Habilitación del acceso a Internet para VPN de capa 3
En este tema, se proporcionan ejemplos de cómo configurar un enrutador de borde de proveedor (PE) para proporcionar acceso a Internet a los enrutadores de borde del cliente (CE) en una VPN y configurar un enrutador para enrutar el tráfico de Internet a los enrutadores CE mediante un traductor de direcciones de red (TDR). El método que utilice depende de las necesidades y especificaciones de la red individual.
Acceso a Internet sin VRF a través de VPN de capa 3
Junos OS admite el acceso a Internet desde una red privada virtual (VPN) de capa 3. También debe configurar la next-table
instrucción en el [edit routing-instances routing-instance-name routing-options static route]
nivel de jerarquía. Cuando se configura, esta instrucción puede apuntar una ruta predeterminada de la tabla VPN (instancia de enrutamiento) a la tabla de enrutamiento principal (instancia predeterminada) inet.0. La tabla de enrutamiento principal almacena todas las rutas de Internet y es donde se produce la resolución de rutas finales.
En las siguientes secciones se describen formas de proporcionar acceso a Internet a un enrutador CE en una VPN de capa 3 sin usar la interfaz de enrutamiento y reenvío de VPN (VRF). Dado que estos métodos pasan por alto efectivamente la VPN de capa 3, no se discuten en detalle.
- El enrutador CE accede a Internet independientemente del enrutador de PE
- El enrutador pe proporciona servicio de Internet de capa 2
El enrutador CE accede a Internet independientemente del enrutador de PE
En esta configuración, el enrutador de PE no proporciona acceso a Internet. El enrutador CE envía tráfico de Internet a otro proveedor de servicios o al mismo proveedor de servicios, pero un enrutador diferente. El enrutador de PE solo controla el tráfico vpn de capa 3 (consulte la Figura 1).
El enrutador pe proporciona servicio de Internet de capa 2
En esta configuración, el enrutador de PE actúa como un dispositivo de capa 2, proporcionando una conexión de capa 2 (como la conexión cruzada de circuito [CCC]) a otro enrutador que tenga un conjunto completo de rutas de Internet. El enrutador CE puede usar solo una interfaz física y dos interfaces lógicas al enrutador de PE, o puede usar varias interfaces físicas al enrutador de PE (consulte la Figura 2).
Acceso a Internet distribuido a través de VPN de capa 3
En este caso, los enrutadores de PE proporcionan acceso a Internet a los enrutadores CE. En los ejemplos siguientes, se da por sentado que las rutas de Internet (o los valores predeterminados) están presentes en la tabla inet.0 de los enrutadores PE que proporcionan acceso a Internet a los enrutadores CE seleccionados.
Cuando se accede a Internet desde una VPN, la traducción de direcciones de red (TDR) se debe realizar entre las direcciones privadas de la VPN y las direcciones públicas utilizadas en Internet, a menos que la VPN esté utilizando el espacio de direcciones públicas. Esta sección incluye varios ejemplos de cómo proporcionar acceso a Internet para VPN, la mayoría de los cuales requieren que los enrutadores CE realicen la traducción de direcciones. Sin embargo, el ejemplo de enrutamiento de tráfico de Internet a través de un dispositivo TDR independiente requiere que el proveedor de servicios proporcione la funcionalidad TDR mediante un dispositivo TDR conectado al enrutador de PE.
En todos los ejemplos, el conjunto de direcciones IP públicas de la VPN (cuyas entradas corresponden a las direcciones privadas traducidas) se debe agregar a la tabla inet.0 y propagarse a los enrutadores de Internet para recibir tráfico inverso desde destinos públicos.
Enrutamiento vpn y tráfico de Internet a través de diferentes interfaces para VPN de capa 3
En este ejemplo, el tráfico de VPN y De Internet se enruta a través de diferentes interfaces. El enrutador CE envía el tráfico VPN a través de la interfaz VPN y envía el tráfico de Internet a través de una interfaz independiente que forma parte de la tabla de enrutamiento principal del enrutador PE1 (el enrutador CE puede usar una interfaz física con dos unidades lógicas o dos interfaces físicas). TDR también ocurre en el enrutador CE (véase la Figura 3).
El enrutador de PE está configurado para instalar y anunciar el conjunto de direcciones IP públicas para la VPN a otros enrutadores de núcleo (para el tráfico de retorno). El tráfico vpn se enruta normalmente. La figura 4 muestra la configuración vpn del enrutador de PE.
La configuración de este ejemplo tiene las siguientes características:
El enrutador PE1 usa dos interfaces lógicas para conectarse al enrutador CE1 mediante la encapsulación de Frame Relay.
El protocolo de enrutamiento entre el enrutador PE1 y el enrutador CE1 es EBGP.
El conjunto de direcciones IP públicas del enrutador CE1 está
10.12.1.1
a través de10.12.1.254
(10.12.1.0/24
).La
next-hop-self
configuración se deriva de lafix-nh policy
instrucción en el enrutador PE1. Los enrutadores de PE se ven obligados a usarnext-hop-self
para que la resolución del próximo salto se haga solo para la dirección de circuito cerrado del enrutador de PE para rutas que no sean VPN (de forma predeterminada, las rutas del protocolo VPN-Internet versión 4 [IPv4] se envían por medio denext-hop-self
).
Puede configurar el enrutador CE1 con una ruta predeterminada estática que apunta a su interfaz pública para todo lo demás.
