Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Conexión de VPN de capa 3 a VPN de capa 2

Descripción general de VPN de capa 2 de interconexión con VPN de capa 3

A medida que MPLS la demanda de los servicios de capa 2 basados en MPLS, surgen nuevos desafíos para que los proveedores de servicios puedan interoperar con servicios de capa 2 y capa 3 y ofrecer a sus clientes servicios de valor agregado. Junos OS varias funciones para abordar las necesidades de los proveedores de servicios. Una de estas características es el uso de una interfaz de túnel lógico. Esta Junos OS funcionalidad hace uso de una PIC de túnel para bucles de salida y regreso del motor de reenvío de paquetes para vincular la red de capa 2 con la red de capa 3. La solución está limitada por las restricciones de ancho de banda de túnel lógico impuestas por la PIC del túnel.

Aplicaciones de VPN de capa 2 de interconexión con aplicaciones de VPN de capa 3

Interconectar una VPN de capa 2 con una VPN de capa 3 brinda las siguientes ventajas:

  • Una sola línea de acceso para proporcionar varios servicios: las VPN tradicionales a través de circuitos de capa 2 requieren el aprovisionamiento y el mantenimiento de redes separadas para IP y para servicios VPN. Por el contrario, las VPN de capa 2 permiten compartir la infraestructura de red principal de un proveedor entre servicios IP y VPN de capa 2, lo que reduce el costo de prestación de esos servicios.

  • Flexibilidad: el proveedor de servicios puede adaptar muchos tipos diferentes de redes. Si todos los sitios de una VPN son propiedad de la misma empresa, esta es una intranet. Si varios sitios son propiedad de diferentes empresas, la VPN es una extranet. Un sitio puede encontrarse en más de una VPN.

  • Amplia gama de políticas posibles: puede proporcionar a cada sitio en una VPN una ruta diferente a cada otro sitio, o puede forzar el tráfico entre ciertos pares de sitios enrutados a través de un tercer sitio y, por lo tanto, pasar cierto tráfico a través de un firewall.

  • Red escalable: este diseño mejora la escalabilidad, ya que elimina la necesidad de enrutadores de borde de proveedor (PE) para mantener todas las rutas VPN del proveedor de servicios. Cada enrutador de PE mantiene una tabla VRF para cada uno de sus sitios conectados directamente. Cada conexión del cliente (como un FRAME Relay DE PVC, un PVC ATM o una VLAN) se asigna a una tabla VRF específica. Por lo tanto, es un puerto en el enrutador de PE y no un sitio que esté asociado con una tabla VRF. Varios puertos en un enrutador de PE se pueden asociar con una sola tabla VRF. Es la capacidad de los enrutadores de PE para mantener varias tablas de reenvío que admiten la segregación por VPN de la información de enrutamiento.

  • Uso de reflector de ruta: los enrutadores de borde del proveedor pueden mantener sesiones de IBGP para enrutar reflectores como alternativa a una malla completa de sesiones de IBGP. La implementación de varios reflectores de ruta mejora la escalabilidad del modelo RFC 2547bis, ya que elimina la necesidad de un solo componente de red para mantener todas las rutas VPN.

  • Varias VPN se mantienen separadas y distintas entre sí: los enrutadores de borde del cliente no se emparejan entre sí. Dos sitios tienen conectividad IP a través de la red troncal común solamente, y solo si hay una VPN que contiene ambos sitios. Esta característica mantiene las VPN separadas y distintas entre sí, incluso si dos VPN tienen un espacio de direcciones superpuesta.

  • Fácil de usar para los clientes: los clientes pueden obtener servicios de red troncal IP de un proveedor de servicios y no necesitan mantener sus propias redes troncales.

Ejemplo: interconectar una VPN de capa 2 con una VPN de capa 3

En este ejemplo, se proporciona un procedimiento paso a paso y comandos para interconectar y comprobar una VPN de capa 2 con una VPN de capa 3. Contiene las siguientes secciones:

Requisitos

En este ejemplo, se utilizan los siguientes componentes de hardware y software:

  • Junos OS versión 9.3 o posterior

  • Cinco enrutadores serie MX

  • Tres M Series routers

  • Dos serie T routers

Descripción general y topología

Una VPN de capa 2 es un tipo de red privada virtual (VPN) que utiliza etiquetas MPLS etiquetas para transportar datos. La comunicación se produce entre los enrutadores de borde del proveedor (PE).

