Túneles GRE para VPN de capa 3
Configuración de túneles GRE para VPN de capa 3
Junos OS permite configurar un túnel de encapsulación de enrutamiento genérico (GRE) entre los enrutadores PE y CE para una VPN de capa 3. El túnel GRE puede tener uno o más saltos. Puede configurar el túnel desde el enrutador PE a un enrutador CE local (como se muestra en la Figura 1) o a un enrutador CE remoto (como se muestra en la Figura 2).
PE
PE
Para obtener más información acerca de cómo configurar interfaces de túnel, consulte la Biblioteca de interfaces de servicios de Junos OS para dispositivos de enrutamiento.
Puede configurar los túneles GRE manualmente o configurar Junos OS para crear instancias de túneles GRE de forma dinámica.
En las secciones siguientes se describe cómo configurar túneles GRE de forma manual y dinámica:
Configuración manual de túneles GRE entre enrutadores PE y CE
Puede configurar manualmente un túnel GRE entre un enrutador PE y un enrutador CE local o un enrutador CE remoto para una VPN de capa 3, como se explica en las siguientes secciones:
- Configuración de la interfaz de túnel GRE en el enrutador PE
- Configuración de la interfaz de túnel GRE en el enrutador CE
Configuración de la interfaz de túnel GRE en el enrutador PE
Configure el túnel GRE como una interfaz lógica en el enrutador PE. Para configurar la interfaz de túnel GRE, incluya la unit instrucción:
unit logical-unit-number {
tunnel {
source source-address;
destination destination-address;
routing-instance {
destination routing-instance-name;
}
}
family inet {
address address;
}
}
Puede incluir esta instrucción en los siguientes niveles jerárquicos:
[edit interfaces interface-name][edit logical-systems logical-system-name interfaces interface-name]
Como parte de la configuración de la interfaz de túnel GRE, debe incluir las siguientes instrucciones:
source source-address: especifique el origen del túnel GRE, normalmente el enrutador PE.destination destination-address: especifique el destino o el punto final del túnel GRE. El destino puede ser un enrutador del proveedor, el enrutador CE local o el enrutador CE remoto.
De forma predeterminada, se supone que la dirección de destino del túnel está en la tabla de enrutamiento de Internet predeterminada, inet.0. Si la dirección de destino del túnel no está en inet.0, debe especificar qué tabla de enrutamiento buscar la dirección de destino del túnel configurando la routing-instance instrucción. Este es el caso si la interfaz de encapsulación de túnel también está configurada en la instancia de enrutamiento.
destinationrouting-instance-name: especifique el nombre de la instancia de enrutamiento al configurar la interfaz de túnel GRE en el enrutador PE.
Para completar la configuración de la interfaz de túnel GRE, incluya la interface instrucción para la interfaz GRE en la instancia de enrutamiento adecuada:
interface interface-name;
Puede incluir esta instrucción en los siguientes niveles jerárquicos:
[edit routing-instances routing-instance-name][edit logical-systems logical-system-name routing-instances routing-instance-name]
Configuración de la interfaz de túnel GRE en el enrutador CE
Puede configurar el enrutador CE local o remoto para que actúe como extremo para el túnel GRE.
Para configurar la interfaz de túnel GRE en el enrutador CE, incluya la unit instrucción:
unit logical-unit-number {
tunnel {
source address;
destination address;
}
family inet {
address address;
}
}
Puede incluir esta instrucción en los siguientes niveles jerárquicos:
[edit interfaces interface-name][edit logical-systems logical-system-name interfaces interface-name]
Configuración dinámica de túneles GRE
Cuando el enrutador recibe una ruta VPN a una dirección de próximo salto BGP, pero no hay ninguna ruta MPLS disponible, se puede generar dinámicamente un túnel GRE para transportar el tráfico VPN a través de la red BGP. Se genera el túnel GRE y, a continuación, su información de enrutamiento se copia en la tabla de enrutamiento inet.3. Las rutas IPv4 son el único tipo de rutas admitidas para túneles GRE dinámicos. Además, la plataforma de enrutamiento debe tener una PIC de túnel.
