Habilitar el acceso a Internet para VPN de capa 3
En este tema se proporcionan ejemplos de cómo configurar un enrutador perimetral de proveedor (PE) para proporcionar acceso a Internet a enrutadores perimetrales de cliente (CE) en una VPN y configurar un enrutador para enrutar el tráfico de Internet a enrutadores CE mediante un traductor de direcciones de red (NAT). El método que utilice depende de las necesidades y especificaciones de la red individual.
Acceso a Internet sin VRF a través de VPN de capa 3
Junos OS admite el acceso a Internet desde una red privada virtual (VPN) de capa 3. También debe configurar la next-table instrucción en el nivel de [edit routing-instances routing-instance-name routing-options static route] jerarquía. Cuando se configura, esta instrucción puede apuntar una ruta predeterminada desde la tabla VPN (instancia de enrutamiento) a la tabla de enrutamiento principal (instancia predeterminada) inet.0. La tabla de enrutamiento principal almacena todas las rutas de Internet y es donde se produce la resolución final de la ruta.
En las secciones siguientes se describen formas de proporcionar acceso a Internet a un enrutador CE en una VPN de capa 3 sin utilizar la interfaz de enrutamiento y reenvío VPN (VRF). Debido a que estos métodos omiten efectivamente la VPN de capa 3, no se discuten en detalle.
- El enrutador CE accede a Internet independientemente del enrutador PE
- El enrutador PE proporciona servicio de Internet de capa 2
El enrutador CE accede a Internet independientemente del enrutador PE
En esta configuración, el enrutador PE no proporciona acceso a Internet. El enrutador CE envía el tráfico de Internet a otro proveedor de servicios o al mismo proveedor de servicios pero a un enrutador diferente. El enrutador PE solo maneja el tráfico VPN de capa 3 (consulte la figura 1).
Internet
El enrutador PE proporciona servicio de Internet de capa 2
En esta configuración, el enrutador de PE actúa como un dispositivo de capa 2, proporcionando una conexión de capa 2 (como la conexión cruzada de circuitos [CCC]) a otro enrutador que tiene un conjunto completo de rutas de Internet. El enrutador CE puede usar solo una interfaz física y dos interfaces lógicas para el enrutador PE, o puede usar múltiples interfaces físicas para el enrutador PE (consulte la figura 2).
Acceso distribuido a Internet a través de VPN de capa 3
En este escenario, los enrutadores PE proporcionan acceso a Internet a los enrutadores CE. En los ejemplos siguientes, se supone que las rutas de Internet (o valores predeterminados) están presentes en la tabla inet.0 de los enrutadores PE que proporcionan acceso a Internet a los enrutadores CE seleccionados.
Al acceder a Internet desde una VPN, la traducción de direcciones de red (NAT) debe realizarse entre las direcciones privadas de la VPN y las direcciones públicas utilizadas en Internet, a menos que la VPN esté utilizando el espacio de direcciones públicas. Esta sección incluye varios ejemplos de cómo proporcionar acceso a Internet para VPN, la mayoría de los cuales requieren que los enrutadores CE realicen la traducción de direcciones. Sin embargo, el ejemplo de enrutamiento del tráfico de Internet a través de un dispositivo NAT independiente requiere que el proveedor de servicios proporcione la funcionalidad NAT mediante un dispositivo NAT conectado al enrutador PE.
En todos los ejemplos, el grupo de direcciones IP públicas de la VPN (cuyas entradas corresponden a las direcciones privadas traducidas) debe agregarse a la tabla inet.0 y propagarse a los enrutadores de Internet para recibir tráfico inverso desde destinos públicos.
Enrutamiento de VPN y tráfico de Internet a través de diferentes interfaces para VPN de capa 3
En este ejemplo, el tráfico VPN y de Internet se enruta a través de interfaces diferentes. El enrutador CE envía el tráfico VPN a través de la interfaz VPN y envía el tráfico de Internet a través de una interfaz independiente que forma parte de la tabla de enrutamiento principal del enrutador PE1 (el enrutador CE puede utilizar una interfaz física con dos unidades lógicas o dos interfaces físicas). NAT también se produce en el enrutador CE (consulte la figura 3).
El enrutador PE está configurado para instalar y anunciar el grupo de direcciones IP públicas de la VPN a otros enrutadores principales (para tráfico de retorno). El tráfico VPN se enruta normalmente. La figura 4 ilustra la configuración de VPN del enrutador PE.
separadas
La configuración de este ejemplo tiene las siguientes características:
-
El enrutador PE1 utiliza dos interfaces lógicas para conectarse al enrutador CE1 mediante la encapsulación Frame Relay.
-
El protocolo de enrutamiento entre el enrutador PE1 y el enrutador CE1 es EBGP.
-
El grupo de direcciones IP públicas del enrutador CE1 es
10.12.1.1a través10.12.1.254de (10.12.1.0/24). -
La
next-hop-selfconfiguración se deriva de lafix-nh policyinstrucción del enrutador PE1. Los enrutadores PE están obligados a usarlosnext-hop-selfpara que la resolución del siguiente salto se realice solo para la dirección de circuito cerrado del enrutador PE para rutas que no sean VPN (de forma predeterminada, las rutas VPN-Protocolo de Internet versión 4 [IPv4] se envían por medio denext-hop-self).
Puede configurar el enrutador CE1 con una ruta estática predeterminada que apunte a su interfaz pública para todo lo demás.