Las VPN de capa 2 utilizan BGP como protocolo de señalización y, por lo tanto, tienen un diseño más sencillo y requieren menos sobrecarga de aprovisionamiento que las VPN tradicionales a través de circuitos de capa 2. BGP la señalización automática también permite la autodescubrimiento de los pares VPN de capa 2. Las VPN de capa 2 pueden tener una topología de malla completa o de hub-and-spoke. El mecanismo de tunelización en la red principal es, por lo general, MPLS. Sin embargo, las VPN de capa 2 también pueden usar otros protocolos de túnel, como GRE.

Las VPN de capa 3 se basan en RFC 2547bis, BGP /MPLS VPN IP. Rfc 2547bis define un mecanismo mediante el cual los proveedores de servicios pueden utilizar sus backbones IP para proporcionar servicios VPN a sus clientes. Una VPN de capa 3 es un conjunto de sitios que comparten información de enrutamiento común y cuya conectividad está controlada por una recopilación de políticas. Los sitios que constituyen una VPN de capa 3 están conectados a través de la red troncal de Internet pública existente de un proveedor. Las VPN RFC 2547bis también se conocen como VPN de BGP/MPLS, ya que BGP se utiliza para distribuir la información de enrutamiento VPN a través de la red troncal del proveedor, y MPLS se usa para reenviar el tráfico VPN a través de la red troncal a sitios VPN remotos.

Las redes del cliente, ya que son privadas, pueden usar direcciones públicas o privadas, tal como se define en rfc 1918, Asignación de direcciones para Internets privadas. Cuando las redes de clientes que utilizan direcciones privadas se conectan a la infraestructura de Internet pública, las direcciones privadas pueden superponerse con las mismas direcciones privadas utilizadas por otros usuarios de la red. MPLS/BGP VPN resuelven este problema agregando un diferenciador de ruta. Un diferenciador de ruta es un prefijo de identificador VPN que se agrega a cada dirección de un sitio VPN en particular, lo que crea una dirección que es única tanto dentro de la VPN como dentro de Internet.

Además, cada VPN tiene su propia tabla de enrutamiento específica de VPN que contiene la información de enrutamiento solo para esa VPN. Para separar las rutas de una VPN de las rutas en la Internet pública o las de otras VPN, el enrutador de PE crea una tabla de enrutamiento independiente para cada VPN denominada tabla de enrutamiento y reenvío VPN (VRF). El enrutador de PE crea una tabla VRF para cada VPN que tenga una conexión con un enrutador de borde del cliente (BRC). Cualquier cliente o sitio que pertenezca a la VPN solo puede acceder a las rutas de las tablas VRF para esa VPN. Cada tabla VRF tiene uno o más atributos de comunidad extendidos asociados con él que identifican la ruta como que pertenece a una colección específica de enrutadores. Uno de ellos, el atributo de destino de ruta, identifica una colección de sitios (tablas VRF) a los que un enrutador de PE distribuye rutas. El enrutador de PE utiliza el destino de ruta para restringir la importación de rutas remotas en sus tablas VRF.

Cuando un enrutador de PE de entrada recibe rutas anunciadas desde un enrutador BRC conectado directamente, comprueba la ruta recibida con la política de exportación de VRF para esa VPN.

  • Si coincide, la ruta se convierte al formato VPN-IPv4; es decir, el diferenciador de ruta se agrega a la ruta. Luego, el enrutador de PE anuncia la ruta en formato VPN-IPv4 a los enrutadores de PE remotos. También adjunta un destino de ruta a cada ruta aprendida desde los sitios conectados directamente. El destino de ruta conectado a la ruta se basa en el valor de la política de destino de exportación configurada de la tabla VRF. A continuación, las rutas se distribuyen mediante sesiones de IBGP que se configuran en la red principal del proveedor.

  • Si la ruta del enrutador de BRC no coincide, no se exporta a otros enrutadores pe, pero aún se puede utilizar localmente para el enrutamiento, por ejemplo, si dos enrutadores BRC de la misma VPN están directamente conectados al mismo enrutador pe.

Cuando un enrutador de PE de salida recibe una ruta, la comprueba con la política de importación en la sesión del IBGP entre los enrutadores pe. Si se acepta, el enrutador coloca la ruta en su tabla bgp.l3vpn.0. Al mismo tiempo, el enrutador comprueba la ruta con la política de importación de VRF para la VPN. Si coincide, el diferenciador de ruta se elimina de la ruta y la ruta se coloca en la tabla VRF ( routing-instance-namela tabla .inet.0) en formato IPv4.