Cuando configure un túnel GRE dinámico a un enrutador CE remoto, no configure OSPF a través de la interfaz de túnel. Crea un bucle de enrutamiento que obliga al enrutador a derribar el túnel GRE. El enrutador intenta restablecer el túnel GRE, pero se verá obligado a desactivarlo de nuevo cuando OSPF se active en la interfaz del túnel y descubra una ruta al extremo del túnel. Esto no es un problema cuando se configuran túneles GRE estáticos a un enrutador CE remoto.
Para generar túneles GRE de forma dinámica, incluya la dynamic-tunnels instrucción:
dynamic-tunnels tunnel-name { destination-networks prefix; source-address address; }
Puede incluir esta instrucción en los siguientes niveles jerárquicos:
-
[edit routing-options] -
[edit routing-instances routing-instance-name routing-options] -
[edit logical-systems logical-system-name routing-options] -
[edit logical-systems logical-system-name routing-instances routing-instance-name routing-options ]
Especifique el intervalo de prefijos IPv4 (por ejemplo, 10/8 u 11.1/16) para la red de destino incluyendo la destination-networks instrucción. Solo se permite iniciar túneles dentro del rango de prefijos IPv4 especificado.
destination-networks prefix;
Puede incluir esta instrucción en los siguientes niveles jerárquicos:
-
[edit routing-options] -
[edit routing-instances routing-instance-name routing-options] -
[edit logical-systems logical-system-name routing-options] -
[edit logical-systems logical-system-name routing-instances routing-instance-name routing-options ]
Especifique la dirección de origen para los túneles GRE incluyendo la source-address instrucción. La dirección de origen especifica la dirección utilizada como origen para el extremo del túnel local. Podría ser cualquier dirección local del enrutador (normalmente el ID del enrutador o la dirección de circuito cerrado).
source-address address;
Puede incluir esta instrucción en los siguientes niveles jerárquicos:
-
[edit routing-options] -
[edit routing-instances routing-instance-name routing-options] -
[edit logical-systems logical-system-name routing-options] -
[edit logical-systems logical-system-name routing-instances routing-instance-name routing-options ]
Ver también
Configuración de una interfaz de túnel GRE entre enrutadores PE
En este ejemplo se muestra cómo configurar una interfaz de túnel de encapsulación de enrutamiento genérico (GRE) entre enrutadores PE para proporcionar conectividad VPN. Puede usar esta configuración para tunelizar el tráfico VPN a través de una red central que no sea MPLS. La topología de red utilizada en este ejemplo se muestra en la figura 3. Los enrutadores P que se muestran en esta ilustración no ejecutan MPLS.
de túnel GRE
Para obtener información de configuración, consulte las secciones siguientes:
- Configuración de la instancia de enrutamiento en el enrutador A
- Configuración de la instancia de enrutamiento en el enrutador D
- Configuración de MPLS, BGP y OSPF en el enrutador A
- Configuración de MPLS, BGP y OSPF en el enrutador D
- Configuración de la interfaz de túnel en el enrutador A
- Configuración de la interfaz de túnel en el enrutador D
- Configuración de las opciones de enrutamiento en el enrutador A
- Configuración de las opciones de enrutamiento en el enrutador D