En las secciones siguientes se muestra cómo enrutar el tráfico VPN y de Internet a través de diferentes interfaces:
- Configuración de interfaces en el enrutador PE1
- Configuración de las opciones de enrutamiento en el enrutador PE1
- Configuración de los protocolos BGP, IS-IS y LDP en el enrutador PE1
- Configuración de una instancia de enrutamiento en el enrutador PE1
- Configuración de opciones de directiva en el enrutador PE1
- Tráfico enrutado por diferentes interfaces: configuración resumida por enrutador
Configuración de interfaces en el enrutador PE1
Configure una interfaz para controlar el tráfico VPN y una interfaz para controlar el tráfico de Internet:
[edit]
interfaces {
t3-0/2/0 {
dce;
encapsulation frame-relay;
unit 0 {
description "to CE1 VPN interface";
dlci 10;
family inet {
address 192.168.197.13/30;
}
}
unit 1 {
description "to CE1 public interface";
dlci 20;
family inet {
address 192.168.198.201/30;
}
}
}
}
Configuración de las opciones de enrutamiento en el enrutador PE1
Configure una ruta estática en el enrutador PE1 para instalar una ruta al grupo de direcciones IP públicas del enrutador CE en inet.0:
[edit]
routing-options {
static {
route 10.12.1.0/24 next-hop 192.168.198.202;
}
}
Configuración de los protocolos BGP, IS-IS y LDP en el enrutador PE1
Configure BGP en el enrutador PE1 para permitir el emparejamiento VPN y no VPN y para anunciar el grupo de direcciones IP públicas de la VPN:
[edit]
protocols {
bgp {
group pe-pe {
type internal;
local-address 10.255.14.171;
family inet {
any;
}
family inet-vpn {
any;
}
export [fix-nh redist-static];
neighbor 10.255.14.177;
neighbor 10.255.14.179;
}
}
}
Configure IS-IS en el enrutador PE1 para permitir el acceso a rutas internas:
[edit protocols]
isis {
level 1 disable;
interface so-0/0/0.0;
interface lo0.0;
}
Configure LDP en el enrutador PE1 para tunelizar rutas VPN:
[edit protocols]
ldp {
interface so-0/0/0.0;
}
Configuración de una instancia de enrutamiento en el enrutador PE1
Configure una instancia de enrutamiento en el enrutador PE1:
[edit]
routing-instances {
vpna {
instance-type vrf;
interface t3-0/2/0.0;
route-distinguisher 10.255.14.171:100;
vrf-import vpna-import;
vrf-export vpna-export;
protocols {
bgp {
group to-CE1 {
peer-as 63001;
neighbor 192.168.197.14;
}
}
}
}
}
Configuración de opciones de directiva en el enrutador PE1
Debe configurar las opciones de directiva en el enrutador PE1. La fix-nh declaración de política establece next-hop-self para todas las rutas que no son VPN:
[edit]
policy-options {
policy-statement fix-nh {
then {
next-hop self;
}
}
}
La redist-static declaración de política anuncia el grupo de direcciones IP públicas de la VPN:
[edit policy-options]
policy-statement redist-static {
term a {
from {
protocol static;
route-filter 10.12.1.0/24 exact;
}
then accept;
}
term b {
then reject;
}
}
Configure políticas de importación y exportación para vpna:
[edit policy-options]
policy-statement vpna-import {
term a {
from {
protocol bgp;
community vpna-comm;
}
then accept;
}
term b {
then reject;
}
}
policy-statement vpna-export {
term a {
from protocol bgp;
then {
community add vpna-comm;
accept;
}
}
term b {
then reject;
}
}
community vpna-comm members target:63000:100;
Tráfico enrutado por diferentes interfaces: configuración resumida por enrutador
Enrutador PE1
Interfaces
interfaces {
t3-0/2/0 {
dce;
encapsulation frame-relay;
unit 0 {
description "to CE1 VPN interface";
dlci 10;
family inet {
address 192.168.197.13/30;
}
}
unit 1 {
description "to CE1 public interface";
dlci 20;
family inet {
address 192.168.198.201/30;
}
}
}
}
Opciones de enrutamiento
routing-options {
static {
route 10.12.1.0/24 next-hop 192.168.198.202;
}
}
Protocolo BGP
protocols {
bgp {
group pe-pe {
type internal;
local-address 10.255.14.171;
family inet {
any;
}
family inet-vpn {
any;
}
export [ fix-nh redist-static];
neighbor 10.255.14.177;
neighbor 10.255.14.179;
}
}
}
Protocolo IS-IS
isis {
level 1 disable;
interface so-0/0/0.0;
interface lo0.0;
}
Protocolo LDP
ldp {
interface so-0/0/0.0;
}
Instancia de enrutamiento
routing-instances {
vpna {
instance-type vrf;
interface t3-0/2/0.0;
route-distinguisher 10.255.14.171:100;
vrf-import vpna-import;
vrf-export vpna-export;
protocols {
bgp {
group to-CE1 {
peer-as 63001;
neighbor 192.168.197.14;
}
}
}
}
}
Opciones de política/declaraciones de política
policy-options {
policy-statement fix-nh {
then {
next-hop self;
}
}
policy-statement redist-static {
term a {
from {
protocol static;
route-filter 10.12.1.0/24 exact;
}
then accept;
}
term b {
then reject;
}
}
}
Políticas de importación y exportación
policy-statement vpna-import {
term a {
from {
protocol bgp;
community vpna-comm;
}
then accept;
}
term b {
then reject;
}
}
policy-statement vpna-export {
term a {
from protocol bgp;
then {
community add vpna-comm;
accept;
}
}
term b {
then reject;
}
}
community vpna-comm members target:63000:100;
El enrutamiento de VPN y el tráfico saliente de Internet a través de la misma interfaz y el enrutamiento devuelven el tráfico de Internet a través de una interfaz diferente
En este ejemplo, el enrutador CE envía tráfico VPN e Internet a través de la misma interfaz, pero recibe tráfico de Internet de retorno a través de una interfaz diferente. El enrutador PE tiene una ruta predeterminada en la tabla VRF que apunta a la tabla de enrutamiento principal inet.0. Enruta el grupo de direcciones IP públicas de VPN (devuelve tráfico de Internet) a través de una interfaz diferente en inet.0 (consulte la figura 5). El enrutador CE sigue realizando funciones NAT.