En las siguientes secciones, se muestra cómo enrutar el tráfico vpn y de Internet a través de diferentes interfaces:
- Configuración de interfaces en el enrutador PE1
- Configuración de opciones de enrutamiento en el enrutador PE1
- Configuración de protocolos BGP, IS-IS y LDP en el enrutador PE1
- Configuración de una instancia de enrutamiento en el enrutador PE1
- Configuración de opciones de política en el enrutador PE1
- Tráfico enrutado por diferentes interfaces: configuración resumida por enrutador
Configuración de interfaces en el enrutador PE1
Configure una interfaz para manejar tráfico VPN y una interfaz para manejar el tráfico de Internet:
[edit] interfaces { t3-0/2/0 { dce; encapsulation frame-relay; unit 0 { description "to CE1 VPN interface"; dlci 10; family inet { address 192.168.197.13/30; } } unit 1 { description "to CE1 public interface"; dlci 20; family inet { address 192.168.198.201/30; } } } }
Configuración de opciones de enrutamiento en el enrutador PE1
Configure una ruta estática en el enrutador PE1 para instalar una ruta al conjunto de direcciones IP públicas del enrutador CE en inet.0:
[edit] routing-options { static { route 10.12.1.0/24 next-hop 192.168.198.202; } }
Configuración de protocolos BGP, IS-IS y LDP en el enrutador PE1
Configure el BGP en el enrutador PE1 para permitir el emparejamiento que no sea VPN y VPN, y para anunciar el conjunto de direcciones IP públicas de la VPN:
[edit] protocols { bgp { group pe-pe { type internal; local-address 10.255.14.171; family inet { any; } family inet-vpn { any; } export [fix-nh redist-static]; neighbor 10.255.14.177; neighbor 10.255.14.179; } } }
Configure IS-IS en el enrutador PE1 para permitir el acceso a rutas internas:
[edit protocols] isis { level 1 disable; interface so-0/0/0.0; interface lo0.0; }
Configure LDP en el enrutador PE1 para tunelización de rutas VPN:
[edit protocols] ldp { interface so-0/0/0.0; }
Configuración de una instancia de enrutamiento en el enrutador PE1
Configure una instancia de enrutamiento en el enrutador PE1:
[edit] routing-instances { vpna { instance-type vrf; interface t3-0/2/0.0; route-distinguisher 10.255.14.171:100; vrf-import vpna-import; vrf-export vpna-export; protocols { bgp { group to-CE1 { peer-as 63001; neighbor 192.168.197.14; } } } } }
Configuración de opciones de política en el enrutador PE1
Debe configurar las opciones de política en el enrutador PE1. La fix-nh
instrucción de política establece next-hop-self
para todas las rutas que no son VPN:
[edit] policy-options { policy-statement fix-nh { then { next-hop self; } } }
La redist-static
declaración de política anuncia el conjunto de direcciones IP públicas de la VPN:
[edit policy-options] policy-statement redist-static { term a { from { protocol static; route-filter 10.12.1.0/24 exact; } then accept; } term b { then reject; } }
Configure políticas de importación y exportación para vpna
:
[edit policy-options] policy-statement vpna-import { term a { from { protocol bgp; community vpna-comm; } then accept; } term b { then reject; } } policy-statement vpna-export { term a { from protocol bgp; then { community add vpna-comm; accept; } } term b { then reject; } } community vpna-comm members target:63000:100;
Tráfico enrutado por diferentes interfaces: configuración resumida por enrutador
Enrutador PE1
Interfaces
interfaces { t3-0/2/0 { dce; encapsulation frame-relay; unit 0 { description "to CE1 VPN interface"; dlci 10; family inet { address 192.168.197.13/30; } } unit 1 { description "to CE1 public interface"; dlci 20; family inet { address 192.168.198.201/30; } } } }
Opciones de enrutamiento
routing-options { static { route 10.12.1.0/24 next-hop 192.168.198.202; } }
Protocolo BGP
protocols { bgp { group pe-pe { type internal; local-address 10.255.14.171; family inet { any; } family inet-vpn { any; } export [ fix-nh redist-static]; neighbor 10.255.14.177; neighbor 10.255.14.179; } } }
Protocolo IS-IS
isis { level 1 disable; interface so-0/0/0.0; interface lo0.0; }
Protocolo LDP
ldp { interface so-0/0/0.0; }
Instancia de enrutamiento
routing-instances { vpna { instance-type vrf; interface t3-0/2/0.0; route-distinguisher 10.255.14.171:100; vrf-import vpna-import; vrf-export vpna-export; protocols { bgp { group to-CE1 { peer-as 63001; neighbor 192.168.197.14; } } } } }
Opciones de política/declaraciones de políticas
policy-options { policy-statement fix-nh { then { next-hop self; } } policy-statement redist-static { term a { from { protocol static; route-filter 10.12.1.0/24 exact; } then accept; } term b { then reject; } } }
Políticas de importación y exportación
policy-statement vpna-import { term a { from { protocol bgp; community vpna-comm; } then accept; } term b { then reject; } } policy-statement vpna-export { term a { from protocol bgp; then { community add vpna-comm; accept; } } term b { then reject; } } community vpna-comm members target:63000:100;
Enrutamiento VPN y tráfico de Internet saliente a través de la misma interfaz y enrutamiento devuelve el tráfico de Internet a través de una interfaz diferente
En este ejemplo, el enrutador CE envía tráfico de VPN e Internet a través de la misma interfaz, pero recibe tráfico de Internet devuelto a través de una interfaz diferente. El enrutador PE tiene una ruta predeterminada en la tabla VRF que apunta a la tabla de enrutamiento principal inet.0. Enruta el conjunto de direcciones IP públicas de VPN (de devolución de tráfico de Internet) a través de una interfaz diferente en inet.0 (consulte la figura 5). El enrutador CE aún realiza funciones TDR.
