VPN hub-and-spoke
Configuración de topologías VPN de concentrador y radio: una interfaz
Utilice una configuración de una interfaz para anunciar una ruta predeterminada desde un concentrador o concentrador.
En la Figura 1 se muestra una aplicación VPN de concentrador y radio de capa 3 en la que solo hay una interfaz entre el BRC de concentrador (CE1) y el PE de concentrador (PE1). Esta es la forma recomendada de configurar topologías hub-and-spoke.
En esta configuración, se anuncia una ruta predeterminada desde el concentrador hasta los radios. Si es necesario intercambiar rutas de radio BRC más específicas entre enrutadores spoke BRC, entonces se necesitan dos interfaces entre el BRC concentrador y el PE del concentrador. Consulte Configuración de topologías VPN de concentrador y radio: dos interfaces para un ejemplo de dos interfaces.
En este ejemplo de configuración, la distribución de ruta spoke es la siguiente:
Spoke CE2 anuncia sus rutas a PE2 spoke.
Spoke PE2 instala rutas desde CE2 en su tabla de enrutamiento y reenvío VPN (VRF).
Spoke PE2 comprueba su política de exportación de VRF, agrega la comunidad de destino de ruta y anuncia las rutas al concentrador PE1.
El concentrador PE1 comprueba su política de importación VRF e instala rutas que coincidan con la política de importación en la tabla bgp.l3vpn.0.
El concentrador PE1 instala rutas desde la tabla bgp.l3vpn.0 en la tabla VRF del concentrador.
El concentrador PE1 anuncia rutas desde la tabla VRF del concentrador al concentrador CE1.
En este ejemplo de configuración, la distribución predeterminada de rutas es la siguiente:
El concentrador CE1 anuncia una ruta predeterminada al concentrador PE1.
El concentrador PE1 instala la ruta predeterminada en la tabla VRF del concentrador.
El concentrador PE1 comprueba su política de exportación de VRF, agrega la comunidad de destino de ruta y anuncia la ruta predeterminada para los radios PE2 y PE3.
Los radios PE2 y PE3 comprueban su política de importación de VRF e instalan la ruta predeterminada en la tabla bgp.l3vpn.0.
Spoke PE2 y PE3 instalan las rutas de la tabla bgp.l3vpn.0 en sus tablas de VRF spoke.
Los radios PE2 y PE3 anuncian la ruta predeterminada de la tabla spoke VRF a spoke CE2 y CE3.
En las siguientes secciones se describe cómo configurar una topología hub-and-spoke con una interfaz basada en la topología que se muestra en la Figura 1:
- Configuración del concentrador CE1
- Configuración del concentrador PE1
- Configuración del enrutador P
- Configuración de SPOKE PE2
- Configuración de SPOKE PE3
- Configuración de spoke CE2
- Configuración de spoke CE3
- Habilitación de funciones de salida en el enrutador de PE de concentrador
Configuración del concentrador CE1
Configure el concentrador CE1 de la siguiente manera:
[edit routing-options]
static {
route 0.0.0.0/0 discard;
}
autonomous-system 100;
[edit protocols]
bgp {
group hub {
type external;
export default;
peer-as 200;
neighbor 10.49.4.1;
}
}
[edit policy-options]
policy-statement default {
term 1 {
from {
protocol static;
route-filter 0.0.0.0/0 exact;
}
then accept;
}
term 2 {
then reject;
}
}
Configuración del concentrador PE1
Configure el concentrador PE1 de la siguiente manera:
[edit]
routing-instances {
hub {
instance-type vrf;
interface t3-0/0/0;
route-distinguisher 10.255.14.176:2;
vrf-target {
import target:200:100;
export target:200:101;
}
protocols {
bgp {
group hub {
type external;
peer-as 100;
as-override;
neighbor 10.49.4.2;
}
}
}
}
}
Configuración del enrutador P
Configure el enrutador P de la siguiente manera:
[edit]
interfaces {
t3-0/1/1 {
unit 0 {
family inet {
address 10.49.2.1/30;
}
family mpls;
}
}
t3-0/1/3 {
unit 0 {
family inet {
address 10.49.0.2/30;
}
family mpls;
}
}
t1-0/2/0 {
unit 0 {
family inet {
address 10.49.1.2/30;
}
family mpls;
}
}
}
[edit]
protocols {
ospf {
area 0.0.0.0 {
interface t3-0/1/3.0;
interface t1-0/2/0.0;
interface t3-0/1/1.0;
interface lo0.0 {
passive;
}
}
}
ldp {
interface t3-0/1/1.0;
interface t3-0/1/3.0;
interface t1-0/2/0.0;
}
}
Configuración de SPOKE PE2
Configure el RADIO PE2 de la siguiente manera:
[edit]
interfaces {
t3-0/0/0 {
unit 0 {
family inet {
address 10.49.0.1/30;
}
family mpls;
}
}
t1-0/1/2 {
unit 0 {
family inet {
address 10.49.3.1/30;
}
}
}
}
[edit protocols]
bgp {
group ibgp {
type internal;
local-address 10.255.14.182;
peer-as 200;