diferente
En la siguiente sección se muestra cómo enrutar el tráfico VPN y saliente de Internet a través de la misma interfaz y cómo enrutar el tráfico de Internet de retorno a través de una interfaz diferente:
Configuración del enrutador PE1
Este ejemplo tiene la misma configuración que el enrutador PE1 en cuanto al enrutamiento de VPN y tráfico de Internet a través de diferentes interfaces para VPN de capa 3. Utiliza la topología que se muestra en Enrutamiento de VPN y tráfico de Internet a través de diferentes interfaces para VPN de capa 3. La ruta predeterminada a la tabla de enrutamiento VPN está configurada de forma diferente. En el nivel de [edit routing-instances routing-instance-name routing-options] jerarquía, se configura una ruta estática predeterminada que se instala en vpna.inet.0 y que apunta a inet.0 para su resolución:
[edit]
routing-instances {
vpna {
instance-type vrf;
interface t3-0/2/0.0;
route-distinguisher 10.255.14.171:100;
vrf-import vpna-import;
vrf-export vpna-export;
routing-options {
static {
route 0.0.0.0/0 next-table inet.0;
}
}
protocols {
bgp {
group to-CE1 {
peer-as 63001;
neighbor 192.168.197.14;
}
}
}
}
}
También debe cambiar la configuración del enrutador CE1 (de la configuración que funciona con la configuración del enrutador PE1 descrita en Enrutamiento de VPN y tráfico de Internet a través de diferentes interfaces para VPN de capa 3) para tener en cuenta las diferencias en la configuración de los enrutadores PE.
Enrutamiento de VPN y tráfico de Internet a través de la misma interfaz de forma bidireccional (VPN tiene direcciones públicas)
En esta sección se muestra cómo configurar una única interfaz lógica para controlar el tráfico VPN y de Internet que viaja hacia y desde Internet y el enrutador CE. Esta interfaz puede manejar tanto la VPN como el tráfico de Internet siempre que no haya direcciones privadas en la VPN. Las rutas VPN recibidas del enrutador CE se agregan a la tabla de enrutamiento principal inet.0 mediante grupos de tablas de enrutamiento. Esto permite que el enrutador PE atraiga el tráfico de retorno de Internet (consulte la figura 6).
de Internet y VPN
En este ejemplo, el enrutador CE no necesita realizar NAT, porque todas las rutas VPN son públicas. El enrutador CE tiene una sola interfaz con el enrutador PE, al que anuncia rutas VPN. El enrutador PE tiene una ruta predeterminada en la tabla VRF que apunta a la tabla de enrutamiento principal inet.0. El enrutador PE también importa rutas VPN recibidas del enrutador CE a inet.0 mediante grupos de tablas de enrutamiento.
La siguiente configuración para el enrutador PE1 utiliza la misma topología que en Enrutamiento de VPN y tráfico de Internet a través de diferentes interfaces para VPN de capa 3. Esta configuración utiliza una única interfaz lógica (en lugar de dos) entre el enrutador PE1 y el enrutador CE1.
En las secciones siguientes se muestra cómo enrutar el tráfico VPN e Internet a través de la misma interfaz de forma bidireccional (la VPN tiene direcciones públicas):
- Configuración de las opciones de enrutamiento en el enrutador PE1
- Configuración de protocolos de enrutamiento en el enrutador PE1
- Configuración de la instancia de enrutamiento en el enrutador PE1
- Tráfico enrutado a través de la misma interfaz bidireccionalmente: Configuración resumida por enrutador
Configuración de las opciones de enrutamiento en el enrutador PE1
Configure una definición de grupo de tabla de enrutamiento para instalar rutas VPN en los grupos de tablas de enrutamiento vpna.inet.0 e inet.0:
[edit]
routing-options {
rib-groups {
vpna-to-inet0 {
import-rib [ vpna.inet.0 inet.0 ];
}
}
}
Configuración de protocolos de enrutamiento en el enrutador PE1
Configure los protocolos MPLS, BGP, IS-IS y LDP en el enrutador PE1. Esta configuración no incluye la policy redist-static instrucción en el nivel de [edit protocols bgp group pe-pe] jerarquía. Las rutas VPN se envían directamente al IBGP.
Configure BGP en el enrutador PE1 para permitir el emparejamiento VPN y sin VPN, y para anunciar el grupo de direcciones IP públicas de la VPN:
[edit]
protocols {
mpls {
interface so-0/0/0.0;
}
bgp {
group pe-pe {
type internal;
local-address 10.255.14.171;
family inet {
any;
}
family inet-vpn {
any;
}
export fix-nh;
neighbor 10.255.14.177;
neighbor 10.255.14.173;
}
}
isis {
level 1 disable;
interface so-0/0/0.0;
interface lo0.0;
}
ldp {
interface so-0/0/0.0;
}
}
Configuración de la instancia de enrutamiento en el enrutador PE1
En esta sección se describe cómo configurar la instancia de enrutamiento en el enrutador PE1. La ruta estática definida en la routing-options instrucción dirige el tráfico de Internet desde el enrutador CE a la tabla de enrutamiento inet.0. El grupo de tabla de enrutamiento definido por la rib-group vpna-to-inet0 instrucción agrega las rutas VPN a inet.0.
Configure la instancia de enrutamiento en el enrutador PE1:
[edit]
routing-instances {
vpna {
instance-type vrf;
interface t3-0/2/0.0;
route-distinguisher 10.255.14.171:100;
vrf-import vpna-import;
vrf-export vpna-export;
routing-options {
static {
route 0.0.0.0/0 next-table inet.0;
}
}
protocols {
bgp {
group to-CE1 {
family inet {
unicast {
rib-group vpna-to-inet0;
}
}
peer-as 63001;
neighbor 192.168.197.14;
}
}
}
}
}
Debe configurar el enrutador CE1 para reenviar todo el tráfico al enrutador PE1 utilizando una ruta predeterminada. Alternativamente, la ruta predeterminada se puede anunciar desde el enrutador PE1 al enrutador CE1 con EBGP.