En la siguiente sección se muestra cómo enrutar vpn y el tráfico de Internet saliente a través de la misma interfaz y cómo devolver el tráfico de Internet a través de una interfaz diferente:
Configuración para el enrutador PE1
Este ejemplo tiene la misma configuración que el enrutador PE1 en enrutamiento vpn y tráfico de Internet a través de interfaces diferentes para VPN de capa 3. Usa la topología que se muestra en enrutamiento vpn y tráfico de Internet a través de diferentes interfaces para VPN de capa 3. La ruta predeterminada a la tabla de enrutamiento VPN está configurada de manera diferente. En el [edit routing-instances routing-instance-name routing-options]
nivel de jerarquía, configure una ruta estática predeterminada que se instala en vpna.inet.0 y apunta a inet.0 para su resolución:
[edit] routing-instances { vpna { instance-type vrf; interface t3-0/2/0.0; route-distinguisher 10.255.14.171:100; vrf-import vpna-import; vrf-export vpna-export; routing-options { static { route 0.0.0.0/0 next-table inet.0; } } protocols { bgp { group to-CE1 { peer-as 63001; neighbor 192.168.197.14; } } } } }
También debe cambiar la configuración del enrutador CE1 (desde la configuración que funciona con la configuración para el enrutador PE1 descrita en Enrutamiento VPN y tráfico de Internet a través de diferentes interfaces para VPN de capa 3) para tener en cuenta las diferencias en la configuración de los enrutadores de PE.
Enrutamiento vpn y tráfico de Internet a través de la misma interfaz bidireccionalmente (VPN tiene direcciones públicas)
En esta sección, se muestra cómo configurar una sola interfaz lógica para manejar el tráfico de VPN e Internet que viaja hacia y desde Internet y el enrutador CE. Esta interfaz puede manejar tanto vpn como tráfico de Internet, siempre y cuando no haya direcciones privadas en la VPN. Las rutas VPN recibidas del enrutador CE se agregan a la tabla de enrutamiento principal inet.0 mediante grupos de tabla de enrutamiento. Esto permite que el enrutador de PE atraiga el tráfico de retorno de Internet (consulte la Figura 6).
En este ejemplo, el enrutador CE no necesita realizar TDR, ya que todas las rutas VPN son públicas. El enrutador CE tiene una única interfaz con el enrutador de PE, al cual anuncia rutas VPN. El enrutador PE tiene una ruta predeterminada en la tabla VRF que apunta a la tabla de enrutamiento principal inet.0. El enrutador de PE también importa las rutas VPN recibidas del enrutador CE en inet.0 mediante grupos de tabla de enrutamiento.
La siguiente configuración para el enrutador PE1 usa la misma topología que en enrutamiento vpn y tráfico de Internet a través de interfaces diferentes para VPN de capa 3. Esta configuración usa una sola interfaz lógica (en lugar de dos) entre el enrutador PE1 y el enrutador CE1.
En las siguientes secciones, se muestra cómo enrutar el tráfico de VPN y de Internet a través de la misma interfaz de manera bidireccional (VPN tiene direcciones públicas):
- Configuración de opciones de enrutamiento en el enrutador PE1
- Configuración de protocolos de enrutamiento en el enrutador PE1
- Configuración de la instancia de enrutamiento en el enrutador PE1
- Tráfico enrutado a través de la misma interfaz bidireccionalmente: configuración resumida por enrutador
Configuración de opciones de enrutamiento en el enrutador PE1
Configure una definición de grupo de tabla de enrutamiento para instalar rutas VPN en grupos de tabla de enrutamiento vpna.inet.0 e inet.0:
[edit] routing-options { rib-groups { vpna-to-inet0 { import-rib [ vpna.inet.0 inet.0 ]; } } }
Configuración de protocolos de enrutamiento en el enrutador PE1
Configure los protocolos MPLS, BGP, IS-IS y LDP en el enrutador PE1. Esta configuración no incluye la policy redist-static
instrucción en el [edit protocols bgp group pe-pe]
nivel de jerarquía. Las rutas VPN se envían directamente al IBGP.
Configure el BGP en el enrutador PE1 para permitir el emparejamiento que no sea VPN y VPN, y para anunciar el conjunto de direcciones IP públicas de la VPN:
[edit] protocols { mpls { interface so-0/0/0.0; } bgp { group pe-pe { type internal; local-address 10.255.14.171; family inet { any; } family inet-vpn { any; } export fix-nh; neighbor 10.255.14.177; neighbor 10.255.14.173; } } isis { level 1 disable; interface so-0/0/0.0; interface lo0.0; } ldp { interface so-0/0/0.0; } }
Configuración de la instancia de enrutamiento en el enrutador PE1
En esta sección se describe cómo configurar la instancia de enrutamiento en el enrutador PE1. La ruta estática definida en la instrucción dirige el routing-options
tráfico de Internet desde el enrutador CE a la tabla de enrutamiento inet.0. El grupo de tabla de enrutamiento definido por la rib-group vpna-to-inet0
instrucción agrega las rutas VPN a inet.0.