neighbor 10.255.14.176 {
family inet-vpn {
unicast;
}
}
}
}
ospf {
area 0.0.0.0 {
interface t3-0/0/0.0;
interface lo0.0 {
passive;
}
}
}
ldp {
interface t3-0/0/0.0;
}
[edit]
routing-instances {
spoke {
instance-type vrf;
interface t1-0/1/2.0;
route-distinguisher 10.255.14.182:20;
vrf-target {
import target:200:101;
export target:200:100;
}
protocols {
bgp {
group spoke {
type external;
peer-as 100;
as-override;
neighbor 10.49.3.2;
}
}
}
}
}
Configuración de SPOKE PE3
Configure el RADIO PE3 de la siguiente manera:
[edit]
interfaces {
t3-0/0/0 {
unit 0 {
family inet {
address 10.49.6.1/30;
}
}
}
t3-0/0/1 {
unit 0 {
family inet {
address 10.49.2.2/30;
}
family mpls;
}
}
}
[edit protocols}
bgp {
group ibgp {
type internal;
local-address 10.255.14.178;
peer-as 200;
neighbor 10.255.14.176 {
family inet-vpn {
unicast;
}
}
}
}
ospf {
area 0.0.0.0 {
interface t3-0/0/1.0;
interface lo0.0 {
passive;
}
}
}
ldp {
interface t3-0/0/1.0;
}
[edit]
routing-instances {
spoke {
instance-type vrf;
interface t3-0/0/0.0;
route-distinguisher 10.255.14.178:30;
vrf-target {
import target:200:101;
export target:200:100;
}
protocols {
bgp {
group spoke {
type external;
peer-as 100;
as-override;
neighbor 10.49.6.2;
}
}
}
}
}
Configuración de spoke CE2
Configure spoke CE2 de la siguiente manera:
[edit routing-options]
autonomous-system 100;
{edit protocols]
bgp {
group spoke {
type external;
export loopback;
peer-as 200;
neighbor 10.49.3.1;
}
}
Configuración de spoke CE3
Configure el radio CE3 de la siguiente manera:
[edit routing-options]
autonomous-system 100;
[edit protocols]
bgp {
group spoke {
type external;
export loopback;
peer-as 200;
neighbor 10.49.6.1;
}
}
En este ejemplo de configuración, el reenvío de tráfico es el siguiente entre el radio CE2 y el concentrador CE1:
Spoke CE2 reenvía el tráfico mediante la ruta predeterminada aprendida del radio PE2 mediante BGP.
0.0.0.0/0 *[BGP/170] 02:24:15, localpref 100 AS path: 200 200 I > to 10.49.3.1 via t1-3/0/1.0Spoke PE2 realiza una búsqueda de ruta en la tabla spoke VRF y reenvía el tráfico al concentrador PE2 (mediante el enrutador P: PE2 inserta dos etiquetas) mediante la ruta predeterminada aprendida a través de BGP.
0.0.0.0/0 *[BGP/170] 01:35:45, localpref 100, from 10.255.14.176 AS path: 100 I > via t3-0/0/1.0, Push 100336, Push 100224(top)El concentrador PE1 realiza una búsqueda de ruta en la tabla mpls.0 para la etiqueta VPN
100336.100336 *[VPN/170] 01:37:03 > to 10.49.4.2 via t3-0/0/0.0, PopEl concentrador PE1 reenvía el tráfico de la interfaz al
t3-0/0/0.0concentrador CE1.
En este ejemplo de configuración, el reenvío de tráfico es el siguiente entre el concentrador CE1 y el radio CE2:
El concentrador CE1 reenvía el tráfico al PE1 del concentrador mediante la ruta aprendida mediante BGP.
10.49.10.250/32 *[BGP/170] 02:28:46, localpref 100 AS path: 200 200 I > to 10.49.4.1 via t3-3/1/0.0El concentrador PE1 realiza una búsqueda de ruta en la tabla VRF del concentrador y reenvía el tráfico a PE2 radial (mediante el enrutador P: PE1 inserta dos etiquetas).
10.49.10.250/32 *[BGP/170] 01:41:05, localpref 100, from 10.255.14.182 AS path: 100 I > via t1-0/1/0.0, Push 100352, Push 100208(top)Spoke PE2 realiza una búsqueda de ruta en la tabla mpls.0 para la etiqueta VPN
100352.100352 *[VPN/170] 02:31:39 > to 10.49.3.2 via t1-0/1/2.0, PopSpoke PE2 reenvía el tráfico de la interfaz
t1-0/1/2.0al radio CE2.
En este ejemplo de configuración, el reenvío de tráfico es el siguiente entre spoke CE2 y spoke CE3:
Spoke CE2 reenvía el tráfico mediante la ruta predeterminada aprendida del radio PE2 mediante BGP.
0.0.0.0/0 *[BGP/170] 02:24:15, localpref 100 AS path: 200 200 I > to 10.49.3.1 via t1-3/0/1.0Spoke PE2 realiza una búsqueda de ruta en la tabla spoke VRF y reenvía el tráfico al concentrador PE1 (mediante el enrutador P: PE2 inserta dos etiquetas) mediante la ruta predeterminada aprendida a través de BGP.
0.0.0.0/0 *[BGP/170] 01:35:45, localpref 100, from 10.255.14.176 AS path: 100 I > via t3-0/0/1.0, Push 100336, Push 100224(top)El concentrador PE1 realiza una búsqueda de ruta en la tabla mpls.0 para la etiqueta VPN
100336.100336 *[VPN/170] 01:37:03 > to 10.49.4.2 via t3-0/0/0.0, PopEl concentrador PE1 reenvía el tráfico de la interfaz
t3-0/0/0.0al concentrador CE1.El concentrador CE1 reenvía el tráfico al concentrador PE1 mediante el enrutador aprendido a través de BGP.
