Túneles GRE para VPN de capa 3
Configuración de túneles GRE para VPN de capa 3
Junos OS le permite configurar un túnel de encapsulación de enrutamiento genérico (GRE) entre los enrutadores PE y CE para una VPN de capa 3. El túnel GRE puede tener uno o más saltos. Puede configurar el túnel desde el enrutador de PE a un enrutador CE local (como se muestra en la figura 1) o a un enrutador CE remoto (como se muestra en la figura 2).
de PE
de PE
Para obtener más información acerca de cómo configurar interfaces de túnel, consulte la biblioteca de interfaces de servicios de Junos OS para dispositivos de enrutamiento.
Puede configurar los túneles GRE manualmente o configurar Junos OS para instanciar túneles GRE dinámicamente.
En las siguientes secciones se describe cómo configurar los túneles GRE de forma manual y dinámica:
Configuración manual de túneles GRE entre enrutadores PE y CE
Puede configurar manualmente un túnel GRE entre un enrutador de PE y un enrutador CE local o remoto para una VPN de capa 3, como se explica en las siguientes secciones:
- Configuración de la interfaz de túnel GRE en el enrutador de PE
- Configuración de la interfaz de túnel GRE en el enrutador CE
Configuración de la interfaz de túnel GRE en el enrutador de PE
Configure el túnel GRE como una interfaz lógica en el enrutador de PE. Para configurar la interfaz de túnel GRE, incluya la unit instrucción:
unit logical-unit-number {
tunnel {
source source-address;
destination destination-address;
routing-instance {
destination routing-instance-name;
}
}
family inet {
address address;
}
}
Puede incluir esta instrucción en los siguientes niveles jerárquicos:
[edit interfaces interface-name][edit logical-systems logical-system-name interfaces interface-name]
Como parte de la configuración de interfaz de túnel GRE, debe incluir las siguientes instrucciones:
source source-address— Especifique el origen o el origen del túnel GRE, normalmente el enrutador de PE.destination destination-address— Especifique el destino o el punto de final del túnel GRE. El destino puede ser un enrutador de proveedor, el enrutador CE local o el enrutador CE remoto.
De forma predeterminada, se da por sentado que la dirección de destino del túnel está en la tabla de enrutamiento de Internet predeterminada, inet.0. Si la dirección de destino del túnel no está en inet.0, debe especificar qué tabla de enrutamiento buscar la dirección de destino del túnel mediante la configuración de la routing-instance instrucción. Este es el caso si la interfaz de encapsulación de túnel también está configurada en la instancia de enrutamiento.
destinationrouting-instance-name— Especifique el nombre de la instancia de enrutamiento al configurar la interfaz de túnel GRE en el enrutador de PE.
Para completar la configuración de la interfaz de túnel GRE, incluya la interface instrucción para la interfaz GRE en la instancia de enrutamiento adecuada:
interface interface-name;
Puede incluir esta instrucción en los siguientes niveles jerárquicos:
[edit routing-instances routing-instance-name][edit logical-systems logical-system-name routing-instances routing-instance-name]
Configuración de la interfaz de túnel GRE en el enrutador CE
Puede configurar el enrutador CE local o remoto para que actúe como punto de conexión para el túnel GRE.
Para configurar la interfaz de túnel GRE en el enrutador CE, incluya la unit instrucción:
unit logical-unit-number {
tunnel {
source address;
destination address;
}
family inet {
address address;
}
}
Puede incluir esta instrucción en los siguientes niveles jerárquicos:
[edit interfaces interface-name][edit logical-systems logical-system-name interfaces interface-name]
Configuración dinámica de túneles GRE
Cuando el enrutador recibe una ruta VPN a una dirección de siguiente salto del BGP, pero no hay ninguna ruta MPLS disponible, se puede generar dinámicamente un túnel GRE para transportar el tráfico VPN a través de la red del BGP. Se genera el túnel GRE y, luego, su información de enrutamiento se copia en la tabla de enrutamiento inet.3. Las rutas IPv4 son el único tipo de rutas compatibles con túneles GRE dinámicos. Además, la plataforma de enrutamiento debe tener una PIC de túnel.
