Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

VPN de operadora de operadora

Descripción de VPN de operadora de operadoras

El cliente de un proveedor de servicios VPN puede ser un proveedor de servicios para el cliente final. Los siguientes son los dos tipos principales de VPN carrier-of-carriers (como se describe en RFC 4364:

  • Proveedor de servicios de Internet como cliente: el cliente VPN es un ISP que utiliza la red del proveedor de servicios VPN para conectar sus redes regionales geográficamente dispares. El cliente no tiene que configurar MPLS dentro de sus redes regionales.

  • Proveedor de servicios VPN como cliente: el cliente VPN es un proveedor de servicios VPN que ofrece servicio VPN a sus clientes. El cliente de servicio VPN carrier-of-carriers confía en el proveedor de servicios VPN troncal para la conectividad entre sitios. El proveedor de servicios VPN del cliente debe ejecutar MPLS dentro de sus redes regionales.

En la Figura 1 se muestra la arquitectura de red utilizada para un servicio VPN operador de operadoras.

Figura 1: Arquitectura Carrier-of-Carriers VPN Architecture vpn de operadora de operadoras

En este tema se trata lo siguiente:

Proveedor de servicios de Internet como cliente

En este tipo de configuración de VPN carrier-of-carriers, el ISP A configura su red para proporcionar servicio de Internet al ISP B. ISP B proporciona la conexión al cliente que quiere servicio de Internet, pero el servicio de Internet real lo proporciona el ISP A.

Este tipo de configuración de VPN carrier-of-carriers tiene las siguientes características:

  • El cliente de servicio VPN de operador de operadoras (ISP B) no necesita configurar MPLS en su red.

  • El proveedor de servicios VPN de operador de operadoras (ISP A) debe configurar MPLS en su red.

  • La MPLS también debe configurarse en los enrutadores CE y PE conectados juntos en las redes del proveedor de servicios VPN operadora de operadoras de servicios VPN del cliente y operador de operadora de operadoras.

Proveedor de servicios VPN como cliente

Un proveedor de servicios VPN puede tener clientes que sean ellos mismos proveedores de servicios VPN. En este tipo de configuración, también llamada VPN jerárquica o recursiva, las rutas VPN-IPv4 del proveedor de servicios VPN del cliente se consideran rutas externas y el proveedor de servicios VPN troncal no las importa en su tabla VRF. El proveedor de servicios VPN troncal importa solo las rutas internas del proveedor de servicios VPN del cliente a su tabla VRF.

Las similitudes y diferencias entre VPN entre interproveedores y operadoras de operadoras se muestran en la Tabla 1.

Tabla 1: Comparación de VPN interproveedores y operadoras de operadoras

Característica

Cliente de ISP

Cliente de proveedor de servicios VPN

Dispositivo de borde del cliente

Enrutador de borde del AS

Enrutador de PE

Sesiones del IBGP

Llevar rutas IPv4

Lleve rutas VPN-IPv4 externas con etiquetas asociadas

Reenvío dentro de la red del cliente

MPLS es opcional

Se requiere MPLS

La compatibilidad con el servicio VPN como el cliente se admite en conmutadores QFX10000 a partir de Junos OS versión 17.1R1.

Configuración de VPN de operadora de operadoras para clientes que ofrecen servicio de Internet

Puede configurar un servicio VPN carrier-of-carriers para los clientes que deseen proporcionar un servicio básico de Internet. El proveedor de servicios VPN carrier-of-carriers debe configurar MPLS en su red, aunque esta configuración es opcional para el cliente de servicio de operadora. La arquitectura VPN de operadora de operadoras muestra cómo los enrutadores o conmutadores en este tipo de interconexión de servicio.

Para configurar una VPN carrier-of-carriers, realice las tareas descritas en las siguientes secciones:

Configuración del enrutador CE del servicio VPN del operador de operadores

El enrutador (o conmutador) del cliente del servicio VPN de operador de operadores actúa como enrutador CE con respecto al enrutador o conmutador de PE del proveedor de servicios. En las siguientes secciones, se describe cómo configurar el enrutador o conmutador CE del operador de operador de operadores de servicio VPN del cliente:

Configuración de MPLS

Para configurar MPLS en el enrutador o conmutador CE del cliente, incluya la mpls instrucción:

Puede incluir esta instrucción en los siguientes niveles jerárquicos:

  • [edit protocols]

  • [edit logical-systems logical-system-name protocols]

Configuración del BGP

Para configurar un grupo para intercalar las rutas internas del cliente, incluya la bgp instrucción:

Puede incluir esta instrucción en los siguientes niveles jerárquicos:

  • [edit protocols]

  • [edit logical-systems logical-system-name protocols]

El enrutador CE (o conmutador) del cliente debe poder enviar etiquetas al enrutador del proveedor de servicios VPN. Habilite esto incluyendo la labeled-unicast instrucción en la configuración para el grupo BGP:

Puede incluir la bgp instrucción en los siguientes niveles jerárquicos:

  • [edit protocols]

  • [edit logical-systems logical-system-name protocols]

Configuración de OSPF

Para configurar OSPF en el enrutador o conmutador CE del cliente, incluya la ospf instrucción:

Puede incluir esta instrucción en los siguientes niveles jerárquicos:

  • [edit protocols]

  • [edit logical-systems logical-system-name protocols]

Configuración de opciones de política

Para configurar opciones de política en el enrutador o conmutador CE del cliente, incluya la policy-statement instrucción:

Puede incluir esta instrucción en los siguientes niveles jerárquicos:

  • [edit policy-options]

  • [edit logical-systems logical-system-name policy-options]

Configuración de los enrutadores de PE del operador de operadores de telecomunicaciones VPN

Los enrutadores de PE del proveedor de servicios se conectan a los enrutadores CE del cliente y reenvían el tráfico VPN del cliente a través de la red del proveedor.

En las siguientes secciones, se describe cómo configurar los enrutadores de PE del operador de telecomunicaciones VPN:

Configuración de MPLS

Para configurar MPLS en los enrutadores o conmutadores de PE del proveedor, se incluye la mpls instrucción:

Puede incluir esta instrucción en los siguientes niveles jerárquicos:

  • [edit protocols]

  • [edit logical-systems logical-system-name protocols]

Configuración del BGP

Para configurar una sesión de BGP con el enrutador de PE del proveedor en el otro extremo de la red del proveedor, incluya la bgp instrucción:

Puede incluir esta instrucción en los siguientes niveles jerárquicos:

  • [edit protocols]

  • [edit logical-systems logical-system-name protocols]

Configuración de IS-IS

Para configurar IS-IS en los enrutadores o conmutadores de PE del proveedor, incluya la isis instrucción:

Puede incluir esta instrucción en los siguientes niveles jerárquicos:

  • [edit protocols]

  • [edit logical-systems logical-system-name protocols]

Configuración de LDP

Para configurar LDP en enrutadores o conmutadores de PE del proveedor, incluya la ldp instrucción:

Puede incluir esta instrucción en los siguientes niveles jerárquicos:

  • [edit protocols]

  • [edit logical-systems logical-system-name protocols]

Configuración de una instancia de enrutamiento

Para configurar el servicio VPN de capa 3 con el enrutador o conmutador CE del cliente, incluya la labeled-unicast instrucción en la configuración de la instancia de enrutamiento para que el enrutador de PE (o conmutador) pueda enviar etiquetas al enrutador o conmutador CE del cliente:

Puede incluir estas instrucciones en los siguientes niveles jerárquicos:

  • [edit routing-instances]

  • [edit logical-systems logical-system-name routing-instances]

Configuración de opciones de política

Para configurar una instrucción de política para importar rutas desde el enrutador o conmutador CE del cliente, incluya la policy-statement instrucción:

Puede incluir esta instrucción en los siguientes niveles jerárquicos:

  • [edit policy-options]

  • [edit logical-systems logical-system-name policy-options]

Para configurar una instrucción de política para exportar rutas al enrutador o conmutador CE del cliente, incluya las policy-statement instrucciones y community :

Puede incluir estas instrucciones en los siguientes niveles jerárquicos:

  • [edit policy-options]

  • [edit logical-systems logical-system-name policy-options]

Ejemplo de VPN carrier-of-carriers: el cliente ofrece servicio de Internet

En este ejemplo, el cliente de operador no es necesario para configurar MPLS y LDP en su red. Sin embargo, el proveedor de operadores debe configurar MPLS y LDP en su red.

Para obtener información de configuración, consulte las siguientes secciones:

Topología de red para el servicio de operadora de operadoras

Un servicio de operadora de operadora permite que un proveedor de servicios de Internet (ISP) se conecte a una red troncal transparente subcontratada en varias ubicaciones.

La Figura 2 muestra la topología de red en este ejemplo de operadora de operadoras.

Figura 2: Topología de red de ejemplo de VPN carrier-of-carriers Carrier-of-Carriers VPN Example Network Topology

Configuración para el enrutador A

En este ejemplo, el enrutador A representa a un cliente final. Configure este enrutador como un dispositivo CE.

