VPN radiales
Configuración de topologías VPN radiales: una interfaz
Utilice una configuración de interfaz única para anunciar una ruta predeterminada desde uno o varios hubs.
La figura 1 ilustra una aplicación radial VPN de capa 3 en la que solo hay una interfaz entre el concentrador CE (CE1) y el concentrador PE (PE1). Esta es la forma recomendada de configurar topologías radiales.
En esta configuración, se anuncia una ruta predeterminada desde el hub hasta los radios. Si es necesario intercambiar rutas CE de radios más específicas entre enrutadores de CE de radio, se necesitan dos interfaces entre el concentrador CE y el concentrador PE. Consulte Configuración de topologías VPN radiales: dos interfaces para ver un ejemplo de dos interfaces.
En este ejemplo de configuración, la distribución de rutas radiales es la siguiente:
-
Spoke CE2 anuncia sus rutas hacia el PE2 hablado.
-
Spoke PE2 instala rutas de CE2 en su tabla de enrutamiento y reenvío VPN (VRF).
-
Spoke PE2 comprueba su política de exportación de VRF, agrega la comunidad de destino de ruta y anuncia las rutas al hub PE1.
-
Hub PE1 comprueba su directiva de importación de VRF e instala rutas que coinciden con la directiva de importación en la tabla bgp.l3vpn.0.
-
El concentrador PE1 instala rutas de la tabla bgp.l3vpn.0 en la tabla VRF del concentrador.
-
Hub PE1 anuncia rutas desde la tabla VRF del hub hasta el hub CE1.
En este ejemplo de configuración, la distribución de ruta predeterminada es la siguiente:
-
El hub CE1 anuncia una ruta predeterminada al hub PE1.
-
El concentrador PE1 instala la ruta predeterminada en la tabla VRF del concentrador.
-
Hub PE1 comprueba su política de exportación de VRF, agrega la comunidad de destino de ruta y anuncia la ruta predeterminada a PE2 y PE3 radiales.
-
Los radios PE2 y PE3 comprueban su política de importación de VRF e instalan la ruta predeterminada en la tabla bgp.l3vpn.0.
-
Spoke PE2 y PE3 instalan las rutas de la tabla bgp.l3vpn.0 en sus tablas VRF radiales.
-
Los radios PE2 y PE3 anuncian la ruta predeterminada desde la tabla VRF radial hasta los radios CE2 y CE3.
En las secciones siguientes se describe cómo configurar una topología radial con una interfaz basada en la topología ilustrada en la figura 1:
- Configuración del concentrador CE1
- Configuración del concentrador PE1
- Configuración del enrutador P
- Configuración de PE2 radial
- Configuración de PE3 radial
- Configuración de Spoke CE2
- Configuración de Spoke CE3
- Habilitación de funciones de salida en el enrutador de PE del concentrador
Configuración del concentrador CE1
Configure el concentrador CE1 de la siguiente manera:
[edit routing-options]
static {
route 0.0.0.0/0 discard;
}
autonomous-system 100;
[edit protocols]
bgp {
group hub {
type external;
export default;
peer-as 200;
neighbor 10.49.4.1;
}
}
[edit policy-options]
policy-statement default {
term 1 {
from {
protocol static;
route-filter 0.0.0.0/0 exact;
}
then accept;
}
term 2 {
then reject;
}
}
Configuración del concentrador PE1
Configure el concentrador PE1 de la siguiente manera:
[edit]
routing-instances {
hub {
instance-type vrf;
interface t3-0/0/0;
route-distinguisher 10.255.14.176:2;
vrf-target {
import target:200:100;
export target:200:101;
}
protocols {
bgp {
group hub {
type external;
peer-as 100;
as-override;
neighbor 10.49.4.2;
}
}
}
}
}
Configuración del enrutador P
Configure el enrutador P de la siguiente manera:
[edit]
interfaces {
t3-0/1/1 {
unit 0 {
family inet {
address 10.49.2.1/30;
}
family mpls;
}
}
t3-0/1/3 {
unit 0 {
family inet {
address 10.49.0.2/30;
}
family mpls;
}
}
t1-0/2/0 {
unit 0 {
family inet {
address 10.49.1.2/30;
}
family mpls;
}
}
}
[edit]
protocols {
ospf {
area 0.0.0.0 {
interface t3-0/1/3.0;
interface t1-0/2/0.0;
interface t3-0/1/1.0;
interface lo0.0 {
passive;
}
}
}
ldp {
interface t3-0/1/1.0;
interface t3-0/1/3.0;
interface t1-0/2/0.0;
}
}
Configuración de PE2 radial
Configure el PE2 radial de la siguiente manera:
[edit]
interfaces {
t3-0/0/0 {
unit 0 {
family inet {
address 10.49.0.1/30;
}
family mpls;
}
}
t1-0/1/2 {
unit 0 {
family inet {
address 10.49.3.1/30;
}
}
}
}
[edit protocols]
bgp {
group ibgp {
type internal;
local-address 10.255.14.182;
peer-as 200;
neighbor 10.255.14.176 {
family inet-vpn {
unicast;
}
}
}
}
ospf {
area 0.0.0.0 {
interface t3-0/0/0.0;