Topología

En la Figura 1 se muestra la topología física de una interconexión VPN de capa 2 VPN a capa 3.

Gráfico 1: Topología física de una VPN de capa 2 que termina en una VPN Physical Topology of a Layer 2 VPN Terminating into a Layer 3 VPN de capa 3

La topología lógica de una interconexión VPN de capa 2 VPN a capa 3 se muestra en la Figura 2.

Gráfico 2: Topología lógica de una VPN de capa 2 que termina en una VPN Logical Topology of a Layer 2 VPN Terminating into a Layer 3 VPN de capa 3

En las siguientes definiciones se describe el significado de las definiciones de dispositivo utilizadas en las figura 1 y 2.

  • Dispositivo de borde del cliente (BRC): un dispositivo en las instalaciones del cliente que proporciona acceso a la VPN del proveedor de servicios a través de un vínculo de datos a uno o más enrutadores de borde del proveedor (PE).

    Normalmente, BRC dispositivo es un enrutador IP que establece una adyacencia con sus enrutadores PE conectados directamente. Después de establecer la adyacencia, el enrutador de BRC anuncia las rutas VPN locales del sitio al enrutador de PE y aprende rutas VPN remotas desde el enrutador de PE.

  • Dispositivo de borde del proveedor (PE): un dispositivo o conjunto de dispositivos en el borde de la red del proveedor que presenta la vista del proveedor del sitio del cliente.

    Los enrutadores PE intercambian información de enrutamiento BRC enrutadores. Los enrutadores de PE son conscientes de las VPN que se conectan a través de ellas, y los enrutadores de PE mantienen el estado vpn. Un enrutador de PE solo es necesario para mantener rutas VPN para aquellas VPN a las que está directamente conectada. Después de aprender rutas VPN locales desde BRC enrutadores, un enrutador de PE intercambia información de enrutamiento VPN con otros enrutadores PE mediante IBGP. Por último, cuando se utiliza MPLS para reenviar el tráfico de datos VPN a través de la red troncal del proveedor, el enrutador de PE de entrada funciona como el enrutador de conmutación de etiquetas de entrada (ECE) y el enrutador de PE de salida funciona como el enrutador de ECE.

  • Dispositivo del proveedor (P): un dispositivo que funciona dentro de la red principal del proveedor y no interfaz directamente con ningún BRC.

    Aunque el dispositivo P es una parte clave de la implementación de VPN para los clientes del proveedor de servicios y puede proporcionar enrutamiento para muchos túneles operados por el proveedor que pertenecen a diferentes VPN, no es en sí mismo compatible con VPN y no mantiene el estado de VPN. Su función principal es permitir que el proveedor de servicios escale sus ofertas de VPN, por ejemplo, actuando como un punto de agregación para varios enrutadores de PE.

    Los enrutadores P funcionan como MPLS tránsito de LSR al reenviar tráfico de datos VPN entre enrutadores PE. Los enrutadores P solo son necesarios para mantener las rutas a los enrutadores de PE del proveedor; no deben mantener información específica de enrutamiento VPN para cada sitio del cliente.

Configuración

Para interconectar una VPN de capa 2 con una VPN de capa 3, realice estas tareas:

Configuración de protocolos e interfaces de base

Procedimiento paso a paso
  1. En cada enrutador de PE y P, configure OSPF con extensiones de ingeniería de tráfico en todas las interfaces. Desactive OSPF en la interfaz fxp0.0.

  2. En todos los enrutadores de núcleo, habilite MPLS en todas las interfaces. Desactive MPLS en la interfaz fxp0.0.

  3. En todos los enrutadores de núcleo, cree un grupo de par BGP interno y especifique la dirección de reflector de ruta (192.0.2.7) como vecino. También habilite BGP para llevar mensajes de información de alcanzabilidad de capa de red VPLS (NLRI) signaling de capa 2 para este grupo par incluyendo la instrucción en el [edit protocols bgp group group-name family l2vpn] nivel de jerarquía.

  4. En el enrutador PE3, cree un grupo de par BGP interno y especifique la dirección IP del reflector de ruta (192.0.2.7) como vecino. Habilite BGP para llevar mensajes de NLRI VPLS de capa 2 para este grupo par y habilitar el procesamiento de direcciones VPN-IPv4 unicast [edit protocols bgp group group-name family inet-vpn] incluyendo la instrucción en el nivel jerárquido.

  5. Para el dominio VPN de capa 3 en el enrutador PE3 y el enrutador PE5, habilite RSVP en todas las interfaces. Desactive RSVP en la interfaz fxp0.0.