Configure la instancia de enrutamiento en el enrutador PE1:
[edit] routing-instances { vpna { instance-type vrf; interface t3-0/2/0.0; route-distinguisher 10.255.14.171:100; vrf-import vpna-import; vrf-export vpna-export; routing-options { static { route 0.0.0.0/0 next-table inet.0; } } protocols { bgp { group to-CE1 { family inet { unicast { rib-group vpna-to-inet0; } } peer-as 63001; neighbor 192.168.197.14; } } } } }
Debe configurar el enrutador CE1 para que reenvíe todo el tráfico al enrutador PE1 mediante una ruta predeterminada. Alternativamente, la ruta predeterminada se puede anunciar desde el enrutador PE1 hasta el enrutador CE1 con EBGP.
Tráfico enrutado a través de la misma interfaz bidireccionalmente: configuración resumida por enrutador
Enrutador PE1
En este ejemplo, se usa la misma configuración que en enrutamiento VPN y tráfico de Internet a través de interfaces diferentes para VPN de capa 3. Esta configuración usa una sola interfaz lógica (en lugar de dos) entre el enrutador PE1 y el enrutador CE1.
Opciones de enrutamiento
routing-options { rib-groups { vpna-to-inet0 { import-rib [ vpna.inet.0 inet.0 ]; } } }
Protocolos de enrutamiento
protocols { mpls { interface so-0/0/0.0; } bgp { group pe-pe { type internal; local-address 10.255.14.171; family inet { any; } family inet-vpn { any; } export fix-nh; neighbor 10.255.14.177; neighbor 10.255.14.173; } } isis { level 1 disable; interface so-0/0/0.0; interface lo0.0; } ldp { interface so-0/0/0.0; } }
Instancia de enrutamiento
routing-instances { vpna { instance-type vrf; interface t3-0/2/0.0; route-distinguisher 10.255.14.171:100; vrf-import vpna-import; vrf-export vpna-export; routing-options { static { route 0.0.0.0/0 next-table inet.0; } } protocols { bgp { group to-CE1 { family inet { unicast { rib-group vpna-to-inet0; } } peer-as 63001; neighbor 192.168.197.14; } } } } }
Enrutamiento vpn y tráfico de Internet a través de la misma interfaz bidireccionalmente (VPN tiene direcciones privadas)
En el ejemplo de esta sección, se muestra cómo enrutar el tráfico de VPN e Internet a través de la misma interfaz en ambas direcciones (desde el enrutador CE a Internet y desde Internet al enrutador CE). La VPN de este ejemplo tiene direcciones privadas. Si puede configurar EBGP en el enrutador CE, puede configurar un enrutador de PE mediante la configuración descrita en Enrutamiento vpn y tráfico de Internet a través de la misma interfaz de manera bidireccional (VPN tiene direcciones públicas), incluso si la VPN tiene direcciones privadas.
En el ejemplo descrito en esta sección, el enrutador CE usa comunidades separadas para anunciar sus rutas VPN y rutas públicas. El enrutador pe solo importa selectivamente las rutas públicas en la tabla de enrutamiento inet.0. Esta configuración garantiza que el tráfico devuelto de Internet utilice la misma interfaz entre los enrutadores PE y CE que la utilizada por el tráfico de VPN que sale a direcciones de Internet públicas (consulte la Figura 7).
En este ejemplo, el enrutador CE tiene una interfaz y una sesión de BGP con el enrutador de PE, y etiqueta rutas VPN y rutas de Internet con diferentes comunidades. El enrutador PE tiene una interfaz, importa selectivamente rutas para el conjunto de direcciones IP públicas de la VPN en inet.0 y tiene una ruta predeterminada en la tabla de enrutamiento VRF que apunta a inet.0.
En las siguientes secciones, se muestra cómo enrutar el tráfico vpn y de Internet a través de la misma interfaz bidireccionalmente (VPN tiene direcciones privadas):
- Configuración de opciones de enrutamiento para el enrutador PE1
- Configuración de una instancia de enrutamiento para el enrutador PE1
- Configuración de opciones de política para el enrutador PE1
- Tráfico enrutado por la misma interfaz bidireccionalmente (VPN tiene direcciones privadas): configuración resumida por enrutador
Configuración de opciones de enrutamiento para el enrutador PE1
En el enrutador PE1, configure un grupo de tabla de enrutamiento para instalar rutas VPN en las tablas de enrutamiento vpna.inet.0 e inet.0:
[edit] routing-options { rib-groups { vpna-to-inet0 { import-policy import-public-addr-to-inet0; import-rib [ vpna.inet.0 inet.0 ]; } } }
Configuración de una instancia de enrutamiento para el enrutador PE1
En el enrutador PE1, configure una instancia de enrutamiento. Como parte de la configuración de la instancia de enrutamiento, configure una ruta estática que esté instalada en vpna.inet.0 y que se apunte a inet.0 para la resolución.
