VPN de interproveedor
VPN de interproveedor
Las VPN de interproveedor proporcionan conectividad entre AS independientes. Esta funcionalidad puede ser utilizada por un cliente de VPN que tenga conexiones a varios proveedores de servicios diferentes o conexiones diferentes al mismo proveedor de servicios en diferentes regiones geográficas, cada una de las cuales tiene un AS diferente. La figura 1 ilustra el tipo de topología de red utilizada por una VPN de interproveedor.
de red VPN entre proveedores
En las secciones siguientes se describen las formas en que puede configurar una VPN entre proveedores:
- Vinculación de tablas VRF entre sistemas autónomos
- Configuración de las opciones A, B y C de VPN de capa 3 de próxima generación
- Configuración de MP-EBGP de múltiples saltos entre enrutadores de borde de AS
Vinculación de tablas VRF entre sistemas autónomos
Puede conectar dos AS independientes simplemente vinculando la tabla de enrutamiento y reenvío VPN (VRF) en el enrutador de borde AS (ASBR) de un AS a la tabla VRF en el ASBR en el otro AS. Cada ASBR debe incluir una instancia de enrutamiento VRF para cada VPN configurada en ambas redes de proveedores de servicios. A continuación, configure una sesión IP entre los dos ASBR. En efecto, los ASBR se tratan entre sí como enrutadores perimetrales del cliente (CE).
Debido a la complejidad de la configuración, especialmente con respecto a la escala, no se recomienda este método. Los detalles de esta configuración no se proporcionan con documentación.
Configuración de las opciones A, B y C de VPN de capa 3 de próxima generación
Para las VPN de capa 3 de próxima generación, los enrutadores PE dentro de un AS usan BGP externo multiprotocolo (MP-EBGP) para distribuir rutas etiquetadas VPN-Protocolo de Internet versión 4 (IPv4) a un ASBR o a un reflector de ruta del cual el ASBR es cliente. El ASBR utiliza un BGP externo multiprotocolo (MP-EBGP) para distribuir las rutas VPN-IPv4 etiquetadas a su ASBR par en el AS vecino. Luego, el ASBR del mismo nivel utiliza MP-IBGP para distribuir rutas VPN-IPv4 etiquetadas a enrutadores PE o a un reflector de ruta del cual los enrutadores PE son cliente.
Puede configurar VPN de capa 3 de próxima generación de unidifusión (Junos OS versión 9.5 y posteriores) y multidifusión (Junos OS versión 12.1 y posteriores) de próxima generación en todos los AS. El software Junos OS es compatible con la opción A, opción B y opción C de VPN de capa 3 de próxima generación:
Opción A: Esta es una solución VPN entre proveedores simple pero menos escalable para el problema de proporcionar servicios VPN a un cliente que tiene diferentes sitios, no todos los cuales pueden usar el mismo proveedor de servicios. En esta implementación, la tabla de enrutamiento y reenvío VPN (VRF) en el ASBR de un AS está vinculada a la tabla VRF en el ASBR en el otro AS. Cada ASBR debe incluir una instancia de VRF para cada VPN configurada en ambas redes de proveedores de servicios. A continuación, se debe configurar un IGP o BGP entre los ASBR.
Opción B: Para esta solución VPN entre proveedores, el cliente necesita servicios VPN para diferentes sitios, pero el mismo proveedor de servicios no está disponible para todos esos sitios. Con la opción B, los enrutadores ASBR mantienen todas las rutas VPN-IPv4 en la base de información de enrutamiento (RIB), y las etiquetas asociadas con los prefijos se guardan en la base de información de reenvío (FIB). Debido a que las tablas RIB y FIB pueden ocupar demasiada memoria asignada respectiva, esta solución no es muy escalable para una VPN entre proveedores. Si se utiliza un proveedor de servicios de tránsito entre el proveedor de servicios 1 y el proveedor de servicios 2, el proveedor de servicios de tránsito también debe mantener todas las rutas VPN-IPv4 en la RIB y las etiquetas correspondientes en el FIB. Las ASBR del proveedor de servicios de tránsito tienen la misma funcionalidad que las ASBR del proveedor de servicios 1 o del proveedor de servicios 2 de esta solución. Los enrutadores PE de cada AS utilizan un BGP interno multiprotocolo (MP-IBGP) para distribuir rutas VPN-IPv4 etiquetadas a un ASBR o a un reflector de ruta del cual el ASBR es cliente. El ASBR utiliza MP-EBGP para distribuir las rutas VPN-IPv4 etiquetadas a su enrutador ASBR par en el AS vecino. Luego, el ASBR del mismo nivel utiliza MP-IBGP para distribuir rutas VPN-IPv4 etiquetadas a enrutadores PE o a un reflector de ruta del cual los enrutadores PE son cliente.
Opción C: Para esta solución VPN entre proveedores, el proveedor de servicio al cliente depende del proveedor de servicios VPN para ofrecer un servicio de transporte VPN entre los puntos de presencia (POP) o las redes regionales del proveedor de servicio al cliente. Esta funcionalidad puede ser utilizada por un cliente de VPN que tenga conexiones a varios proveedores de servicios diferentes o conexiones diferentes al mismo proveedor de servicios en diferentes regiones geográficas, cada una de las cuales tiene un número de AS diferente. Para la opción C, solo se anuncian rutas internas a las redes del proveedor de servicios entre ASBR. Esto se consigue mediante el uso de las
family inet labeled-unicastinstrucciones de la configuración de IBGP y EBGP en los enrutadores PE. Las rutas etiquetadas como IPv4 (no VPN-IPv4) son intercambiadas por las ASBR para admitir MPLS. Se utiliza una sesión MP-EBGP entre los enrutadores PE finales para anunciar rutas VPN-IPv4. De esta manera, se proporciona conectividad VPN mientras se mantienen las rutas VPN-IPv4 fuera de la red principal.
Configuración de MP-EBGP de múltiples saltos entre enrutadores de borde de AS
En este tipo de configuración de VPN entre proveedores, los enrutadores P no necesitan almacenar todas las rutas en todas las VPN. Solo los enrutadores PE deben tener todas las rutas VPN. Los enrutadores P simplemente reenvían el tráfico a los enrutadores PE; no almacenan ni procesan ninguna información sobre el destino de los paquetes. Las conexiones entre los enrutadores de borde del AS en AS independientes reenvían el tráfico entre los AS, del mismo modo que funciona una ruta de conmutación de etiquetas (LSP).
Los siguientes son los pasos básicos que debe seguir para configurar una VPN interproveedor de esta manera:
Configure la redistribución de EBGP de múltiples saltos de rutas VPN-IPv4 etiquetadas entre los AS de origen y destino.
Configure el EBGP para redistribuir rutas IPv4 etiquetadas de su AS a AS vecinos.
Configure MPLS en los enrutadores PE finales de las VPN.
Ver también
Ejemplo: configuración de la opción A de VPN de capa 3 de interproveedor
La opción A de VPN de capa 3 de interproveedor proporciona conexiones VRF a VRF entre proveedores en los enrutadores de límite del AS (ASBR). En comparación con las opciones B y C, la opción A es la solución menos escalable.
En este ejemplo se proporciona un procedimiento paso a paso para configurar la opción A de VPN de capa 3 entre proveedores, que es una de las implementaciones recomendadas de VPN MPLS cuando ese servicio es requerido por un cliente que tiene más de un AS y, pero no todos los AS del cliente pueden ser atendidos por el mismo proveedor de servicios. Está organizado en las siguientes secciones:
Requisitos
En este ejemplo se utilizan los siguientes componentes de hardware y software:
-
Junos OS versión 9.5 o posterior.
-
Ocho enrutadores de Juniper Networks serie M, T, TX o MX.
Descripción general y topología
Esta es la solución VPN entre proveedores más simple y menos escalable para el problema de proporcionar servicios VPN a un cliente que tiene sitios diferentes, no todos los cuales pueden usar el mismo proveedor de servicios (SP).
RFC 4364, sección 10, se refiere a este método como conexiones VRF a VRF de interproveedor en los enrutadores de borde AS.
En esta configuración:
-
La tabla de enrutamiento y reenvío virtual (VRF) en el ASBR de un AS está vinculada a la tabla VRF en el ASBR en el otro AS. Cada ASBR debe contener una instancia de VRF para cada VPN configurada en ambas redes de proveedores de servicios. A continuación, se debe configurar un IGP o BGP entre los ASBR. Esto tiene la desventaja de limitar la escalabilidad.
-
En esta configuración, los enrutadores de límite del sistema autónomo (ASBR) de ambos SPs se configuran como enrutadores PE normales y proporcionan el servicio VPN L3 de MPLS al SP vecino.