Cuando configure un túnel GRE dinámico a un enrutador CE remoto, no configure OSPF a través de la interfaz de túnel. Crea un bucle de enrutamiento que obliga al enrutador a bajar el túnel GRE. El enrutador intenta restablecer el túnel GRE, pero se verá obligado a derribarlo de nuevo cuando OSPF se active en la interfaz del túnel y descubra una ruta al punto de conexión del túnel. Esto no es un problema al configurar túneles GRE estáticos en un enrutador CE remoto.
Para generar túneles GRE dinámicamente, incluya la dynamic-tunnels instrucción:
dynamic-tunnels tunnel-name { destination-networks prefix; source-address address; }
Puede incluir esta instrucción en los siguientes niveles jerárquicos:
-
[edit routing-options] -
[edit routing-instances routing-instance-name routing-options] -
[edit logical-systems logical-system-name routing-options] -
[edit logical-systems logical-system-name routing-instances routing-instance-name routing-options ]
Especifique el intervalo de prefijoS IPv4 (por ejemplo, 10/8 o 11.1/16) para la red de destino incluyendo la destination-networks instrucción. Solo se permiten iniciar túneles dentro del rango de prefijo IPv4 especificado.
destination-networks prefix;
Puede incluir esta instrucción en los siguientes niveles jerárquicos:
-
[edit routing-options] -
[edit routing-instances routing-instance-name routing-options] -
[edit logical-systems logical-system-name routing-options] -
[edit logical-systems logical-system-name routing-instances routing-instance-name routing-options ]
Especifique la dirección de origen para los túneles GRE incluyendo la source-address instrucción. La dirección de origen especifica la dirección utilizada como origen para el punto de conexión del túnel local. Esta podría ser cualquier dirección local del enrutador (por lo general, el ID del enrutador o la dirección de circuito cerrado).
source-address address;
Puede incluir esta instrucción en los siguientes niveles jerárquicos:
-
[edit routing-options] -
[edit routing-instances routing-instance-name routing-options] -
[edit logical-systems logical-system-name routing-options] -
[edit logical-systems logical-system-name routing-instances routing-instance-name routing-options ]
Ver también
Configuración de una interfaz de túnel GRE entre enrutadores de PE
En este ejemplo, se muestra cómo configurar una interfaz de túnel de encapsulación de enrutamiento genérico (GRE) entre enrutadores de PE para proporcionar conectividad VPN. Puede usar esta configuración para tunelización del tráfico VPN en una red central que no sea MPLS. La topología de red utilizada en este ejemplo se muestra en la Figura 3. Los enrutadores P que se muestran en esta ilustración no ejecutan MPLS.
de túnel GRE
Para obtener información de configuración, consulte las siguientes secciones:
- Configurar la instancia de enrutamiento en el enrutador A
- Configuración de la instancia de enrutamiento en el enrutador D
- Configuración de MPLS, BGP y OSPF en el enrutador A
- Configuración de MPLS, BGP y OSPF en el enrutador D
- Configuración de la interfaz de túnel en el enrutador A
- Configuración de la interfaz de túnel en el enrutador D
- Configuración de las opciones de enrutamiento en el enrutador A
- Configuración de las opciones de enrutamiento en el enrutador D