[edit] routing-instances { vpna { instance-type vrf; interface t3-0/2/0.0; route-distinguisher 10.255.14.171:100; vrf-import vpna-import; vrf-export vpna-export; routing-options { static { route 0.0.0.0/0 next-table inet.0; } } } }
En el [edit routing-instances vpna protocols bgp
nivel de jerarquía ], configure una política (import-public-addr-to-inet0
) para importar rutas públicas en inet.0 y un grupo de tabla de enrutamiento (vpna-to-inet0
) para permitir que el BGP instale rutas en varias tablas de enrutamiento (vpna.inet.0 e inet.0):
[edit routing-instances vpna] protocols { bgp { group to-CE1 { import import-public-addr-to-inet0; family inet { unicast { rib-group vpna-to-inet0; } } peer-as 63001; neighbor 192.168.197.14; } } }
Configuración de opciones de política para el enrutador PE1
Configure las opciones de política para que el enrutador PE1 acepte todas las rutas inicialmente (term a
) y, luego, para instalar rutas con una public-comm
comunidad en la tabla de enrutamiento inet.0 (term b
):
[edit] policy-options { policy-statement import-public-addr-to-inet0 { term a { from { protocol bgp; rib vpna.inet.0; community [ public-comm private-comm ]; } then accept; } term b { from { protocol bgp; community public-comm; } to rib inet.0; then accept; } term c { then reject; } } community private-comm members target:1:333; community public-comm members target:1:111; community vpna-comm members target:63000:100; }
Tráfico enrutado por la misma interfaz bidireccionalmente (VPN tiene direcciones privadas): configuración resumida por enrutador
Enrutador PE1
Opciones de enrutamiento
[edit] routing-options { rib-groups { vpna-to-inet0 { import-policy import-public-addr-to-inet0; import-rib [ vpna.inet.0 inet.0 ]; } } }
Instancias de enrutamiento
[edit] routing-instances { vpna { instance-type vrf; interface t3-0/2/0.0; route-distinguisher 10.255.14.171:100; vrf-import vpna-import; vrf-export vpna-export; routing-options { static { route 0.0.0.0/0 next-table inet.0; } } } }
Protocolos de instancias de enrutamiento BGP
[edit routing-instances vpna] protocols { bgp { group to-CE1 { family inet { unicast { rib-group vpna-to-inet0; } } peer-as 63001; neighbor 192.168.197.14; } } }
Opciones de política
[edit] policy-options { policy-statement import-public-addr-to-inet0 { term a { from { protocol bgp; rib vpna.inet.0; community [ public-comm private-comm ]; } then accept; } term b { from { protocol bgp; community public-comm; } to rib inet.0; then accept; } term c { then reject; } } community private-comm members target:1:333; community public-comm members target:1:111; community vpna-comm members target:63000:100; }
Enrutamiento del tráfico de Internet a través de un dispositivo TDR independiente
En este ejemplo, el enrutador CE no realiza TDR. Envía tanto vpn como tráfico de Internet a través de la misma interfaz al enrutador de PE. El enrutador de PE se conecta a un dispositivo TDR mediante dos interfaces. Una interfaz se configura en la tabla VRF del enrutador de PE y apunta a una interfaz VPN en el dispositivo TDR, que puede enrutar el tráfico de Internet para la VPN. La otra interfaz está en una instancia predeterminada; por ejemplo, parte de la tabla de enrutamiento público inet.0. Puede haber una sola conexión física entre el enrutador de PE y el dispositivo TDR, y varias conexiones lógicas (una para cada tabla VRF y otra interfaz) como parte de la tabla de enrutamiento global (consulte la Figura 8).
Requisitos
En este ejemplo, se utilizan los siguientes componentes de hardware y software:
Enrutadores serie M
Junos OS versión 9.3 o posterior
Visión general
La topología de este ejemplo se expande a la que se muestra en Enrutamiento de VPN y tráfico de Internet a través de diferentes interfaces para VPN de capa 3. El enrutador CE envía tráfico vpn y de Internet al enrutador PE1. El tráfico vpn se enruta según las rutas VPN recibidas por el enrutador PE1. El tráfico de todo lo demás se envía al dispositivo TDR mediante la interfaz privada del enrutador PE1 con el dispositivo TDR, que luego traduce las direcciones privadas y envía el tráfico de vuelta al enrutador PE1 mediante la interfaz pública de ese enrutador (véase la Figura 9).
Topología
Configuración
Para enrutar el tráfico de Internet a través de un dispositivo TDR independiente, realice estas tareas:
- Configuración de interfaces en el enrutador PE1
- Configuración de opciones de enrutamiento para el enrutador PE1
- Configuración de protocolos de enrutamiento en el enrutador PE1
- Configuración de una instancia de enrutamiento en el enrutador PE1
- Resultados
Configuración de interfaces en el enrutador PE1
Procedimiento paso a paso
Configure una interfaz para el tráfico VPN desde el enrutador CE1:
[edit] interfaces { t3-0/2/0 { dce; encapsulation frame-relay; unit 0 { description "to CE1 VPN interface"; dlci 10; family inet { address 192.168.197.13/30; } } } }
Configure una interfaz para el tráfico VPN hacia y desde el dispositivo TDR (unidad 0), y una interfaz para el tráfico de Internet hacia y desde el dispositivo TDR (unidad 1):
[edit] interfaces { at-1/3/1 { atm-options { vpi 1 maximum-vcs 255; } unit 0 { description "to NAT VPN interface"; vci 1.100; family inet { address 10.23.0.2/32 { destination 10.23.0.1; } } } unit 1 { description "to NAT public interface"; vci 1.101; family inet { address 10.23.0.6/32 { destination 10.23.0.5; } } } } }
Configuración de opciones de enrutamiento para el enrutador PE1
Procedimiento paso a paso
Configure una ruta estática en el enrutador PE1 para dirigir el tráfico de Internet al enrutador CE a través del dispositivo TDR. El enrutador PE1 distribuye esta ruta a Internet.
[edit] routing-options { static { route 10.12.1.0/24 next-hop 10.23.0.5; } }
Configuración de protocolos de enrutamiento en el enrutador PE1
Procedimiento paso a paso
Configure los siguientes protocolos de enrutamiento en el enrutador PE1:
Configure MPLS en el enrutador PE1. Incluya la interfaz VPN del dispositivo TDR en la tabla VRF.
