Ejemplo: configurar una VPN básica de capa 3 basada en MPLS
En este ejemplo, se muestra cómo configurar y validar una VPN básica de capa 3 basada en MPLS en enrutadores o conmutadores que ejecutan Junos OS. En el ejemplo basado en IPv4 se usa EBGP como protocolo de enrutamiento entre el proveedor y los dispositivos perimetrales del cliente.
Nuestro equipo de pruebas de contenido ha validado y actualizado este ejemplo.
Puede implementar una red privada virtual (VPN) de capa 3 basada en MPLS mediante enrutadores y conmutadores que ejecuten Junos OS para interconectar sitios de clientes con conectividad de capa 3. Si bien se admite el enrutamiento estático, las VPN de capa 3 suelen hacer que los dispositivos del cliente intercambien información de enrutamiento con la red del proveedor y requieren soporte para protocolos IP, es decir, IPv4 o IPv6.
Esto contrasta con una VPN de capa 2, donde los dispositivos del cliente pueden no estar basados en protocolos IP y donde el enrutamiento, si lo hay, se produce entre los dispositivos perimetrales del cliente (CE). A diferencia de una VPN de capa 3 en la que el dispositivo CE interactúa (par) con el dispositivo perimetral del proveedor, en una VPN de capa 2 el tráfico del cliente pasa de forma transparente a través del núcleo del proveedor con cualquier protocolo de enrutamiento que se ejecute de extremo a extremo entre los dispositivos CE.
Las VPN basadas en MPLS requieren la funcionalidad MPLS de línea base en la red del proveedor. Una vez que la MPLS básica esté operativa, puede configurar VPN que usen rutas de conmutación de etiquetas (LSP) para el transporte a través del núcleo del proveedor.
La adición de servicios VPN no afecta a las operaciones básicas de conmutación MPLS en la red del proveedor. De hecho, los dispositivos del proveedor (P) solo requieren una configuración MPLS de referencia porque no son compatibles con VPN. El estado de VPN solo se mantiene en los dispositivos perimetrales del proveedor (PE). Esta es una razón clave por la que las VPN basadas en MPLS escalan tan bien.
Requisitos
En este ejemplo se utilizan los siguientes componentes de software y hardware:
Junos OS versión 12.3 o posterior para dispositivos de enrutamiento y conmutación
Revalidado en Junos OS versión 20.3R1
Dispositivos perimetrales de dos proveedores (PE)
Un dispositivo de proveedor (P)
Dos dispositivos perimetrales de cliente (CE)
El ejemplo se centra en cómo agregar una VPN de capa 3 a una línea base MPLS preexistente. Se proporciona una configuración básica de MPLS en caso de que la red aún no tenga MPLS implementado.
Para admitir VPN basadas en MPLS, la línea base de MPLS subyacente debe proporcionar la siguiente funcionalidad:
Interfaces orientadas al núcleo y de circuito cerrado operativas con soporte de la familia MPLS
Un protocolo de puerta de enlace interior como OSPF o IS-IS para proporcionar accesibilidad entre las direcciones de circuito cerrado de los dispositivos del proveedor (P y PE)
Un protocolo de señalización MPLS como LDP o RSVP para señalar LSP
LSP establecidos entre direcciones de bucle invertido de dispositivos PE
Se necesitan LSP entre cada par de dispositivos PE que participan en una VPN determinada. Es una buena idea crear LSP entre todos los dispositivos PE para adaptarse al crecimiento futuro de VPN. Los LSP se configuran en el nivel jerárquico [edit protocols mpls] . A diferencia de una configuración MPLS para una conexión de conexión cruzada de circuito (CCC), no es necesario asociar manualmente el LSP con la interfaz orientada al cliente (perimetral) del dispositivo PE. En su lugar, las VPN de capa 3 utilizan la señalización BGP para anunciar la accesibilidad del sitio. Esta señalización BGP automatiza la asignación de sitios VPN remotos a los próximos saltos de reenvío de LSP. Esto significa que con una VPN de capa 3 no se requiere la asignación explícita de un LSP a la interfaz orientada hacia el borde de un dispositivo PE.
Descripción general y topología
Las VPN de capa 3 permiten a los clientes aprovechar la experiencia técnica del proveedor de servicios para garantizar un enrutamiento eficiente de sitio a sitio. El dispositivo perimetral del cliente (CE) normalmente utiliza un protocolo de enrutamiento, como BGP u OSPF, para intercambiar rutas con el dispositivo perimetral del proveedor de servicios (PE). El enrutamiento estático es compatible con VPN de capa 3, pero generalmente se prefiere un protocolo de enrutamiento dinámico.
La definición de una VPN solo implica cambios en los dispositivos PE locales y remotos. No se necesita ninguna configuración adicional en los dispositivos del proveedor (suponiendo que ya tengan una línea base MPLS que funcione), ya que estos dispositivos solo proporcionan funciones básicas de conmutación MPLS. Los dispositivos CE no utilizan MPLS y solo requieren una interfaz básica y una configuración de protocolo de enrutamiento para que puedan interactuar con los dispositivos PE.
En una VPN de capa 3, se configuran los dispositivos CE para que se emparejen con el dispositivo PE local. Esto contrasta con una VPN de capa 2, donde los dispositivos CE se emparejan entre sí como si estuvieran en un enlace compartido, a pesar de estar conectados a través de un núcleo de proveedor basado en MPLS.
Una vez establecida una línea base MPLS, debe configurar la siguiente funcionalidad en los dispositivos PE para establecer la VPN de capa 3 basada en MPLS:
Un grupo BGP con
family inet-vpn unicastsoporteUna instancia de enrutamiento con tipo
vrfde instancia y una definición de protocolo de enrutamiento que sea compatible con el dispositivo CE conectadoLas interfaces orientadas al cliente en los dispositivos PE configurados con
family inet, junto con una dirección IPv4 que coloca la interfaz en la misma subred que el dispositivo CE conectado. Si se desea, también se puede configurar la encapsulación de VLAN y un ID de VLAN correspondiente.