-
Cada enrutador PE trata al otro como si fuera un enrutador perimetral del cliente (CE). Los ASBR desempeñan el papel de enrutadores CE normales para el ASBR del SP remoto. Los ASBR se ven entre sí como dispositivos CE.
-
Un enrutador perimetral de proveedor (PE) en un sistema autónomo (AS) se conecta directamente a un enrutador de PE en otro AS.
-
Los dos enrutadores PE están unidos por varias subinterfaces, al menos una para cada una de las VPN cuyas rutas deben pasarse de AS a AS.
-
Los enrutadores PE asocian cada subinterfaz con una tabla de enrutamiento y reenvío VPN (VRF) y utilizan EBGP para distribuirse direcciones IPv4 sin etiquetar entre sí.
-
En esta solución, todas las VPN comunes definidas en ambos PE también deben definirse en uno o más ASBR entre los dos SPs. Esta no es una metodología muy escalable, especialmente cuando dos SPs regionales usan un SP de tránsito para la interconexión.
-
Se trata de un procedimiento sencillo de configurar y que no requiere MPLS en el borde entre AS. Además, no escala tan bien como otros procedimientos recomendados.
La topología de la red se muestra en la figura 2.
Topología
Configuración
El procedimiento presentado aquí se escribe asumiendo que el lector ya está familiarizado con la configuración de MPLS MVPN. Este ejemplo se centra en explicar la configuración única requerida para las soluciones de operadora de operadoras para servicios VPN a diferentes sitios.
Para configurar la opción A de VPN de capa 3 entre proveedores, realice las siguientes tareas:
- Configuración del enrutador CE1
- Configuración del enrutador PE1
- Configuración del enrutador P1
- Configuración del enrutador ASBR1
- Configuración del enrutador ASBR2
- Configuración del enrutador P2
- Configuración del enrutador PE2
- Configuración del enrutador CE2
- Verificación del funcionamiento de la VPN
Configuración del enrutador CE1
Procedimiento paso a paso
-
En el enrutador CE1, configure la dirección IP y la familia de protocolos en la interfaz de Fast Ethernet para el vínculo entre el enrutador CE1 y el enrutador PE1. Especifique el tipo de familia de
inetdirecciones.[edit interfaces fe-0/0/1.0] family inet { address 198.51.100.1/24; } -
En el enrutador CE1, configure la dirección IP y la familia de protocolos en la interfaz de circuito cerrado. Especifique el tipo de familia de
inetdirecciones.[edit interfaces lo0] unit 0 { family inet { address 192.0.2.1/32; } } -
En el enrutador CE1, configure un protocolo de enrutamiento. El protocolo de enrutamiento puede ser una ruta estática, RIP, OSPF, ISIS o EBGP. En este ejemplo configuramos OSPF. Incluya la interfaz Fast Ethernet para el vínculo entre el enrutador CE1 y el enrutador PE1 y la interfaz de circuito cerrado lógico del enrutador CE1.
[edit protocols] ospf { area 0.0.0.2 { interface fe-0/0/1.0; interface lo0.0; } }
Configuración del enrutador PE1
Procedimiento paso a paso
-
En el enrutador PE1, configure las direcciones IPv4 en la SONET, Fast Ethernet y las interfaces de circuito cerrado lógico. Especifique la
inetfamilia de direcciones en todas las interfaces. Especifique la familia demplsdirecciones en las interfaces SONET y Fast Ethernet.[edit interfaces] so-0/2/0 { unit 0 { family inet { address 192.168.1.9/24; } family mpls; } } fe-1/2/3 { unit 0 { family inet { address 198.51.100.2/24; } family mpls; } } lo0 { unit 0 { family inet { address 192.0.2.2/32; } } } -
En el enrutador PE1, configure la instancia de enrutamiento para VPN2. Especifique el tipo de
vrfinstancia y especifique la interfaz Fast Ethernet orientada al cliente. Configure un diferenciador de ruta para crear un prefijo de dirección VPN-IPv4 único. Aplique las políticas de importación y exportación de VRF para habilitar el envío y la recepción de destinos de ruta. Configure el protocolo OSPF en el VRF. Especifique la interfaz Fast Ethernet orientada al cliente y especifique la política de exportación para exportar rutas BGP a OSPF.[edit routing-instances] vpn2CE1 { instance-type vrf; interface fe-1/2/3.0; route-distinguisher 1:100; vrf-import vpnimport; vrf-export vpnexport; protocols { ospf { export bgp-to-ospf; area 0.0.0.2 { interface fe-1/2/3.0; } } } } -
En el enrutador PE1, configure los protocolos RSVP y MPLS para que admitan la ruta de conmutación de etiquetas (LSP). Configure el LSP en el enrutador ASBR1 y especifique la dirección IP de la interfaz de circuito cerrado lógico en el enrutador ASBR1. Configure un grupo BGP. Especifique el tipo de grupo como
internal. Especifique la dirección local como interfaz lógica de circuito cerrado en el enrutador PE1. Especifique la dirección del vecino como interfaz de circuito cerrado lógico en el enrutador ASBR1. Especifique la familia de direcciones yunicastel tipo deinet-vpntráfico para permitir que BGP transporte información de accesibilidad de la capa de red IPv4 (NLRI) para rutas VPN. Configure el protocolo OSPF. Especifique la interfaz SONET orientada al núcleo y especifique la interfaz de circuito cerrado lógico en el enrutador PE1.[edit protocols] rsvp { interface so-0/2/0.0; interface lo0.0; } mpls { label-switched-path To-ASBR1 { to 192.0.2.4; } interface so-0/2/0.0; interface lo0.0; } bgp { group To_ASBR1 { type internal; local-address 192.0.2.2; neighbor 192.0.2.4 { family inet-vpn { unicast; } } } } ospf { traffic-engineering; area 0.0.0.0 { interface so-0/2/0.0; interface lo0.0; } } -
En el enrutador PE1, configure el número de sistema autónomo local BGP.
[edit routing-options] autonomous-system 100;
-
En el enrutador PE1, configure una política para exportar las rutas BGP a OSPF.
[edit policy-options] policy-statement bgp-to-ospf { term 1 { from protocol bgp; then accept; } term 2 { then reject; } } -
En el enrutador PE1, configure una política para agregar el destino de ruta VRF a las rutas que se anuncian para esta VPN.
[edit policy-options] policy-statement vpnexport { term 1 { from protocol ospf; then { community add test_comm; accept; } } term 2 { then reject; } } -
En el enrutador PE1, configure una política para importar rutas desde BGP que tengan la
test_commcomunidad asociada.[edit policy-options] policy-statement vpnimport { term 1 { from { protocol bgp; community test_comm; } then accept; } term 2 { then reject; } } -
En el enrutador PE1, defina la comunidad BGP con un destino de
test_commruta.[edit policy-options] community test_comm members target:1:100;
Configuración del enrutador P1
Procedimiento paso a paso
-
En el enrutador P1, configure las direcciones IP para las interfaces SONET y Gigabit Ethernet. Habilite las interfaces para procesar las
inetfamilias ymplsdirecciones. Configure la dirección IP para lalo0.0interfaz de circuito cerrado y habilite la interfaz para procesar la familia deinetdirecciones.[edit interfaces] so-0/2/1 { unit 0 { family inet { address 192.168.1.4/24; } family mpls; } } ge-1/3/0 { unit 0 { family inet { address 192.168.2.5/24; } family mpls; } } lo0 { unit 0 { family inet { address 192.0.2.3/32; } } } -
En el enrutador P1, configure los protocolos RSVP y MPLS para admitir el LSP. Especifique las interfaces SONET y Gigabit Ethernet.
Configure el protocolo OSPF. Especifique las interfaces SONET y Gigabit Ethernet y especifique la interfaz lógica de circuito cerrado. Habilite OSPF para que admita extensiones de ingeniería de tráfico.