[edit] protocols { mpls { interface so-0/0/0.0; interface at-1/3/1.0; } }
Configure el BGP en el enrutador PE1. Incluya una política para anunciar el conjunto de direcciones IP públicas:
[edit] protocols { bgp { group pe-pe { type internal; local-address 10.255.14.171; family inet { any; } family inet-vpn { any; } export [ fix-nh redist-static ]; neighbor 10.255.14.177; neighbor 10.255.14.173; } } }
Configure IS-IS en el enrutador PE1:
[edit] protocols { isis { level 1 disable; interface so-0/0/0.0; interface lo0.0; } }
Configurar LDP en el enrutador PE1:
[edit] protocols { ldp { interface so-0/0/0.0; } }
Configuración de una instancia de enrutamiento en el enrutador PE1
Procedimiento paso a paso
Configure la instancia de enrutamiento VPN de capa 3 en el enrutador PE1:
Configure una instancia de enrutamiento en el enrutador PE1. Como parte de la configuración de la instancia de enrutamiento, en
routing-options
, configure una ruta predeterminada estática en vpna.inet.0 apuntando a la interfaz VPN del dispositivo TDR (esto dirige todo el tráfico que no sea VPN al dispositivo TDR):[edit] routing-instances { vpna { instance-type vrf; interface t3-0/2/0.0; interface at-1/3/1.0; route-distinguisher 10.255.14.171:100; vrf-import vpna-import; vrf-export vpna-export; routing-options { static { route 0.0.0.0/0 next-hop 10.23.0.1; } } protocols { bgp { group to-CE1 { peer-as 63001; neighbor 192.168.197.14; } } } } }
Configure la política de enrutamiento para la instancia de enrutamiento VPN de capa 3 en el enrutador PE1:
policy-options { policy-statement fix-nh { then { next-hop self; } } policy-statement redist-static { term a { from { protocol static; route-filter 10.12.1.0/24 exact; } then accept; } term b { from protocol bgp; then accept; } term c { then accept; } } policy-statement vpna-import { term a { from { protocol bgp; community vpna-comm; } then accept; } term b { then reject; } } policy-statement vpna-export { term a { from protocol bgp; then { community add vpna-comm; accept; } } term b { then reject; } } community vpna-comm members target:63000:100; }
Resultados
Desde el modo de configuración en el enrutador PE1, ingrese las interfaces de mostrar, mostrar opciones de enrutamiento, protocolos, mostrar instancias de enrutamiento y mostrar comandos de opciones de política. Si el resultado no muestra la configuración deseada, repita las instrucciones en este ejemplo para corregir la configuración.
user@PE1# show interfaces interfaces { t3-0/2/0 { dce; encapsulation frame-relay; unit 0 { description "to CE1 VPN interface"; dlci 10; family inet { address 192.168.197.13/30; } } } at-1/3/1 { atm-options { vpi 1 maximum-vcs 255; } unit 0 { description "to NAT VPN interface"; vci 1.100; family inet { address 10.23.0.2/32 { destination 10.23.0.1; } } } unit 1 { description "to NAT public interface"; vci 1.101; family inet { address 10.23.0.6/32 { destination 10.23.0.5; } } } } }
user@PE1# show routing-options routing-options { static { route 10.12.1.0/24 next-hop 10.23.0.5; } }
user@PE1# show protocols protocols { mpls { interface so-0/0/0.0; interface at-1/3/1.0; } bgp { group pe-pe { type internal; local-address 10.255.14.171; family inet { any; } family inet-vpn { any; } export [ fix-nh redist-static ]; neighbor 10.255.14.177; neighbor 10.255.14.173; } } isis { level 1 disable; interface so-0/0/0.0; interface lo0.0; } ldp { interface so-0/0/0.0; } }
user@PE1# show routing-instances routing-instances { vpna { instance-type vrf; interface t3-0/2/0.0; interface at-1/3/1.0; route-distinguisher 10.255.14.171:100; vrf-import vpna-import; vrf-export vpna-export; routing-options { static { route 0.0.0.0/0 next-hop 10.23.0.1; } } protocols { bgp { group to-CE1 { peer-as 63001; neighbor 192.168.197.14; } } } } }
user@PE1# show policy-options policy-options { policy-statement fix-nh { then { next-hop self; } } policy-statement redist-static { term a { from { protocol static; route-filter 10.12.1.0/24 exact; } then accept; } term b { from protocol bgp; then accept; } term c { then accept; } } policy-statement vpna-import { term a { from { protocol bgp; community vpna-comm; } then accept; } term b { then reject; } } policy-statement vpna-export { term a { from protocol bgp; then { community add vpna-comm; accept; } } term b { then reject; } } community vpna-comm members target:63000:100; }
Acceso a Internet centralizado a través de VPN de capa 3
En esta sección se describen varias formas de configurar un enrutador CE para que actúe como un sitio central para el acceso a Internet. El tráfico de Internet desde otros sitios (enrutadores CE) se enruta al enrutador CE de hub (que también realiza TDR) mediante la interfaz VPN de ese enrutador. A continuación, el enrutador CE de concentrador reenvía el tráfico a un enrutador de PE conectado a Internet mediante otra interfaz identificada en la tabla inet.0. El enrutador CE de concentrador puede anunciar una ruta predeterminada a los enrutadores CE radiales. La desventaja de este tipo de configuración es que todo el tráfico tiene que pasar por el enrutador CE central antes de pasar a Internet, provocando retrasos en la red si este enrutador recibe demasiado tráfico. Sin embargo, en una red corporativa, el tráfico puede tener que enrutarse a un sitio central, ya que la mayoría de las redes corporativas separan la VPN de Internet mediante un único firewall.