- Resumen de configuración para el enrutador A
- Resumen de configuración para el enrutador D
Configurar la instancia de enrutamiento en el enrutador A
Configure una instancia de enrutamiento en el enrutador A:
[edit routing-instances]
gre-config {
instance-type vrf;
interface fe-1/0/0.0;
route-distinguisher 10.255.14.176:69;
vrf-import import-config;
vrf-export export-config;
protocols {
ospf {
export import-config;
area 0.0.0.0 {
interface all;
}
}
}
}
Configuración de la instancia de enrutamiento en el enrutador D
Configure una instancia de enrutamiento en el enrutador D:
[edit routing-instances]
gre-config {
instance-type vrf;
interface fe-1/0/1.0;
route-distinguisher 10.255.14.178:69;
vrf-import import-config;
vrf-export export-config;
protocols {
ospf {
export import-config;
area 0.0.0.0 {
interface all;
}
}
}
}
Configuración de MPLS, BGP y OSPF en el enrutador A
Aunque no es necesario configurar MPLS en los enrutadores P en este ejemplo, es necesario en los enrutadores de PE para la interfaz entre los enrutadores PE y CE y en la interfaz GRE (gr-1/1/0.0) que vincula los enrutadores de PE (enrutadores A y D). Configure MPLS, BGP y OSPF en el enrutador A:
[edit protocols]
mpls {
interface all;
}
bgp {
group pe-to-pe {
type internal;
neighbor 10.255.14.178 {
family inet-vpn {
unicast;
}
}
}
}
ospf {
area 0.0.0.0 {
interface all;
interface gr-1/1/0.0 {
disable;
}
}
}
Configuración de MPLS, BGP y OSPF en el enrutador D
Aunque no es necesario configurar MPLS en los enrutadores P en este ejemplo, se necesita en los enrutadores de PE para la interfaz entre los enrutadores PE y CE y en la interfaz GRE (gr-1/1/0.0) que vincula los enrutadores de PE (enrutadores D y A). Configure MPLS, BGP y OSPF en el enrutador D:
[edit protocols]
mpls {
interface all;
}
bgp {
group pe-to-pe {
type internal;
neighbor 10.255.14.176 {
family inet-vpn {
unicast;
}
}
}
}
ospf {
traffic-engineering;
area 0.0.0.0 {
interface all;
interface fxp0.0 {
disable;
}
interface gr-1/1/0.0 {
disable;
}
}
}
Configuración de la interfaz de túnel en el enrutador A
Configure la interfaz de túnel en el enrutador A (el túnel no está numerado):
[edit interfaces interface-name]
unit 0 {
tunnel {
source 10.255.14.176;
destination 10.255.14.178;
}
family inet;
family mpls;
}
Configuración de la interfaz de túnel en el enrutador D
Configure la interfaz de túnel en el enrutador D (el túnel no está numerado):
[edit interfaces interface-name]
unit 0 {
tunnel {
source 10.255.14.178;
destination 10.255.14.176;
}
family inet;
family mpls;
}
Configuración de las opciones de enrutamiento en el enrutador A
Como parte de la configuración de opciones de enrutamiento para el enrutador A, debe configurar grupos de tabla de enrutamiento para habilitar la resolución de rutas VPN en la tabla de enrutamiento inet.3.
Configure las opciones de enrutamiento en el enrutador A:
[edit routing-options]
interface-routes {
rib-group inet if-rib;
}
rib inet.3 {
static {
route 10.255.14.178/32 next-hop gr-1/1/0.0;
}
}
rib-groups {
if-rib {
import-rib [ inet.0 inet.3 ];
}
}
Configuración de las opciones de enrutamiento en el enrutador D
Como parte de la configuración de opciones de enrutamiento para el enrutador D, debe configurar grupos de tabla de enrutamiento para habilitar la resolución de ruta VPN en la tabla de enrutamiento inet.3.