Para una conectividad de extremo a extremo adecuada, el dispositivo CE debe configurarse con una subred IP compatible y parámetros de protocolo de enrutamiento para admitir el emparejamiento con el dispositivo PE.
La figura 1 muestra la topología utilizada en este ejemplo. La figura detalla los nombres de interfaz, el direccionamiento IP y los protocolos de enrutamiento utilizados en las redes de proveedores y clientes. También destaca la relación de emparejamiento entre los dispositivos CE y PE. En este ejemplo, se espera que cada dispositivo CE forme una sesión de emparejamiento EBGP con el dispositivo PE local. Tenga en cuenta que la red del proveedor y ambos sitios de clientes tienen asignado un número de sistema autónomo para admitir el funcionamiento del BGP. En este ejemplo, la política de enrutamiento se aplica en los dispositivos CE para que anuncien las rutas directas para sus interfaces de cara a proveedor y de circuito cerrado.
de enrutamiento PE-CE
Configuraciones rápidas
Utilice las configuraciones de esta sección para poner en marcha rápidamente su VPN de capa 3 basada en MPLS. Las configuraciones incluyen una base MPLS funcional para admitir su VPN de capa 3. Este ejemplo se centra en los aspectos VPN de la configuración. Consulte los siguientes vínculos para obtener información adicional sobre la funcionalidad MPLS de línea base utilizada en este ejemplo:
Configuración rápida de CLI
Las configuraciones de dispositivo omiten la interfaz de administración, las rutas estáticas, el registro del sistema, los servicios del sistema y la información de inicio de sesión del usuario. Estas partes de la configuración varían según la ubicación y no están directamente relacionadas con la funcionalidad MPLS o VPN.
Edite los siguientes comandos según sea necesario para las características específicas de su entorno y péguelos en la ventana de terminal de dispositivo CE (CE1) local cuando esté en modo de configuración en la [edit] jerarquía:
La configuración completa del dispositivo CE1.
set system host-name ce1 set interfaces xe-0/0/0:0 description "Link from CE1 to PE1 for L3vpn" set interfaces xe-0/0/0:0 unit 0 family inet address 172.16.1.1/30 set interfaces lo0 unit 0 family inet address 172.16.255.1/32 set routing-options router-id 172.16.255.1 set routing-options autonomous-system 65410 set protocols bgp group PE1 type external set protocols bgp group PE1 export adv_direct set protocols bgp group PE1 peer-as 65412 set protocols bgp group PE1 neighbor 172.16.1.2 set policy-options policy-statement adv_direct term 1 from protocol direct set policy-options policy-statement adv_direct term 1 from route-filter 172.16.0.0/16 orlonger set policy-options policy-statement adv_direct term 1 then accept
La configuración completa del dispositivo PE1.
set system host-name pe1 set interfaces xe-0/0/0:0 description "Link from PE1 to CE1 for L3vpn" set interfaces xe-0/0/0:0 unit 0 family inet address 172.16.1.2/30 set interfaces xe-0/0/0:1 description "Link from PE1 to p-router" set interfaces xe-0/0/0:1 mtu 4000 set interfaces xe-0/0/0:1 unit 0 family inet address 10.1.23.1/24 set interfaces xe-0/0/0:1 unit 0 family mpls set interfaces lo0 unit 0 family inet address 192.168.0.1/32 set routing-instances CE1_L3vpn protocols bgp group CE1 type external set routing-instances CE1_L3vpn protocols bgp group CE1 peer-as 65410 set routing-instances CE1_L3vpn protocols bgp group CE1 neighbor 172.16.1.1 set routing-instances CE1_L3vpn instance-type vrf set routing-instances CE1_L3vpn interface xe-0/0/0:0.0 set routing-instances CE1_L3vpn route-distinguisher 192.168.0.1:12 set routing-instances CE1_L3vpn vrf-target target:65412:12 set routing-options router-id 192.168.0.1 set routing-options autonomous-system 65412 set protocols bgp group ibgp type internal set protocols bgp group ibgp local-address 192.168.0.1 set protocols bgp group ibgp family inet-vpn unicast set protocols bgp group ibgp neighbor 192.168.0.3 set protocols mpls label-switched-path lsp_to_pe2 to 192.168.0.3 set protocols mpls interface xe-0/0/0:1.0 set protocols ospf traffic-engineering set protocols ospf area 0.0.0.0 interface lo0.0 passive set protocols ospf area 0.0.0.0 interface xe-0/0/0:1.0 set protocols rsvp interface lo0.0 set protocols rsvp interface xe-0/0/0:1.0
La configuración completa del dispositivo P.
set system host-name p set interfaces xe-0/0/0:0 description "Link from p-router to PE1" set interfaces xe-0/0/0:0 mtu 4000 set interfaces xe-0/0/0:0 unit 0 family inet address 10.1.23.2/24 set interfaces xe-0/0/0:0 unit 0 family mpls set interfaces xe-0/0/0:1 description "Link from p-router to PE2" set interfaces xe-0/0/0:1 mtu 4000 set interfaces xe-0/0/0:1 unit 0 family inet address 10.1.34.1/24 set interfaces xe-0/0/0:1 unit 0 family mpls set interfaces lo0 unit 0 family inet address 192.168.0.2/32 set protocols mpls interface xe-0/0/0:0.0 set protocols mpls interface xe-0/0/0:1.0 set protocols ospf traffic-engineering set protocols ospf area 0.0.0.0 interface lo0.0 passive set protocols ospf area 0.0.0.0 interface xe-0/0/0:0.0 set protocols ospf area 0.0.0.0 interface xe-0/0/0:1.0 set protocols rsvp interface lo0.0 set protocols rsvp interface xe-0/0/0:0.0 set protocols rsvp interface xe-0/0/0:1.0
La configuración completa del dispositivo PE2.