Configuración para el enrutador B

El enrutador B puede actuar como enrutador de puerta de enlace, responsable de agregar clientes finales y conectarlos a la red. Si se configura una sesión de IBGP de malla completa, puede usar reflectores de ruta.

Configuración para el enrutador C

Configurar el enrutador C:

Configuración para el enrutador D

El enrutador D es el enrutador CE con respecto al AS 10023. En una VPN carrier-of-carriers, el enrutador CE debe poder enviar etiquetas al proveedor de operadores; esto se hace con la labeled-unicast instrucción en group to-isp-red.

Configuración para el enrutador E

Esta configuración configura la sesión del IBGP con el inet-vpn enrutador H y la parte del enrutador de PE de la VPN con el enrutador D. Dado que se requiere el enrutador D para enviar etiquetas en este ejemplo, configure la sesión del BGP con la labeled-unicast instrucción dentro de la tabla de enrutamiento y reenvío virtual (VRF).

Configuración para el enrutador F

Configure el enrutador F para que actúe como enrutador de intercambio de etiquetas:

Configuración para el enrutador G

Configure el enrutador G para que actúe como enrutador de intercambio de etiquetas:

Configuración para el enrutador H

El enrutador H actúa como enrutador de PE para el AS 10023. La configuración que sigue es similar a la del enrutador F:

Configuración para el enrutador I

Configure el enrutador I para conectarse al cliente básico del servicio de Internet (enrutador L):

Configuración para el enrutador J

Configure el enrutador J como enrutador de intercambio de etiquetas:

Configuración para el enrutador K

El enrutador K actúa como enrutador CE al final de la conexión con el operador de telecomunicaciones. Como en la configuración del enrutador D, incluya la labeled-unicast instrucción para la sesión de EBGP:

Configuración para el enrutador L

Configure el enrutador L para que actúe como el cliente final del servicio VPN operadora de operadoras:

Configuración de VPN carrier-of-carriers para clientes que proporcionan servicio VPN

Puede configurar un servicio VPN de operadora de operadoras para los clientes que deseen un servicio VPN.

Para configurar los enrutadores (o conmutadores) en las redes del cliente y del proveedor para habilitar el servicio VPN operadora de operadoras, realice los pasos en las siguientes secciones:

Configuración del enrutador de PE del operador de operadores del cliente

El enrutador de PE (o conmutador) del operador de operadoras del cliente está conectado al enrutador CE (o conmutador) del cliente final.

En las siguientes secciones se describe cómo configurar el enrutador de PE (o conmutador) del cliente operador de operadoras:

Configuración de MPLS

Para configurar MPLS en el enrutador de PE (o conmutador) del operador de operadoras del cliente, incluya la mpls instrucción:

Puede incluir esta instrucción en los siguientes niveles jerárquicos:

  • [edit protocols]

  • [edit logical-systems logical-system-name protocols]

Configuración del BGP

Incluya la labeled-unicast instrucción en la configuración de la sesión del IBGP al enrutador CE del operador de operadoras del cliente (o conmutador) ), e incluya la instrucción en la family-inet-vpn configuración de la sesión del IBGP al enrutador (o conmutador) de PE operador de operadoras en el otro lado de la red:

Puede incluir estas instrucciones en los siguientes niveles jerárquicos:

  • [edit protocols]

  • [edit logical-systems logical-system-name protocols]

Configuración de OSPF

Para configurar OSPF en el enrutador de PE (o conmutador) del operador de operadoras del cliente, incluya la ospf instrucción:

Puede incluir esta instrucción en los siguientes niveles jerárquicos:

  • [edit protocols]

  • [edit logical-systems logical-system-name protocols]

Configuración de LDP

Para configurar LDP en el enrutador de PE (o conmutador) del operador de operadores del cliente, incluya la ldp instrucción:

Puede incluir esta instrucción en los siguientes niveles jerárquicos:

  • [edit protocols]

  • [edit logical-systems logical-system-name protocols]

Configuración del servicio VPN en la instancia de enrutamiento

Para configurar el servicio VPN para el enrutador CE (o conmutador) del cliente final en el enrutador de PE (o conmutador) del operador de operadoras, incluya las siguientes instrucciones:

Puede incluir estas instrucciones en los siguientes niveles jerárquicos:

  • [edit routing-instances routing-instance-name]

  • [edit logical-systems logical-system-name routing-instances routing-instance-name]

Configuración de opciones de política

Para configurar opciones de política para importar y exportar rutas hacia y desde el enrutador CE (o conmutador) del cliente final, incluya las policy-statement instrucciones y community :