Tráfico enrutado a través de la misma interfaz bidireccionalmente: Configuración resumida por enrutador
Enrutador PE1
En este ejemplo se usa la misma configuración que en Enrutamiento de VPN y tráfico de Internet a través de diferentes interfaces para VPN de capa 3. Esta configuración utiliza una única interfaz lógica (en lugar de dos) entre el enrutador PE1 y el enrutador CE1.
Opciones de enrutamiento
routing-options {
rib-groups {
vpna-to-inet0 {
import-rib [ vpna.inet.0 inet.0 ];
}
}
}
Protocolos de enrutamiento
protocols {
mpls {
interface so-0/0/0.0;
}
bgp {
group pe-pe {
type internal;
local-address 10.255.14.171;
family inet {
any;
}
family inet-vpn {
any;
}
export fix-nh;
neighbor 10.255.14.177;
neighbor 10.255.14.173;
}
}
isis {
level 1 disable;
interface so-0/0/0.0;
interface lo0.0;
}
ldp {
interface so-0/0/0.0;
}
}
Instancia de enrutamiento
routing-instances {
vpna {
instance-type vrf;
interface t3-0/2/0.0;
route-distinguisher 10.255.14.171:100;
vrf-import vpna-import;
vrf-export vpna-export;
routing-options {
static {
route 0.0.0.0/0 next-table inet.0;
}
}
protocols {
bgp {
group to-CE1 {
family inet {
unicast {
rib-group vpna-to-inet0;
}
}
peer-as 63001;
neighbor 192.168.197.14;
}
}
}
}
}
Enrutamiento de VPN y tráfico de Internet a través de la misma interfaz de forma bidireccional (VPN tiene direcciones privadas)
En el ejemplo de esta sección se muestra cómo enrutar el tráfico VPN e Internet a través de la misma interfaz en ambas direcciones (desde el enrutador CE a Internet y desde Internet al enrutador CE). La VPN en este ejemplo tiene direcciones privadas. Si puede configurar EBGP en el enrutador CE, puede configurar un enrutador PE utilizando la configuración descrita en Enrutamiento bidireccional de VPN y tráfico de Internet a través de la misma interfaz (VPN tiene direcciones públicas), incluso si la VPN tiene direcciones privadas.
En el ejemplo descrito en esta sección, el enrutador CE utiliza comunidades separadas para anunciar sus rutas VPN y rutas públicas. El enrutador PE importa selectivamente sólo las rutas públicas en la tabla de enrutamiento inet.0. Esta configuración garantiza que el tráfico de retorno de Internet utilice la misma interfaz entre los enrutadores PE y CE que la utilizada por el tráfico VPN que sale a direcciones públicas de Internet (consulte la figura 7).
En este ejemplo, el enrutador CE tiene una interfaz y una sesión BGP con el enrutador PE, y etiqueta rutas VPN y rutas de Internet con diferentes comunidades. El enrutador PE tiene una interfaz, importa selectivamente rutas para el grupo de direcciones IP públicas de la VPN en inet.0 y tiene una ruta predeterminada en la tabla de enrutamiento VRF que apunta a inet.0.
En las secciones siguientes se muestra cómo enrutar el tráfico VPN e Internet a través de la misma interfaz de forma bidireccional (la VPN tiene direcciones privadas):
- Configuración de opciones de enrutamiento para el enrutador PE1
- Configuración de una instancia de enrutamiento para el enrutador PE1
- Configuración de opciones de directiva para el enrutador PE1
- Tráfico enrutado por la misma interfaz de forma bidireccional (VPN tiene direcciones privadas): configuración resumida por enrutador
Configuración de opciones de enrutamiento para el enrutador PE1
En el enrutador PE1, configure un grupo de tablas de enrutamiento para instalar rutas VPN en las tablas de enrutamiento vpna.inet.0 e inet.0:
[edit]
routing-options {
rib-groups {
vpna-to-inet0 {
import-policy import-public-addr-to-inet0;
import-rib [ vpna.inet.0 inet.0 ];
}
}
}
Configuración de una instancia de enrutamiento para el enrutador PE1
En el enrutador PE1, configure una instancia de enrutamiento. Como parte de la configuración de la instancia de enrutamiento, configure una ruta estática que esté instalada en vpna.inet.0 y que apunte a inet.0 para su resolución.