[edit protocols] rsvp { interface so-0/2/1.0; interface ge-1/3/0.0; interface lo0.0; } mpls { interface lo0.0; interface ge-1/3/0.0; interface so-0/2/1.0; } ospf { traffic-engineering; area 0.0.0.0 { interface ge-1/3/0.0; interface so-0/2/1.0; interface lo0.0; } }
Configuración del enrutador ASBR1
Procedimiento paso a paso
-
En el enrutador ASBR1, configure las direcciones IP para las interfaces de Gigabit Ethernet. Habilite las interfaces para procesar las
inetfamilias ymplsdirecciones. Configure las direcciones IP para lalo0.0interfaz de circuito cerrado y habilite la interfaz para procesar la familia deinetdirecciones.[edit interfaces] ge-0/0/0 { unit 0 { family inet { address 192.168.2.6/24; } family mpls; } } ge-0/1/1 { unit 0 { family inet { address 192.168.3.7/24; } family mpls; } } lo0 { unit 0 { family inet { address 192.0.2.4/32; } } } -
En el enrutador ASBR1, configure la instancia de
To_ASBR2enrutamiento. Especifique el tipo devrfinstancia y especifique la interfaz Gigabit Ethernet orientada al núcleo. Configure un diferenciador de ruta para crear un prefijo de dirección VPN-IPv4 único. Configure un destino de ruta para la VPN. Configure el grupo del mismo nivel BGP dentro del VRF. Especifique el AS 200 como AS par y especifique la dirección IP de la interfaz Gigabit Ethernet en el enrutador ASBR2 como dirección vecina.[edit routing instances] To_ASBR2{ instance-type vrf; interface ge-0/1/1.0; route-distinguisher 1:100; vrf-target target:1:100; protocols { bgp { group To_ASBR2 { type external; neighbor 192.168.3.8 { peer-as 200; } } } } } -
En el enrutador ASBR1, configure los protocolos RSVP y MPLS para que admitan el LSP especificando la interfaz Gigabit Ethernet que está frente al enrutador P1.
Configure el protocolo OSPF especificando la interfaz Gigabit Ethernet frente al enrutador P1 y la interfaz lógica de circuito cerrado. Habilite OSPF para que admita extensiones de ingeniería de tráfico.
[edit protocols] rsvp { interface ge-0/0/0.0; interface lo0.0; } mpls { label-switched-path To_PE1 { to 192.0.2.2; } interface lo0.0; interface ge-0/0/0.0; } ospf { traffic-engineering; area 0.0.0.0 { interface ge-0/0/0.0; interface lo0.0; } } -
En el enrutador ASBR1, cree el
To-PE1grupo del par BGP interno. Especifique la dirección IP del mismo nivel local como dirección locallo0.0. Especifique la dirección del par IP vecino como la dirección delo0.0interfaz del enrutador PE1.[edit protocols] bgp { group To-PE1 { type internal; local-address 192.0.2.4; neighbor 192.0.2.2 { family inet-vpn { unicast; } } } } -
En el enrutador ASBR1, configure el número de sistema autónomo local BGP.
[edit routing-options] autonomous-system 100;
Configuración del enrutador ASBR2
Procedimiento paso a paso
-
En el enrutador ASBR2, configure las direcciones IP para las interfaces de Gigabit Ethernet. Habilite las interfaces para procesar las
inetfamilias ymplsdirecciones. Configure la dirección IP para lalo0.0interfaz de circuito cerrado y habilite la interfaz para procesar la familia deinetdirecciones.[edit interfaces] ge-0/1/1 { unit 0 { family inet { address 192.168.3.8/24; } family mpls; } } ge-0/2/3 { unit 0 { family inet { address 192.168.4.10/24; } family mpls; } } lo0 { unit 0 { family inet { address 192.0.2.5/32; } } } -
En el enrutador ASBR2, configure la instancia de
To_ASBR1enrutamiento. Especifique el tipo devrfinstancia y especifique la interfaz Gigabit Ethernet orientada al núcleo. Configure un diferenciador de ruta para crear un prefijo de dirección VPN-IPv4 único. Configure un destino de ruta para la VPN. Configure el grupo del mismo nivel BGP dentro del VRF. Especifique el AS 100 como AS par y especifique la dirección IP de la interfaz Gigabit Ethernet en el enrutador ASBR1 como dirección vecina.[edit routing-instances] To_ASBR1 { instance-type vrf; interface ge-0/1/1.0; route-distinguisher 1:100; vrf-target target:1:100; protocols { bgp { group To_ASBR1 { type external; neighbor 192.168.3.7 { peer-as 100; } } } } } -
En el enrutador ASBR2, configure los protocolos RSVP y MPLS para admitir el LSP especificando la interfaz Gigabit Ethernet que está frente al enrutador P2.
Configure el protocolo OSPF especificando la interfaz Gigabit Ethernet frente al enrutador P2 y la interfaz de circuito cerrado lógico. Habilite OSPF para que admita extensiones de ingeniería de tráfico.
[edit protocols] rsvp { interface ge-0/2/3.0; interface lo0.0; } mpls { label-switched-path To_PE2 { to 192.0.2.7; } interface lo0.0; interface ge-0/2/3.0; } ospf { traffic-engineering; area 0.0.0.0 { interface ge-0/2/3.0; interface lo0.0; } } -
En el enrutador ASBR2, cree el
To-PE2grupo del mismo nivel BGP interno. Especifique la dirección IP del mismo nivel local como dirección locallo0.0. Especifique la dirección del par IP vecino como la dirección delo0.0interfaz del enrutador PE2.[edit protocols] bgp { group To-PE2 { type internal; local-address 192.0.2.5; neighbor 192.0.2.7 { family inet-vpn { unicast; } } } -
En el enrutador ASBR2, configure el número de sistema autónomo local BGP.
[edit routing-options] autonomous-system 200;
Configuración del enrutador P2
Procedimiento paso a paso
-
En el enrutador P2, configure las direcciones IP para las interfaces SONET y Gigabit Ethernet. Habilite las interfaces para procesar las
inetfamilias ymplsdirecciones. Configure la dirección IP para lalo0.0interfaz de circuito cerrado y habilite la interfaz para procesar la familia deinetdirecciones.[edit interfaces] so-0/0/0 { unit 0 { family inet { address 192.168.5.11/24; } family mpls; } } ge-0/2/2 { unit 0 { family inet { address 192.168.4.12/24; } family mpls; } } lo0 { unit 0 { family inet { address 192.0.2.6/32; } } } -
En el enrutador P2, configure los protocolos RSVP y MPLS para que admitan el LSP. Especifique las interfaces SONET y Gigabit Ethernet.
Configure el protocolo OSPF. Especifique las interfaces SONET y Gigabit Ethernet y especifique la interfaz lógica de circuito cerrado. Habilite OSPF para que admita extensiones de ingeniería de tráfico.
[edit protocols] rsvp { interface so-0/0/0.0; interface ge-0/2/2.0; interface lo0.0; } mpls { interface lo0.0; interface ge-0/2/2.0; interface so-0/0/0.0; } ospf { traffic-engineering; area 0.0.0.0 { interface ge-0/2/2.0; interface so-0/0/0.0; interface lo0.0; } }
Configuración del enrutador PE2
Procedimiento paso a paso
-
En el enrutador PE2, configure las direcciones IPv4 en SONET, Fast Ethernet y las interfaces de circuito cerrado lógico. Especifique la
inetfamilia de direcciones en todas las interfaces. Especifique la familia demplsdirecciones en las interfaces SONET y Fast Ethernet.[edit interfaces] so-0/0/1 { unit 0 { family inet { address 192.168.5.12/24; } family mpls; } } fe-0/3/1 { unit 0 { family inet { address 192.168.6.13/24; } family mpls; } lo0 { unit 0 { family inet { address 192.0.2.7/32; } } } -
En el enrutador PE2, configure la instancia de enrutamiento para VPN2. Especifique el tipo de
vrfinstancia y especifique la interfaz Fast Ethernet orientada al cliente. Configure un diferenciador de ruta para crear un prefijo de dirección VPN-IPv4 único. Aplique las políticas de importación y exportación de VRF para habilitar el envío y la recepción de destinos de ruta. Configure el grupo del mismo nivel BGP dentro del VRF. Especifique AS20como AS par y especifique la dirección IP de la interfaz Fast Ethernet en el enrutador CE2 como dirección vecina.[edit routing-instances] vpn2CE2 { instance-type vrf; interface fe-0/3/1.0; route-distinguisher 1:100; vrf-import vpnimport; vrf-export vpnexport; protocols { bgp { group To_CE2 { peer-as 20; neighbor 192.168.6.14; } } } } -
En el enrutador PE2, configure los protocolos RSVP y MPLS para admitir el LSP. Configure el LSP en ASBR2 y especifique la dirección IP de la interfaz de circuito cerrado lógico en el enrutador ASBR2. Configure un grupo BGP. Especifique el tipo de grupo como
internal. Especifique la dirección local como interfaz de circuito cerrado lógico en el enrutador PE2. Especifique la dirección del vecino como interfaz de circuito cerrado lógico en el enrutador ASBR2. Especifique la familia de direcciones yunicastel tipo deinet-vpntráfico para permitir que BGP lleve NLRI IPv4 para rutas VPN. Configure el protocolo OSPF. Especifique la interfaz SONET orientada al núcleo y especifique la interfaz de circuito cerrado lógico en el enrutador PE2.[edit protocols] rsvp { interface so-0/0/1.0; interface lo0.0; } mpls { label-switched-path To-ASBR2 { to 192.0.2.5; } interface so-0/0/1.0; interface lo0.0; } bgp { group To_ASBR2 { type internal; local-address 192.0.2.7; neighbor 192.0.2.5 { family inet-vpn { unicast; } } } } ospf { traffic-engineering; area 0.0.0.0 { interface so-0/0/1.0; interface lo0.0; } } -
En el enrutador PE2, configure el número de sistema autónomo local BGP.