  6. En el enrutador PE3 y PE5 del enrutador, cree rutas conmutadas por etiquetas (LSP) al reflector de ruta y a los otros enrutadores PE. En el ejemplo siguiente se muestra la configuración en el enrutador PE5.

  7. En los enrutadores PE1, PE2, PE3 y PE5, configure las interfaces principales con una dirección IPv4 y habilite la familia MPLS dirección. En el ejemplo siguiente se muestra la configuración de la interfaz xe-0/1/0 en el enrutador PE2.

  8. En el enrutador PE2 y PE3 del enrutador, configure LDP para la VPN de capa 2 MPLS protocolo de señalización para todas las interfaces. Desactive LDP en la interfaz fxp0.0. (También se puede utilizar RSVP.)

  9. En el reflector de ruta, cree par BGP grupo interno y especifique las direcciones IP de los enrutadores de PE como vecinos.

  10. En el reflector de ruta, configure MPLS LSP hacia los enrutadores PE3 y PE5 para resolver los siguientes saltos BGP de la tabla de enrutamiento inet.3.

Configuración de interfaces VPN

Procedimiento paso a paso

El enrutador PE2 es un extremo de la VPN de capa 2. El enrutador PE3 realiza la unión VPN de capa 2 entre la VPN de capa 2 y la VPN de capa 3. El enrutador PE3 utiliza la interfaz de túnel lógico (lt interface) configurada con distintas unidades de interfaz lógica aplicadas en dos instancias VPN de capa 2 diferentes. El paquete se une a través de la interfaz lt configurada en el enrutador PE3. La configuración del enrutador PE5 contiene la interfaz BRC PE.

  1. En el enrutador PE2, configure la encapsulación de interfaz ge-1/0/2. Incluya la instrucción de encapsulación y especifique la ethernet-ccc opción (vlan-ccc también se admite encapsulación) en el nivel [edit interfaces ge-1/0/2] de jerarquía. La encapsulación debe ser la misma en todo un dominio VPN de capa 2 (enrutadores PE2 y PE3). Además, configure la interfaz lo0.

  2. En el enrutador PE2, configure la instancia de enrutamiento en el nivel de jerarquía [edit routing-instances] . Asimismo, configure el protocolo VPN de capa 2 en el nivel de jerarquía [edit routing-instances routing-instances-name protocols] . Configure el ID de sitio remoto como 3. El ID de sitio 3 representa el enrutador PE3 (Hub-PE). La VPN de capa 2 usa LDP como protocolo de señalización. Tenga en cuenta que en el ejemplo siguiente, tanto la instancia de enrutamiento como el protocolo se denominan l2vpn.

  3. En el enrutador PE5, configure la interfaz Gigabit Ethernet para el vínculo PE-BRC y ge-2/0/0 configure la lo0 interfaz.

  4. En el enrutador PE5, configure la instancia de enrutamiento VPN de capa 3 (L3VPN) en el nivel [edit routing-instances] jerárquido. También configure BGP en el nivel [edit routing-instances L3VPN protocols] de jerarquía.

  5. En un enrutador de la serie MX, como el enrutador PE3, debe crear la interfaz de servicios de túnel que se utilizará para los servicios de túnel. Para crear la interfaz de servicio de túnel, incluya bandwidth la instrucción y especifique la cantidad de ancho de banda que se debe reservar para los servicios de túnel en gigabits por segundo en el nivel [edit chassis fpc slot-number pic slot-number tunnel-services] de jerarquía.

  6. En el enrutador PE3, configure la interfaz de Gigabit Ethernet.

    Incluya la address instrucción en el nivel [edit interfaces ge-1/0/1.0 family inet] de jerarquía y especifique 198.51.100.9/24 como dirección IP.

  7. En el enrutador PE3, configure la interfaz lt-1/1/10.0 de túnel lógico en el nivel [edit interfaces lt-1/1/10 unit 0] de jerarquía. El enrutador PE3 es el enrutador que une la VPN de capa 2 a la VPN de capa 3 mediante la interfaz de túnel lógico. La configuración de las interfaces de unidad par es lo que hace que la interconexión.

    Para configurar la interfaz, incluya la instrucción encapsulation y especifique la ethernet-ccc opción. Incluya la peer-unit instrucción y especifique la unidad de interfaz lógica como 1 interfaz de túnel par. Incluya la family instrucción y especifique la ccc opción.