Esta sección incluye los siguientes ejemplos:
- Enrutamiento del tráfico de Internet a través de un enrutador CE hub
- Enrutamiento del tráfico de Internet a través de varios enrutadores CE
Enrutamiento del tráfico de Internet a través de un enrutador CE hub
En este ejemplo, el tráfico de Internet se enruta a través de un enrutador CE de concentrador. El enrutador CE de concentrador tiene dos interfaces con el enrutador de PE concentrador: una interfaz VPN y una interfaz pública. Realiza TDR en el tráfico reenviado desde el enrutador de PE de hub a través de la interfaz VPN y reenvía ese tráfico desde su interfaz pública de vuelta al enrutador de CONCENTRADOR DE PE. El enrutador de PE del hub tiene una ruta predeterminada estática en su tabla VRF que apunta a la interfaz VPN del enrutador CE del hub. Anuncia esta ruta predeterminada al resto de la VPN, lo que atrae todo el tráfico que no es VPN a la ruta CE del hub. El enrutador de PE hub también instala y distribuye el espacio de direcciones IP públicas de la VPN (consulte la Figura 10).
La configuración de este ejemplo es casi idéntica a la descrita en Enrutamiento del tráfico de Internet a través de un dispositivo TDR independiente. La diferencia es que el enrutador PE1 está configurado para anunciar una ruta predeterminada estática a los otros enrutadores CE (consulte la Figura 11).
En las siguientes secciones, se muestra cómo configurar el acceso a Internet centralizado mediante el enrutamiento del tráfico de Internet a través de un enrutador CE de hub:
- Configuración de una instancia de enrutamiento en el enrutador PE1
- Configuración de opciones de política en el enrutador PE1
- Tráfico de Internet enrutado por un enrutador CE de hub: configuración resumida por enrutador
Configuración de una instancia de enrutamiento en el enrutador PE1
Configure una instancia de enrutamiento para el enrutador PE1. Como parte de esta configuración, en routing-options
, configure una ruta estática predeterminada (route 0.0.0.0/0
) para instalar en vpna.inet.0 y apunte la ruta a la interfaz VPN del enrutador CE de hub (10.23.0.1
). Además, configure el BGP en la instancia de enrutamiento para exportar la ruta predeterminada al enrutador CE local:
[edit] routing-instances { vpna { instance-type vrf; interface t3-0/2/0.0; interface at-1/3/1.0; route-distinguisher 10.255.14.171:100; vrf-import vpna-import; vrf-export vpna-export; routing-options { static { route 0.0.0.0/0 next-hop 10.23.0.1; } } protocols { bgp { group to-CE1 { export export-default; peer-as 63001; neighbor 192.168.197.14; } } } } }
Configuración de opciones de política en el enrutador PE1
Configure las opciones de política en el enrutador PE1. Como parte de esta configuración, el enrutador PE1 debe exportar la ruta predeterminada estática a todos los enrutadores de PE remotos en vpna
(configurados en la policy-statement vpna-export
instrucción en term b
):
[edit] policy-options { policy-statement vpna-export { term a { from protocol bgp; then { community add vpna-comm; accept; } } term b { from { protocol static; route-filter 0.0.0.0/0 exact; } then { community add vpna-comm; accept; } } term c { then reject; } } policy-statement export-default { term a { from { protocol static; route-filter 0.0.0.0/0 exact; } then accept; } term b { from protocol bgp; then accept; } term c { then reject; } } }
Tráfico de Internet enrutado por un enrutador CE de hub: configuración resumida por enrutador
Enrutador PE1
La configuración del enrutador PE1 es casi idéntica a la del ejemplo en Enrutamiento de tráfico de Internet a través de un dispositivo TDR independiente. La diferencia es que el enrutador PE1 está configurado para anunciar una ruta predeterminada estática a los otros enrutadores CE.
Instancia de enrutamiento
routing-instances { vpna { instance-type vrf; interface t3-0/2/0.0; interface at-1/3/1.0; route-distinguisher 10.255.14.171:100; vrf-import vpna-import; vrf-export vpna-export; routing-options { static { route 0.0.0.0/0 next-hop 10.23.0.1; } } protocols { bgp { group to-CE1 { export export-default; peer-as 63001; neighbor 192.168.197.14; } } } } }
Opciones de política
policy-options { policy-statement vpna-export { term a { from protocol bgp; then { community add vpna-comm; accept; } } term b { from { protocol static; route-filter 0.0.0.0/0 exact; } then { community add vpna-comm; accept; } } term c { then reject; } } policy-statement export-default { term a { from { protocol static; route-filter 0.0.0.0/0 exact; } then accept; } term b { from protocol bgp; then accept; } term c { then reject; } } }
Enrutamiento del tráfico de Internet a través de varios enrutadores CE
El ejemplo de esta sección es una extensión de la que se describe en Acceso centralizado a Internet mediante VPN de capa 3. En este ejemplo, se proporcionan diferentes puntos de salida para diferentes sitios mediante varios enrutadores CE de hub que realizan funciones similares. Cada enrutador CE de hub etiqueta la ruta predeterminada con un destino de ruta diferente y permite que los enrutadores CE radiales seleccionen el sitio de concentrador que se debe usar para el acceso a Internet (véase la Figura 12).
En este ejemplo, se usan dos enrutadores CE de hub que manejan TDR y tráfico de Internet:
Etiquetas
0/0
de enrutador CE Hub1 con comunidadpublic-comm1
(destino:1:111
)Etiquetas
0/0
del enrutador HUB2 CE con comunidadpublic-comm2
(destino:1:112
)
El enrutador CE radial en este ejemplo está configurado para tener una desviación hacia Hub2 para el acceso a Internet.