[edit]
routing-instances {
vpna {
instance-type vrf;
interface t3-0/2/0.0;
route-distinguisher 10.255.14.171:100;
vrf-import vpna-import;
vrf-export vpna-export;
routing-options {
static {
route 0.0.0.0/0 next-table inet.0;
}
}
}
}
En el nivel de [edit routing-instances vpna protocols bgpjerarquía ], configure una política (import-public-addr-to-inet0) para importar rutas públicas en inet.0 y un grupo de tablas de enrutamiento (vpna-to-inet0) para permitir que BGP instale rutas en varias tablas de enrutamiento (vpna.inet.0 e inet.0):
[edit routing-instances vpna]
protocols {
bgp {
group to-CE1 {
import import-public-addr-to-inet0;
family inet {
unicast {
rib-group vpna-to-inet0;
}
}
peer-as 63001;
neighbor 192.168.197.14;
}
}
}
Configuración de opciones de directiva para el enrutador PE1
Configure las opciones de directiva para que el enrutador PE1 acepte todas las rutas inicialmente (term a) y, a continuación, instale rutas con una public-comm comunidad en la tabla de enrutamiento inet.0 (term b):
[edit]
policy-options {
policy-statement import-public-addr-to-inet0 {
term a {
from {
protocol bgp;
rib vpna.inet.0;
community [ public-comm private-comm ];
}
then accept;
}
term b {
from {
protocol bgp;
community public-comm;
}
to rib inet.0;
then accept;
}
term c {
then reject;
}
}
community private-comm members target:1:333;
community public-comm members target:1:111;
community vpna-comm members target:63000:100;
}
Tráfico enrutado por la misma interfaz de forma bidireccional (VPN tiene direcciones privadas): configuración resumida por enrutador
Enrutador PE1
Opciones de enrutamiento
[edit]
routing-options {
rib-groups {
vpna-to-inet0 {
import-policy import-public-addr-to-inet0;
import-rib [ vpna.inet.0 inet.0 ];
}
}
}
Instancias de enrutamiento
[edit]
routing-instances {
vpna {
instance-type vrf;
interface t3-0/2/0.0;
route-distinguisher 10.255.14.171:100;
vrf-import vpna-import;
vrf-export vpna-export;
routing-options {
static {
route 0.0.0.0/0 next-table inet.0;
}
}
}
}
Instancias de enrutamiento Protocolos BGP
[edit routing-instances vpna]
protocols {
bgp {
group to-CE1 {
family inet {
unicast {
rib-group vpna-to-inet0;
}
}
peer-as 63001;
neighbor 192.168.197.14;
}
}
}
Opciones de política
[edit]
policy-options {
policy-statement import-public-addr-to-inet0 {
term a {
from {
protocol bgp;
rib vpna.inet.0;
community [ public-comm private-comm ];
}
then accept;
}
term b {
from {
protocol bgp;
community public-comm;
}
to rib inet.0;
then accept;
}
term c {
then reject;
}
}
community private-comm members target:1:333;
community public-comm members target:1:111;
community vpna-comm members target:63000:100;
}
Enrutamiento del tráfico de Internet a través de un dispositivo NAT independiente
En este ejemplo, el enrutador CE no realiza NAT. Envía tráfico VPN e Internet a través de la misma interfaz al enrutador PE. El enrutador PE está conectado a un dispositivo NAT por medio de dos interfaces. Una interfaz está configurada en la tabla VRF del enrutador PE y apunta a una interfaz VPN en el dispositivo NAT, que puede enrutar el tráfico de Internet para la VPN. La otra interfaz está en una instancia predeterminada; Por ejemplo, parte de la tabla de enrutamiento público inet.0. Puede haber una sola conexión física entre el enrutador PE y el dispositivo NAT y varias conexiones lógicas (una para cada tabla VRF y otra interfaz) como parte de la tabla de enrutamiento global (consulte la figura 8).
NAT separado
Requisitos
En este ejemplo se utilizan los siguientes componentes de hardware y software:
-
Enrutadores serie M
-
Junos OS versión 9.3 o posterior
Visión general
La topología de este ejemplo amplía la ilustrada en Enrutamiento de VPN y tráfico de Internet a través de diferentes interfaces para VPN de capa 3. El enrutador CE envía tráfico VPN y de Internet al enrutador PE1. El tráfico VPN se enruta en función de las rutas VPN recibidas por el enrutador PE1. El tráfico para todo lo demás se envía al dispositivo NAT utilizando la interfaz privada del enrutador PE1 con el dispositivo NAT, que luego traduce las direcciones privadas y envía el tráfico de vuelta al enrutador PE1 utilizando la interfaz pública de ese enrutador (consulte la figura 9).
Topología
Configuración
Para enrutar el tráfico de Internet a través de un dispositivo NAT independiente, realice estas tareas:
- Configuración de interfaces en el enrutador PE1
- Configuración de opciones de enrutamiento para el enrutador PE1
- Configuración de protocolos de enrutamiento en el enrutador PE1
- Configuración de una instancia de enrutamiento en el enrutador PE1
- Resultados
Configuración de interfaces en el enrutador PE1
Procedimiento paso a paso
-
Configure una interfaz para el tráfico VPN desde el enrutador CE1:
[edit] interfaces { t3-0/2/0 { dce; encapsulation frame-relay; unit 0 { description "to CE1 VPN interface"; dlci 10; family inet { address 192.168.197.13/30; } } } } -
Configure una interfaz para el tráfico VPN hacia y desde el dispositivo NAT (unidad 0) y una interfaz para el tráfico de Internet hacia y desde el dispositivo NAT (unidad 1):
[edit] interfaces { at-1/3/1 { atm-options { vpi 1 maximum-vcs 255; } unit 0 { description "to NAT VPN interface"; vci 1.100; family inet { address 10.23.0.2/32 { destination 10.23.0.1; } } } unit 1 { description "to NAT public interface"; vci 1.101; family inet { address 10.23.0.6/32 { destination 10.23.0.5; } } } } }
Configuración de opciones de enrutamiento para el enrutador PE1
Procedimiento paso a paso
-
Configure una ruta estática en el enrutador PE1 para dirigir el tráfico de Internet al enrutador CE a través del dispositivo NAT. El enrutador PE1 distribuye esta ruta a Internet.
[edit] routing-options { static { route 10.12.1.0/24 next-hop 10.23.0.5; } }
Configuración de protocolos de enrutamiento en el enrutador PE1
Procedimiento paso a paso
Configure los siguientes protocolos de enrutamiento en el enrutador PE1:
-
Configure MPLS en el enrutador PE1. Incluya la interfaz VPN del dispositivo NAT en la tabla VRF.