interface lo0.0 {
passive;
}
}
}
ldp {
interface t3-0/0/0.0;
}
[edit]
routing-instances {
spoke {
instance-type vrf;
interface t1-0/1/2.0;
route-distinguisher 10.255.14.182:20;
vrf-target {
import target:200:101;
export target:200:100;
}
protocols {
bgp {
group spoke {
type external;
peer-as 100;
as-override;
neighbor 10.49.3.2;
}
}
}
}
}
Configuración de PE3 radial
Configure el PE3 radial de la siguiente manera:
[edit]
interfaces {
t3-0/0/0 {
unit 0 {
family inet {
address 10.49.6.1/30;
}
}
}
t3-0/0/1 {
unit 0 {
family inet {
address 10.49.2.2/30;
}
family mpls;
}
}
}
[edit protocols}
bgp {
group ibgp {
type internal;
local-address 10.255.14.178;
peer-as 200;
neighbor 10.255.14.176 {
family inet-vpn {
unicast;
}
}
}
}
ospf {
area 0.0.0.0 {
interface t3-0/0/1.0;
interface lo0.0 {
passive;
}
}
}
ldp {
interface t3-0/0/1.0;
}
[edit]
routing-instances {
spoke {
instance-type vrf;
interface t3-0/0/0.0;
route-distinguisher 10.255.14.178:30;
vrf-target {
import target:200:101;
export target:200:100;
}
protocols {
bgp {
group spoke {
type external;
peer-as 100;
as-override;
neighbor 10.49.6.2;
}
}
}
}
}
Configuración de Spoke CE2
Configure el CE2 radial de la siguiente manera:
[edit routing-options]
autonomous-system 100;
{edit protocols]
bgp {
group spoke {
type external;
export loopback;
peer-as 200;
neighbor 10.49.3.1;
}
}
Configuración de Spoke CE3
Configure el CE3 hablado de la siguiente manera:
[edit routing-options]
autonomous-system 100;
[edit protocols]
bgp {
group spoke {
type external;
export loopback;
peer-as 200;
neighbor 10.49.6.1;
}
}
En este ejemplo de configuración, el reenvío de tráfico es el siguiente entre los radios CE2 y el concentrador CE1:
-
Spoke CE2 reenvía el tráfico utilizando la ruta predeterminada aprendida de spoke PE2 a BGP.
0.0.0.0/0 *[BGP/170] 02:24:15, localpref 100 AS path: 200 200 I > to 10.49.3.1 via t1-3/0/1.0 -
La PE2 radial realiza una búsqueda de ruta en la tabla VRF radial y reenvía el tráfico al concentrador PE1 (a través del enrutador P; PE2 inserta dos etiquetas) utilizando la ruta predeterminada aprendida a través de BGP.
0.0.0.0/0 *[BGP/170] 01:35:45, localpref 100, from 10.255.14.176 AS path: 100 I > via t3-0/0/1.0, Push 100336, Push 100224(top) -
El concentrador PE1 realiza una búsqueda de ruta en la tabla mpls.0 para la etiqueta
100336VPN.100336 *[VPN/170] 01:37:03 > to 10.49.4.2 via t3-0/0/0.0, Pop -
El concentrador PE1 reenvía el tráfico de la interfaz
t3-0/0/0.0al concentrador CE1.
En este ejemplo de configuración, el reenvío de tráfico es el siguiente entre el concentrador CE1 y el CE2 radial:
-
El concentrador CE1 reenvía el tráfico al concentrador PE1 mediante la ruta aprendida a través del BGP.
10.49.10.250/32 *[BGP/170] 02:28:46, localpref 100 AS path: 200 200 I > to 10.49.4.1 via t3-3/1/0.0 -
El concentrador PE1 realiza una búsqueda de ruta en la tabla VRF del concentrador y reenvía el tráfico al PE2 radial (a través del enrutador P: PE1 inserta dos etiquetas).
10.49.10.250/32 *[BGP/170] 01:41:05, localpref 100, from 10.255.14.182 AS path: 100 I > via t1-0/1/0.0, Push 100352, Push 100208(top) -
Spoke PE2 realiza una búsqueda de ruta en la tabla mpls.0 para la etiqueta
100352VPN.100352 *[VPN/170] 02:31:39 > to 10.49.3.2 via t1-0/1/2.0, Pop -
Spoke PE2 reenvía el tráfico fuera de la interfaz
t1-0/1/2.0a spoke CE2.
En este ejemplo de configuración, el reenvío de tráfico es el siguiente entre los radios CE2 y CE3:
-
Spoke CE2 reenvía el tráfico utilizando la ruta predeterminada aprendida de spoke PE2 a BGP.
0.0.0.0/0 *[BGP/170] 02:24:15, localpref 100 AS path: 200 200 I > to 10.49.3.1 via t1-3/0/1.0 -
Spoke PE2 realiza una búsqueda de ruta en la tabla VRF radial y reenvía el tráfico al concentrador PE1 (a través del enrutador P; PE2 inserta dos etiquetas) utilizando la ruta predeterminada aprendida a través de BGP.
0.0.0.0/0 *[BGP/170] 01:35:45, localpref 100, from 10.255.14.176 AS path: 100 I > via t3-0/0/1.0, Push 100336, Push 100224(top) -
El concentrador PE1 realiza una búsqueda de ruta en la tabla mpls.0 para la etiqueta
100336VPN.100336 *[VPN/170] 01:37:03 > to 10.49.4.2 via t3-0/0/0.0, Pop -
El concentrador PE1 reenvía el tráfico fuera de la interfaz
t3-0/0/0.0al concentrador CE1. -
El concentrador CE1 reenvía el tráfico al concentrador PE1 mediante el enrutador aprendido a través del BGP.