[edit routing-options] autonomous-system 200;
-
En el enrutador PE2, configure una política para agregar el destino de ruta VRF a las rutas que se anuncian para esta VPN.
[edit policy-options] policy-statement vpnexport { term 1 { from protocol bgp; then { community add test_comm; accept; } } term 2 { then reject; } } -
En el enrutador PE2, configure una política para importar rutas desde BGP que tengan
test_commla comunidad asociada.[edit policy-options] policy-statement vpnimport { term 1 { from { protocol bgp; community test_comm; } then accept; } term 2 { then reject; } } -
En el enrutador PE2, defina la comunidad BGP con un destino de
test_commruta.[edit policy-options] community test_comm members target:1:100;
Configuración del enrutador CE2
Procedimiento paso a paso
-
En el enrutador CE2, configure la dirección IP y la familia de protocolos en la interfaz Fast Ethernet para el vínculo entre el enrutador CE2 y el enrutador PE2. Especifique el tipo de familia de
inetdirecciones.[edit interfaces] fe-3/0/0 { unit 0 { family inet { address 192.168.6.14/24; } } } -
En el enrutador CE2, configure la dirección IP y la familia de protocolos en la interfaz de circuito cerrado. Especifique el tipo de familia de
inetdirecciones.[edit interfaces lo0] lo0 { unit 0 { family inet { address 192.0.2.8/32; } } } -
En el enrutador CE2, defina una política denominada
myroutesque acepte rutas directas.[edit policy-options] policy-statement myroutes { from protocol direct; then accept; } -
En el enrutador CE2, configure un protocolo de enrutamiento. El protocolo de enrutamiento puede ser una ruta estática, RIP, OSPF, ISIS o EBGP. En este ejemplo, configuramos EBGP. Especifique AS
200como AS par y especifique la dirección IP vecina del BGP como interfaz Fast Ethernet del enrutador PE2.[edit protocols] bgp { group To_PE2 { neighbor 192.168.6.13 { export myroutes; peer-as 200; } } } -
En el enrutador CE2, configure el número de sistema autónomo local BGP.
[edit routing-options] autonomous-system 20;
Verificación del funcionamiento de la VPN
Procedimiento paso a paso
-
Confirme la configuración en cada enrutador.
Nota:Las etiquetas MPLS que se muestran en este ejemplo serán diferentes de las etiquetas utilizadas en su configuración.
-
En el enrutador PE1, muestre las rutas de la instancia de
vpn2CE1enrutamiento mediante elshow ospf routecomando. Compruebe que la192.0.2.1ruta se aprende de OSPF.user@PE1> show ospf route instance vpn2CE1 Topology default Route Table: Prefix Path Route NH Metric NextHop Nexthop Type Type Type Interface addr/label 192.0.2.1 Intra Router IP 1 fe-1/2/3.0 198.51.100.1 192.0.2.1/32 Intra Network IP 1 fe-1/2/3.0 198.51.100.1 198.51.100.0/24 Intra Network IP 1 fe-1/2/3.0 198.51.100.1 -
En el enrutador PE1, utilice el
show route advertising-protocolcomando para comprobar que el enrutador PE1 anuncia la192.0.2.1ruta al enrutador ASBR1 mediante MP-BGP con la etiqueta MPLS de VPN.user@PE1> show route advertising-protocol bgp 192.0.2.4 extensive vpn2CE1.inet.0: 6 destinations, 6 routes (6 active, 0 holddown, 0 hidden) * 192.0.2.1/32 (1 entry, 1 announced) BGP group To_PE1 type Internal Route Distinguisher: 1:100 VPN Label: 299856 Nexthop: Self Flags: Nexthop Change MED: 1 Localpref: 100 AS path: [100] I Communities: target:1:100 rte-type:0.0.0.2:1:0 -
En el enrutador ASBR1, utilice el
show route receive-protocolcomando para comprobar que el enrutador recibe y acepta la192.0.2.1ruta y la coloca en la tabla deTo_ASBR2.inet.0enrutamiento.user@ASBR1> show route receive-protocol bgp 192.0.2.2 extensive inet.0: 7 destinations, 7 routes (7 active, 0 holddown, 0 hidden) inet.3: 1 destinations, 1 routes (1 active, 0 holddown, 0 hidden) To_ASBR2.inet.0: 4 destinations, 4 routes (4 active, 0 holddown, 0 hidden) * 192.0.2.1/32 (1 entry, 1 announced) Route Distinguisher: 1:100 VPN Label: 299856 Nexthop: 192.0.2.2 MED: 1 Localpref: 100 AS path: I Communities: target:1:100 rte-type:0.0.0.2:1:0 MPLS.0: 4 destinations, 4 routes (4 active, 0 holddown, 0 hidden) BGP.13VPN.0: 1 destinations, 1 routes (1 active, 0 holddown, 0 hidden) * 1:100:192.0.2.1/32 (1 entry, 0 announced) Route Distinguisher: 1:100 VPN Label: 299856 Nexthop: 192.0.2.2 MED: 1 Localpref: 100 AS path: I Communities: target:1:100 rte-type:0.0.0.2:1:0 -
En el enrutador ASBR1, utilice el
show route advertising-protocolcomando para comprobar que el enrutador ASBR1 anuncia la192.0.2.1ruta al enrutador ASBR2.user@ASBR1> show route advertising-protocol bgp 192.168.3.8 extensive To_ASBR2.inet.0: 4 destinations, 4 routes (4 active, 0 holddown, 0 hidden) * 192.0.2.1/32 (1 entry, 1 announced) BGP group To_ASBR2.inet.0 type External Nexthop: Self AS path: [100] I Communities: target:1:100 rte-type:0.0.0.2:1:0 -
En el enrutador ASBR2, utilice el
show route receive-protocolcomando para comprobar que el enrutador recibe y acepta la192.0.2.1ruta y la coloca en la tabla deTo_ASBR1.inet.0enrutamiento.user@ASBR2> show route receive-protocol bgp 192.168.3.7 extensive inet.0: 7 destinations, 7 routes (7 active, 0 holddown, 0 hidden) inet.3: 1 destinations, 1 routes (1 active, 0 holddown, 0 hidden) To_ASBR1.inet.0: 4 destinations, 4 routes (4 active, 0 holddown, 0 hidden) * 192.0.2.1/32 (1 entry, 1 announced) Accepted Nexthop: 192.168.3.7 AS path: 100 I Communities: target:1:100 rte-type:0.0.0.2:1:0 MPLS.0: 4 destinations, 4 routes (4 active, 0 holddown, 0 hidden) BGP.l3VPN.0: 1 destinations, 1 routes (1 active, 0 holddown, 0 hidden) -
En el enrutador ASBR2, utilice el
show route advertising-protocolcomando para comprobar que el enrutador ASBR2 anuncia la192.0.2.1ruta al enrutador PE2.user@ASBR2> show route advertising-protocol bgp 192.0.2.7 extensive To_ASBR1.inet.0: 4 destinations, 4 routes (4 active, 0 holddown, 0 hidden) * 192.0.2.1/32 (1 entry, 1 announced) BGP group To-PE2 type Internal Route Distinguisher: 1:100 VPN Label: 299936 Nexthop: Self Flags: Nexthop Change Localpref: 100 AS path: [200] 100 I Communities: target:1:100 rte-type:0.0.0.2:1:0 -
En el enrutador PE2, utilice el
show route receive-protocolcomando para comprobar que el enrutador recibe y acepta la192.0.2.1ruta y la coloca en la tabla devpn2CE2.inet.0enrutamiento.user@PE2> show route receive-protocol bgp 192.0.2.5 extensive inet.0: 12 destinations, 13 routes (12 active, 0 holddown, 0 hidden) inet.3: 1 destinations, 1 routes (1 active, 0 holddown, 0 hidden) __juniper_private1__.inet.0: 14 destinations, 14 routes (8 active, 0 holddown, 6 hidden) __juniper_private2__.inet.0: 1 destinations, 1 routes (0 active, 0 holddown, 1 hidden) vpn2CE2.inet.0: 5 destinations, 6 routes (5 active, 0 holddown, 0 hidden) * 192.0.2.1/32 (1 entry, 1 announced) Accepted Route Distinguisher: 1:100 VPN Label: 299936 Nexthop: 192.0.2.5 Localpref: 100 AS path: 100 I AS path: Recorded Communities: target:1:100 rte-type:0.0.0.2:1:0 -