[edit] protocols { mpls { interface so-0/0/0.0; interface at-1/3/1.0; } } -
Configure BGP en el enrutador PE1. Incluya una política para anunciar el grupo de direcciones IP públicas:
[edit] protocols { bgp { group pe-pe { type internal; local-address 10.255.14.171; family inet { any; } family inet-vpn { any; } export [ fix-nh redist-static ]; neighbor 10.255.14.177; neighbor 10.255.14.173; } } } -
Configure IS-IS en el enrutador PE1:
[edit] protocols { isis { level 1 disable; interface so-0/0/0.0; interface lo0.0; } } -
Configure LDP en el enrutador PE1:
[edit] protocols { ldp { interface so-0/0/0.0; } }
Configuración de una instancia de enrutamiento en el enrutador PE1
Procedimiento paso a paso
Configure la instancia de enrutamiento VPN de capa 3 en el enrutador PE1:
-
Configure una instancia de enrutamiento en el enrutador PE1. Como parte de la configuración de la instancia de enrutamiento, en
routing-options, configure una ruta predeterminada estática en vpna.inet.0 que apunte a la interfaz VPN del dispositivo NAT (esto dirige todo el tráfico que no es VPN al dispositivo NAT):[edit] routing-instances { vpna { instance-type vrf; interface t3-0/2/0.0; interface at-1/3/1.0; route-distinguisher 10.255.14.171:100; vrf-import vpna-import; vrf-export vpna-export; routing-options { static { route 0.0.0.0/0 next-hop 10.23.0.1; } } protocols { bgp { group to-CE1 { peer-as 63001; neighbor 192.168.197.14; } } } } } -
Configure la política de enrutamiento para la instancia de enrutamiento VPN de capa 3 en el enrutador PE1:
policy-options { policy-statement fix-nh { then { next-hop self; } } policy-statement redist-static { term a { from { protocol static; route-filter 10.12.1.0/24 exact; } then accept; } term b { from protocol bgp; then accept; } term c { then accept; } } policy-statement vpna-import { term a { from { protocol bgp; community vpna-comm; } then accept; } term b { then reject; } } policy-statement vpna-export { term a { from protocol bgp; then { community add vpna-comm; accept; } } term b { then reject; } } community vpna-comm members target:63000:100; }
Resultados
Desde el modo de configuración en el enrutador PE1, confirme su configuración ingresando los comandos show interfaces, show routing-options, show protocols, show routing-instances y show policy-options. Si el resultado no muestra la configuración deseada, repita las instrucciones de este ejemplo para corregir la configuración.
user@PE1# show interfaces
interfaces {
t3-0/2/0 {
dce;
encapsulation frame-relay;
unit 0 {
description "to CE1 VPN interface";
dlci 10;
family inet {
address 192.168.197.13/30;
}
}
}
at-1/3/1 {
atm-options {
vpi 1 maximum-vcs 255;
}
unit 0 {
description "to NAT VPN interface";
vci 1.100;
family inet {
address 10.23.0.2/32 {
destination 10.23.0.1;
}
}
}
unit 1 {
description "to NAT public interface";
vci 1.101;
family inet {
address 10.23.0.6/32 {
destination 10.23.0.5;
}
}
}
}
}
user@PE1# show routing-options
routing-options {
static {
route 10.12.1.0/24 next-hop 10.23.0.5;
}
}
user@PE1# show protocols
protocols {
mpls {
interface so-0/0/0.0;
interface at-1/3/1.0;
}
bgp {
group pe-pe {
type internal;
local-address 10.255.14.171;
family inet {
any;
}
family inet-vpn {
any;
}
export [ fix-nh redist-static ];
neighbor 10.255.14.177;
neighbor 10.255.14.173;
}
}
isis {
level 1 disable;
interface so-0/0/0.0;
interface lo0.0;
}
ldp {
interface so-0/0/0.0;
}
}
user@PE1# show routing-instances
routing-instances {
vpna {
instance-type vrf;
interface t3-0/2/0.0;
interface at-1/3/1.0;
route-distinguisher 10.255.14.171:100;
vrf-import vpna-import;
vrf-export vpna-export;
routing-options {
static {
route 0.0.0.0/0 next-hop 10.23.0.1;
}
}
protocols {
bgp {
group to-CE1 {
peer-as 63001;
neighbor 192.168.197.14;
}
}
}
}
}
user@PE1# show policy-options
policy-options {
policy-statement fix-nh {
then {
next-hop self;
}
}
policy-statement redist-static {
term a {
from {
protocol static;
route-filter 10.12.1.0/24 exact;
}
then accept;
}
term b {
from protocol bgp;
then accept;
}
term c {
then accept;
}
}
policy-statement vpna-import {
term a {
from {
protocol bgp;
community vpna-comm;
}
then accept;
}
term b {
then reject;
}
}
policy-statement vpna-export {
term a {
from protocol bgp;
then {
community add vpna-comm;
accept;
}
}
term b {
then reject;
}
}
community vpna-comm members target:63000:100;
}
Acceso centralizado a Internet a través de VPN de capa 3
En esta sección se describen varias formas de configurar un enrutador CE para que actúe como sitio central para el acceso a Internet. El tráfico de Internet de otros sitios (enrutadores CE) se enruta al enrutador concentrador CE (que también realiza NAT) mediante la interfaz VPN de ese enrutador. A continuación, el enrutador del concentrador CE reenvía el tráfico a un enrutador PE conectado a Internet a través de otra interfaz identificada en la tabla inet.0. El enrutador CE del concentrador puede anunciar una ruta predeterminada a los enrutadores CE radiales. La desventaja de este tipo de configuración es que todo el tráfico tiene que pasar por el enrutador CE central antes de ir a Internet, lo que provoca retrasos en la red si este enrutador recibe demasiado tráfico. Sin embargo, en una red corporativa, es posible que el tráfico deba enrutarse a un sitio central, ya que la mayoría de las redes corporativas separan la VPN de Internet por medio de un único firewall.