10.49.10.253/32 *[BGP/170] 02:40:03, localpref 100 AS path: 200 200 I > to 10.49.4.1 via t3-3/1/0.0El concentrador PE1 realiza una búsqueda de ruta en la tabla VRF del concentrador y reenvía el tráfico a PE3 radial (mediante el enrutador P: PE1 inserta dos etiquetas).
10.49.10.253/32 *[BGP/170] 01:41:05, localpref 100, from 10.255.14.178 AS path: 100 I > via t1-0/1/0.0, Push 100128, Push 100192(top)Spoke PE3 realiza una búsqueda de ruta en la tabla mpls.0 para la etiqueta VPN
100128.100128 *[VPN/170] 02:41:30 > to 10.49.6.2 via t3-0/0/0.0, PopSpoke PE3 reenvía el tráfico hacia fuera de la interfaz
t3-0/0/0.0al radio CE3.
Si se necesitan funciones de salida en el PE del concentrador que requieran una búsqueda de reenvío IP en la tabla de enrutamiento VRF del concentrador, consulte Habilitación de funciones de salida en el enrutador de PE de concentrador.
Habilitación de funciones de salida en el enrutador de PE de concentrador
Este ejemplo se proporciona junto con la configuración de topologías VPN de concentrador y radio: una interfaz. En este ejemplo, también se utiliza la topología que se muestra en la Figura 1.
Si se necesitan características de salida en el PE del concentrador que requieran una búsqueda de reenvío IP en la tabla de enrutamiento VRF del concentrador, la configuración detallada en Configuración de topologías VPN de concentrador y radio : una interfaz no funcionará. La aplicación de la vrf-table-label instrucción en la instancia de enrutamiento de concentradores fuerza el tráfico desde un PE de radio remoto para reenviarse al PE del concentrador y obliga a realizar una búsqueda IP. Dado que las rutas spoke específicas se encuentran en la tabla VRF del concentrador, el tráfico se reenvía a un PE hablado sin pasar por el BRC.
El PE del concentrador anuncia la ruta predeterminada de la siguiente manera mediante la etiqueta VPN 1028:
hub.inet.0: 7 destinations, 7 routes (7 active, 0 holddown, 0 hidden)
* 0.0.0.0/0 (1 entry, 1 announced)
BGP group ibgp type Internal
Route Distinguisher: 10.255.14.176:2
VPN Label: 1028
Nexthop: Self
Localpref: 100
AS path: 100 I
Communities: target:200:101
El tráfico entrante se reenvía mediante la etiqueta VPN 1028. La tabla mpls.0 muestra que se requiere una búsqueda IP en la tabla hub.inet.0:
1028 *[VPN/0] 00:00:27
to table hub.inet.0, Pop
Sin embargo, la tabla hub.inet.0 del hub VRF contiene rutas spoke específicas:
10.49.10.250/32 *[BGP/170] 00:00:05, localpref 100, from 10.255.14.182
AS path: 100 I
> via t1-0/1/0.0, Push 100352, Push 100208(top)
10.49.10.253/32 *[BGP/170] 00:00:05, localpref 100, from 10.255.14.178
AS path: 100 I
> via t1-0/1/0.0, Push 100128, Push 100192(top)
Debido a esto, el tráfico se reenvía directamente a las PE radio sin pasar por el concentrador BRC. Para evitar esto, debe configurar una instancia de enrutamiento secundaria para el tráfico descendente en el concentrador PE1.
Configuración del concentrador PE1
Configure el concentrador PE1 de la siguiente manera:
[edit]
routing-instances {
hub {
instance-type vrf;
interface t3-0/0/0.0;
route-distinguisher 10.255.14.176:2;
vrf-target {
import target:200:100;
export target:200:101;
}
no-vrf-advertise;
routing-options {
auto-export;
}
protocols {
bgp {
group hub {
type external;
peer-as 100;
as-override;
neighbor 10.49.4.2;
}
}
}
}
hub-downstream {
instance-type vrf;
route-guisher 10.255.14.176:3;
vrf-target target:200:101;
vrf-table-label;
routing-options {
auto-export;
}
}
}
Cuando se no-vrf-advertise usa la instrucción en el nivel [edit routing-instances hub] de jerarquía, no se requieren grupos de tablas de enrutamiento ni políticas de exportación VRF. La no-vrf-advertise instrucción configura el PE del concentrador para que no anuncie rutas VPN desde la instancia de enrutamiento principal hub. Estas rutas se anuncian en su lugar desde la instancia de enrutamiento secundaria hub_downstream. Consulte Junos OS biblioteca de protocolos de enrutamiento para obtener más información acerca de la no-vrf-advertise instrucción.
La auto-export instrucción en el nivel [edit routing-instances hub-downstream routing-options] de jerarquía identifica las rutas exportadas desde la instancia de concentrador a la instancia descendente del concentrador buscando los destinos de ruta definidos para cada instancia de enrutamiento. Consulte Junos OS biblioteca de protocolos de enrutamiento para obtener más información sobre el uso de la auto-export instrucción. Consulte Configuración de VPN superpuestas mediante la exportación automática de rutas para obtener más ejemplos de políticas de exportación.
Con esta configuración en el pe del concentrador, el tráfico de BRC spoke-to-spoke pasa por el BRC del concentrador y permite que se habiliten las funciones de salida (como el filtrado) en el PE del concentrador.
En este ejemplo de configuración, el reenvío de tráfico es el siguiente entre spoke CE2 y spoke CE3:
Spoke CE2 reenvía el tráfico mediante la ruta predeterminada aprendida del radio PE2 mediante BGP.