Configure las opciones de enrutamiento en el enrutador D:
[edit routing-options]
interface-routes {
rib-group inet if-rib;
}
rib inet.3 {
static {
route 10.255.14.176/32 next-hop gr-1/1/0.0;
}
}
rib-groups {
if-rib {
import-rib [ inet.0 inet.3 ];
}
}
Resumen de configuración para el enrutador A
Configurar la instancia de enrutamiento
gre-config {
instance-type vrf;
interface fe-1/0/0.0;
route-distinguisher 10.255.14.176:69;
vrf-import import-config;
vrf-export export-config;
protocols {
ospf {
export import-config;
area 0.0.0.0 {
interface all;
}
}
}
}
Configurar MPLS
mpls {
interface all;
}
Configurar BGP
bgp {
traceoptions {
file bgp.trace world-readable;
flag update detail;
}
group pe-to-pe {
type internal;
neighbor 10.255.14.178 {
family inet-vpn {
unicast;
}
}
}
}
Configurar OSPF
ospf {
area 0.0.0.0 {
interface all;
interface gr-1/1/0.0 {
disable;
}
}
}
Configurar la interfaz de túnel
interface-name {
unit 0 {
tunnel {
source 10.255.14.176;
destination 10.255.14.178;
}
family inet;
family mpls;
}
}
Configurar opciones de enrutamiento
interface-routes {
rib-group inet if-rib;
}
rib inet.3 {
static {
route 10.255.14.178/32 next-hop gr-1/1/0.0;
}
}
rib-groups {
if-rib {
import-rib [ inet.0 inet.3 ];
}
}
Resumen de configuración para el enrutador D
Configurar la instancia de enrutamiento
gre-config {
instance-type vrf;
interface fe-1/0/1.0;
route-distinguisher 10.255.14.178:69;
vrf-import import-config;
vrf-export export-config;
protocols {
ospf {
export import-config;
area 0.0.0.0 {
interface all;
}
}
}
}
Configurar MPLS
mpls {
interface all;
}
Configurar BGP
bgp {
group pe-to-pe {
type internal;
neighbor 10.255.14.176 {
family inet-vpn {
unicast;
}
}
}
}
Configurar OSPF
ospf {
traffic-engineering;
area 0.0.0.0 {
interface all;
interface fxp0.0 {
disable;
}
interface gr-1/1/0.0 {
disable;
}
}
}
Configurar la interfaz de túnel
interface-name {
unit 0 {
tunnel {
source 10.255.14.178;
destination 10.255.14.176;
}
family inet;
family mpls;
}
}
Configurar las opciones de enrutamiento
interface-routes {
rib-group inet if-rib;
}
rib inet.3 {
static {
route 10.255.14.176/32 next-hop gr-1/1/0.0;
}
}
rib-groups {
if-rib {
import-rib [ inet.0 inet.3 ];
}
}
Configuración de una interfaz de túnel GRE entre un enrutador de PE y CE
En este ejemplo, se muestra cómo configurar una interfaz de túnel GRE entre un enrutador PE y un enrutador CE. Puede usar esta configuración para tunelización del tráfico VPN en una red central que no sea MPLS. La topología de red utilizada en este ejemplo se muestra en la figura 4.
de PE
Para este ejemplo, complete los procedimientos descritos en las siguientes secciones:
- Configuración de la instancia de enrutamiento sin la interfaz de encapsulación
- Configuración de la instancia de enrutamiento con la interfaz de encapsulación
- Configuración de la interfaz de túnel GRE en el enrutador CE1
Configuración de la instancia de enrutamiento sin la interfaz de encapsulación
Puede configurar la instancia de enrutamiento con o sin la interfaz de encapsulación. En las siguientes secciones se explica cómo configurar la instancia de enrutamiento sin ella:
- Configuración de la instancia de enrutamiento en el enrutador PE1
- Configuración de la interfaz de túnel GRE en el enrutador PE1
- Configuración de la interfaz de encapsulación en el enrutador PE1
Configuración de la instancia de enrutamiento en el enrutador PE1
Configure la instancia de enrutamiento en el enrutador PE1:
[edit routing-instances]
vpna {
instance-type vrf;
interface gr-1/2/0.0;
route-distinguisher 10.255.14.174:1;
vrf-import vpna-import;
vrf-export vpna-export;
protocols {
bgp {
group vpna {
type external;
peer-as 100;
as-override;
neighbor 10.49.2.1;
}
}
}
}
Configuración de la interfaz de túnel GRE en el enrutador PE1
Configure la interfaz de túnel GRE en el enrutador PE1:
[edit interfaces gr-1/2/0]
unit 0 {
tunnel {
source 192.168.197.249;
destination 192.168.197.250;
}
family inet {
address 10.49.2.2/30;
}
}
En este ejemplo, la interfaz t3-0/1/3 actúa como interfaz de encapsulación para el túnel GRE.