set system host-name pe2 set interfaces xe-0/0/0:1 description "Link from PE2 to CE2 for L3vpn" set interfaces xe-0/0/0:1 unit 0 family inet address 172.16.2.2/30 set interfaces xe-0/0/0:0 description "Link from PE2 to p-router" set interfaces xe-0/0/0:0 mtu 4000 set interfaces xe-0/0/0:0 unit 0 family inet address 10.1.34.2/24 set interfaces xe-0/0/0:0 unit 0 family mpls set interfaces lo0 unit 0 family inet address 192.168.0.3/32 set routing-instances CE2_L3vpn protocols bgp group CE2 type external set routing-instances CE2_L3vpn protocols bgp group CE2 peer-as 65420 set routing-instances CE2_L3vpn protocols bgp group CE2 neighbor 172.16.2.1 set routing-instances CE2_L3vpn instance-type vrf set routing-instances CE2_L3vpn interface xe-0/0/0:1.0 set routing-instances CE2_L3vpn route-distinguisher 192.168.0.3:12 set routing-instances CE2_L3vpn vrf-target target:65412:12 set routing-options router-id 192.168.0.3 set routing-options autonomous-system 65412 set protocols bgp group ibgp type internal set protocols bgp group ibgp local-address 192.168.0.3 set protocols bgp group ibgp family inet-vpn unicast set protocols bgp group ibgp neighbor 192.168.0.1 set protocols mpls label-switched-path lsp_to_pe1 to 192.168.0.1 set protocols mpls interface xe-0/0/0:0.0 set protocols ospf traffic-engineering set protocols ospf area 0.0.0.0 interface lo0.0 passive set protocols ospf area 0.0.0.0 interface xe-0/0/0:0.0 set protocols rsvp interface lo0.0 set protocols rsvp interface xe-0/0/0:0.0
La configuración completa del dispositivo CE2.
set system host-name ce2 set interfaces xe-0/0/0:0 description "Link from CE2 to PE2 for L3vpn" set interfaces xe-0/0/0:0 unit 0 family inet address 172.16.2.1/30 set interfaces lo0 unit 0 family inet address 172.16.255.2/32 set routing-options router-id 172.16.255.2 set routing-options autonomous-system 65420 set protocols bgp group PE2 type external set protocols bgp group PE2 export adv_direct set protocols bgp group PE2 peer-as 65412 set protocols bgp group PE2 neighbor 172.16.2.2 set policy-options policy-statement adv_direct term 1 from protocol direct set policy-options policy-statement adv_direct term 1 from route-filter 172.16.0.0/16 orlonger set policy-options policy-statement adv_direct term 1 then accept
Asegúrese de confirmar los cambios de configuración en todos los dispositivos cuando esté satisfecho con su trabajo. ¡Felicitaciones por su nueva VPN de capa 3 basada en MPLS! Consulte la sección Verificación para conocer los pasos necesarios para confirmar que su VPN de capa 3 funciona como se esperaba.
Configurar el dispositivo PE local (PE1) para una VPN de capa 3 basada en MPLS
En esta sección se describen los pasos necesarios para configurar el dispositivo PE1 para este ejemplo. El enfoque está en los dispositivos PE porque ahí es donde se aloja la configuración VPN. Consulte la sección Configuraciones rápidas para ver las configuraciones de dispositivo CE y dispositivo P utilizadas en este ejemplo.
Configurar la línea base de MPLS (si es necesario)
Antes de configurar una VPN de capa 3, asegúrese de que el dispositivo PE tenga una línea base MPLS que funcione. Si ya tiene una línea base MPLS, puede pasar al procedimiento paso a paso para agregar la VPN de capa 3 a los dispositivos PE.
Configure el nombre de host.
[edit] user@pe1# set system host-name pe1
Configure las interfaces principal y de circuito cerrado:
[edit] user@pe1# set interfaces xe-0/0/0:1 description "Link from PE1 to P-router" [edit] user@pe1# set interfaces xe-0/0/0:1 mtu 4000 [edit] user@pe1# set interfaces xe-0/0/0:1 unit 0 family inet address 10.1.23.1/24 [edit] user@pe1# set interfaces xe-0/0/0:1 unit 0 family mpls [edit] user@pe1# set interfaces lo0 unit 0 family inet address 192.168.0.1/32
Práctica recomendada:Mientras que una VPN de capa 3 puede realizar la fragmentación en el PE de entrada, se recomienda diseñar la red para que el CE pueda enviar una trama de tamaño máximo sin necesidad de fragmentación. Para garantizar que no se produzca la fragmentación, la red del proveedor debe admitir la trama más grande que los dispositivos CE puedan generar después de que el dispositivo PE agregue las etiquetas MPLS y de enrutamiento y reenvío virtual (VRF). En este ejemplo se dejan los dispositivos CE en la unidad de transmisión máxima (MTU) predeterminada de 1500 bytes mientras se configura el núcleo del proveedor para que admita una MTU de 4000 bytes. Esto garantiza que los dispositivos CE no puedan superar la MTU en la red del proveedor, incluso con la sobrecarga de encapsulación MPLS y VRF.
Configure los protocolos:
Nota:La ingeniería de tráfico es compatible con los LSP señalados por RSVP, pero no es necesaria para la conmutación MPLS básica o el despliegue de VPN. La línea base de MPLS proporcionada utiliza RSVP para señalar los LSP y permite la ingeniería de tráfico para OSPF. Sin embargo, no se configuran restricciones de ruta, por lo que espera que los LSP se enruten a través de la ruta más corta del protocolo de puerta de enlace interior.