0.0.0.0/0 *[BGP/170] 02:24:15, localpref 100 AS path: 200 200 I > to 10.49.3.1 via t1-3/0/1.0Spoke PE2 realiza una búsqueda de ruta en la tabla spoke VRF y reenvía el tráfico al concentrador PE1 (mediante el enrutador P: PE2 inserta dos etiquetas) mediante la ruta predeterminada aprendida a través de BGP.
spoke.inet.0: 5 destinations, 5 routes (5 active, 0 holddown, 0 hidden) + = Active Route, - = Last Active, * = Both 0.0.0.0/0 *[BGP/170] 00:00:09, localpref 100, from 10.255.14.176 AS path: 100 I > via t3-0/0/0.0, Push 1029, Push 100224(top)El concentrador PE1 realiza una búsqueda de ruta en la tabla mpls.0 para la etiqueta VPN
1029.mpls.0: 5 destinations, 5 routes (5 active, 0 holddown, 0 hidden) + = Active Route, - = Last Active, * = Both 1029 *[VPN/0] 00:11:49 to table hub_downstream.inet.0, PopLa etiqueta VPN
1029se anuncia porque:La
vrf-table-labelinstrucción se aplica en el nivel de[edit routing-instances hub_downsteam]jerarquía en la configuración de PE1 del concentrador.La
no-vrf-advertiseinstrucción se aplica en el nivel[edit routing-instances hub]de jerarquía, lo que indica al enrutador que anuncie la ruta desde la tabla secundaria.
Por lo tanto, las búsquedas IP se realizan en la tabla hub_downstream.inet.0, no en la tabla hub.inet.0.
Emita el
show route advertising-protocolcomando en el PE del concentrador a un PE radio para comprobar el anuncio de la etiqueta1029VPN:user@host> show route advertising-protocol hub_downstream.inet.0: 2 destinations, 2 routes (2 active, 0 holddown, 0 hidden) * 0.0.0.0/0 (1 entry, 1 announced) BGP group ibgp type Internal Route Distinguisher: 10.255.14.176:3 VPN Label: 1029 Nexthop: Self Localpref: 100 AS path: 100 I Communities: target:200:101El concentrador PE1 realiza una búsqueda IP en la
hub_downstream.inet.0tabla y reenvía la interfaz de tráficot3-0/0/0.0hacia el concentrador CE1.hub_downstream.inet.0: 2 destinations, 2 routes (2 active, 0 holddown, 0 hidden) 0.0.0.0/0 (1 entry, 1 announced) *BGP Preference: 170/-101 Next-hop reference count: 4 Source: 10.49.4.2 Next hop: 10.49.4.2 via t3-0/0/0.0, selected State: <Secondary Active Ext> Peer AS: 100 Age: 3:03 Task: BGP_100.10.49.4.2+1707 Announcement bits (2): 0-KRT 2-BGP.0.0.0.0+179 AS path: 100 I Communities: target:200:101 Localpref: 100 Router ID: 10.49.10.251 Primary Routing Table hub.inet.0La tabla
hub.inet.0de enrutamiento principal es ,hub.inet.0lo que indica que esta ruta se exportó de la tabla aauto-exportno-vrf-advertise[edit routing-instances hub][edit routing-instances hub-downstream routing-options]esta tabla hub_downstream.inet.0 como resultado de la instrucción en el nivel de jerarquía y la instrucción en el nivel de jerarquía en la configuración pe1 del concentrador.El concentrador CE1 reenvía el tráfico al concentrador PE1 mediante el enrutador aprendido a través de BGP.
10.49.10.253/32 *[BGP/170] 02:40:03, localpref 100 AS path: 200 200 I > to 10.49.4.1 via t3-3/1/0.0El concentrador PE1 realiza una búsqueda de ruta en la tabla VRF del concentrador y reenvía el tráfico a PE3 radial (mediante el enrutador P: PE1 inserta dos etiquetas).
10.49.10.253/32 *[BGP/170] 01:41:05, localpref 100, from 10.255.14.178 AS path: 100 I > via t1-0/1/0.0, Push 100128, Push 100192(top)Spoke PE3 realiza una búsqueda de ruta en la tabla mpls.0 para la etiqueta VPN
100128.100128 *[VPN/170] 02:41:30 > to 10.49.6.2 via t3-0/0/0.0, PopSpoke PE3 reenvía la interfaz de salida del tráfico
t3-0/0/0.0al radio CE3.
Configuración de topologías VPN de concentrador y radio: dos interfaces
Utilice una configuración de dos interfaces para propagar rutas de radio a radio.
El ejemplo de esta sección configura una topología hub-and-spoke con dos interfaces que utilizan los siguientes componentes (consulte la Figura 2):
Enrutador de PE de un concentrador (enrutador D).
Un concentrador BRC enrutador conectado al enrutador de PE de concentrador. Para que esta topología VPN radial funcione correctamente, debe haber dos interfaces que conecten el enrutador de PE de hub al enrutador BRC hub, y cada interfaz debe tener su propia tabla VRF en el enrutador pe:
La primera interfaz (aquí, interfaz ge-0/0/0.0) se utiliza para anunciar rutas radiales al enrutador BRC hub. La tabla VRF asociada con esta interfaz contiene las rutas que anuncian los enrutadores pe radiales al enrutador de BRC hub.