10.49.10.253/32 *[BGP/170] 02:40:03, localpref 100 AS path: 200 200 I > to 10.49.4.1 via t3-3/1/0.0 -
El concentrador PE1 realiza una búsqueda de ruta en la tabla VRF del concentrador y reenvía el tráfico al PE3 radial (a través del enrutador P: PE1 inserta dos etiquetas).
10.49.10.253/32 *[BGP/170] 01:41:05, localpref 100, from 10.255.14.178 AS path: 100 I > via t1-0/1/0.0, Push 100128, Push 100192(top) -
Spoke PE3 realiza una búsqueda de ruta en la tabla mpls.0 para la etiqueta
100128VPN.100128 *[VPN/170] 02:41:30 > to 10.49.6.2 via t3-0/0/0.0, Pop -
Spoke PE3 reenvía el tráfico fuera de la interfaz
t3-0/0/0.0a spoke CE3.
Si se necesitan características de salida en el PE del concentrador que requieren una búsqueda de reenvío IP en la tabla de enrutamiento VRF del concentrador, consulte Habilitación de características de salida en el enrutador de PE del concentrador.
Habilitación de funciones de salida en el enrutador de PE del concentrador
Este ejemplo se proporciona junto con Configuración de topologías VPN radiales: una interfaz. En este ejemplo también se usa la topología ilustrada en la figura 1.
Si se necesitan características de salida en el PE del concentrador que requieren una búsqueda de reenvío IP en la tabla de enrutamiento VRF del concentrador, la configuración detallada en Configuración de topologías VPN radiales: una interfaz no funcionará. La aplicación de la vrf-table-label instrucción en la instancia de enrutamiento del concentrador fuerza el reenvío del tráfico de un PE radial remoto al PE del concentrador y fuerza la realización de una búsqueda IP. Dado que las rutas de radios específicas se encuentran en la tabla VRF del concentrador, el tráfico se reenviará a un PE radial sin pasar por el concentrador CE.
El hub PE anuncia la ruta predeterminada de la siguiente manera, utilizando la etiqueta VPN 1028:
hub.inet.0: 7 destinations, 7 routes (7 active, 0 holddown, 0 hidden)
* 0.0.0.0/0 (1 entry, 1 announced)
BGP group ibgp type Internal
Route Distinguisher: 10.255.14.176:2
VPN Label: 1028
Nexthop: Self
Localpref: 100
AS path: 100 I
Communities: target:200:101
El tráfico entrante se reenvía mediante la etiqueta VPN 1028. La tabla mpls.0 muestra que se requiere una búsqueda IP en la tabla hub.inet.0:
1028 *[VPN/0] 00:00:27
to table hub.inet.0, Pop
Sin embargo, la tabla del concentrador VRF hub.inet.0 contiene rutas radiales específicas:
10.49.10.250/32 *[BGP/170] 00:00:05, localpref 100, from 10.255.14.182
AS path: 100 I
> via t1-0/1/0.0, Push 100352, Push 100208(top)
10.49.10.253/32 *[BGP/170] 00:00:05, localpref 100, from 10.255.14.178
AS path: 100 I
> via t1-0/1/0.0, Push 100128, Push 100192(top)
Debido a esto, el tráfico se reenvía directamente a los PE radiales sin pasar por el hub CE. Para evitarlo, debe configurar una instancia de enrutamiento secundario para el tráfico descendente en el hub PE1.
Configuración del concentrador PE1
Configure el concentrador PE1 de la siguiente manera:
[edit]
routing-instances {
hub {
instance-type vrf;
interface t3-0/0/0.0;
route-distinguisher 10.255.14.176:2;
vrf-target {
import target:200:100;
export target:200:101;
}
no-vrf-advertise;
routing-options {
auto-export;
}
protocols {
bgp {
group hub {
type external;
peer-as 100;
as-override;
neighbor 10.49.4.2;
}
}
}
}
hub-downstream {
instance-type vrf;
route-guisher 10.255.14.176:3;
vrf-target target:200:101;
vrf-table-label;
routing-options {
auto-export;
}
}
}
Cuando la instrucción se utiliza en el nivel de jerarquía, no se requieren grupos de no-vrf-advertise [edit routing-instances hub] tablas de enrutamiento ni directivas de exportación de VRF. La no-vrf-advertise instrucción configura el concentrador PE para que no anuncie rutas VPN desde la instancia hubde enrutamiento principal. En su lugar, estas rutas se anuncian desde la instancia hub_downstreamde enrutamiento secundario. Consulte Biblioteca de protocolos de enrutamiento de Junos OS para obtener más información sobre la no-vrf-advertise instrucción.
La auto-export instrucción en el nivel de [edit routing-instances hub-downstream routing-options] jerarquía identifica las rutas exportadas desde la instancia de concentrador a la instancia de concentrador descendente examinando los destinos de ruta definidos para cada instancia de enrutamiento. Consulte Biblioteca de protocolos de enrutamiento de Junos OS para obtener más información acerca del uso de la auto-export instrucción. Consulte Configuración de VPN superpuestas mediante la exportación automática de rutas para obtener más ejemplos de políticas de exportación.
Con esta configuración en el hub PE, el tráfico CE de radio a radio pasa por el hub CE y permite habilitar las funciones de salida (como el filtrado) en el hub PE.
En este ejemplo de configuración, el reenvío de tráfico es el siguiente entre los radios CE2 y CE3:
-
Spoke CE2 reenvía el tráfico utilizando la ruta predeterminada aprendida de spoke PE2 a BGP.