En el enrutador PE2, utilice el
show route advertising-protocolcomando para comprobar que el enrutador PE2 anuncia la192.0.2.1ruta al enrutador CE2 a través delTo_CE2grupo del mismo nivel.user@PE2> show route advertising-protocol bgp 192.168.6.14 extensive vpn2CE2.0: 5 destinations, 6 routes (5 active, 0 holddown, 0 hidden) * 192.0.2.1/32 (1 entry, 1 announced) BGP group To_CE2 type External Nexthop: Self AS path: [200] 100 I Communities: target:1:100 rte-type:0.0.0.2:1:0 -
En el enrutador CE2, utilice el
show routecomando para comprobar que el enrutador CE2 recibe la192.0.2.1ruta del enrutador PE2.user@CE2> show route 192.0.2.1 inet.0: 6 destinations, 6 routes (6 active, 0 holddown, 0 hidden) + = Active Route, - = Last Active, * = Both 192.0.2.1/32 *[BGP/170] 00:25:36, localpref 100 AS path: 200 100 I > to 192.168.6.13 via fe-3/0/0.0 -
En el enrutador CE2, utilice el comando y especifique
192.0.2.8como origen de los paquetes de ping para verificar lapingconectividad con el enrutador CE1.user@CE2> ping 192.0.2.1 source 192.0.2.8 PING 192.0.2.1 (192.0.2.1): 56 data bytes 64 bytes from 192.0.2.1: icmp_seq=0 ttl=58 time=4.672 ms 64 bytes from 192.0.2.1: icmp_seq=1 ttl=58 time=10.480 ms 64 bytes from 192.0.2.1: icmp_seq=2 ttl=58 time=10.560 ms
-
En el enrutador PE2, utilice el
show routecomando para comprobar que el tráfico se envía con una etiqueta interna de299936y una etiqueta superior de299776.user@PE2> show route 192.0.2.1 detail vpn2CE2.inet.0: 5 destinations, 6 routes (5 active, 0 holddown, 0 hidden) 192.0.2.1/32 (1 entry, 1 announced) *BGP Preference: 170/-101 Route Distinguisher: 1:100 Next hop type: Indirect Next-hop reference count: 6 Source: 192.0.2.5 Next hop type: Router, Next hop index: 648 Next hop: via so-0/0/1.0 weight 0x1, selected Label-switched-path To-ASBR2 Label operation: Push 299936, Push 299776(top) Protocol next hop: 192.0.2.5 Push 299984 Indirect next hop: 8c6109c 262143 State: <Secondary Active Int Ext> Local AS: 200 Peer AS: 200 Age: 3:37 Metric2: 2 Task: BGP_200.192.0.2.5+179 Announcement bits (3): 0-RT 1-KRT 2-BGP RT Background AS path: 100 I AS path: Recorded Communities: target:1:100 rte-type:0.0.0.2:1:0 Accepted VPN Label: 299984 Localpref: 100 Router ID: 192.0.2.5 Primary Routing Table BGP.l3VPN.0 -
En el enrutador ASBR2, utilice el
show route tablecomando para comprobar que el enrutador ASBR2 recibe el tráfico.user@ASBR2# show route table mpls.0 detail 299936 (1 entry, 1 announced) *VPN Preference: 170 Next hop type: Router, Next hop index: 649 Next-hop reference count: 2 Source: 192.168.3.7 Next hop: 192.168.3.7 via ge-0/1/1.0, selected Label operation: Pop State: <Active Int Ext> Local AS: 200 Age: 9:54 Task: BGP RT Background Announcement bits (1): 0-KRT AS path: 100 I Ref Cnt: 1 Communities: target:1:100 rte-type:0.0.0.2:1:0 -
En el enrutador ASBR2, utilice el
show route tablecomando para comprobar que el enrutador ASBR2 recibe el tráfico.user@ASBR2# show route 192.0.2.1 detail To_ASBR1.inet.0: 4 destinations, 4 routes (4 active, 0 holddown, 0 hidden) 192.0.2.1/32 (1 entry, 1 announced) *BGP Preference: 170/-101 Next hop type: Router, Next hop index: 576 Next-hop reference count: 3 Source: 192.168.3.7 Next hop: 192.168.3.7 via ge-0/1/1.0, selected State: <Active Ext> Peer AS: 100 Age: 13:07 Task: BGP_192.168.3.7+53372 Announcement bits (2): 0-KRT 1-BGP RT Background AS path: 100 I Communities: target:1:100 rte-type:0.0.0.2:1:0 Accepted Localpref: 100 Router ID: 192.168.3.7 -
En el enrutador ASBR1, utilice el
show routecomando para comprobar que ASBR1 envía tráfico hacia PE1 con la etiqueta299792superior y la etiqueta299856VPN.user@ASBR1# show route 192.0.2.1 detail To_ASBR2.inet.0: 4 destinations, 4 routes (4 active, 0 holddown, 0 hidden) 192.0.2.1/24 (1 entry, 1 announced) *BGP Preference: 170/-101 Route Distinguisher: 1:100 Next hop type: Indirect Next-hop reference count: 3 Source: 192.0.2.2 Next hop type: Router, Next hop index: 669 Next hop: 192.168.2.5 via ge-0/0/0.0 weight 0x1, selected Label-switched-path To_PE1 Label operation: Push 299856, Push 299792(top) Protocol next hop: 192.0.2.2 Push 299856 Indirect next hop: 8af70a0 262143 State: <Secondary Active Int Ext> Local AS: 100 Peer AS: 100 Age: 12:15 Metric: 1 Metric2: 2 Task: BGP_100.192.0.2.2+58065 Announcement bits (2): 0-KRT 1-BGP RT Background AS path: I Communities: target:1:100 rte-type:0.0.0.2:1:0 VPN Label: 299856 Localpref: 100 Router ID: 192.0.2.2 Primary Routing Table BGP.l3VPN.0 -
En el enrutador PE1, utilice el
show route tablecomando para verificar que el enrutador PE1 recibe el tráfico con la etiqueta299856, abre la etiqueta,l y el tráfico se envía hacia el enrutador CE1 a través de la interfazfe-1/2/3.0.lab@PE1# show route table mpls.0 detail 299856 (1 entry, 1 announced) *VPN Preference: 170 Next hop type: Router, Next hop index: 666 Next-hop reference count: 2 Next hop: 198.51.100.8 via fe-1/2/3.0, selected Label operation: Pop State: <Active Int Ext> Local AS: 100 Age: 17:38 Task: BGP RT Background Announcement bits (1): 0-KRT AS path: I Ref Cnt: 1 Communities: rte-type:0.0.0.2:1:0 -
En el enrutador PE1, utilice el
show routecomando para verificar que PE1 recibe el tráfico después de que el enrutador P muestre la etiqueta superior y el tráfico se envíe hacia el enrutador CE1 a través de la interfazfe-1/2/3.0.lab@PE1# show route 192.0.2.1 detail vpn2CE1.inet.0: 6 destinations, 6 routes (6 active, 0 holddown, 0 hidden) 192.0.2.1/32 (1 entry, 1 announced) *OSPF Preference: 10 Next hop type: Router, Next hop index: 634 Next-hop reference count: 3 Next hop: 198.51.100.8 via fe-1/2/3.0, selected State: <Active Int> Age: 18:42 Metric: 1 Area: 0.0.0.2 Task: VPN2alice-OSPFv2 Announcement bits (2): 2-KRT 3-BGP RT Background AS path: I Communities: rte-type:0.0.0.2:1:0
Ejemplo: configuración de la opción B de VPN de capa 3 de interproveedor
La opción B de VPN de capa 3 de interproveedor proporciona la redistribución de EBGP entre proveedores de rutas VPN-IPv4 etiquetadas de AS a AS vecino. Esta solución se considera más escalable que la opción A, pero no tan escalable como la opción C.
En este ejemplo se proporciona un procedimiento paso a paso para configurar la opción B de VPN de capa 3 entre proveedores, que es una de las implementaciones recomendadas de una VPN MPLS para un cliente que tiene más de un AS, pero que el mismo proveedor de servicios puede atender no todos los AS del cliente. Está organizado en las siguientes secciones:
Requisitos
En este ejemplo se utilizan los siguientes componentes de hardware y software:
-
Junos OS versión 9.5 o posterior.
- Este ejemplo se ha actualizado y revalidado recientemente en Junos OS versión 21.1R1.
-
Ocho enrutadores de Juniper Networks serie M, T, serie TX, QFX10000 o MX.