Las siguientes secciones describen cómo configurar dos enrutadores CE de hub para manejar el tráfico de Internet y TDR:
- Configuración de una instancia de enrutamiento en el enrutador PE1
- Configuración de opciones de política en el enrutador PE1
- Configurar una instancia de enrutamiento en el enrutador PE3
- Configuración de opciones de política en el enrutador PE3
- Enrutamiento del tráfico de Internet a través de varios enrutadores CE: configuración resumida por enrutador
Configuración de una instancia de enrutamiento en el enrutador PE1
Configure una instancia de enrutamiento en el enrutador PE1:
[edit] routing-instances { vpna { instance-type vrf; interface t3-0/2/0.0; interface at-1/3/1.0; route-distinguisher 10.255.14.171:100; vrf-import vpna-import; vrf-export vpna-export; routing-options { static { route 0.0.0.0/0 next-hop 10.23.0.1; } } protocols { bgp { group to-CE1 { export export-default; peer-as 63001; neighbor 192.168.197.14; } } } } }
Configuración de opciones de política en el enrutador PE1
Las opciones de política para el enrutador PE1 son las mismas que en Enrutamiento de tráfico de Internet a través de un enrutador CE de hub, pero la configuración en este ejemplo incluye una comunidad adicional, public-comm1
en la export
instrucción:
[edit] policy-options { policy-statement vpna-import { term a { from { protocol bgp; community vpna-comm; } then accept; } term b { then reject; } } policy-statement vpna-export { term a { from { protocol static; route-filter 0.0.0.0/0 exact; } then { community add public-comm1; community add vpna-comm; accept; } } term b { from protocol bgp; then { community add vpna-comm; accept; } } term c { then reject; } } community public-comm1 members target:1:111; community public-comm2 members target:1:112; community vpna-comm members target:63000:100; }
La configuración del enrutador PE2 es idéntica a la del enrutador PE1, excepto que el enrutador PE2 exporta la ruta predeterminada a través de la comunidad public-comm2
.
Configurar una instancia de enrutamiento en el enrutador PE3
Configure la instancia vpna
de enrutamiento en el enrutador PE3:
[edit] routing-instances { vpna { instance-type vrf; interface t1-0/2/0.0; route-distinguisher 10.255.14.173:100; vrf-import vpna-import; vrf-export vpna-export; protocols { rip { group to-vpn12 { export export-CE; neighbor t1-0/2/0.0; } } } } }
Configuración de opciones de política en el enrutador PE3
Configure la política para el vrf-import
enrutador PE3 para seleccionar el punto de salida de Internet según las comunidades adicionales especificadas en Configuración de opciones de política en el enrutador PE1:
[edit] policy-options { policy-statement vpna-export { term a { from protocol rip; then { community add vpna-comm; accept; } } term b { then reject; } } policy-statement vpna-import { term a { from { protocol bgp; community public-comm1; route-filter 0.0.0.0/0 exact; } then reject; } term b { from { protocol bgp; community vpna-comm; } then accept; } term c { then reject; } } policy-statement export-CE { from protocol bgp; then accept; } community vpna-comm members target:69:100; community public-comm1 members target:1:111; community public-comm2 members target:1:112; }
Enrutamiento del tráfico de Internet a través de varios enrutadores CE: configuración resumida por enrutador
Enrutador PE1
Esta configuración es una extensión del ejemplo en Enrutamiento de tráfico de Internet a través de un enrutador CE de hub. Proporciona diferentes puntos de salida para varios sitios mediante el uso de varios enrutadores CE de hub que realizan funciones similares.
Instancias de enrutamiento
routing-instances { vpna { instance-type vrf; interface t3-0/2/0.0; interface at-1/3/1.0; route-distinguisher 10.255.14.171:100; vrf-import vpna-import; vrf-export vpna-export; routing-options { static { route 0.0.0.0/0 next-hop 10.23.0.1; } } protocols { bgp { group to-CE1 { export export-default; peer-as 63001; neighbor 192.168.197.14; } } } } }
Opciones de política
policy-options { policy-statement vpna-import { term a { from { protocol bgp; community vpna-comm; } then accept; } term b { then reject; } } policy-statement vpna-export { term a { from { protocol static; route-filter 0.0.0.0/0 exact; } then { community add public-comm1; community add vpna-comm; accept; } } term b { from protocol bgp; then { community add vpna-comm; accept; } } term c { then reject; } } community public-comm1 members target:1:111; community public-comm2 members target:1:112; community vpna-comm members target:63000:100; }
Enrutador PE2
La configuración del enrutador PE2 es idéntica a la del enrutador PE1, excepto que el enrutador PE2 exporta la ruta predeterminada a través de la comunidad public-comm2
.
Enrutador PE3
Instancias de enrutamiento
routing-instances { vpna { instance-type vrf; interface t1-0/2/0.0; route-distinguisher 10.255.14.173:100; vrf-import vpna-import; vrf-export vpna-export; protocols { rip { group to-vpn12 { export export-CE; neighbor t1-0/2/0.0; } } } } }
Opciones de política
policy-options { policy-statement vpna-export { term a { from protocol rip; then { community add vpna-comm; accept; } } term b { then reject; } } policy-statement vpna-import { term a { from { protocol bgp; community public-comm1; route-filter 0.0.0.0/0 exact; } then reject; } term b { from { protocol bgp; community vpna-comm; } then accept; } term c { then reject; } } policy-statement export-CE { from protocol bgp; then accept; } community vpna-comm members target:69:100; community public-comm1 members target:1:111; community public-comm2 members target:1:112; }