- Resumen de configuración para el enrutador A
- Resumen de configuración del enrutador D
Configuración de la instancia de enrutamiento en el enrutador A
Configure una instancia de enrutamiento en el enrutador A:
[edit routing-instances]
gre-config {
instance-type vrf;
interface fe-1/0/0.0;
route-distinguisher 10.255.14.176:69;
vrf-import import-config;
vrf-export export-config;
protocols {
ospf {
export import-config;
area 0.0.0.0 {
interface all;
}
}
}
}
Configuración de la instancia de enrutamiento en el enrutador D
Configure una instancia de enrutamiento en el enrutador D:
[edit routing-instances]
gre-config {
instance-type vrf;
interface fe-1/0/1.0;
route-distinguisher 10.255.14.178:69;
vrf-import import-config;
vrf-export export-config;
protocols {
ospf {
export import-config;
area 0.0.0.0 {
interface all;
}
}
}
}
Configuración de MPLS, BGP y OSPF en el enrutador A
Aunque en este ejemplo no es necesario configurar MPLS en los enrutadores P, sí es necesario en los enrutadores PE para la interfaz entre los enrutadores PE y CE y en la interfaz GRE (gr-1/1/0.0) que vincula los enrutadores PE (enrutadores A y D). Configure MPLS, BGP y OSPF en el enrutador A:
[edit protocols]
mpls {
interface all;
}
bgp {
group pe-to-pe {
type internal;
neighbor 10.255.14.178 {
family inet-vpn {
unicast;
}
}
}
}
ospf {
area 0.0.0.0 {
interface all;
interface gr-1/1/0.0 {
disable;
}
}
}
Configuración de MPLS, BGP y OSPF en el enrutador D
Aunque en este ejemplo no es necesario configurar MPLS en los enrutadores P, sí es necesario en los enrutadores PE para la interfaz entre los enrutadores PE y CE y en la interfaz GRE (gr-1/1/0.0) que vincula los enrutadores PE (enrutador D y A). Configure MPLS, BGP y OSPF en el enrutador D:
[edit protocols]
mpls {
interface all;
}
bgp {
group pe-to-pe {
type internal;
neighbor 10.255.14.176 {
family inet-vpn {
unicast;
}
}
}
}
ospf {
traffic-engineering;
area 0.0.0.0 {
interface all;
interface fxp0.0 {
disable;
}
interface gr-1/1/0.0 {
disable;
}
}
}
Configuración de la interfaz de túnel en el enrutador A
Configure la interfaz de túnel en el enrutador A (el túnel no está numerado):
[edit interfaces interface-name]
unit 0 {
tunnel {
source 10.255.14.176;
destination 10.255.14.178;
}
family inet;
family mpls;
}
Configuración de la interfaz de túnel en el enrutador D
Configure la interfaz de túnel en el enrutador D (el túnel no está numerado):
[edit interfaces interface-name]
unit 0 {
tunnel {
source 10.255.14.178;
destination 10.255.14.176;
}
family inet;
family mpls;
}
Configuración de las opciones de enrutamiento en el enrutador A
Como parte de la configuración de opciones de enrutamiento para el enrutador A, debe configurar grupos de tablas de enrutamiento para habilitar la resolución de ruta VPN en la tabla de enrutamiento inet.3.
Configure las opciones de enrutamiento en el enrutador A:
[edit routing-options]
interface-routes {
rib-group inet if-rib;
}
rib inet.3 {
static {
route 10.255.14.178/32 next-hop gr-1/1/0.0;
}
}
rib-groups {
if-rib {
import-rib [ inet.0 inet.3 ];
}
}
Configuración de las opciones de enrutamiento en el enrutador D
Como parte de la configuración de opciones de enrutamiento para el enrutador D, debe configurar grupos de tablas de enrutamiento para habilitar la resolución de ruta VPN en la tabla de enrutamiento inet.3.