Descripción general de la configuración y topología
La opción B de VPN de capa 3 entre proveedores es una solución algo escalable al problema de proporcionar servicios VPN a un cliente que tiene sitios diferentes, no todos los cuales pueden usar el mismo proveedor de servicios. RFC 4364, sección 10, se refiere a este método como redistribución EBGP entre proveedores de rutas VPN-IPv4 etiquetadas de AS a AS vecino.
En la topología que se muestra en la figura 1, se producen los siguientes eventos:
-
Los enrutadores PE utilizan IBGP para redistribuir rutas VPN-IPv4 etiquetadas a un ASBR.
-
A continuación, el ASBR utiliza EBGP para redistribuir esas rutas VPN-IPv4 etiquetadas a un ASBR en otro AS, que las distribuye a los enrutadores PE en ese AS.
-
Las rutas VPN-IPv4 etiquetadas se distribuyen entre los enrutadores ASBR de cada sitio. No es necesario definir una instancia de enrutamiento y reenvío VPN (VRF) independiente para cada VPN común que resida en dos SPs diferentes.
-
El enrutador PE2 distribuye rutas VPN-IPv4 al enrutador ASBR2 mediante MP-IBGP.
-
El enrutador ASBR2 distribuye estas rutas VPN-IPv4 etiquetadas al enrutador ASBR1, utilizando la sesión MP-EBGP entre ellas.
-
El enrutador ASBR1 redistribuye esas rutas al enrutador PE1 mediante MP-IBGP. Cada vez que se anuncia una etiqueta, los enrutadores cambian la información y las etiquetas del próximo salto.
-
Se establece una ruta MPLS entre el enrutador PE1 y el enrutador PE2. Esta ruta permite cambiar el atributo del salto siguiente para las rutas que se aprenden del enrutador SP vecino y asignar la etiqueta entrante para las rutas dadas a la etiqueta saliente anunciada a los enrutadores PE en la red interna.
-
El enrutador de PE de entrada inserta dos etiquetas en el paquete IP proveniente del cliente final. La etiqueta interna es para las rutas VPN-IPv4 aprendidas de ASBR internas y la etiqueta externa es para la ruta al ASBR interno, obtenida a través del protocolo de reserva de recursos (RSVP) o el protocolo de distribución de etiquetas (LDP).
-
Cuando un paquete llega al ASBR, elimina la etiqueta externa (cuando se usa la señalización explícita nula; de lo contrario, el penúltimo salto (PHP) hace aparecer la etiqueta) e intercambia la etiqueta interna con la etiqueta obtenida del ASBR vecino a través de anuncios de prefijo y etiqueta MP-EBGP.
-
El segundo ASBR intercambia la etiqueta VPN-IPv4 y empuja otra etiqueta para llegar al enrutador PE en su propio AS.
-
El proceso restante es el mismo que para una VPN normal.
En esta solución, los enrutadores ASBR mantienen todas las rutas VPN-IPv4 en la base de información de enrutamiento (RIB) y las etiquetas asociadas con los prefijos se mantienen en la base de información de reenvío (FIB). Debido a que las tablas RIB y FIB pueden ocupar gran parte de la memoria asignada respectiva, esta solución no es muy escalable para una VPN entre proveedores.
Si se usa un SP de tránsito entre SP1 y SP2, el SP de tránsito también debe conservar todas las rutas VPN-IPv4 en la RIB y las etiquetas correspondientes en la FIB. Los ASBR del SP de tránsito tienen la misma funcionalidad que los ASBR de las redes SP1 o SP2 de esta solución.
Topología
La topología de la red se muestra en la figura 3.
de VPN de capa 3 entre proveedores
Configuración
El procedimiento presentado aquí se escribe asumiendo que el lector ya está familiarizado con la configuración de MPLS MVPN. Este ejemplo se centra en explicar la configuración única requerida para las soluciones de operadora de operadoras para servicios VPN a diferentes sitios.
Para configurar la opción B de VPN de capa 3, realice las siguientes tareas:
- Configuración del enrutador CE1
- Configuración del enrutador PE1
- Configuración del enrutador P1
- Configuración del enrutador ASBR1
- Configuración del enrutador ASBR2
- Configuración del enrutador P2
- Configuración del enrutador PE2
- Configuración del enrutador CE2
- Verificación del funcionamiento de la VPN
Configuración del enrutador CE1
Procedimiento paso a paso
-
En el enrutador CE1, configure la dirección IP y la familia de protocolos en la interfaz lógica de circuito cerrado y la interfaz Gigabit Ethernet para el vínculo entre el enrutador CE1 y el enrutador PE1. Especifique el tipo de familia de
inetdirecciones.user@CE1# set interfaces ge-0/0/0 description to_PE1 set interfaces ge-0/0/0 unit 0 family inet address 172.16.1.1/30 set interfaces lo0 unit 0 family inet address 192.168.1.1/32
-
En el enrutador CE1, configure el ID del enrutador.
user@CE1# set routing-options router-id 192.168.1.1
-
En el enrutador CE1, configure un protocolo de enrutamiento. Incluya la interfaz lógica para el vínculo entre el enrutador CE1 y el enrutador PE1 y la interfaz de circuito cerrado lógico del enrutador CE1. El protocolo de enrutamiento puede ser una ruta estática, RIP, OSPF, ISIS o EBGP. En este ejemplo configuramos OSPF.
user@CE1# set protocols ospf area 0.0.0.0 interface ge-0/0/0.0 set protocols ospf area 0.0.0.0 interface lo0.0
Configuración del enrutador PE1
Procedimiento paso a paso
-
En el enrutador PE1, configure las direcciones IPv4 en las interfaces Gigabit Ethernet y de circuito cerrado lógico. Especifique la
inetfamilia de direcciones en todas las interfaces. Especifique la familia demplsdirecciones en la interfaz orientada al núcleo.user@PE1# set interfaces ge-0/0/0 description to_CE1 set interfaces ge-0/0/0 unit 0 family inet address 172.16.1.2/30 set interfaces ge-0/0/1 description to_P1 set interfaces ge-0/0/1 unit 0 family inet address 10.1.1.1/30 set interfaces ge-0/0/1 unit 0 family mpls set interfaces lo0 unit 0 family inet address 192.168.100.1/32
-
En el enrutador PE1, configure una instancia de enrutamiento VRF. Especifique el tipo de
vrfinstancia y especifique la interfaz orientada al cliente. Configure un diferenciador de ruta para crear un prefijo de dirección VPN-IPv4 único. Aplique las políticas de importación y exportación de VRF para habilitar el envío y la recepción de destinos de ruta. Configure el protocolo OSPF en el VRF. Especifique la interfaz orientada al cliente y especifique la política de exportación para exportar rutas BGP a OSPF.user@PE1# set routing-instances to_CE1 instance-type vrf set routing-instances to_CE1 protocols ospf area 0.0.0.0 interface ge-0/0/0.0 set routing-instances to_CE1 protocols ospf export bgp-to-ospf set routing-instances to_CE1 interface ge-0/0/0.0 set routing-instances to_CE1 route-distinguisher 192.168.100.1:1 set routing-instances to_CE1 vrf-import vpnimport set routing-instances to_CE1 vrf-export vpnexport
-
En el enrutador PE1, configure los protocolos RSVP y MPLS para que admitan la ruta de conmutación de etiquetas (LSP). Configure el LSP en el enrutador ASBR1 y especifique la dirección IP de la interfaz de circuito cerrado lógico en el enrutador ASBR1. Configure un grupo BGP. Especifique el tipo de grupo como
internal. Especifique la dirección local como interfaz lógica de circuito cerrado en el enrutador PE1. Especifique la dirección del vecino como interfaz de circuito cerrado lógico en el enrutador ASBR1. Especifique la familia de direcciones yunicastel tipo deinet-vpntráfico para permitir que BGP transporte información de accesibilidad de la capa de red IPv4 (NLRI) para rutas VPN. Configure el protocolo OSPF. Especifique la interfaz orientada al núcleo y especifique la interfaz de circuito cerrado lógico en el enrutador PE1.user@PE1# set protocols bgp group to-ASBR1 type internal set protocols bgp group to-ASBR1 local-address 192.168.100.1 set protocols bgp group to-ASBR1 neighbor 192.168.100.3 family inet-vpn unicast set protocols mpls label-switched-path to-ASBR1 to 192.168.100.3 set protocols mpls interface ge-0/0/1.0 set protocols mpls interface lo0.0 set protocols ospf traffic-engineering set protocols ospf area 0.0.0.0 interface ge-0/0/1.0 set protocols ospf area 0.0.0.0 interface lo0.0 set protocols rsvp interface ge-0/0/1.0 set protocols rsvp interface lo0.0
-
En el enrutador PE1, configure el número de sistema autónomo local BGP y el ID del enrutador.