Puede incluir estas instrucciones en los siguientes niveles jerárquicos:

  • [edit policy-options]

  • [edit logical-systems logical-system-name policy-options]

Configuración del enrutador CE del operador de operadoras del cliente (o conmutador)

El enrutador CE (o conmutador) del operador de operadoras del cliente se conecta al enrutador de PE (o conmutador) del proveedor. Complete las instrucciones en las siguientes secciones para configurar el enrutador CE (o conmutador) de operador de operadoras de operadoras de los clientes:

Configuración de MPLS

En la configuración MPLS para el enrutador CE (o conmutador) del operador de operadores del cliente, incluya las interfaces al enrutador de PE (o conmutador) del proveedor y a un enrutador P (o conmutador) en la red del cliente:

Puede incluir estas instrucciones en los siguientes niveles jerárquicos:

  • [edit protocols]

  • [edit logical-systems logical-system-name protocols]

Configuración del BGP

En la configuración del BGP para el enrutador CE del operador de operadores del cliente (o conmutador), configure un grupo que incluya la instrucción para extender el labeled-unicast servicio VPN al enrutador (o conmutador) de PE conectado al enrutador CE del cliente final (o conmutador):

Puede incluir la bgp instrucción en los siguientes niveles jerárquicos:

  • [edit protocols]

  • [edit logical-systems logical-system-name protocols]

Para configurar un grupo para enviar rutas internas etiquetadas al enrutador de PE (o conmutador) del proveedor, incluya la bgp instrucción:

Puede incluir esta instrucción en los siguientes niveles jerárquicos:

  • [edit protocols]

  • [edit logical-systems logical-system-name protocols]

Configuración de OSPF y LDP

Para configurar OSPF y LDP en el enrutador CE (o conmutador) del operador de operadoras del cliente, incluya las ospf instrucciones y ldp :

Puede incluir estas instrucciones en los siguientes niveles jerárquicos:

  • [edit protocols]

  • [edit logical-systems logical-system-name protocols]

Configuración de opciones de política

Para configurar las opciones de política en el enrutador CE (o conmutador) del operador de operadoras del cliente, incluya la policy-statement instrucción:

Puede incluir esta instrucción en los siguientes niveles jerárquicos:

  • [edit policy-options]

  • [edit logical-systems logical-system-name policy-options]

Configuración del enrutador o conmutador de PE del proveedor

Los enrutadores de PE (o conmutadores) del operador de operador de operadoras se conectan a los enrutadores CE (o conmutadores) del cliente operador. Complete las instrucciones en las siguientes secciones para configurar el enrutador de PE (o conmutador) del proveedor:

Configuración de MPLS

En la configuración MPLS, especifique al menos dos interfaces: una al enrutador CE (o conmutador) del cliente y otra para conectarse al enrutador de PE (o conmutador) del proveedor en el otro lado de la red del proveedor:

Puede incluir estas instrucciones en los siguientes niveles jerárquicos:

  • [edit protocols mpls]

  • [edit logical-systems logical-system-name protocols mpls]

Configuración de una sesión de BGP de PE a PE

Para configurar una sesión de BGP de PE a PE en los enrutadores de PE (o conmutadores) del proveedor para permitir que las rutas VPN-IPv4 pasen entre los enrutadores de PE (o conmutadores), incluya la bgp instrucción:

Puede incluir esta instrucción en los siguientes niveles jerárquicos:

  • [edit protocols]

  • [edit logical-systems logical-system-name protocols]

Configuración de IS-IS y LDP

Para configurar IS-IS y LDP en los enrutadores de PE (o conmutadores) del proveedor, incluya las isis instrucciones y ldp :

Puede incluir estas instrucciones en los siguientes niveles jerárquicos:

  • [edit protocols]

  • [edit logical-systems logical-system-name protocols]

Configuración de opciones de política

Para configurar instrucciones de política en el enrutador de PE (o conmutador) del proveedor para exportar rutas a e importar rutas desde la red del cliente operador, incluya las policy-statement instrucciones y community :

Puede incluir estas instrucciones en los siguientes niveles jerárquicos:

  • [edit policy-options]

  • [edit logical-systems logical-system-name policy-options]

Configuración de una instancia de enrutamiento para enviar rutas al enrutador CE

Para configurar la instancia de enrutamiento en el enrutador de PE (o conmutador) del proveedor para enviar rutas etiquetadas al enrutador CE (o conmutador) del cliente operador, incluya las siguientes instrucciones:

Puede incluir estas instrucciones en los siguientes niveles jerárquicos:

  • [edit routing-instances routing-instance-name]

  • [edit logical-systems logical-system-name routing-instances routing-instance-name]

Ejemplo de VPN carrier-of-carriers: el cliente proporciona servicio VPN

En este ejemplo, el cliente de operador debe ejecutar algún tipo de MPLS (protocolo de reserva de recursos [RSVP] o LDP) en su red para proporcionar servicios VPN al cliente final. En el ejemplo siguiente, el enrutador B y el enrutador yo actúan como enrutadores (o conmutadores) de PE, y se requiere una ruta MPLS funcional entre estos enrutadores si intercambian rutas VPN-IPv4.