En esta sección se incluyen los siguientes ejemplos:
- Enrutamiento del tráfico de Internet a través de un enrutador Hub CE
- Enrutamiento del tráfico de Internet a través de varios enrutadores CE
Enrutamiento del tráfico de Internet a través de un enrutador Hub CE
En este ejemplo, el tráfico de Internet se enruta a través de un enrutador hub CE. El enrutador del concentrador CE tiene dos interfaces con el enrutador del concentrador PE: una interfaz VPN y una interfaz pública. Realiza TDR en el tráfico reenviado desde el enrutador de PE del concentrador a través de la interfaz VPN y reenvía ese tráfico desde su interfaz pública al enrutador del concentrador PE. El enrutador PE del concentrador tiene una ruta predeterminada estática en su tabla VRF que apunta a la interfaz VPN del enrutador del concentrador CE. Anuncia esta ruta predeterminada al resto de la VPN, atrayendo todo el tráfico que no es VPN a la ruta CE del concentrador. El enrutador PE del concentrador también instala y distribuye el espacio de direcciones IP públicas de la VPN (consulte la figura 10).
La configuración de este ejemplo es casi idéntica a la descrita en Enrutamiento del tráfico de Internet a través de un dispositivo NAT independiente. La diferencia es que el enrutador PE1 está configurado para anunciar una ruta predeterminada estática a los otros enrutadores CE (consulte la figura 11).
Hub CE
En las secciones siguientes se muestra cómo configurar el acceso centralizado a Internet enrutando el tráfico de Internet a través de un enrutador de concentrador CE:
- Configuración de una instancia de enrutamiento en el enrutador PE1
- Configuración de opciones de directiva en el enrutador PE1
- Tráfico de Internet enrutado por un enrutador Hub CE: configuración resumida por enrutador
Configuración de una instancia de enrutamiento en el enrutador PE1
Configure una instancia de enrutamiento para el enrutador PE1. Como parte de esta configuración, en routing-options, configure una ruta estática predeterminada (route 0.0.0.0/0) para instalarla en vpna.inet.0 y apunte la ruta a la interfaz VPN () del enrutador del concentrador CE (10.23.0.1). Además, configure BGP en la instancia de enrutamiento para exportar la ruta predeterminada al enrutador CE local:
[edit]
routing-instances {
vpna {
instance-type vrf;
interface t3-0/2/0.0;
interface at-1/3/1.0;
route-distinguisher 10.255.14.171:100;
vrf-import vpna-import;
vrf-export vpna-export;
routing-options {
static {
route 0.0.0.0/0 next-hop 10.23.0.1;
}
}
protocols {
bgp {
group to-CE1 {
export export-default;
peer-as 63001;
neighbor 192.168.197.14;
}
}
}
}
}
Configuración de opciones de directiva en el enrutador PE1
Configure las opciones de política en el enrutador PE1. Como parte de esta configuración, el enrutador PE1 debe exportar la ruta estática predeterminada a todos los enrutadores de PE remotos en vpna (configurados en la policy-statement vpna-export instrucción en term b):
[edit]
policy-options {
policy-statement vpna-export {
term a {
from protocol bgp;
then {
community add vpna-comm;
accept;
}
}
term b {
from {
protocol static;
route-filter 0.0.0.0/0 exact;
}
then {
community add vpna-comm;
accept;
}
}
term c {
then reject;
}
}
policy-statement export-default {
term a {
from {
protocol static;
route-filter 0.0.0.0/0 exact;
}
then accept;
}
term b {
from protocol bgp;
then accept;
}
term c {
then reject;
}
}
}
Tráfico de Internet enrutado por un enrutador Hub CE: configuración resumida por enrutador
Enrutador PE1
La configuración del enrutador PE1 es casi idéntica a la del ejemplo del enrutamiento del tráfico de Internet a través de un dispositivo NAT independiente. La diferencia es que el enrutador PE1 está configurado para anunciar una ruta predeterminada estática a los otros enrutadores CE.
Instancia de enrutamiento
routing-instances {
vpna {
instance-type vrf;
interface t3-0/2/0.0;
interface at-1/3/1.0;
route-distinguisher 10.255.14.171:100;
vrf-import vpna-import;
vrf-export vpna-export;
routing-options {
static {
route 0.0.0.0/0 next-hop 10.23.0.1;
}
}
protocols {
bgp {
group to-CE1 {
export export-default;
peer-as 63001;
neighbor 192.168.197.14;
}
}
}
}
}
Opciones de política
policy-options {
policy-statement vpna-export {
term a {
from protocol bgp;
then {
community add vpna-comm;
accept;
}
}
term b {
from {
protocol static;
route-filter 0.0.0.0/0 exact;
}
then {
community add vpna-comm;
accept;
}
}
term c {
then reject;
}
}
policy-statement export-default {
term a {
from {
protocol static;
route-filter 0.0.0.0/0 exact;
}
then accept;
}
term b {
from protocol bgp;
then accept;
}
term c {
then reject;
}
}
}
Enrutamiento del tráfico de Internet a través de varios enrutadores CE
El ejemplo de esta sección es una extensión de lo descrito en Acceso centralizado a Internet a través de VPN de capa 3. En este ejemplo se proporcionan diferentes puntos de salida para distintos sitios mediante varios enrutadores de concentrador CE que realizan funciones similares. Cada enrutador de concentrador CE etiqueta la ruta predeterminada con un destino de ruta diferente y permite que los enrutadores radiales de CE seleccionen el sitio de concentrador que se debe utilizar para el acceso a Internet (consulte la figura 12).
En este ejemplo se utilizan dos enrutadores de concentrador CE que controlan el tráfico NAT y de Internet:
-
Etiquetas
0/0de enrutador Hub1 CE con comunidadpublic-comm1(destino:1:111) -
Etiquetas
0/0de enrutador Hub2 CE con comunidadpublic-comm2(destino:1:112)
El enrutador CE radial en este ejemplo está configurado para tener una inclinación hacia Hub2 para el acceso a Internet.