La segunda interfaz (aquí, interfaz ge-0/0/1.0) se utiliza para recibir anuncios de ruta del BRC de concentrador que están destinados a los enrutadores radiales. La tabla VRF asociada con esta interfaz contiene las rutas anunciadas por el concentrador BRC enrutador a los enrutadores PE radio. En este ejemplo, se utilizan dos interfaces físicas independientes. También funcionaría si configurara dos interfaces lógicas separadas que compartan la misma interfaz física entre el enrutador de PE de concentrador y el enrutador BRC hub.
Dos enrutadores DE PE radiales (enrutador E y F).
Dos enrutadores BRC radio (CE1 y CE2), uno conectado a cada enrutador de PE radio.
LDP como protocolo de señalización.
En esta configuración, la distribución de ruta del enrutador BRC radio CE1 se produce de la siguiente manera:
Enrutador radial CE1 anuncia sus rutas al enrutador de PE radial E.
El enrutador E instala las rutas desde CE1 en su tabla VRF.
Después de comprobar su política de exportación de VRF, el enrutador E agrega la comunidad de destino spoke a las rutas del enrutador CE1 que pasaron la política y las anuncia al enrutador de PE de concentrador, el enrutador D.
El enrutador D comprueba la política de importación de VRF asociada con la interfaz ge-0/0/0.0 y coloca todas las rutas de enrutadores de PE radial que coincidan con la política en su tabla de enrutamiento bgp.l3vpn. (Se descarta cualquier ruta que no coincida.)
El enrutador D comprueba su política de importación de VRF asociada con la interfaz ge-0/0/0.0 e instala todas las rutas que coincidan en su tabla spoke VRF. Las rutas se instalan con la comunidad de destino spoke.
El enrutador D anuncia rutas al concentrador BRC a través de la interfaz ge-0/0/0.
El enrutador BRC hub anuncia las rutas de regreso al enrutador de PE de concentrador D a través de la segunda interfaz al enrutador de concentrador, interfaz ge-0/0/1.
El enrutador de PE de concentrador instala las rutas aprendidas del enrutador hub BRC en su tabla VRF de concentrador, la cual está asociada con la interfaz ge-0/0/1.
El enrutador de PE de concentrador comprueba la política de exportación de VRF asociada con la interfaz ge-0/0/1.0 y anuncia todas las rutas que coincidan con todos los radios después de agregar la comunidad de destino del concentrador.
En la Figura 3 se muestra cómo se distribuyen las rutas de este enrutador radial al otro enrutador BRC radio, el enrutador CE2. Se sigue la misma ruta si se emite un traceroute comando del enrutador CE1 al enrutador CE2.
La sección final de este ejemplo, Configuración de VPN radial resumida por enrutador, consolida las instrucciones necesarias para configurar la funcionalidad vpn para cada uno de los enrutadores de proveedores de servicios que se muestran en la Figura 2.
En las siguientes secciones se explica cómo configurar la funcionalidad vpn para una topología radial en los enrutadores PE radiales. Los BRC routers no tienen información acerca de la VPN, por lo que se configuran con normalidad.
- Habilitar una IGP en los enrutadores de PE radiales
- Configurar LDP en enrutadores de PE radiales
- Configuración del IBGP en los enrutadores de PE
- Configuración de instancias de enrutamiento VPN en enrutadores DE PE radiales
- Configuración de la política VPN en los enrutadores de PE
- Configuración de VPN radial resumida en enrutador
Habilitar una IGP en los enrutadores de PE radiales
Para permitir que los enrutadores PE radiales interc intercambio de información de enrutamiento, debe configurar un IGP en todos estos enrutadores o debe configurar rutas estáticas. Puede configurar el IGP en la instancia principal del proceso de protocolo de enrutamiento (rpd) (es decir, [edit protocols] en el nivel de jerarquía), no dentro de la instancia de enrutamiento (es decir, [edit routing-instances] no en el nivel de jerarquía).
Puede configurar las IGP de la forma estándar. Este ejemplo de configuración no incluye esta parte de la configuración.
En la distribución de rutas en una topología radial y radial, si el protocolo usado entre los enrutadores BRC y PE en el sitio de concentrador es BGP, el enrutador de BRC de concentrador anuncia todas las rutas recibidas del enrutador de PE de concentrador y los enrutadores radiales al enrutador de PE de concentrador y a todos los enrutadores radiales. Esto significa que los enrutadores de PE radiales reciben rutas que contienen su AS número. Normalmente, cuando una ruta contiene esta información, indica que se produjo un bucle de enrutamiento y que el enrutador rechaza las rutas. Sin embargo, para que la configuración de VPN funcione, el enrutador de PE de concentrador y los enrutadores radiales deben aceptar estas rutas. Para habilitar esto, incluya loops la opción al configurar el AS [edit routing-options] en el nivel jerárquico en el enrutador de PE del concentrador y todos los enrutadores radiales. Para esta configuración de ejemplo, se especifica un valor de 1. Puede especificar un número del 0 al 10.
[edit routing-options] autonomous-system as-number loops 1;
Configurar LDP en enrutadores de PE radiales
Configure LDP en las interfaces entre los enrutadores de PE radiales que participan en la VPN.