Para obtener información de configuración, consulte las siguientes secciones:

Topología de red para el servicio de operadora de operadoras

Un servicio de operadora de operadora permite que un proveedor de servicios de Internet (ISP) se conecte a una red troncal transparente subcontratada en varias ubicaciones.

La Figura 3 muestra la topología de red en este ejemplo de operadora de operadoras.

Figura 3: Topología de red de ejemplo de VPN operadora de operadoras Carrier-of-Carriers VPN Example Network Topology

Configuración para el enrutador A

En este ejemplo, el enrutador A actúa como el enrutador CE para el cliente final. Configure una sesión de BGP predeterminada family inet en el enrutador A:

Configuración para el enrutador B

Dado que el enrutador B es el enrutador de PE para el enrutador CE del cliente final (enrutador A), debe configurar una instancia de enrutamiento (vpna). Configure la labeled-unicast instrucción en la sesión del IBGP al enrutador D y configure family-inet-vpn para la sesión del IBGP al otro lado de la red con el enrutador I:

Configuración para el enrutador C

Configure el enrutador C como enrutador de intercambio de etiquetas dentro del AS local:

Configuración para el enrutador D

El enrutador D actúa como enrutador CE para los servicios VPN proporcionados por la red del AS 10023. En la configuración del grupo BGP para el grupo int, que controla el tráfico al enrutador B (10.255.14.179), se incluye la labeled-unicast instrucción. También debe configurar el grupo to-isp-red BGP para enviar rutas internas etiquetadas al enrutador de PE (enrutador E).

Configuración para el enrutador E

El enrutador E y el enrutador H son enrutadores de PE. Configure una sesión bgp de PE-enrutador-enrutador a PE para permitir que las rutas VPN-IPv4 pasen entre estos dos enrutadores de PE. Configure la instancia de enrutamiento en el enrutador E para enviar rutas etiquetadas al enrutador CE (enrutador D).

Configure el enrutador E:

Configuración para el enrutador F

Configure el enrutador F para cambiar etiquetas por rutas que se ejecutan a través de sus interfaces:

Configuración para el enrutador G

Configurar el enrutador G:

Configuración para el enrutador H

La configuración del enrutador H es similar a la configuración del enrutador E:

Configuración para el enrutador I

Enrutador que actúa como enrutador de PE para el cliente final. La configuración que sigue es similar a la del enrutador B:

Configuración para el enrutador J

Configure el enrutador J para cambiar etiquetas por rutas que se ejecutan a través de sus interfaces:

Configuración para el enrutador K

La configuración del enrutador K es similar a la del enrutador D:

Configuración para el enrutador L

En este ejemplo, el enrutador L es el enrutador CE del cliente final. Configure una sesión bgp de familia inet predeterminada en el enrutador L:

Varias instancias para VPN LDP y carrier-of-carriers

Al configurar varias instancias de enrutamiento LDP, puede usar LDP para anunciar etiquetas en una VPN de operadora de operadora desde un enrutador de PE de proveedor de núcleo a un enrutador CE de operador de cliente. Hacer que LDP anuncie etiquetas de esta manera es especialmente útil cuando el cliente operador es un ISP básico y quiere restringir las rutas de Internet completas a sus enrutadores de PE. Mediante el uso de LDP en lugar de BGP, el cliente de operadora protege a sus otros enrutadores internos de Internet en general. El LDP de varias instancias también es útil cuando un cliente operador quiere proporcionar servicios VPN de capa 3 o VPN de capa 2 a sus clientes.

Para obtener un ejemplo de cómo configurar varias instancias de enrutamiento LDP para VPN carrier-of-carriers, consulte https://www.juniper.net/documentation/us/en/software/junos/mpls/topics/example/multiple-instance-ldp-configuring-detailed-solutions.html.

Tabla de historial de versiones
Lanzamiento
Descripción
17.1R1
La compatibilidad con el servicio VPN como el cliente se admite en conmutadores QFX10000 a partir de Junos OS versión 17.1R1.