En las secciones siguientes se describe cómo configurar dos enrutadores de concentrador CE para controlar el tráfico de Internet y NAT:
- Configuración de una instancia de enrutamiento en el enrutador PE1
- Configuración de opciones de directiva en el enrutador PE1
- Configuración de una instancia de enrutamiento en el enrutador PE3
- Configuración de opciones de directiva en el enrutador PE3
- Enrutamiento del tráfico de Internet a través de varios enrutadores CE: configuración resumida por enrutador
Configuración de una instancia de enrutamiento en el enrutador PE1
Configure una instancia de enrutamiento en el enrutador PE1:
[edit]
routing-instances {
vpna {
instance-type vrf;
interface t3-0/2/0.0;
interface at-1/3/1.0;
route-distinguisher 10.255.14.171:100;
vrf-import vpna-import;
vrf-export vpna-export;
routing-options {
static {
route 0.0.0.0/0 next-hop 10.23.0.1;
}
}
protocols {
bgp {
group to-CE1 {
export export-default;
peer-as 63001;
neighbor 192.168.197.14;
}
}
}
}
}
Configuración de opciones de directiva en el enrutador PE1
Las opciones de directiva para el enrutador PE1 son las mismas que en Enrutamiento del tráfico de Internet a través de un enrutador Hub CE, pero la configuración de este ejemplo incluye una comunidad adicional, public-comm1, en la export instrucción:
[edit]
policy-options {
policy-statement vpna-import {
term a {
from {
protocol bgp;
community vpna-comm;
}
then accept;
}
term b {
then reject;
}
}
policy-statement vpna-export {
term a {
from {
protocol static;
route-filter 0.0.0.0/0 exact;
}
then {
community add public-comm1;
community add vpna-comm;
accept;
}
}
term b {
from protocol bgp;
then {
community add vpna-comm;
accept;
}
}
term c {
then reject;
}
}
community public-comm1 members target:1:111;
community public-comm2 members target:1:112;
community vpna-comm members target:63000:100;
}
La configuración del enrutador PE2 es idéntica a la del enrutador PE1, excepto que el enrutador PE2 exporta la ruta predeterminada a través de la comunidad public-comm2.
Configuración de una instancia de enrutamiento en el enrutador PE3
Configure la instancia vpna de enrutamiento en el enrutador PE3:
[edit]
routing-instances {
vpna {
instance-type vrf;
interface t1-0/2/0.0;
route-distinguisher 10.255.14.173:100;
vrf-import vpna-import;
vrf-export vpna-export;
protocols {
rip {
group to-vpn12 {
export export-CE;
neighbor t1-0/2/0.0;
}
}
}
}
}
Configuración de opciones de directiva en el enrutador PE3
Configure la directiva para el vrf-import enrutador PE3 a fin de seleccionar el punto de salida de Internet en función de las comunidades adicionales especificadas en Configuración de opciones de directiva en el enrutador PE1:
[edit]
policy-options {
policy-statement vpna-export {
term a {
from protocol rip;
then {
community add vpna-comm;
accept;
}
}
term b {
then reject;
}
}
policy-statement vpna-import {
term a {
from {
protocol bgp;
community public-comm1;
route-filter 0.0.0.0/0 exact;
}
then reject;
}
term b {
from {
protocol bgp;
community vpna-comm;
}
then accept;
}
term c {
then reject;
}
}
policy-statement export-CE {
from protocol bgp;
then accept;
}
community vpna-comm members target:69:100;
community public-comm1 members target:1:111;
community public-comm2 members target:1:112;
}
Enrutamiento del tráfico de Internet a través de varios enrutadores CE: configuración resumida por enrutador
Enrutador PE1
Esta configuración es una extensión del ejemplo de Enrutamiento del tráfico de Internet a través de un enrutador Hub CE. Proporciona diferentes puntos de salida para varios sitios mediante el uso de varios enrutadores de concentrador CE que realizan funciones similares.
Instancias de enrutamiento
routing-instances {
vpna {
instance-type vrf;
interface t3-0/2/0.0;
interface at-1/3/1.0;
route-distinguisher 10.255.14.171:100;
vrf-import vpna-import;
vrf-export vpna-export;
routing-options {
static {
route 0.0.0.0/0 next-hop 10.23.0.1;
}
}
protocols {
bgp {
group to-CE1 {
export export-default;
peer-as 63001;
neighbor 192.168.197.14;
}
}
}
}
}
Opciones de política
policy-options {
policy-statement vpna-import {
term a {
from {
protocol bgp;
community vpna-comm;
}
then accept;
}
term b {
then reject;
}
}
policy-statement vpna-export {
term a {
from {
protocol static;
route-filter 0.0.0.0/0 exact;
}
then {
community add public-comm1;
community add vpna-comm;
accept;
}
}
term b {
from protocol bgp;
then {
community add vpna-comm;
accept;
}
}
term c {
then reject;
}
}
community public-comm1 members target:1:111;
community public-comm2 members target:1:112;
community vpna-comm members target:63000:100;
}
Enrutador PE2
La configuración del enrutador PE2 es idéntica a la del enrutador PE1, excepto que el enrutador PE2 exporta la ruta predeterminada a través de la comunidad public-comm2.
Enrutador PE3
Instancias de enrutamiento
routing-instances {
vpna {
instance-type vrf;
interface t1-0/2/0.0;
route-distinguisher 10.255.14.173:100;
vrf-import vpna-import;
vrf-export vpna-export;
protocols {
rip {
group to-vpn12 {
export export-CE;
neighbor t1-0/2/0.0;
}
}
}
}
}
Opciones de política
policy-options {
policy-statement vpna-export {
term a {
from protocol rip;
then {
community add vpna-comm;
accept;
}
}
term b {
then reject;
}
}
policy-statement vpna-import {
term a {
from {
protocol bgp;
community public-comm1;
route-filter 0.0.0.0/0 exact;
}
then reject;
}
term b {
from {
protocol bgp;
community vpna-comm;
}
then accept;
}
term c {
then reject;
}
}
policy-statement export-CE {
from protocol bgp;
then accept;
}
community vpna-comm members target:69:100;
community public-comm1 members target:1:111;
community public-comm2 members target:1:112;
}