[edit] user@pe1# set protocols ospf area 0.0.0.0 interface lo0.0 passive [edit] user@pe1# set protocols ospf area 0.0.0.0 interface xe-0/0/0:1.0 [edit] user@pe1# set protocols ospf traffic-engineering [edit] user@pe1# set protocols mpls interface xe-0/0/0:1.0 [edit] user@pe1# set protocols rsvp interface lo0.0 [edit] user@pe1# set protocols rsvp interface xe-0/0/0:1.0
Defina el LSP en la dirección de circuito cerrado del dispositivo de PE remoto:
[edit] user@pe1# set protocols mpls label-switched-path lsp_to_pe2 to 192.168.0.3
La línea base de MPLS ahora está configurada en el dispositivo PE1. Continúe con la configuración de la VPN de capa 3.
Procedimiento
Procedimiento paso a paso
Siga estos pasos para configurar el dispositivo PE1 para una VPN de capa 3.
Configure la interfaz orientada al cliente:
Propina:Puede configurar una VPN de capa 2 basada en MPLS y una VPN de capa 3 basada en MPLS en el mismo dispositivo PE. Sin embargo, no puede configurar la misma interfaz perimetral del cliente para que admita una VPN de capa 2 y una VPN de capa 3.
[edit interfaces] user@pe1# set xe-0/0/0:0 description "Link from PE1 to CE1 for L3vpn" [edit] user@pe1# set xe-0/0/0:0 unit 0 family inet address 172.16.1.2/30
Configure un grupo BGP para el emparejamiento entre los dispositivos PE locales y remotos. Utilice la dirección de circuito cerrado del dispositivo PE como dirección local y habilite la familia de direcciones para que admita el
inet-vpn unicastintercambio de rutas VPN de capa 3. En este ejemplo, no se necesita una política de enrutamiento para BGP en los dispositivos PE. De forma predeterminada, los dispositivos PE vuelven a anunciar en IBGP las rutas que aprenden a través de su emparejamiento EBGP con el dispositivo CE.[edit protocols bgp] user@pe1# set group ibgp local-address 192.168.0.1 [edit protocols bgp] user@pe1# set group ibgp family inet-vpn unicast
Propina:Puede especificar otras familias de direcciones si la sesión de IBGP de PE a PE necesita admitir el intercambio de rutas que no sean VPN, como las rutas IPv4 o IPv6 normales que utilizan las
inetfamilias oinet6, respectivamente.Configure el tipo de grupo BGP como interno.
[edit protocols bgp] user@pe1# set group ibgp type internal
Configure la dirección de circuito cerrado del dispositivo de PE remoto como vecino de BGP.
[edit protocols bgp] user@pe1# set group ibgp neighbor 192.168.0.3
Configure el ID del enrutador para que coincida con su dirección de circuito cerrado y defina el número de sistema autónomo BGP necesario para el emparejamiento BGP.
[edit routing-options] user@pe1# set router-id 192.168.0.1 [edit routing-options] user@pe1# set autonomous-system 65412
Configure la instancia de enrutamiento. Especifique un nombre de instancia de CE1_L3vpny configure uno
instance-typedevrf.[edit routing-instances] user@pe1# set CE1_L3vpn instance-type vrf
Configure la interfaz orientada al cliente del dispositivo PE para que pertenezca a la instancia de enrutamiento.
[edit routing-instances] user@pe1# set CE1_L3vpn interface xe-0/0/0:0.0
Configure el distinguidor de ruta de la instancia de enrutamiento. Esta configuración se utiliza para distinguir las rutas enviadas desde un VRF determinado en un dispositivo PE determinado. Debe ser única para cada instancia de enrutamiento en cada dispositivo PE.
[edit routing-instances] user@pe1# set CE1_L3vpn route-distinguisher 192.168.0.1:12
Configure el destino de ruta de la tabla de enrutamiento y reenvío virtual (VRF) de la instancia. La
vrf-targetinstrucción agrega la etiqueta de comunidad especificada a todas las rutas anunciadas mientras coincide automáticamente con el mismo valor para la importación de rutas. La configuración de destinos de ruta coincidentes en los dispositivos PE que comparten una VPN determinada es necesaria para un intercambio de rutas adecuado.[edit routing-instances] user@pe1# set CE1_L3vpn vrf-target target:65142:12
Nota:Puede crear políticas más complejas configurando explícitamente las directivas de importación y exportación de VRF mediante las opciones de importación y exportación. Consulte vrf-import y vrf-export para obtener más información.
Configure la instancia de enrutamiento para que admita el emparejamiento de EBGP con el dispositivo CE1. Se utiliza el emparejamiento directo de la interfaz con el extremo CE1 del vínculo VRF y el número de sistema autónomo de CE1 se especifica correctamente con el
peer-asparámetro.[edit routing-instances] user@pe1# set CE1_L3vpn protocols bgp group CE1 type external [edit routing-instances] user@pe1# set CE1_L3vpn protocols bgp group CE1 peer-as 65410 [edit routing-instances] user@pe1# set CE1_L3vpn protocols bgp group CE1 neighbor 172.16.1.1
Confirme los cambios en el dispositivo PE1 y vuelva al modo operativo de la CLI.
[edit] user@pe1# commit and-quit
Resultados
Mostrar los resultados de la configuración en el dispositivo PE1. El resultado refleja solo la configuración funcional agregada en este ejemplo.