Configure las opciones de enrutamiento en el enrutador D:
[edit routing-options]
interface-routes {
rib-group inet if-rib;
}
rib inet.3 {
static {
route 10.255.14.176/32 next-hop gr-1/1/0.0;
}
}
rib-groups {
if-rib {
import-rib [ inet.0 inet.3 ];
}
}
Resumen de configuración para el enrutador A
Configurar la instancia de enrutamiento
gre-config {
instance-type vrf;
interface fe-1/0/0.0;
route-distinguisher 10.255.14.176:69;
vrf-import import-config;
vrf-export export-config;
protocols {
ospf {
export import-config;
area 0.0.0.0 {
interface all;
}
}
}
}
Configurar MPLS
mpls {
interface all;
}
Configurar BGP
bgp {
traceoptions {
file bgp.trace world-readable;
flag update detail;
}
group pe-to-pe {
type internal;
neighbor 10.255.14.178 {
family inet-vpn {
unicast;
}
}
}
}
Configurar OSPF
ospf {
area 0.0.0.0 {
interface all;
interface gr-1/1/0.0 {
disable;
}
}
}
Configurar la interfaz de túnel
interface-name {
unit 0 {
tunnel {
source 10.255.14.176;
destination 10.255.14.178;
}
family inet;
family mpls;
}
}
Configurar opciones de enrutamiento
interface-routes {
rib-group inet if-rib;
}
rib inet.3 {
static {
route 10.255.14.178/32 next-hop gr-1/1/0.0;
}
}
rib-groups {
if-rib {
import-rib [ inet.0 inet.3 ];
}
}
Resumen de configuración del enrutador D
Configurar la instancia de enrutamiento
gre-config {
instance-type vrf;
interface fe-1/0/1.0;
route-distinguisher 10.255.14.178:69;
vrf-import import-config;
vrf-export export-config;
protocols {
ospf {
export import-config;
area 0.0.0.0 {
interface all;
}
}
}
}
Configurar MPLS
mpls {
interface all;
}
Configurar BGP
bgp {
group pe-to-pe {
type internal;
neighbor 10.255.14.176 {
family inet-vpn {
unicast;
}
}
}
}
Configurar OSPF
ospf {
traffic-engineering;
area 0.0.0.0 {
interface all;
interface fxp0.0 {
disable;
}
interface gr-1/1/0.0 {
disable;
}
}
}
Configurar la interfaz de túnel
interface-name {
unit 0 {
tunnel {
source 10.255.14.178;
destination 10.255.14.176;
}
family inet;
family mpls;
}
}
Configurar las opciones de enrutamiento
interface-routes {
rib-group inet if-rib;
}
rib inet.3 {
static {
route 10.255.14.176/32 next-hop gr-1/1/0.0;
}
}
rib-groups {
if-rib {
import-rib [ inet.0 inet.3 ];
}
}
Configuración de una interfaz de túnel GRE entre un enrutador PE y CE
En este ejemplo se muestra cómo configurar una interfaz de túnel GRE entre un enrutador PE y un enrutador CE. Puede usar esta configuración para tunelizar el tráfico VPN a través de una red central que no sea MPLS. La topología de red utilizada en este ejemplo se muestra en la figura 4.
PE
Para este ejemplo, complete los procedimientos descritos en las secciones siguientes:
- Configuración de la instancia de enrutamiento sin la interfaz de encapsulación
- Configuración de la instancia de enrutamiento con la interfaz de encapsulación
- Configuración de la interfaz de túnel GRE en el enrutador CE1
Configuración de la instancia de enrutamiento sin la interfaz de encapsulación
Puede configurar la instancia de enrutamiento con o sin la interfaz de encapsulación. En las secciones siguientes se explica cómo configurar la instancia de enrutamiento sin ella:
- Configuración de la instancia de enrutamiento en el enrutador PE1
- Configuración de la interfaz de túnel GRE en el enrutador PE1
- Configuración de la interfaz de encapsulación en el enrutador PE1
Configuración de la instancia de enrutamiento en el enrutador PE1
Configure la instancia de enrutamiento en el enrutador PE1:
[edit routing-instances]
vpna {
instance-type vrf;
interface gr-1/2/0.0;
route-distinguisher 10.255.14.174:1;
vrf-import vpna-import;
vrf-export vpna-export;
protocols {
bgp {
group vpna {
type external;
peer-as 100;
as-override;
neighbor 10.49.2.1;
}
}
}
}
Configuración de la interfaz de túnel GRE en el enrutador PE1
Configure la interfaz de túnel GRE en el enrutador PE1:
[edit interfaces gr-1/2/0]
unit 0 {
tunnel {
source 192.168.197.249;
destination 192.168.197.250;
}
family inet {
address 10.49.2.2/30;
}
}
En este ejemplo, la interfaz t3-0/1/3 actúa como interfaz de encapsulación para el túnel GRE.