0.0.0.0/0 *[BGP/170] 02:24:15, localpref 100 AS path: 200 200 I > to 10.49.3.1 via t1-3/0/1.0 -
Spoke PE2 realiza una búsqueda de ruta en la tabla VRF radial y reenvía el tráfico al concentrador PE1 (a través del enrutador P; PE2 inserta dos etiquetas) utilizando la ruta predeterminada aprendida a través de BGP.
spoke.inet.0: 5 destinations, 5 routes (5 active, 0 holddown, 0 hidden) + = Active Route, - = Last Active, * = Both 0.0.0.0/0 *[BGP/170] 00:00:09, localpref 100, from 10.255.14.176 AS path: 100 I > via t3-0/0/0.0, Push 1029, Push 100224(top) -
El concentrador PE1 realiza una búsqueda de ruta en la tabla mpls.0 para la etiqueta
1029VPN.mpls.0: 5 destinations, 5 routes (5 active, 0 holddown, 0 hidden) + = Active Route, - = Last Active, * = Both 1029 *[VPN/0] 00:11:49 to table hub_downstream.inet.0, PopLa etiqueta
1029VPN se anuncia porque:-
La
vrf-table-labelinstrucción se aplica en el nivel de[edit routing-instances hub_downsteam]jerarquía en la configuración del concentrador PE1. -
La
no-vrf-advertiseinstrucción se aplica en el nivel de[edit routing-instances hub]jerarquía, indicando al enrutador que anuncie la ruta desde la tabla secundaria.
Por lo tanto, las búsquedas IP se realizan en la tabla hub_downstream.inet.0, no en la tabla hub.inet.0.
Ejecute el
show route advertising-protocolcomando en el concentrador PE a un PE radial para verificar el anuncio de la etiqueta1029VPN:user@host> show route advertising-protocol hub_downstream.inet.0: 2 destinations, 2 routes (2 active, 0 holddown, 0 hidden) * 0.0.0.0/0 (1 entry, 1 announced) BGP group ibgp type Internal Route Distinguisher: 10.255.14.176:3 VPN Label: 1029 Nexthop: Self Localpref: 100 AS path: 100 I Communities: target:200:101 -
-
El concentrador PE1 realiza una búsqueda IP en la
hub_downstream.inet.0tabla y reenvía la interfazt3-0/0/0.0de tráfico saliente al concentrador CE1.hub_downstream.inet.0: 2 destinations, 2 routes (2 active, 0 holddown, 0 hidden) 0.0.0.0/0 (1 entry, 1 announced) *BGP Preference: 170/-101 Next-hop reference count: 4 Source: 10.49.4.2 Next hop: 10.49.4.2 via t3-0/0/0.0, selected State: <Secondary Active Ext> Peer AS: 100 Age: 3:03 Task: BGP_100.10.49.4.2+1707 Announcement bits (2): 0-KRT 2-BGP.0.0.0.0+179 AS path: 100 I Communities: target:200:101 Localpref: 100 Router ID: 10.49.10.251 Primary Routing Table hub.inet.0La tabla de enrutamiento principal es
hub.inet.0, lo que indica que esta ruta se exportó de la tablahub.inet.0a esta tabla hub_downstream.inet.0 como resultado de lano-vrf-advertiseinstrucción en el[edit routing-instances hub]nivel de jerarquía y laauto-exportinstrucción en el[edit routing-instances hub-downstream routing-options]nivel de jerarquía en la configuración PE1 del concentrador. -
El concentrador CE1 reenvía el tráfico al concentrador PE1 mediante el enrutador aprendido a través del BGP.
10.49.10.253/32 *[BGP/170] 02:40:03, localpref 100 AS path: 200 200 I > to 10.49.4.1 via t3-3/1/0.0 -
El concentrador PE1 realiza una búsqueda de ruta en la tabla VRF del concentrador y reenvía el tráfico al PE3 radial (a través del enrutador P; PE1 inserta dos etiquetas).
10.49.10.253/32 *[BGP/170] 01:41:05, localpref 100, from 10.255.14.178 AS path: 100 I > via t1-0/1/0.0, Push 100128, Push 100192(top) -
Spoke PE3 realiza una búsqueda de ruta en la tabla mpls.0 para la etiqueta
100128VPN.100128 *[VPN/170] 02:41:30 > to 10.49.6.2 via t3-0/0/0.0, Pop -
Spoke PE3 reenvía el tráfico de la interfaz a la radio-CE3
t3-0/0/0.0.
Configuración de topologías VPN radiales: dos interfaces
Utilice una configuración de dos interfaces para propagar rutas de radio a radio.
En el ejemplo de esta sección se configura una topología radial con dos interfaces mediante los siguientes componentes (consulte la figura 2):
-
Un enrutador PE concentrador (enrutador D).
-
Un enrutador CE de concentrador conectado al enrutador de PE del concentrador. Para que esta topología VPN radial funcione correctamente, debe haber dos interfaces que conecten el enrutador PE del concentrador con el enrutador CE del concentrador, y cada interfaz debe tener su propia tabla VRF en el enrutador PE:
-
La primera interfaz (aquí, interfaz ge-0/0/0.0) se utiliza para anunciar rutas radiales al enrutador hub CE. La tabla VRF asociada con esta interfaz contiene las rutas anunciadas por los enrutadores de PE radiales al enrutador del concentrador CE.