user@pe1> show configuration
interfaces {
xe-0/0/0:0 {
description "Link from PE1 to CE1 for L3vpn";
unit 0 {
family inet {
}
}
unit 0 {
family inet {
address 10.1.23.1/24;
}
family mpls;
}
ge-0/0/1 {
description "Link from PE1 to P-router";
mtu 4000;
unit 0 {
family inet {
address 10.1.23.1/24;
}
family mpls;
}
}
lo0 {
unit 0 {
family inet {
address 192.168.0.1/32;
}
}
}
}
routing-instances {
CE1_L3vpn {
protocols {
bgp {
group CE1 {
type external;
peer-as 65410;
neighbor 172.16.1.1;
}
}
}
instance-type vrf;
interface xe-0/0/0:0.0;
route-distinguisher 192.168.0.1:12;
vrf-target target:65412:12;
}
}
routing-options {
router-id 192.168.0.1;
autonomous-system 65412;
}
protocols {
bgp {
group ibgp {
type internal;
local-address 192.168.0.1;
family inet-vpn {
unicast;
}
neighbor 192.168.0.3;
}
}
mpls {
label-switched-path lsp_to_pe2 {
to 192.168.0.3;
}
interface xe-0/0/0:1.0;
}
ospf {
traffic-engineering;
area 0.0.0.0 {
interface lo0.0 {
passive;
}
interface xe-0/0/0:1.0;
}
}
rsvp {
interface lo0.0;
interface xe-0/0/0:1.0;
}
}
Configurar el dispositivo de PE remoto (PE2) para una VPN de capa 3 basada en MPLS
En esta sección se describen los pasos necesarios para configurar el dispositivo PE1 para este ejemplo. El enfoque está en los dispositivos PE porque ahí es donde se aloja la configuración VPN. Consulte la sección Configuraciones rápidas para ver las configuraciones de dispositivo CE y dispositivo P utilizadas en este ejemplo.
Configurar la línea base de MPLS (si es necesario)
Antes de configurar una VPN de capa 3, asegúrese de que el dispositivo PE tenga una línea base MPLS que funcione. Si ya tiene una línea base MPLS, puede pasar al procedimiento paso a paso para agregar la VPN de capa 3 a los dispositivos PE.
Configure el nombre de host.
[edit] user@pe2# set system host-name pe2
Configure las interfaces principal y de circuito cerrado:
[edit] user@pe2# set interfaces xe-0/0/0:0 description "Link from PE2 to P-router" [edit] user@pe2# set interfaces xe-0/0/0:0 mtu 4000 [edit] user@pe2# set interfaces xe-0/0/0:0 unit 0 family inet address 10.1.34.2/24 [edit] user@pe2# set interfaces xe-0/0/0:0 unit 0 family mpls [edit] user@pe2# set interfaces lo0 unit 0 family inet address 192.168.0.3/32
Práctica recomendada:Mientras que una VPN de capa 3 puede realizar la fragmentación en el PE de entrada, se recomienda diseñar la red para que el CE pueda enviar una trama de tamaño máximo sin necesidad de fragmentación. Para garantizar que no se produzca la fragmentación, la red del proveedor debe admitir la trama más grande que los dispositivos CE puedan generar después de que el dispositivo PE agregue las etiquetas MPLS y de enrutamiento y reenvío virtual (VRF). En este ejemplo se dejan los dispositivos CE en la unidad de transmisión máxima (MTU) predeterminada de 1500 bytes mientras se configura el núcleo del proveedor para que admita una MTU de 4000 bytes. Esto garantiza que los dispositivos CE no puedan superar la MTU en la red del proveedor, incluso con la sobrecarga de encapsulación MPLS y VRF.
Configure los protocolos:
Nota:La ingeniería de tráfico es compatible con los LSP señalados por RSVP, pero no es necesaria para la conmutación MPLS básica o el despliegue de VPN. La línea base de MPLS proporcionada utiliza RSVP para señalar los LSP y permite la ingeniería de tráfico para OSPF. Sin embargo, no se configuran restricciones de ruta, por lo que espera que los LSP se enruten a través de la ruta más corta del protocolo de puerta de enlace interior.
[edit] user@pe2# set protocols ospf area 0.0.0.0 interface lo0.0 passive [edit] user@pe2# set protocols ospf area 0.0.0.0 interface xe-0/0/0:0.0 [edit] user@pe2# set protocols ospf traffic-engineering [edit] user@pe2# set protocols mpls interface xe-0/0/0:0.0 [edit] user@pe2# set protocols rsvp interface lo0.0 [edit] user@pe2# set protocols rsvp interface xe-0/0/0:0.0
Defina el LSP en la dirección de circuito cerrado del dispositivo de PE remoto:
[edit] user@pe2# set protocols mpls label-switched-path lsp_to_pe1 to 192.168.0.1
La línea base de MPLS ahora está configurada en el dispositivo PE1. Continúe con la configuración de la VPN de capa 3.
Procedimiento
Procedimiento paso a paso
Siga estos pasos para configurar el dispositivo PE2 para una VPN de capa 3.
Configure la interfaz orientada al cliente:
Propina:Puede configurar una VPN de capa 2 basada en MPLS y una VPN de capa 3 basada en MPLS en el mismo dispositivo PE. Sin embargo, no puede configurar la misma interfaz perimetral del cliente para que admita una VPN de capa 2 y una VPN de capa 3.
[edit interfaces] user@pe2# set xe-0/0/0:1 description "Link from PE2 to CE2 for L3vpn" [edit] user@pe2# set xe-0/0/0:1 unit 0 family inet address 172.16.2.2/30
Configure un grupo BGP para el emparejamiento entre los dispositivos PE locales y remotos. Utilice la dirección de circuito cerrado del dispositivo PE como dirección local y habilite la familia de direcciones para que admita el
inet-vpn unicastintercambio de rutas VPN de capa 3.[edit protocols bgp] user@pe1# set group ibgp local-address 192.168.0.1 [edit protocols bgp] user@pe1# set group ibgp family inet-vpn unicast
Propina:Puede especificar otras familias de direcciones si la sesión de IBGP de PE a PE necesita admitir el intercambio de rutas que no sean VPN, como las rutas IPv4 o IPv6 normales que utilizan las
inetfamilias oinet6, respectivamente.Configure el tipo de grupo BGP como interno.
[edit protocols bgp] user@pe2# set group ibgp type internal
Configure la dirección de circuito cerrado del dispositivo PE1 como vecino BGP.
[edit protocols bgp] user@pe2# set group ibgp neighbor 192.168.0.1
Configure el ID del enrutador para que coincida con su dirección de circuito cerrado y defina el número de sistema autónomo BGP.