user@PE1# set routing-options router-id 192.168.100.1 set routing-options autonomous-system 65100
-
En el enrutador PE1, configure una política para exportar las rutas BGP a OSPF.
user@PE1# set policy-options policy-statement bgp-to-ospf term 1 from protocol bgp set policy-options policy-statement bgp-to-ospf term 1 then accept set policy-options policy-statement bgp-to-ospf term 2 then reject
-
En el enrutador PE1, configure una política para agregar el destino de ruta VRF a las rutas que se anuncian desde CE1.
user@PE1# set policy-options policy-statement vpnexport term 1 from protocol ospf set policy-options policy-statement vpnexport term 1 then community add pe1_comm set policy-options policy-statement vpnexport term 1 then accept set policy-options policy-statement vpnexport term 2 then reject
-
En el enrutador PE1, configure una política para importar rutas de PE2 que tengan
pe2_commla comunidad asociada.user@PE1# set policy-options policy-statement vpnimport term 1 from protocol bgp set policy-options policy-statement vpnimport term 1 from community pe2_comm set policy-options policy-statement vpnimport term 1 then accept set policy-options policy-statement vpnimport term 2 then reject
-
En el enrutador PE1, defina la
pe1_commcomunidad BGP con un destino de ruta para aplicar a la vpnexport política y defina lape2_commcomunidad de BGP con un destino de ruta para aplicar a la vpnimport política.user@PE1# set policy-options community pe1_comm members target:65100:1 set policy-options community pe2_comm members target:65200:1
Configuración del enrutador P1
Procedimiento paso a paso
-
En el enrutador P1, configure las direcciones IP para las interfaces de Gigabit Ethernet. Habilite las interfaces para procesar las
inetfamilias ymplsdirecciones. Configure las direcciones IP para lalo0.0interfaz de circuito cerrado y habilite la interfaz para procesar la familia deinetdirecciones.user@P1# set interfaces ge-0/0/0 description to_PE1 set interfaces ge-0/0/0 unit 0 family inet address 10.1.1.2/30 set interfaces ge-0/0/0 unit 0 family mpls set interfaces ge-0/0/1 description to_ASBR1 set interfaces ge-0/0/1 unit 0 family inet address 10.1.2.1/30 set interfaces ge-0/0/1 unit 0 family mpls set interfaces lo0 unit 0 family inet address 192.168.100.2/32
-
En el enrutador P1, configure los protocolos RSVP y MPLS para admitir el LSP. Especifique las interfaces de Gigabit Ethernet.
Configure el protocolo OSPF. Especifique las interfaces Gigabit Ethernet y especifique la interfaz lógica de circuito cerrado. Habilite OSPF para que admita extensiones de ingeniería de tráfico.
user@P1# set protocols mpls interface ge-0/0/0.0 set protocols mpls interface ge-0/0/1.0 set protocols mpls interface lo0.0 set protocols ospf traffic-engineering set protocols ospf area 0.0.0.0 interface ge-0/0/0.0 set protocols ospf area 0.0.0.0 interface ge-0/0/1.0 set protocols ospf area 0.0.0.0 interface lo0.0 set protocols rsvp interface ge-0/0/0.0 set protocols rsvp interface ge-0/0/1.0 set protocols rsvp interface lo0.0
Configuración del enrutador ASBR1
Procedimiento paso a paso
-
En el enrutador ASBR1, configure las direcciones IP para las interfaces de Gigabit Ethernet. Habilite las interfaces para procesar las
inetfamilias ymplsdirecciones. Configure las direcciones IP para lalo0.0interfaz de circuito cerrado y habilite la interfaz para procesar la familia deinetdirecciones.user@ASBR1# set interfaces ge-0/0/0 description to_P1 set interfaces ge-0/0/0 unit 0 family inet address 10.1.2.2/30 set interfaces ge-0/0/0 unit 0 family mpls set interfaces ge-0/0/1 description to_ASBR2 set interfaces ge-0/0/1 unit 0 family inet address 172.16.12.1/30 set interfaces ge-0/0/1 unit 0 family mpls set interfaces lo0 unit 0 family inet address 192.168.100.3/32
-
En el enrutador ASBR1, configure los protocolos RSVP y MPLS para admitir el LSP especificando la interfaz Gigabit Ethernet frente al enrutador P1 y la
lo0.0interfaz de circuito cerrado lógico.Configure el protocolo OSPF especificando la interfaz Gigabit Ethernet frente al enrutador P1 y la interfaz lógica de circuito cerrado. Habilite OSPF para que admita extensiones de ingeniería de tráfico.
user@ASBR1# set protocols mpls label-switched-path to-PE1 to 192.168.100.1 set protocols mpls interface ge-0/0/0.0 set protocols mpls interface lo0.0 set protocols ospf traffic-engineering set protocols ospf area 0.0.0.0 interface ge-0/0/0.0 set protocols ospf area 0.0.0.0 interface lo0.0 set protocols rsvp interface ge-0/0/0.0 set protocols rsvp interface lo0.0
-
En el enrutador ASBR1, cree el
to-PE1grupo del par BGP interno. Especifique la dirección IP del mismo nivel local como dirección locallo0.0. Especifique la dirección del par IP vecino como la dirección delo0.0interfaz del enrutador PE1.user@ASBR1# set protocols bgp group to-PE1 type internal set protocols bgp group to-PE1 local-address 192.168.100.3 set protocols bgp group to-PE1 neighbor 192.168.100.1 family inet-vpn unicast
-
En el enrutador ASBR1, cree el
to-ASBR2grupo del par BGP externo. Habilite el enrutador para que utilice BGP para anunciar NLRI para rutas de unidifusión. Especifique la dirección del par IP vecino como la dirección de interfaz Gigabit Ethernet del enrutador ASBR2.user@ASBR1# set protocols bgp group to-ASBR2 type external set protocols bgp group to-ASBR2 family inet-vpn unicast set protocols bgp group to-ASBR2 neighbor 172.16.12.2 peer-as 65200
-
En el enrutador ASBR1, configure el número de sistema autónomo local BGP y el ID del enrutador.
user@ASBR1# set routing-options router-id 192.168.100.3 set routing-options autonomous-system 65100
Configuración del enrutador ASBR2
Procedimiento paso a paso
-
En el enrutador ASBR2, configure las direcciones IP para las interfaces de Gigabit Ethernet. Habilite las interfaces para procesar las
inetfamilias ymplsdirecciones. Configure la dirección IP para lalo0.0interfaz de circuito cerrado y habilite la interfaz para procesar la familia deinetdirecciones.user@ASBR2# set interfaces ge-0/0/0 description to_ASBR1 set interfaces ge-0/0/0 unit 0 family inet address 172.16.12.2/30 set interfaces ge-0/0/0 unit 0 family mpls set interfaces ge-0/0/1 description to_P2 set interfaces ge-0/0/1 unit 0 family inet address 10.2.2.2/30 set interfaces ge-0/0/1 unit 0 family mpls set interfaces lo0 unit 0 family inet address 192.168.200.3/32
-
En el enrutador ASBR2, configure los protocolos RSVP y MPLS para admitir el LSP especificando la interfaz Gigabit Ethernet que está frente al enrutador P2.
Configure el protocolo OSPF especificando la interfaz Gigabit Ethernet frente al enrutador P2 y la interfaz de circuito cerrado lógico. Habilite OSPF para que admita extensiones de ingeniería de tráfico.
user@ASBR2# set protocols mpls label-switched-path to-PE2 to 192.168.200.1 set protocols mpls interface ge-0/0/1.0 set protocols mpls interface lo0.0 set protocols ospf traffic-engineering set protocols ospf area 0.0.0.0 interface ge-0/0/1.0 set protocols ospf area 0.0.0.0 interface lo0.0 set protocols rsvp interface ge-0/0/1.0 set protocols rsvp interface lo0.0
-
En el enrutador ASBR2, cree el
to-PE2grupo del mismo nivel BGP interno. Especifique la dirección IP del mismo nivel local como dirección locallo0.0. Especifique la dirección del par IP vecino como la dirección delo0.0interfaz del enrutador PE2.user@ASBR2# set protocols bgp group to-PE2 type internal set protocols bgp group to-PE2 local-address 192.168.200.3 set protocols bgp group to-PE2 neighbor 192.168.200.1 family inet-vpn unicast
-
En el enrutador ASBR2, cree el
to-ASBR1grupo del par BGP externo. Habilite el enrutador para que utilice BGP para anunciar NLRI para rutas de unidifusión. Especifique la dirección del par IP vecino como interfaz Gigabit Ethernet en el enrutador ASBR1.user@ASBR2# set protocols bgp group to-ASBR1 type external set protocols bgp group to-ASBR1 family inet-vpn unicast set protocols bgp group to-ASBR1 neighbor 172.16.12.1 peer-as 65100
-
En el enrutador ASBR2, configure el número del sistema autónomo local BGP y el ID del enrutador.
user@ASBR2# set routing-options router-id 192.168.200.3 set routing-options autonomous-system 65200
Configuración del enrutador P2
Procedimiento paso a paso
-
En el enrutador P2, configure las direcciones IP para las interfaces de Gigabit Ethernet. Habilite las interfaces para procesar las
inetfamilias ymplsdirecciones. Configure la dirección IP para lalo0.0interfaz de circuito cerrado y habilite la interfaz para procesar la familia deinetdirecciones.user@P2# set interfaces ge-0/0/0 description to_ASBR2 set interfaces ge-0/0/0 unit 0 family inet address 10.2.2.1/30 set interfaces ge-0/0/0 unit 0 family mpls set interfaces ge-0/0/1 description to_PE2 set interfaces ge-0/0/1 unit 0 family inet address 10.2.1.2/30 set interfaces ge-0/0/1 unit 0 family mpls set interfaces lo0 unit 0 family inet address 192.168.200.2/32
-
En el enrutador P2, configure los protocolos RSVP y MPLS para que admitan el LSP. Especifique las interfaces de Gigabit Ethernet.