En el enrutador D de PE del concentrador, configure LDP:
[edit protocols]
ldp {
interface so-1/0/0.0;
interface t3-1/1/0.0;
}
En el enrutador de PE radial E, configure LDP:
[edit protocols]
ldp {
interface fe-0/1/2.0;
}
En el enrutador de PE spoke F, configure LDP:
[edit protocols]
ldp {
interface fe-1/0/0.0;
}
Configuración del IBGP en los enrutadores de PE
En los enrutadores de PE radiales, configure una sesión de IBGP con las siguientes propiedades:
Familia de VPN: para indicar que la sesión del IBGP es para la VPN, incluya la
family inet-vpninstrucción.Dirección de circuito cerrado: incluye la
local-addressinstrucción y especifica la dirección de circuito cerrado del enrutador de PE local. La sesión del IBGP para VPN se ejecuta a través de la dirección de circuito cerrado. También debe configurar la interfazlo0en el nivel[edit interfaces]de jerarquía. El ejemplo no incluye esta parte de la configuración del enrutador.Dirección de vecino: incluye la
neighborinstrucción. En el enrutador de concentrador, especifique la dirección IP de cada enrutador de PE radial y, en el enrutador radial, especifique la dirección del enrutador de PE de concentrador.
Para el enrutador de concentrador, configure una sesión de IBGP con cada radio y, para cada enrutador radial, configure una sesión de IBGP con el concentrador. No hay sesiones de IBGP entre los dos enrutadores radiales.
En el enrutador D del concentrador, configure el IBGP. La primera neighbor instrucción configura una sesión de IBGP para que pronuncie el enrutador E y la segunda configura una sesión en el enrutador F radial.
[edit protocols]
bgp {
group Hub-to-Spokes {
type internal;
local-address 10.255.14.174;
family inet-vpn {
unicast;
}
neighbor 10.255.14.180;
neighbor 10.255.14.182;
}
}
En el enrutador radial E, configure una sesión de IBGP en el enrutador de concentrador:
[edit protocols]
bgp {
group Spoke-E-to-Hub {
type internal;
local-address 10.255.14.180;
neighbor 10.255.14.174 {
family inet-vpn {
unicast;
}
}
}
}
En el enrutador spoke F, configure una sesión de IBGP en el enrutador de concentrador:
[edit protocols]
bgp {
group Spoke-F-to-Hub {
type internal;
local-address 10.255.14.182;
neighbor 10.255.14.174 {
family inet-vpn {
unicast;
}
}
}
}
Configuración de instancias de enrutamiento VPN en enrutadores DE PE radiales
Para que el enrutador de PE del concentrador pueda distinguir entre los paquetes que van a los enrutadores pe radiales y los que vienen de ellos, debe configurarlo con dos instancias de enrutamiento:
Una instancia de enrutamiento (en este ejemplo,
Spokes-to-Hub-CE) está asociada con la interfaz que transporta los paquetes del enrutador de PE de concentrador al enrutador BRC concentrador (en este ejemplo, interfazge-0/0/0.0). Su tabla VRF contiene las rutas que anuncian los enrutadores de PE radiales y el enrutador de PE de hub al enrutador de BRC hub.La segunda instancia de enrutamiento (en este ejemplo,
Hub-CE-to-Spokes) está asociada con la interfaz que transporta los paquetes del enrutador BRC hub al enrutador de PE de concentrador (en este ejemplo,ge-0/0/1.0interfaz). Su tabla VRF contiene las rutas que se anuncian desde el enrutador BRC hub a los enrutadores PE radiales.
En cada enrutador radial, debe configurar una instancia de enrutamiento.
Debe definir lo siguiente en la instancia de enrutamiento:
Diferenciador de ruta, el cual se usa para distinguir las direcciones de una VPN de las de otra VPN.
Tipo de instancia
vrfde , que crea la tabla VRF en el enrutador de PE.Interfaces que forman parte de la VPN y que conectan los enrutadores pe a sus enrutadores BRC estándar.
Políticas de importación y exportación de VRF. Ambas políticas de importación deben incluir referencia a una comunidad. De lo contrario, cuando intenta confirmar la configuración, se produce un error en la confirmación. (La excepción es si la política de importación solo contiene una
then rejectinstrucción.) En la política de exportación de VRF, los enrutadores de PE radiales adjuntan la comunidad de destino de radio.Enrutamiento entre el PE y BRC routers, lo cual es necesario para que el enrutador de PE distribuya rutas relacionadas con VPN hacia y desde enrutadores conectados BRC seguro. Puede configurar un protocolo de enrutamiento (BGP, OSPF o RIP) o puede configurar el enrutamiento estático.
Para una topología radial, debe configurar distintas políticas en cada instancia de enrutamiento en el enrutador de BRC radial. Para la instancia de enrutamiento asociada con la interfaz que transporta paquetes desde el enrutador de PE de concentrador al enrutador BRC hub (en este ejemplo, Spokes-to-Hub-CE), la política de importación debe aceptar todas las rutas recibidas en la sesión del IBGP entre los enrutadores PE radiales y radiales, y la política de exportación debe rechazar todas las rutas recibidas del enrutador de BRC hub. Para la instancia de enrutamiento asociada con la interfaz que transporta paquetes del enrutador de hub BRC al enrutador de PE de concentrador (en este ejemplo, Hub-CE-to-Spokes), la política de importación debe rechazar todas las rutas recibidas de los enrutadores de PE radiales y la política de exportación debe exportar a todos los enrutadores spoke.
En el enrutador D de PE del concentrador, configure las siguientes instancias de enrutamiento. El enrutador D utiliza OSPF para distribuir rutas hacia y desde el concentrador BRC enrutador.