[edit routing-options] user@pe2# set routing-options router-id 192.168.0.3 [edit routing-options] user@pe2# set autonomous-system 65412
Configure la instancia de enrutamiento. Especifique un nombre de instancia de CE2_L3vpn, con un
instance-typedevrf.[edit routing-instances] user@pe2# set CE2_L3vpn instance-type vrf
Configure la interfaz orientada al cliente del dispositivo PE para que pertenezca a la instancia de enrutamiento.
[edit routing-instances] user@pe2# set CE2_L3vpn interface xe-0/0/0:1.0
Configure el distinguidor de ruta de la instancia de enrutamiento. Esta configuración se utiliza para distinguir las rutas enviadas desde un VRF determinado en un dispositivo PE determinado. Debe ser única para cada instancia de enrutamiento en cada dispositivo PE.
[edit routing-instances] user@pe2# set CE2_L3vpn route-distinguisher 192.168.0.3:12
Configure el destino de ruta de la tabla de enrutamiento y reenvío virtual (VRF) de la instancia. La
vrf-targetinstrucción agrega la etiqueta de comunidad especificada a todas las rutas anunciadas mientras coincide automáticamente con el mismo valor para la importación de rutas. La configuración de destinos de ruta coincidentes en los dispositivos PE que comparten una VPN determinada es necesaria para un intercambio de rutas adecuado.[edit routing-instances] user@pe2# set CE2_L3vpn vrf-target target:65412:12
Nota:Puede crear políticas más complejas configurando explícitamente las directivas de importación y exportación de VRF mediante las opciones de importación y exportación. Consulte vrf-import y vrf-export para obtener más información.
Configure la instancia de enrutamiento para admitir el emparejamiento de EBGP con el dispositivo CE2. Se utiliza el emparejamiento directo de la interfaz con el extremo CE2 del vínculo VRF y el número de sistema autónomo de CE2 se especifica correctamente con el
peer-asparámetro.[edit routing-instances] user@pe2# set CE2_L3vpn protocols bgp group CE2 type external [edit routing-instances] user@pe2# set CE2_L3vpn protocols bgp group CE2 peer-as 65420 [edit routing-instances] user@pe2# set CE2_L3vpn protocols bgp group CE2 neighbor 172.16.2.1
Confirme los cambios en el dispositivo PE2 y vuelva al modo operativo de la CLI.
[edit] user@pe2# commit and-quit
Resultados
Mostrar los resultados de la configuración en el dispositivo PE2. El resultado refleja solo la configuración funcional agregada en este ejemplo.
user@pe2> show configuration
interfaces {
xe-0/0/0:0 {
description "Link from PE2 to p-router";
mtu 4000;
unit 0 {
family inet {
address 10.1.34.2/24;
}
family mpls;
}
}
xe-0/0/0:1 {
description "Link from PE2 to CE2 for L3vpn";
unit 0 {
family inet {
address 172.16.2.2/30;
}
}
}
lo0 {
unit 0 {
family inet {
address 192.168.0.3/32;
}
}
}
}
routing-instances {
CE2_L3vpn {
protocols {
bgp {
group CE2 {
type external;
peer-as 65420;
neighbor 172.16.2.1;
}
}
}
instance-type vrf;
interface xe-0/0/0:1.0;
route-distinguisher 192.168.0.3:12;
vrf-target target:65412:12;
}
}
routing-options {
router-id 192.168.0.3;
autonomous-system 65412;
}
protocols {
bgp {
group ibgp {
type internal;
local-address 192.168.0.3;
family inet-vpn {
unicast;
}
neighbor 192.168.0.1;
}
}
mpls {
label-switched-path lsp_to_pe1 {
to 192.168.0.1;
}
interface xe-0/0/0:0.0;
}
ospf {
traffic-engineering;
area 0.0.0.0 {
interface lo0.0 {
passive;
}
interface xe-0/0/0:0.0;
}
}
rsvp {
interface lo0.0;
interface xe-0/0/0:0.0;
}
}
Verificación
Realice estas tareas para comprobar que la VPN de capa 3 basada en MPLS funciona correctamente:
- Comprobar las adyacencias de OSPF del proveedor y el intercambio de rutas
- Verificar la configuración de la interfaz MPLS y RSVP
- Verificar los LSP señalizados por RSVP
- Verificar el estado de la sesión BGP
- Comprobar rutas VPN de capa 3 en la tabla de enrutamiento
- Hacer ping al dispositivo de PE remoto mediante la conexión VPN de capa 3
- Verificar el funcionamiento de extremo a extremo de los dispositivos CE a través de la VPN de capa 3
- Comportamiento de VPN de capa 3 de MPLS específica de la plataforma
Comprobar las adyacencias de OSPF del proveedor y el intercambio de rutas
Propósito
Confirme que el protocolo OSPF funciona correctamente en la red del proveedor verificando el estado de adyacencia y las rutas aprendidas por OSPF a las direcciones de circuito cerrado de los dispositivos del proveedor remoto. La operación adecuada de IGP es crítica para el establecimiento exitoso de LSP MPLS.
Acción
user@pe1> show ospf neighbor Address Interface State ID Pri Dead 10.1.23.2 xe-0/0/0:1.0 Full 192.168.0.2 128 37
user@pe1> show route protocol ospf | match 192.168 192.168.0.2/32 *[OSPF/10] 1w1d 23:59:43, metric 1 192.168.0.3/32 *[OSPF/10] 1w1d 23:59:38, metric 2
Significado
El resultado muestra que el dispositivo PE1 ha establecido una adyacencia OSPF al dispositivo P (192.168.0.2). También muestra que las direcciones de bucle invertido del dispositivo P y PE remoto (192.168.0.2)192.168.0.3 se aprenden correctamente a través de OSPF en el dispositivo PE local.