-
La segunda interfaz (aquí, interfaz ge-0/0/1.0) se utiliza para recibir anuncios de ruta del concentrador CE destinados a los enrutadores radiales. La tabla VRF asociada con esta interfaz contiene las rutas anunciadas por el enrutador del concentrador CE a los enrutadores de PE radiales. Para este ejemplo, se utilizan dos interfaces físicas independientes. También funcionaría si tuviera que configurar dos interfaces lógicas independientes que compartan la misma interfaz física entre el enrutador PE del concentrador y el enrutador CE del concentrador.
-
-
Enrutadores de PE de dos radios (enrutador E y enrutador F).
-
Dos enrutadores CE de radios (CE1 y CE2), uno conectado a cada enrutador de PE radial.
-
LDP como protocolo de señalización.
En esta configuración, la distribución de rutas desde el enrutador CE CE1 se produce de la siguiente manera:
-
El enrutador radial CE1 anuncia sus rutas al enrutador de PE radial E.
-
El enrutador E instala las rutas de CE1 en su tabla VRF.
-
Después de verificar su política de exportación de VRF, el enrutador E agrega la comunidad objetivo radial a las rutas del enrutador CE1 que aprobó la política y las anuncia al enrutador PE del concentrador, el enrutador D.
-
El enrutador D comprueba la política de importación de VRF asociada con la interfaz ge-0/0/0.0 y coloca todas las rutas de los enrutadores PE radiales que coinciden con la política en su tabla de enrutamiento bgp.l3vpn. (Se descartan todas las rutas que no coincidan).
-
El enrutador D comprueba su política de importación de VRF asociada con la interfaz ge-0/0/0.0 e instala todas las rutas que coinciden en su tabla VRF radial. Las rutas se instalan con la comunidad objetivo radial.
-
El enrutador D anuncia las rutas al concentrador CE a través de la interfaz ge-0/0/0.
-
El enrutador del concentrador CE anuncia las rutas de regreso al enrutador PE del concentrador D a través de la segunda interfaz al enrutador del concentrador, la interfaz ge-0/0/1.
-
El enrutador PE del concentrador instala las rutas aprendidas del enrutador del concentrador CE en su tabla VRF del concentrador, que está asociada con la interfaz ge-0/0/1.
-
El enrutador PE del concentrador comprueba la política de exportación de VRF asociada con la interfaz ge-0/0/1.0 y anuncia todas las rutas que coinciden con todos los radios después de agregar la comunidad de destino del concentrador.
La figura 3 ilustra cómo se distribuyen las rutas desde este enrutador radial al otro enrutador CE radial, el enrutador CE2. Se sigue la misma ruta si emite un traceroute comando desde el enrutador CE1 al enrutador CE2.
En la sección final de este ejemplo, Configuración VPN radial resumida por enrutador, se consolidan las instrucciones necesarias para configurar la funcionalidad VPN para cada uno de los enrutadores de proveedores de servicios que se muestran en la figura 2.
radiales
En las secciones siguientes se explica cómo configurar la funcionalidad VPN para una topología radial en los enrutadores PE radiales. Los enrutadores CE no tienen ninguna información sobre la VPN, por lo que los configura normalmente.
- Habilitación de un IGP en los enrutadores de PE radiales
- Configuración de LDP en enrutadores PE radiales
- Configuración de IBGP en los enrutadores PE
- Configuración de instancias de enrutamiento VPN en enrutadores PE radiales
- Configuración de la política VPN en los enrutadores PE
- Configuración de VPN radial resumida por enrutador
Habilitación de un IGP en los enrutadores de PE radiales
Para permitir que los enrutadores PE radiales intercambien información de enrutamiento, debe configurar un IGP en todos estos enrutadores o configurar rutas estáticas. El IGP se configura en la instancia principal del proceso de protocolo de enrutamiento (RPD) (es decir, en el [edit protocols] nivel de jerarquía), no dentro de la instancia de enrutamiento (es decir, no en el [edit routing-instances] nivel de jerarquía).
El IGP se configura de forma estándar. Este ejemplo de configuración no incluye esta parte de la configuración.
En la distribución de rutas en una topología radial, si el protocolo utilizado entre los enrutadores CE y PE en el sitio del concentrador es BGP, el enrutador del concentrador CE anuncia todas las rutas recibidas del enrutador del concentrador PE y de los enrutadores radiales al enrutador del concentrador PE y a todos los enrutadores radiales. Esto significa que los enrutadores de PE radiales reciben rutas que contienen su número de AS. Normalmente, cuando una ruta contiene esta información, indica que se ha producido un bucle de enrutamiento y el enrutador rechaza las rutas. Sin embargo, para que la configuración de VPN funcione, el enrutador de PE del concentrador y los enrutadores radiales deben aceptar estas rutas. Para habilitar esto, incluya la loops opción cuando configure el AS en el nivel de [edit routing-options] jerarquía en el enrutador de PE del concentrador y en todos los enrutadores radiales. Para esta configuración de ejemplo, especifique el valor 1. Puede especificar un número del 0 al 10.
[edit routing-options] autonomous-system as-number loops 1;
Configuración de LDP en enrutadores PE radiales
Configure LDP en las interfaces entre los enrutadores PE radiales que participan en la VPN.
