:
[edit]
policy-options {
policy-statement match-all {
term acceptable {
then accept;
}
}
policy-statement vpn-SPA-import {
term a {
from {
protocol bgp;
community SPA-com;
}
then accept;
}
term b {
then reject;
}
}
policy-statement vpn-SPA-export {
term a {
then {
community add SPA-com;
accept;
}
}
term b {
then reject;
}
}
community SPA-com members target:69:100;
}
En el enrutador C, configure las siguientes políticas de importación y exportación de VPN:
[edit]
policy-options {
policy-statement match-all {
term acceptable {
then accept;
}
}
policy-statement vpn-SPA-import {
term a {
from {
protocol bgp;
community SPA-com;
}
then accept;
}
term b {
then reject;
}
}
policy-statement vpn-SPA-export {
term a {
then {
community add SPA-com;
accept;
}
}
term b {
then reject;
}
}
community SPA-com members target:69:100;
}
Para aplicar las políticas de VPN en los enrutadores, incluya las vrf-export instrucciones y vrf-import cuando configure la instancia de enrutamiento. Las políticas de importación y exportación de VRF manejan la distribución de ruta en la sesión de IBGP que se ejecuta entre los enrutadores de PE.
Para aplicar las políticas de VPN en el enrutador A, incluya las siguientes instrucciones:
[edit]
routing-instances {
VPN-Sunnyvale-Portland-Austin {
vrf-import vpn-SPA-import;
vrf-export vpn-SPA-export;
}
}
Para aplicar las políticas de VPN en el enrutador B, incluya las siguientes instrucciones:
[edit]
routing-instances {
VPN-Sunnyvale-Portland-Austin {
vrf-import vpn-SPA-import;
vrf-export vpn-SPA-export;
}
}
Para aplicar las políticas de VPN en el enrutador C, incluya las siguientes instrucciones:
[edit]
routing-instances {
VPN-Sunnyvale-Portland-Austin {
vrf-import vpn-SPA-import;
vrf-export vpn-SPA-export;
}
}
Configuración de VPN de capa 2 resumida por enrutador
Para obtener un resumen de la configuración en cada enrutador en los ejemplos de este capítulo, consulte las siguientes secciones:
- Resumen para el enrutador A (enrutador PE para Sunnyvale)
- Resumen del enrutador B (enrutador pe para Austin)
- Resumen para el enrutador C (enrutador pe para Portland)
Resumen para el enrutador A (enrutador PE para Sunnyvale)
Instancia de enrutamiento para VPN de capa 2
[edit]
routing-instances {
VPN-Sunnyvale-Portland-Austin {
instance-type l2vpn;
interface so-6/0/0.0;
interface so-6/0/0.1;
route-distinguisher 100:1;
vrf-import vpn-SPA-import;
vrf-export vpn-SPA-export;
protocols {
l2vpn {
encapsulation-type frame-relay;
site Sunnyvale {
site-identifier 1;
interface so-6/0/0.0 {
remote-site-id 2;
}
interface so-6/0/0.1 {
remote-site-id 3;
}
}
}
}
}
}
Configurar tipos de encapsulación CCC para interfaces
interfaces {
interface so-6/0/0 {
encapsulation frame-relay-ccc;
unit 0 {
encapsulation frame-relay-ccc;
}
}
interface so-6/0/0 {
encapsulation frame-relay-ccc;
unit 1 {
encapsulation frame-relay-ccc;
}
}
}
Instancia de protocolo principal
protocols {
}
Habilitar RSVP
rsvp {
interface all;
}
Configurar LSP de MPLS
mpls {
label-switched-path RouterA-to-RouterB {
to 192.168.37.5;
primary Path-to-RouterB {
cspf;
}
}
label-switched-path RouterA-to-RouterC {
to 192.168.37.10;
primary Path-to-RouterC {
cspf;
}
}
interface all;
}
Configurar EL IBGP
bgp {
import match-all;
export match-all;
group pe-pe {
type internal;
neighbor 192.168.37.5 {
local-address 192.168.37.1;
family l2vpn {
signaling;
}
}
neighbor 192.168.37.10 {
local-address 192.168.37.1;
family l2vpn {
signaling;
}
}
}
}
Configurar la política de VPN
policy-options {
policy-statement match-all {
term acceptable {
then accept;
}
}
policy-statement vpn-SPA-export {
term a {
then {
community add SPA-com;
accept;
}
}
term b {
then reject;
}
}
policy-statement vpn-SPA-import {