Cuando configure la clear-dont-fragment-bit instrucción en una interfaz con la familia de protocolos MPLS habilitada, debe especificar un valor de MTU. Este valor de MTU no debe ser mayor que el valor máximo admitido, que es 9192.
Por ejemplo:
user@host# show interfaces gr-1/2/0
unit 0 {
clear-dont-fragment-bit;
family inet {
mtu 9100;
address 10.10.1.1/32;
}
family mpls {
mtu 9100;
}
}
Configuración de la interfaz de encapsulación en el enrutador PE1
Configure la interfaz de encapsulación en el enrutador PE1:
[edit interfaces t3-0/1/3]
unit 0 {
family inet {
address 192.168.197.249/30;
}
}
Configuración de la instancia de enrutamiento con la interfaz de encapsulación
Si la interfaz de encapsulación de túnel, t3-0/1/3, también está configurada en la instancia de enrutamiento, debe especificar el nombre de esa instancia de enrutamiento bajo la definición de interfaz. El sistema usa esta instancia de enrutamiento para buscar la dirección de destino del túnel.
Para configurar la instancia de enrutamiento con la interfaz de encapsulación, realice los pasos en las siguientes secciones:
- Configuración de la instancia de enrutamiento en el enrutador PE1
- Configuración de la interfaz de túnel GRE en el enrutador PE1
- Configuración de la interfaz de encapsulación en el enrutador PE1
Configuración de la instancia de enrutamiento en el enrutador PE1
Si configura la interfaz de encapsulación de túnel bajo la instancia de enrutamiento, configure la instancia de enrutamiento en el enrutador PE1:
[edit routing-instances]
vpna {
instance-type vrf;
interface gr-1/2/0.0;
interface t3-0/1/3.0;
route-distinguisher 10.255.14.174:1;
vrf-import vpna-import;
vrf-export vpna-export;
protocols {
bgp {
group vpna {
type external;
peer-as 100;
as-override;
neighbor 10.49.2.1;
}
}
}
}
Configuración de la interfaz de túnel GRE en el enrutador PE1
Configure la interfaz de túnel GRE en el enrutador PE1:
[edit interfaces gr-1/2/0]
unit 0 {
tunnel {
source 192.168.197.249;
destination 192.168.197.250;
routing-instance {
destination vpna;
}
}
family inet {
address 10.49.2.2/30;
}
}
Cuando configure la clear-dont-fragment-bit instrucción en una interfaz con la familia de protocolos MPLS habilitada, debe especificar un valor de MTU. Este valor de MTU no debe ser mayor que el valor máximo admitido, que es 9192.
Por ejemplo:
user@host# show interfaces gr-1/2/0
unit 0 {
clear-dont-fragment-bit;
family inet {
mtu 9100;
address 10.10.1.1/32;
}
family mpls {
mtu 9100;
}
}
Cuando configure la clear-dont-fragment-bit instrucción en una interfaz con la familia de protocolos MPLS habilitada, debe especificar un valor de MTU. Este valor de MTU no debe ser mayor que el valor máximo admitido, que es 9192.
Por ejemplo:
user@host# show interfaces gr-1/2/0
unit 0 {
clear-dont-fragment-bit;
family inet {
mtu 9100;
address 10.10.1.1/32;
}
family mpls {
mtu 9100;
}
}
Configuración de la interfaz de encapsulación en el enrutador PE1
Configure la interfaz de encapsulación en el enrutador PE1:
[edit interfaces t3-0/1/3]
unit 0 {
family inet {
address 192.168.197.249/30;
}
}
Configuración de la interfaz de túnel GRE en el enrutador CE1
Configure la interfaz de túnel GRE en el enrutador CE1:
[edit interfaces gr-1/2/0]
unit 0 {
tunnel {
source 192.168.197.250;
destination 192.168.197.249;
}
family inet {
address 10.49.2.1/30;
}
}