Verificar la configuración de la interfaz MPLS y RSVP
Propósito
Compruebe que los protocolos RSVP y MPLS estén configurados para funcionar en la interfaz central del dispositivo PE. Este paso también verifica que family mpls esté configurado correctamente en el nivel de unidad de la interfaz orientada al núcleo del dispositivo PE.
Acción
user@pe1> show mpls interface Interface State Administrative groups (x: extended) xe-0/0/0:1.0 Up <none>
user@pe1> show rsvp interface
RSVP interface: 2 active
Active Subscr- Static Available Reserved Highwater
Interface State resv iption BW BW BW mark
lo0.0 Up 0 100% 0bps 0bps 0bps 0bps
xe-0/0/0:1.0 Up 1 100% 10Gbps 10Gbps 0bps 0bps
Significado
El resultado muestra que MPLS y RSVP están configurados correctamente en las interfaces núcleo y de circuito cerrado del dispositivo PE local.
Verificar los LSP señalizados por RSVP
Propósito
Verifique que los LSP de entrada y salida señalados RSVP estén correctamente establecidos entre las direcciones de circuito cerrado del dispositivo PE.
Acción
user@pe1> show rsvp session Ingress RSVP: 1 sessions To From State Rt Style Labelin Labelout LSPname 192.168.0.3 192.168.0.1 Up 0 1 FF - 17 lsp_to_pe2 Total 1 displayed, Up 1, Down 0 Egress RSVP: 1 sessions To From State Rt Style Labelin Labelout LSPname 192.168.0.1 192.168.0.3 Up 0 1 FF 3 - lsp_to_pe1 Total 1 displayed, Up 1, Down 0 Transit RSVP: 0 sessions Total 0 displayed, Up 0, Down 0
Significado
El resultado muestra que las sesiones RSVP de entrada y salida se establecen correctamente entre los dispositivos PE. El establecimiento correcto del LSP indica que la línea base de MPLS está operativa.
Verificar el estado de la sesión BGP
Propósito
Verifique que la sesión de IBGP entre los dispositivos PE esté establecida correctamente con soporte para la información de accesibilidad de capa de red (NLRI) de VPN de capa 3. En este paso, también confirmará que la sesión local de PE a CE EBGP está establecida y configurada correctamente para intercambiar rutas IPv4.
Acción
user@pe1> show bgp summary
Groups: 2 Peers: 2 Down peers: 0
Table Tot Paths Act Paths Suppressed History Damp State Pending
inet.0
0 0 0 0 0 0
bgp.l3vpn.0
2 2 0 0 0 0
Peer AS InPkt OutPkt OutQ Flaps Last Up/Dwn State|#Active/Received/Accepted/Damped...
172.16.1.1 65410 26038 25938 0 0 1w1d 3:12:32 Establ
CE1_L3vpn.inet.0: 1/2/2/0
192.168.0.3 65412 19 17 0 0 6:18 Establ
CE1_L3vpn.inet.0: 2/2/2/0
bgp.l3vpn.0: 2/2/2/0
Significado
El resultado muestra que la sesión de IBGP en el dispositivo de PE remoto (192.168.0.3) se ha establecido correctamente (Establ), y a través del Up/Dwn campo, cuánto tiempo ha estado la sesión en el estado actual (6:18). El flaps campo confirma que no se han producido transiciones de estado (0), lo que indica que la sesión es estable. Tenga en cuenta también que las rutas VPN de capa 3 (NLRI) se han aprendido desde el PE remoto, como lo muestra la presencia de una bgp.l3vpn.0 tabla.
La pantalla también confirma que la sesión EBGP en el dispositivo CE1 local (172.16.1.1) está establecida y que se han recibido rutas IPv4 desde el dispositivo CE1 y se han instalado en la instancia de enrutamiento de dispositivos CE1 (CE1_L3vpn.inet.0)
Esta salida confirma que el emparejamiento BGP entre los dispositivos PE y con el dispositivo CE funciona correctamente para admitir su VPN de capa 3.
Comprobar rutas VPN de capa 3 en la tabla de enrutamiento
Propósito
Confirme que la tabla de enrutamiento del dispositivo PE1 está llena con rutas VPN de capa 3 anunciadas por el PE remoto. Estas rutas se utilizan para reenviar el tráfico al dispositivo CE remoto.
Acción
user@pe1> show route table bgp.l3vpn.0
bgp.l3vpn.0: 2 destinations, 2 routes (2 active, 0 holddown, 0 hidden)
+ = Active Route, - = Last Active, * = Both
192.168.0.3:12:172.16.2.0/30
*[BGP/170] 00:22:45, localpref 100, from 192.168.0.3
AS path: I, validation-state: unverified
> to 10.1.23.2 via xe-0/0/0:1.0, label-switched-path lsp_to_pe2
192.168.0.3:12:172.16.255.2/32
*[BGP/170] 00:22:43, localpref 100, from 192.168.0.3
AS path: 65420 I, validation-state: unverified
> to 10.1.23.2 via xe-0/0/0:1.0, label-switched-path lsp_to_pe2
user@pe1> show route table CE1_L3vpn.inet.0
CE1_L3vpn.inet.0: 5 destinations, 6 routes (5 active, 0 holddown, 0 hidden)
+ = Active Route, - = Last Active, * = Both
172.16.1.0/30 *[Direct/0] 1w1d 03:29:44
> via xe-0/0/0:0.0
[BGP/170] 1w1d 03:29:41, localpref 100
AS path: 65410 I, validation-state: unverified
> to 172.16.1.1 via xe-0/0/0:0.0
172.16.1.2/32 *[Local/0] 1w1d 03:29:44
Local via xe-0/0/0:0.0
172.16.2.0/30 *[BGP/170] 00:23:28, localpref 100, from 192.168.0.3
AS path: I, validation-state: unverified
> to 10.1.23.2 via xe-0/0/0:1.0, label-switched-path lsp_to_pe2
172.16.255.1/32 *[BGP/170] 1w1d 03:29:41, localpref 100
AS path: 65410 I, validation-state: unverified
> to 172.16.1.1 via xe-0/0/0:0.0
172.16.255.2/32 *[BGP/170] 00:23:26, localpref 100, from 192.168.0.3
AS path: 65420 I, validation-state: unverified
> to 10.1.23.2 via xe-0/0/0:1.0, label-switched-path lsp_to_pe2
Significado
El show route table bgp.l3vpn.0 comando muestra las rutas VPN de capa 3 que se han recibido desde el dispositivo de PE remoto. El show route table CE1_L3vpn.inet.0 comando enumera todas las rutas que se han importado en la instancia de CE1_L3vpn enrutamiento. Estas entradas representan las rutas aprendidas del emparejamiento del EBGP local con el dispositivo CE1, además de las rutas recibidas del dispositivo PE2 remoto con un destino de ruta coincidente.