  8. En el enrutador PE3, configure la interfaz lt-1/1/10.1 de túnel lógico en el nivel [edit interfaces lt-1/1/10 unit 1] de jerarquía.

    Para configurar la interfaz, incluya la instrucción encapsulation y especifique la ethernet opción. Incluya la peer-unit instrucción y especifique la unidad de interfaz lógica como 0 interfaz de túnel par. Incluya la family instrucción y especifique la inet opción. Incluya la address instrucción en el nivel [edit interfaces lt-1/1/10 unit 0] de jerarquía y especifique 198.51.100.7/24 como dirección IPv4.

  9. En el enrutador PE3, agregue la unidad lt de interfaz 1 a la instancia de enrutamiento en el nivel [edit routing-instances L3VPN] jerárquido. Configure el tipo vrf lt de instancia como con la unidad par 1 como interfaz PE-BRC para terminar la VPN de capa 2 en el enrutador PE2 en la VPN de capa 3 en el enrutador PE3.

  10. En el enrutador PE3, agregue la unidad lt de interfaz 0 a la instancia de enrutamiento en el nivel [edit routing-instances protocols l2vpn] jerárquido. También configure el mismo destino de vrf para las instancias de enrutamiento VPN de capa 2 y VPN de capa 3, de modo que se puedan filtrar las rutas entre las instancias. La configuración de ejemplo del paso anterior muestra el destino vrf para la instancia L3VPN de enrutamiento. En el siguiente ejemplo, se muestra el destino vrf para la instancia l2vpn de enrutamiento.

  11. En el enrutador PE3, policy-statement configure la instrucción para exportar las rutas lt aprendidas desde la unidad de interfaz conectada directamente 1 a todos los enrutadores BRC de conectividad, si fuera necesario.

Resultados

La siguiente salida muestra la configuración completa del enrutador PE2:

Enrutador PE2

La siguiente salida muestra la configuración final del enrutador PE5:

Enrutador PE5

La siguiente salida muestra la configuración final del enrutador PE3:

Enrutador PE3

Verificación

Verifique la interconexión VPN de capa 2 VPN a capa 3:

Verificar la interfaz VPN del enrutador PE2

Propósito

Compruebe que la VPN de capa 2 esté activa y funcione en la interfaz del enrutador PE2 y que todas las rutas estén ahí.

Acción
  1. Utilice el show l2vpn connections comando para comprobar que el ID del sitio de conexión es 3 para el enrutador PE3 y que el estado es Up.

  2. Utilice el show route table comando para comprobar que la ruta VPN de capa 2 está presente y que hay un salto siguiente de 10.10.5.2 a través de la xe-0/2/0.0 interfaz. El siguiente resultado verifica que las rutas VPN de capa 2 estén presentes en la tabla l2vpn.l2vpn.0. Se debe mostrar una salida similar para el enrutador PE3.

  3. Verifique que el enrutador PE2 tenga una etiqueta VPN MPLS de capa 2 que apunte a la etiqueta LDP al enrutador PE3 en ambas direcciones (PUSH y PDP).

Significado

La l2vpn instancia de enrutamiento está activa en la interfaz ge-1/0/2 y la ruta VPN de capa 2 se muestra en la tabla l2vpn.l2vpn.0. La mpls.0 tabla muestra las rutas VPN de capa 2 que se utilizan para reenviar el tráfico mediante una etiqueta LDP.

Verificar la interfaz VPN del enrutador PE3

Propósito

Compruebe que la conexión VPN de capa 2 del enrutador PE2 y el enrutador PE3 esté Up funcionando.

Acción
  1. Compruebe que la sesión BGP con el reflector de ruta para la familia l2vpn-signaling y la inet-vpn familia está establecida.

  2. El siguiente resultado verifica la ruta VPN de capa 2 y la etiqueta asociada con ella.

  3. El siguiente resultado muestra la ruta L2VPN MPLS.0 en la tabla de rutas mpls.0.

  4. Use el show route table mpls.0 comando con la opción detail para ver los atributos BGP de la ruta, como el tipo de salto siguiente y las operaciones de etiqueta.

Verificar la conectividad de extremo a extremo desde el enrutador CE2 al enrutador CE5 y el enrutador CE3

Propósito

Compruebe la conectividad entre los enrutadores CE2, CE3 y CE5.

Acción
  1. Haga ping en la dirección IP del enrutador CE3 desde el enrutador CE2.

  2. Haga ping en la dirección IP del enrutador CE5 desde el enrutador CE2.