term a {
from {
protocol bgp;
community SPA-com;
}
then accept;
}
term b {
then reject;
}
}
community SPA-com members target:69:100;
}
Resumen del enrutador B (enrutador pe para Austin)
Instancia de enrutamiento para VPN
[edit]
routing-instances {
VPN-Sunnyvale-Portland-Austin {
instance-type l2vpn;
interface so-6/0/0.2;
interface so-6/0/0.3;
route-distinguisher 100:1;
vrf-import vpn-SPA-import;
vrf-export vpn-SPA-export;
}
}
Configurar VPN de capa 2
protocols {
l2vpn {
encapsulation-type frame-relay;
site Austin {
site-identifier 2;
interface so-6/0/0.2 {
remote-site-id 1;
}
interface so-6/0/0.3 {
remote-site-id 3;
}
}
}
}
Configurar tipos de encapsulación CCC para interfaces
[edit]
interfaces {
interface so-6/0/0 {
encapsulation frame-relay-ccc;
unit 2 {
encapsulation frame-relay-ccc;
}
}
interface so-6/0/0 {
encapsulation frame-relay-ccc;
unit 3 {
encapsulation frame-relay-ccc;
}
}
}
Instancia de protocolo principal
protocols {
}
Habilitar RSVP
rsvp {
interface all;
}
Configurar LSP de MPLS
mpls {
label-switched-path RouterB-to-RouterA {
to 192.168.37.1;
primary Path-to-RouterA {
cspf;
}
}
label-switched-path RouterB-to-RouterC {
to 192.168.37.10;
primary Path-to-RouterC {
cspf;
}
}
interface all;
}
Configurar EL IBGP
bgp {
local-address 192.168.37.5;
import match-all;
export match-all;
group pe-pe {
type internal;
neighbor 192.168.37.1 {
local-address 192.168.37.5;
family l2vpn {
signaling;
}
}
neighbor 192.168.37.10 {
local-address 192.168.37.5;
family l2vpn {
signaling;
}
}
}
}
Configurar la política de VPN
policy-options {
policy-statement match-all {
term acceptable {
then accept;
}
}
policy-statement vpn-SPA-import {
term a {
from {
protocol bgp;
community SPA-com;
}
then accept;
}
term b {
then reject;
}
}
policy-statement vpn-SPA-export {
term a {
then {
community add SPA-com;
accept;
}
}
term b {
then reject;
}
}
community SPA-com members target:69:100;
}
Resumen para el enrutador C (enrutador pe para Portland)
Instancia de enrutamiento para VPN
[edit]
routing-instances {
VPN-Sunnyvale-Portland-Austin {
instance-type l2vpn;
interface so-6/0/0.3;
interface so-6/0/0.4;
route-distinguisher 100:1;
vrf-import vpn-SPA-import;
vrf-export vpn-SPA-export;
}
}
Configurar VPN de capa 2
protocols {
l2vpn {
encapsulation-type frame-relay;
site Portland {
site-identifier 3;
interface so-6/0/0.4 {
remote-site-id 1;
}
interface so-6/0/0.5 {
remote-site-id 2;
}
}
}
}
Configurar tipos de encapsulación CCC para interfaces
[edit]
interfaces {
interface so-6/0/0 {
encapsulation frame-relay-ccc;
unit 4 {
encapsulation frame-relay-ccc;
}
}
interface so-6/0/0 {
encapsulation frame-relay-ccc;
unit 5 {
encapsulation frame-relay-ccc;
}
}
}
Instancia de protocolo principal
protocols {
}
Habilitar RSVP
rsvp {
interface all;
}
Configurar LSP de MPLS
mpls {
label-switched-path RouterC-to-RouterA {
to 192.168.37.1;
primary Path-to-RouterA {
cspf;
}
}
label-switched-path RouterC-to-RouterB {
to 192.168.37.5;
primary Path-to-RouterB {
cspf;
}
}
interface all;
}
Configurar EL IBGP
bgp {
local-address 192.168.37.10;
import match-all;
export match-all;
group pe-pe {
type internal;
neighbor 192.168.37.1 {
local-address 192.168.37.10;
family l2vpn {
signaling;
}
}
neighbor 192.168.37.5 {
local-address 192.168.37.10;
family l2vpn {
signaling;
}
}
}
}
Configurar la política de VPN
policy-options {
policy-statement match-all {
term acceptable {
then accept;
}
}
policy-statement vpn-SPA-import {
term a {
from {
protocol bgp;
community SPA-com;
}
then accept;
}
term b {
then reject;
}
}
policy-statement vpn-SPA-export {
term a {
then {
community add SPA-com;
accept;
}
}
term b {
then reject;
}
}
community SPA-com members target:69:100;
}