En el enrutador D del concentrador PE, configure LDP:
[edit protocols]
ldp {
interface so-1/0/0.0;
interface t3-1/1/0.0;
}
En el enrutador de PE radial E, configure LDP:
[edit protocols]
ldp {
interface fe-0/1/2.0;
}
En el enrutador de PE radial Enrutador F, configure LDP:
[edit protocols]
ldp {
interface fe-1/0/0.0;
}
Configuración de IBGP en los enrutadores PE
En los enrutadores de PE radiales, configure una sesión de IBGP con las siguientes propiedades:
-
Familia VPN: para indicar que la sesión de IBGP es para la VPN, incluya la
family inet-vpninstrucción. -
Dirección de circuito cerrado: incluye la
local-addressinstrucción y especifica la dirección de circuito cerrado del enrutador de PE local. La sesión de IBGP para VPN se ejecuta a través de la dirección de circuito cerrado. También debe configurar lalo0interfaz en el nivel jerárquico[edit interfaces]. El ejemplo no incluye esta parte de la configuración del enrutador. -
Dirección del vecino: incluya la
neighborinstrucción. En el enrutador del concentrador, especifique la dirección IP de cada enrutador de PE radial, y en el enrutador radial, especifique la dirección del enrutador de PE del concentrador.
Para el enrutador de concentrador, se configura una sesión de IBGP con cada radial, y para cada enrutador radial, se configura una sesión de IBGP con el concentrador. No hay sesiones de IBGP entre los dos enrutadores radiales.
En el enrutador del concentrador D, configure el IBGP. La primera neighbor instrucción configura una sesión de IBGP en el enrutador radial E y la segunda configura una sesión en el enrutador radial F.
[edit protocols]
bgp {
group Hub-to-Spokes {
type internal;
local-address 10.255.14.174;
family inet-vpn {
unicast;
}
neighbor 10.255.14.180;
neighbor 10.255.14.182;
}
}
En el enrutador radial E, configure una sesión de IBGP en el enrutador del concentrador:
[edit protocols]
bgp {
group Spoke-E-to-Hub {
type internal;
local-address 10.255.14.180;
neighbor 10.255.14.174 {
family inet-vpn {
unicast;
}
}
}
}
En el enrutador radial F, configure una sesión IBGP en el enrutador concentrador:
[edit protocols]
bgp {
group Spoke-F-to-Hub {
type internal;
local-address 10.255.14.182;
neighbor 10.255.14.174 {
family inet-vpn {
unicast;
}
}
}
}
Configuración de instancias de enrutamiento VPN en enrutadores PE radiales
Para que el enrutador de PE del concentrador pueda distinguir entre los paquetes que entran y salen de los enrutadores de PE radiales, debe configurarlo con dos instancias de enrutamiento:
-
Una instancia de enrutamiento (en este ejemplo,
Spokes-to-Hub-CE) está asociada a la interfaz que transporta paquetes desde el enrutador PE del concentrador al enrutador CE del concentrador (en este ejemplo, la interfazge-0/0/0.0). Su tabla VRF contiene las rutas anunciadas por los enrutadores de PE radiales y el enrutador de PE de concentrador al enrutador de concentrador CE. -
La segunda instancia de enrutamiento (en este ejemplo,
Hub-CE-to-Spokes) está asociada a la interfaz que transporta paquetes desde el enrutador del concentrador CE al enrutador PE del concentrador (en este ejemplo, la interfazge-0/0/1.0). Su tabla VRF contiene las rutas que se anuncian desde el enrutador del concentrador CE a los enrutadores PE radiales.
En cada enrutador radial, debe configurar una instancia de enrutamiento.
Debe definir lo siguiente en la instancia de enrutamiento:
-
Distinguidor de ruta, que se utiliza para distinguir las direcciones de una VPN de las de otra.
-
Tipo de instancia de
vrf, que crea la tabla VRF en el enrutador PE. -
Interfaces que forman parte de la VPN y que conectan los enrutadores PE a sus enrutadores CE.
-
Políticas de importación y exportación de VRF. Ambas políticas de importación deben incluir una referencia a una comunidad. De lo contrario, cuando intente confirmar la configuración, se producirá un error en la confirmación. (La excepción a esto es si la directiva de importación contiene solo una
then rejectinstrucción). En la política de exportación de VRF, los enrutadores de PE radial conectan la comunidad de destino de radios. -
Enrutamiento entre los enrutadores PE y CE, que es necesario para que el enrutador PE distribuya rutas relacionadas con VPN hacia y desde enrutadores CE conectados. Puede configurar un protocolo de enrutamiento (BGP, OSPF o RIP) o puede configurar el enrutamiento estático.
Para una topología radial, debe configurar políticas diferentes en cada instancia de enrutamiento del enrutador del concentrador CE. Para la instancia de enrutamiento asociada a la interfaz que transporta paquetes desde el enrutador PE del concentrador al enrutador del concentrador CE (en este ejemplo, Spokes-to-Hub-CE), la política de importación debe aceptar todas las rutas recibidas en la sesión del IBGP entre los enrutadores de PE radiales y la política de exportación debe rechazar todas las rutas recibidas del enrutador del concentrador CE. Para la instancia de enrutamiento asociada a la interfaz que transporta paquetes desde el enrutador del concentrador CE al enrutador del concentrador PE (en este ejemplo, Hub-CE-to-Spokes), la política de importación debe rechazar todas las rutas recibidas de los enrutadores de PE radiales y la política de exportación debe exportarse a todos los enrutadores radiales.
En el enrutador D del concentrador PE, configure las siguientes instancias de enrutamiento. El enrutador D utiliza OSPF para distribuir rutas hacia y desde el enrutador del concentrador CE.