Al configurar la clear-dont-fragment-bit instrucción en una interfaz con la familia de protocolos MPLS habilitada, debe especificar un valor MTU. Este valor de MTU no debe ser mayor que el valor máximo admitido, que es 9192.
Por ejemplo:
user@host# show interfaces gr-1/2/0
unit 0 {
clear-dont-fragment-bit;
family inet {
mtu 9100;
address 10.10.1.1/32;
}
family mpls {
mtu 9100;
}
}
Configuración de la interfaz de encapsulación en el enrutador PE1
Configure la interfaz de encapsulación en el enrutador PE1:
[edit interfaces t3-0/1/3]
unit 0 {
family inet {
address 192.168.197.249/30;
}
}
Configuración de la instancia de enrutamiento con la interfaz de encapsulación
Si la interfaz de encapsulación de túnel, t3-0/1/3, también está configurada en la instancia de enrutamiento, debe especificar el nombre de esa instancia de enrutamiento en la definición de interfaz. El sistema utiliza esta instancia de enrutamiento para buscar la dirección de destino del túnel.
Para configurar la instancia de enrutamiento con la interfaz de encapsulación, realice los pasos de las secciones siguientes:
- Configuración de la instancia de enrutamiento en el enrutador PE1
- Configuración de la interfaz de túnel GRE en el enrutador PE1
- Configuración de la interfaz de encapsulación en el enrutador PE1
Configuración de la instancia de enrutamiento en el enrutador PE1
Si configura la interfaz de encapsulación de túnel en la instancia de enrutamiento, configure la instancia de enrutamiento en el enrutador PE1:
[edit routing-instances]
vpna {
instance-type vrf;
interface gr-1/2/0.0;
interface t3-0/1/3.0;
route-distinguisher 10.255.14.174:1;
vrf-import vpna-import;
vrf-export vpna-export;
protocols {
bgp {
group vpna {
type external;
peer-as 100;
as-override;
neighbor 10.49.2.1;
}
}
}
}
Configuración de la interfaz de túnel GRE en el enrutador PE1
Configure la interfaz de túnel GRE en el enrutador PE1:
[edit interfaces gr-1/2/0]
unit 0 {
tunnel {
source 192.168.197.249;
destination 192.168.197.250;
routing-instance {
destination vpna;
}
}
family inet {
address 10.49.2.2/30;
}
}
Al configurar la clear-dont-fragment-bit instrucción en una interfaz con la familia de protocolos MPLS habilitada, debe especificar un valor MTU. Este valor de MTU no debe ser mayor que el valor máximo admitido, que es 9192.
Por ejemplo:
user@host# show interfaces gr-1/2/0
unit 0 {
clear-dont-fragment-bit;
family inet {
mtu 9100;
address 10.10.1.1/32;
}
family mpls {
mtu 9100;
}
}
Al configurar la clear-dont-fragment-bit instrucción en una interfaz con la familia de protocolos MPLS habilitada, debe especificar un valor MTU. Este valor de MTU no debe ser mayor que el valor máximo admitido, que es 9192.
Por ejemplo:
user@host# show interfaces gr-1/2/0
unit 0 {
clear-dont-fragment-bit;
family inet {
mtu 9100;
address 10.10.1.1/32;
}
family mpls {
mtu 9100;
}
}
Configuración de la interfaz de encapsulación en el enrutador PE1
Configure la interfaz de encapsulación en el enrutador PE1:
[edit interfaces t3-0/1/3]
unit 0 {
family inet {
address 192.168.197.249/30;
}
}
Configuración de la interfaz de túnel GRE en el enrutador CE1
Configure la interfaz de túnel GRE en el enrutador CE1:
[edit interfaces gr-1/2/0]
unit 0 {
tunnel {
source 192.168.197.250;
destination 192.168.197.249;
}
family inet {
address 10.49.2.1/30;
}
}