Ambas tablas muestran que las rutas VPN remotas de capa 3 están correctamente asociadas con el lsp_to_pe2 LSP como siguiente salto de reenvío. Las salidas confirman que el dispositivo de PE local ha aprendido las rutas asociadas con la ubicación CE2 remota desde el dispositivo PE2. También muestra que el PE local reenviará el tráfico VPN de capa 3 al dispositivo PE2 remoto mediante el transporte MPLS a través de la red del proveedor.
Hacer ping al dispositivo de PE remoto mediante la conexión VPN de capa 3
Propósito
Verifique la conectividad VPN de capa 3 entre los dispositivos PE locales y remotos mediante ping. Este comando verifica el enrutamiento VPN de capa 3 y la operación de reenvío de MPLS entre los dispositivos PE.
Acción
user@pe1> ping routing-instance CE1_L3vpn 172.16.2.2 source 172.16.1.2 count 2 PING 172.16.2.2 (172.16.2.2): 56 data bytes 64 bytes from 172.16.2.2: icmp_seq=0 ttl=61 time=128.235 ms 64 bytes from 172.16.2.2: icmp_seq=1 ttl=61 time=87.597 ms --- 172.16.2.2 ping statistics --- 2 packets transmitted, 2 packets received, 0% packet loss round-trip min/avg/max/stddev = 87.597/107.916/128.235/20.319 m
Significado
El resultado confirma que los planos de control y reenvío VPN de capa 3 funcionan correctamente entre los dispositivos PE.
Verificar el funcionamiento de extremo a extremo de los dispositivos CE a través de la VPN de capa 3
Propósito
Compruebe la conectividad VPN de capa 3 entre los dispositivos CE. Este paso confirma que los dispositivos CE tienen interfaces operativas y están configurados correctamente para la conectividad de capa 3 basada en EBGP. Esto se hace verificando que el dispositivo CE1 local ha aprendido las rutas del dispositivo CE remoto y confirmando que los dispositivos CE pueden pasar tráfico de extremo a extremo entre sus direcciones de circuito cerrado.
Acción
user@ce1> show route protocol bgp
inet.0: 12 destinations, 12 routes (12 active, 0 holddown, 0 hidden)
+ = Active Route, - = Last Active, * = Both
172.16.2.0/30 *[BGP/170] 00:40:50, localpref 100
AS path: 65412 I, validation-state: unverified
> to 172.16.1.2 via xe-0/0/0:0.0
172.16.255.2/32 *[BGP/170] 00:40:49, localpref 100
AS path: 65412 65420 I, validation-state: unverified
> to 172.16.1.2 via xe-0/0/0:0.0
inet6.0: 1 destinations, 1 routes (1 active, 0 holddown, 0 hidden)
user@ce1> ping 172.16.255.2 source 172.16.255.1 size 1472 do-not-fragment count 2 PING 172.16.255.2 (172.16.255.2): 1472 data bytes 1480 bytes from 172.16.255.2: icmp_seq=0 ttl=61 time=79.245 ms 1480 bytes from 172.16.255.2: icmp_seq=1 ttl=61 time=89.125 ms --- 172.16.255.2 ping statistics --- 2 packets transmitted, 2 packets received, 0% packet loss round-trip min/avg/max/stddev = 79.245/84.185/89.125/4.940 ms
Significado
El resultado muestra que la conectividad basada en VPN de capa 3 funciona correctamente entre los dispositivos CE. El dispositivo CE local ha aprendido la interfaz VRF del dispositivo CE remoto y las rutas de circuito cerrado a través de BGP. El ping se genera en la dirección de circuito cerrado del dispositivo CE remoto y se obtiene de la dirección de circuito cerrado del dispositivo CE local mediante el source 172.16.255.1 argumento. La adición de los do-not-fragment conmutadores y size 1472 confirma que los dispositivos CE pueden pasar paquetes IP de 1500 bytes sin evocar fragmentación en el dispositivo PE local.
El size 1472 argumento agregado al ping comando genera 1472 bytes de datos de eco. Se agregan 8 bytes adicionales de Protocolo de mensajes de control de Internet (ICMP) y 20 bytes de encabezado IP para llevar el tamaño total de la carga útil a 1500 bytes. Agregar el do-not-fragment conmutador garantiza que los dispositivos CE y PE locales no puedan realizar la fragmentación. Este método ping confirma que no es necesaria la fragmentación cuando se intercambian tramas Ethernet estándar de longitud máxima de 1500 bytes entre los dispositivos CE.
Estos resultados confirman que la VPN de capa 3 basada en MPLS funciona correctamente.
Comportamiento de VPN de capa 3 de MPLS específica de la plataforma
Use el Explorador de características para confirmar la compatibilidad de la plataforma y el lanzamiento de características específicas.
Use la tabla siguiente para revisar los comportamientos específicos de la plataforma para su plataforma.
| Plataforma |
Diferencia |
|---|---|
| Enrutadores serie ACX 7000 |
|