[edit]
routing-instance {
Spokes-to-Hub-CE {
instance-type vrf;
interface ge-0/0/0.0;
route-distinguisher 10.255.1.174:65535;
vrf-import spoke;
vrf-export null;
protocols {
ospf {
domain-id disable;
export redistribute-vpn;
domain-vpn-tag 0;
area 0.0.0.0 {
interface ge-0/0/0;
}
}
}
}
Hub-CE-to-Spokes {
instance-type vrf;
interface ge-0/0/1.0;
route-distinguisher 10.255.1.174:65534;
vrf-import null;
vrf-export hub;
protocols {
ospf {
export redistribute-vpn;
area 0.0.0.0 {
interface ge-0/0/1.0;
}
}
}
}
}
En el enrutador de PE radial E, configure las siguientes instancias de enrutamiento. El enrutador E utiliza OSPF para distribuir rutas hacia y desde el enrutador BRC radio CE1.
[edit]
routing-instance {
Spoke-E-to-Hub {
instance-type vrf;
interface fe-0/1/0.0;
route-distinguisher 10.255.14.80:65035;
vrf-import hub;
vrf-export spoke;
protocols {
ospf {
export redistribute-vpn;
area 0.0.0.0 {
interface fe-0/1/0.0;
}
}
}
}
}
En el enrutador de PE radial F, configure las siguientes instancias de enrutamiento. El enrutador F utiliza OSPF para distribuir rutas hacia y desde el enrutador BRC radio CE2.
[edit]
routing-instance {
Spoke-F-to-Hub {
instance-type vrf;
interface fe-1/0/1.0;
route-distinguisher 10.255.14.182:65135;
vrf-import hub;
vrf-export spoke;
protocols {
ospf {
export redistribute-vpn;
area 0.0.0.0 {
interface fe-1/0/1.0;
}
}
}
}
}
Configuración de la política VPN en los enrutadores de PE
Debe configurar las políticas de importación y exportación de VPN en cada uno de los enrutadores pe radiales para que instalen las rutas adecuadas en las tablas VRF, las cuales utilizan para reenviar paquetes dentro de cada VPN.
En los enrutadores radiales, se definen políticas para intercambiar rutas con el enrutador de concentrador.
En el enrutador de concentrador, se definen políticas para aceptar rutas de los enrutadores de PE radiales y distribuirlas al enrutador BRC concentrador, y viceversa. El enrutador de PE de concentrador tiene dos tablas VRF:
Tabla VRF radial: controla las rutas recibidas de enrutadores radiales y anuncia estas rutas al enrutador de conexión BRC hub. Para esta tabla VRF, la política de importación debe comprobar que el nombre de destino spoke está presente y que la ruta se recibió de la sesión del IBGP entre el PE del concentrador y los enrutadores pe radiales. Esta tabla VRF no debe exportar ninguna ruta, por lo que su política de exportación debe rechazarlo todo.
Tabla VRF radial: controla las rutas recibidas del enrutador BRC concentrador y las anuncia a los enrutadores radiales. Para esta tabla VRF, la política de exportación debe agregar la comunidad de destino del concentrador. Esta tabla VRF no debe importar ninguna ruta, por lo que su política de importación debe rechazarlo todo.
En la política de VPN, también se configuran las comunidades de destino de VPN.
En el enrutador D de PE del concentrador, configure las siguientes políticas para aplicar a las tablas VRF:
spoke: acepta las rutas recibidas de la sesión del IBGP entre ellos y los enrutadores pespokeradiales que contienen el destino de comunidad y rechaza el resto de rutas.hub: agrega el concentrador de destino de la comunidad a todas las rutas recibidas de OSPF (es decir, de la sesión entre él y el enrutador BRC hub). Rechaza el resto de rutas.null: rechaza todas las rutas.redistribute-vpn: redistribuye OSPF rutas a vecinos dentro de la instancia de enrutamiento.[edit] policy-options { policy-statement spoke { term a { from { protocol bgp; community spoke; } then accept; } term b { then reject; } } policy-statement hub { term a { from protocol ospf; then { community add hub; accept; } } term b { then reject; } } policy-statement null { then reject; } policy-statement redistribute-vpn { term a { from protocol bgp; then accept; } term b { then reject; } } community hub members target:65535:1; community spoke members target:65535:2; }
Para aplicar las políticas de VRF en el enrutador D, incluya las vrf-export instrucciones y vrf-import cuando configure las instancias de enrutamiento:
[edit]
routing-instance {
Spokes-to-Hub-CE {
vrf-import spoke;
vrf-export null;
}
Hub-CE-to-Spokes {
vrf-import null;
vrf-export hub;
}
}
En los enrutadores E y F de PE radiales, configure las siguientes políticas para aplicar a las tablas VRF:
hub: acepta las rutas recibidas de la sesión del IBGP entre ella y los enrutadores pehubdel concentrador que contienen el destino de la comunidad y rechaza el resto de rutas.spoke: agrega el radio de destino de la comunidad a todas las rutas recibidas de OSPF (es decir, de la sesión entre él y el enrutador BRC concentrador) rechaza el resto de rutas.redistribute-vpn: redistribuye OSPF rutas a vecinos dentro de la instancia de enrutamiento.