[edit]
routing-instance {
Spokes-to-Hub-CE {
instance-type vrf;
interface ge-0/0/0.0;
route-distinguisher 10.255.1.174:65535;
vrf-import spoke;
vrf-export null;
protocols {
ospf {
domain-id disable;
export redistribute-vpn;
domain-vpn-tag 0;
area 0.0.0.0 {
interface ge-0/0/0;
}
}
}
}
Hub-CE-to-Spokes {
instance-type vrf;
interface ge-0/0/1.0;
route-distinguisher 10.255.1.174:65534;
vrf-import null;
vrf-export hub;
protocols {
ospf {
export redistribute-vpn;
area 0.0.0.0 {
interface ge-0/0/1.0;
}
}
}
}
}
En el enrutador E de PE radial, configure las siguientes instancias de enrutamiento. El enrutador E utiliza OSPF para distribuir rutas hacia y desde el enrutador CE CE1.
[edit]
routing-instance {
Spoke-E-to-Hub {
instance-type vrf;
interface fe-0/1/0.0;
route-distinguisher 10.255.14.80:65035;
vrf-import hub;
vrf-export spoke;
protocols {
ospf {
export redistribute-vpn;
area 0.0.0.0 {
interface fe-0/1/0.0;
}
}
}
}
}
En el enrutador de PE radial F, configure las siguientes instancias de enrutamiento. El enrutador F utiliza OSPF para distribuir rutas hacia y desde el enrutador CE CE2 radial.
[edit]
routing-instance {
Spoke-F-to-Hub {
instance-type vrf;
interface fe-1/0/1.0;
route-distinguisher 10.255.14.182:65135;
vrf-import hub;
vrf-export spoke;
protocols {
ospf {
export redistribute-vpn;
area 0.0.0.0 {
interface fe-1/0/1.0;
}
}
}
}
}
Configuración de la política VPN en los enrutadores PE
Debe configurar las directivas de importación y exportación de VPN en cada uno de los enrutadores PE radiales para que instalen las rutas adecuadas en las tablas VRF, que utilizan para reenviar paquetes dentro de cada VPN.
En los enrutadores radiales, se definen políticas para intercambiar rutas con el enrutador concentrador.
En el enrutador de concentrador, se definen políticas para aceptar rutas de los enrutadores de PE radiales y distribuirlas al enrutador CE del concentrador, y viceversa. El enrutador PE del concentrador tiene dos tablas VRF:
-
Tabla VRF de radio a concentrador: maneja las rutas recibidas de los enrutadores radiales y anuncia estas rutas al enrutador del concentrador CE. Para esta tabla VRF, la política de importación debe comprobar que el nombre de destino del radio está presente y que la ruta se recibió de la sesión de IBGP entre el concentrador PE y los enrutadores de PE radial. Esta tabla VRF no debe exportar ninguna ruta, por lo que su política de exportación debe rechazar todo.
-
Tabla VRF de concentrador a radio: maneja las rutas recibidas del enrutador del concentrador CE y las anuncia a los enrutadores radiales. Para esta tabla VRF, la política de exportación debe agregar la comunidad de destino del concentrador. Esta tabla VRF no debe importar ninguna ruta, por lo que su política de importación debe rechazar todo.
En la directiva VPN, también se configuran las comunidades de destino de VPN.
En el enrutador D del concentrador PE, configure las siguientes directivas para aplicarlas a las tablas VRF:
-
spoke: acepta las rutas recibidas de la sesión de IBGP entre ésta y los enrutadores de PE radial que contienen el destinospokede la comunidad y rechaza todas las demás rutas. -
hub: agrega el concentrador de destino de la comunidad a todas las rutas recibidas de OSPF (es decir, de la sesión entre éste y el enrutador CE del concentrador). Rechaza todas las demás rutas. -
null—Rechaza todas las rutas. -
redistribute-vpn: redistribuye las rutas de OSPF a los vecinos dentro de la instancia de enrutamiento.[edit] policy-options { policy-statement spoke { term a { from { protocol bgp; community spoke; } then accept; } term b { then reject; } } policy-statement hub { term a { from protocol ospf; then { community add hub; accept; } } term b { then reject; } } policy-statement null { then reject; } policy-statement redistribute-vpn { term a { from protocol bgp; then accept; } term b { then reject; } } community hub members target:65535:1; community spoke members target:65535:2; }
Para aplicar las directivas de VRF en el enrutador D, incluya las vrf-export instrucciones y vrf-import cuando configure las instancias de enrutamiento:
[edit]
routing-instance {
Spokes-to-Hub-CE {
vrf-import spoke;
vrf-export null;
}
Hub-CE-to-Spokes {
vrf-import null;
vrf-export hub;
}
}
En los enrutadores E y F de PE radiales, configure las siguientes directivas para aplicarlas a las tablas VRF:
-
hub: acepta las rutas recibidas de la sesión de IBGP entre ésta y los enrutadores PE del concentrador que contienen el destinohubde la comunidad y rechaza todas las demás rutas. -
spoke: agrega el radio de destino de la comunidad a todas las rutas recibidas de OSPF (es decir, de la sesión entre éste y el enrutador del concentrador CE) rechaza todas las demás rutas. -
redistribute-vpn: redistribuye las rutas de OSPF a los vecinos dentro de la instancia de enrutamiento.