En los enrutadores E y F de PE radiales, configure las siguientes políticas de importación y exportación de VPN:
[edit]
policy-options {
policy-statement hub {
term a {
from {
protocol bgp;
community hub;
}
then accept;
}
term b {
then reject;
}
}
policy-statement spoke {
term a {
from protocol ospf;
then {
community add spoke;
accept;
}
}
term b {
then reject;
}
}
policy-statement redistribute-vpn {
term a {
from protocol bgp;
then accept;
}
term b {
then reject;
}
}
community hub members target:65535:1;
community spoke members target 65535:2;
}
Para aplicar las políticas VRF en los enrutadores spoke, incluya las vrf-export instrucciones y vrf-import cuando configure las instancias de enrutamiento:
[edit]
routing-instance {
Spoke-E-to-Hub {
vrf-import hub;
vrf-export spoke;
}
}
[edit]
routing-instance {
Spoke-F-to-Hub {
vrf-import hub;
vrf-export spoke;
}
}
Configuración de VPN radial resumida en enrutador
- Enrutador D (enrutador DE PE de concentrador)
- Enrutador E (enrutador PE radio)
- Enrutador F (enrutador PE radio)
Enrutador D (enrutador DE PE de concentrador)
Instancia de enrutamiento para distribuir rutas spoke a centros BRC
Spokes-to-Hub-CE {
instance-type vrf;
interface fe-0/0/0.0;
route-distinguisher 10.255.1.174:65535;
vrf-import spoke;
vrf-export null;
}
Protocolo de enrutamiento de instancias
protocols {
ospf {
domain-id disable;
domain-vpn-tag 0;
export redistribute-vpn;
area 0.0.0.0 {
interface ge-0/0/0.0;
}
}
}
Instancia de enrutamiento para la distribución de concentradores BRC rutas a radios
Hub-CE-to-Spokes {
instance-type vrf;
interface ge-0/0/1.0;
route-distinguisher 10.255.1.174:65534;
vrf-import null;
vrf-export hub;
}
Protocolos de enrutamiento de instancia de enrutamiento
protocols {
ospf {
export redistribute-vpn;
area 0.0.0.0 {
interface ge-0/0/1.0;
}
}
}
Opciones de enrutamiento (instancia principal)
routing-options {
autonomous-system 1 loops 1;
}
Protocolos (instancia principal)
protocols {
}
Habilitar LDP
ldp {
interface so-1/0/0.0;
interface t3-1/1/0.0;
}
Configurar IBGP
bgp {
group Hub-to-Spokes {
type internal;
local-address 10.255.14.174;
family inet-vpn {
unicast;
}
neighbor 10.255.14.180;
neighbor 10.255.14.182;
}
}
Configurar política DE VPN
policy-options {
policy-statement spoke {
term a {
from {
protocol bgp;
community spoke;
}
then accept;
}
term b {
then reject;
}
}
policy-statement hub {
term a {
from protocol ospf;
then {
community add hub;
accept;
}
}
term b {
then reject;
}
}
policy-statement null {
then reject;
}
policy-statement redistribute-vpn {
term a {
from protocol bgp;
then accept;
}
term b {
then reject;
}
}
community hub members target:65535:1;
community spoke members target:65535:2;
}
Enrutador E (enrutador PE radio)
Instancia de enrutamiento
routing-instance {
Spoke-E-to-Hub {
instance-type vrf;
interface fe-0/1/0.0;
route-distinguisher 10.255.14.80:65035;
vrf-import hub;
vrf-export spoke;
}
}
Protocolo de enrutamiento de instancias
protocols {
ospf {
export redistribute-vpn;
area 0.0.0.0 {
interface fe-0/1/0.0;
}
}
}
Opciones de enrutamiento (instancia principal)
routing-options {
autonomous-system 1 loops 1;
}
Protocolos (instancia principal)
protocols {
}
Habilitar LDP
ldp {
interface fe-0/1/2.0;
}
Configurar IBGP
bgp {
group Spoke-E-to-Hub {
type internal;
local-address 10.255.14.180;
neighbor 10.255.14.174 {
family inet-vpn {
unicast;
}
}
}
}
Configurar política DE VPN
policy-options {
policy-statement hub {
term a {
from {
protocol bgp;
community hub;
}
then accept;
}
term b {
then reject;
}
}
policy-statement spoke {
term a {
from protocol ospf;
then {
community add spoke;
accept;
}
}
term b {
then reject;
}
}
policy-statement redistribute-vpn {
term a {
from protocol bgp;
then accept;
}
term b {
then reject;
}
}
community hub members target:65535:1;
community spoke members target:65535:2;
}
Enrutador F (enrutador PE radio)
Instancia de enrutamiento
routing-instance {
Spoke-F-to-Hub {
instance-type vrf;
interface fe-1/0/1.0;
route-distinguisher 10.255.14.182:65135;
vrf-import hub;
vrf-export spoke;
}
}
Protocolo de enrutamiento de instancias
protocols {
ospf {
export redistribute-vpn;
area 0.0.0.0 {
interface fe-1/0/1.0;
}
}
}
Opciones de enrutamiento (instancia principal)
routing-options {
autonomous-system 1 loops 1;
}
Protocolos (instancia principal)
protocols {
}
Habilitar LDP
ldp {
interface fe-1/0/0.0;
}
Configurar IBGP
bgp {
group Spoke-F-to-Hub {
type internal;
local-address 10.255.14.182;
neighbor 10.255.14.174 {
family inet-vpn {
unicast;
}
}
}
}
Configurar política DE VPN
policy-options {
policy-statement hub {
term a {
from {
protocol bgp;
community hub;
}
then accept;
}
term b {
then reject;
}
}
policy-statement spoke {
term a {
from protocol ospf;
then {
community add spoke;
accept;
}
}
term b {
then reject;
}
}
policy-statement redistribute-vpn {
term a {
from {
protocol bgp;
}
then accept;
}
term b {
then reject;
}
}
community hub members target:65535:1;
community spoke members target:65535:2;
}