En los enrutadores de PE radial E y F, configure las siguientes políticas de importación y exportación de VPN:
[edit]
policy-options {
policy-statement hub {
term a {
from {
protocol bgp;
community hub;
}
then accept;
}
term b {
then reject;
}
}
policy-statement spoke {
term a {
from protocol ospf;
then {
community add spoke;
accept;
}
}
term b {
then reject;
}
}
policy-statement redistribute-vpn {
term a {
from protocol bgp;
then accept;
}
term b {
then reject;
}
}
community hub members target:65535:1;
community spoke members target 65535:2;
}
Para aplicar las políticas de VRF en los enrutadores radiales, incluya las vrf-export instrucciones y vrf-import cuando configure las instancias de enrutamiento:
[edit]
routing-instance {
Spoke-E-to-Hub {
vrf-import hub;
vrf-export spoke;
}
}
[edit]
routing-instance {
Spoke-F-to-Hub {
vrf-import hub;
vrf-export spoke;
}
}
Configuración de VPN radial resumida por enrutador
- Enrutador D (enrutador de concentrador PE)
- Enrutador E (enrutador de PE radial)
- Enrutador F (enrutador de PE radial)
Enrutador D (enrutador de concentrador PE)
Instancia de enrutamiento para distribuir rutas radiales a Hub CE
Spokes-to-Hub-CE {
instance-type vrf;
interface fe-0/0/0.0;
route-distinguisher 10.255.1.174:65535;
vrf-import spoke;
vrf-export null;
}
Protocolo de enrutamiento de instancias
protocols {
ospf {
domain-id disable;
domain-vpn-tag 0;
export redistribute-vpn;
area 0.0.0.0 {
interface ge-0/0/0.0;
}
}
}
Instancia de enrutamiento para distribuir rutas de Hub CE a radios
Hub-CE-to-Spokes {
instance-type vrf;
interface ge-0/0/1.0;
route-distinguisher 10.255.1.174:65534;
vrf-import null;
vrf-export hub;
}
Instancia de enrutamiento Protocolos de enrutamiento
protocols {
ospf {
export redistribute-vpn;
area 0.0.0.0 {
interface ge-0/0/1.0;
}
}
}
Opciones de enrutamiento (instancia principal)
routing-options {
autonomous-system 1 loops 1;
}
Protocolos (instancia principal)
protocols {
}
Habilitar LDP
ldp {
interface so-1/0/0.0;
interface t3-1/1/0.0;
}
Configurar IBGP
bgp {
group Hub-to-Spokes {
type internal;
local-address 10.255.14.174;
family inet-vpn {
unicast;
}
neighbor 10.255.14.180;
neighbor 10.255.14.182;
}
}
Configurar la directiva de VPN
policy-options {
policy-statement spoke {
term a {
from {
protocol bgp;
community spoke;
}
then accept;
}
term b {
then reject;
}
}
policy-statement hub {
term a {
from protocol ospf;
then {
community add hub;
accept;
}
}
term b {
then reject;
}
}
policy-statement null {
then reject;
}
policy-statement redistribute-vpn {
term a {
from protocol bgp;
then accept;
}
term b {
then reject;
}
}
community hub members target:65535:1;
community spoke members target:65535:2;
}
Enrutador E (enrutador de PE radial)
Instancia de enrutamiento
routing-instance {
Spoke-E-to-Hub {
instance-type vrf;
interface fe-0/1/0.0;
route-distinguisher 10.255.14.80:65035;
vrf-import hub;
vrf-export spoke;
}
}
Protocolo de enrutamiento de instancias
protocols {
ospf {
export redistribute-vpn;
area 0.0.0.0 {
interface fe-0/1/0.0;
}
}
}
Opciones de enrutamiento (instancia principal)
routing-options {
autonomous-system 1 loops 1;
}
Protocolos (instancia principal)
protocols {
}
Habilitar LDP
ldp {
interface fe-0/1/2.0;
}
Configurar IBGP
bgp {
group Spoke-E-to-Hub {
type internal;
local-address 10.255.14.180;
neighbor 10.255.14.174 {
family inet-vpn {
unicast;
}
}
}
}
Configurar la directiva de VPN
policy-options {
policy-statement hub {
term a {
from {
protocol bgp;
community hub;
}
then accept;
}
term b {
then reject;
}
}
policy-statement spoke {
term a {
from protocol ospf;
then {
community add spoke;
accept;
}
}
term b {
then reject;
}
}
policy-statement redistribute-vpn {
term a {
from protocol bgp;
then accept;
}
term b {
then reject;
}
}
community hub members target:65535:1;
community spoke members target:65535:2;
}
Enrutador F (enrutador de PE radial)
Instancia de enrutamiento
routing-instance {
Spoke-F-to-Hub {
instance-type vrf;
interface fe-1/0/1.0;
route-distinguisher 10.255.14.182:65135;
vrf-import hub;
vrf-export spoke;
}
}
Protocolo de enrutamiento de instancias
protocols {
ospf {
export redistribute-vpn;
area 0.0.0.0 {
interface fe-1/0/1.0;
}
}
}
Opciones de enrutamiento (instancia principal)
routing-options {
autonomous-system 1 loops 1;
}
Protocolos (instancia principal)
protocols {
}
Habilitar LDP
ldp {
interface fe-1/0/0.0;
}
Configurar IBGP
bgp {
group Spoke-F-to-Hub {
type internal;
local-address 10.255.14.182;
neighbor 10.255.14.174 {
family inet-vpn {
unicast;
}
}
}
}
Configurar la directiva de VPN
policy-options {
policy-statement hub {
term a {
from {
protocol bgp;
community hub;
}
then accept;
}
term b {
then reject;
}
}
policy-statement spoke {
term a {
from protocol ospf;
then {
community add spoke;
accept;
}
}
term b {
then reject;
}
}
policy-statement redistribute-vpn {
term a {
from {
protocol bgp;
}
then accept;
}
term b {
then reject;
}
}
community hub members target:65535:1;
community spoke members target:65535:2;
}