Configure el protocolo OSPF. Especifique las interfaces Gigabit Ethernet y especifique la interfaz lógica de circuito cerrado. Habilite OSPF para que admita extensiones de ingeniería de tráfico.
user@P2# set protocols mpls interface ge-0/0/0.0 set protocols mpls interface ge-0/0/1.0 set protocols mpls interface lo0.0 set protocols ospf traffic-engineering set protocols ospf area 0.0.0.0 interface ge-0/0/0.0 set protocols ospf area 0.0.0.0 interface ge-0/0/1.0 set protocols ospf area 0.0.0.0 interface lo0.0 set protocols rsvp interface ge-0/0/0.0 set protocols rsvp interface ge-0/0/1.0 set protocols rsvp interface lo0.0
Configuración del enrutador PE2
Procedimiento paso a paso
-
En el enrutador PE2, configure las direcciones IPv4 en las interfaces Gigabit Ethernet y de circuito cerrado lógico. Especifique la
inetfamilia de direcciones en todas las interfaces. Especifique la familia demplsdirecciones en las interfaces de Gigabit Ethernet.user@PE2# set interfaces ge-0/0/0 description to_P2 set interfaces ge-0/0/0 unit 0 family inet address 10.2.1.1/30 set interfaces ge-0/0/0 unit 0 family mpls set interfaces ge-0/0/1 description to_CE2 set interfaces ge-0/0/1 unit 0 family inet address 172.16.2.2/30 set interfaces lo0 unit 0 family inet address 192.168.200.1/32
-
En el enrutador PE2, configure una instancia de enrutamiento VRF. Especifique el tipo de
vrfinstancia y especifique la interfaz orientada al cliente. Configure un diferenciador de ruta para crear un prefijo de dirección VPN-IPv4 único. Aplique las políticas de importación y exportación de VRF para habilitar el envío y la recepción de destinos de ruta. Configure el grupo del mismo nivel BGP dentro del VRF. Especifique AS65020como el AS par y especifique la dirección IP de la interfaz Gigabit Ethernet en el enrutador CE1 como dirección vecina.user@PE2# set routing-instances to_CE2 instance-type vrf set routing-instances to_CE2 protocols bgp group to_CE2 peer-as 65020 set routing-instances to_CE2 protocols bgp group to_CE2 neighbor 172.16.2.1 set routing-instances to_CE2 interface ge-0/0/1.0 set routing-instances to_CE2 route-distinguisher 192.168.200.1:1 set routing-instances to_CE2 vrf-import vpnimport set routing-instances to_CE2 vrf-export vpnexport
-
En el enrutador PE2, configure los protocolos RSVP y MPLS para admitir el LSP. Configure el LSP en ASBR2 y especifique la dirección IP de la interfaz de circuito cerrado lógico en el enrutador ASBR2. Configure un grupo BGP. Especifique el tipo de grupo como
internal. Especifique la dirección local como interfaz de circuito cerrado lógico en el enrutador PE2. Especifique la dirección del vecino como interfaz de circuito cerrado lógico en el enrutador ASBR2. Especifique la familia de direcciones yunicastel tipo deinet-vpntráfico para permitir que BGP lleve NLRI IPv4 para rutas VPN. Configure el protocolo OSPF. Especifique la interfaz orientada al núcleo y la interfaz lógica de circuito cerrado en el enrutador PE2.user@PE2# set protocols bgp group to-ASBR2 type internal set protocols bgp group to-ASBR2 local-address 192.168.200.1 set protocols bgp group to-ASBR2 neighbor 192.168.200.3 family inet-vpn unicast set protocols mpls label-switched-path to-ASBR2 to 192.168.200.3 set protocols mpls interface ge-0/0/0.0 set protocols mpls interface lo0.0 set protocols ospf traffic-engineering set protocols ospf area 0.0.0.0 interface ge-0/0/0.0 set protocols ospf area 0.0.0.0 interface lo0.0 set protocols rsvp interface ge-0/0/0.0 set protocols rsvp interface lo0.0
-
En el enrutador PE2, configure el número del sistema autónomo local BGP y el ID del enrutador.
user@PE2# set routing-options router-id 192.168.200.1 set routing-options autonomous-system 65200
-
En el enrutador PE2, configure una política para agregar el destino de ruta VRF a las rutas que se anuncian desde CE2.
user@PE2# set policy-options policy-statement vpnexport term 1 from protocol bgp set policy-options policy-statement vpnexport term 1 then community add pe2_comm set policy-options policy-statement vpnexport term 1 then accept set policy-options policy-statement vpnexport term 2 then reject
-
En el enrutador PE2, configure una política para importar rutas de PE1 que tengan la
pe1_commcomunidad asociada.user@PE2# set policy-options policy-statement vpnimport term 1 from protocol bgp set policy-options policy-statement vpnimport term 1 from community pe1_comm set policy-options policy-statement vpnimport term 1 then accept set policy-options policy-statement vpnimport term 2 then reject
-
En el enrutador PE2, defina la
pe2_commcomunidad BGP con un destino de ruta para aplicar a la vpnexport política y defina lape1_commcomunidad de BGP con un destino de ruta para aplicar a la vpnimport políticauser@PE2# set policy-options community pe1_comm members target:65100:1 set policy-options community pe2_comm members target:65200:1
Configuración del enrutador CE2
Procedimiento paso a paso
-
En el enrutador CE2, configure la dirección IP y la familia de protocolos en la interfaz de circuito cerrado lógico y la interfaz Gigabit Ethernet para el vínculo entre el enrutador CE2 y el enrutador PE2. Especifique el tipo de familia de
inetdirecciones.user@CE2# set interfaces ge-0/0/0 description to_PE2 set interfaces ge-0/0/0 unit 0 family inet address 172.16.2.1/30 set interfaces lo0 unit 0 family inet address 192.168.2.1/32
-
En el enrutador CE2, defina una política denominada
loopbackque coincida con la dirección de circuito cerrado de CE2.user@CE2# set policy-options policy-statement loopback term 1 from route-filter 192.168.2.1/32 exact set policy-options policy-statement loopback term 1 then accept
-
En el enrutador CE2, configure un protocolo de enrutamiento. El protocolo de enrutamiento puede ser una ruta estática, RIP, OSPF, ISIS o EBGP. En este ejemplo, configuramos EBGP. Especifique AS
65200como AS par y especifique la dirección IP vecina del BGP como interfaz Gigabit Ethernet del enrutador PE2. Incluya laexportinstrucción.user@CE2# set protocols bgp group to_PE2 export loopback set protocols bgp group to_PE2 peer-as 65200 set protocols bgp group to_PE2 neighbor 172.16.2.2
-
En el enrutador CE2, configure el número de sistema autónomo local BGP y el ID del enrutador.
user@CE2# set routing-options router-id 192.168.2.1 set routing-options autonomous-system 65020
Verificación del funcionamiento de la VPN
Procedimiento paso a paso
-
Confirme la configuración en cada enrutador.
Nota:Las etiquetas MPLS que se muestran en este ejemplo serán diferentes de las etiquetas utilizadas en su configuración.
-
En el enrutador PE1, muestre las rutas de la instancia de
to_CE1enrutamiento mediante elshow ospf routecomando. Compruebe que la192.168.1.1ruta se aprende de OSPF.user@PE1> show ospf route instance to_CE1 Topology default Route Table: Prefix Path Route NH Metric NextHop Nexthop Type Type Type Interface Address/LSP 192.168.1.1 Intra Router IP 1 ge-0/0/0.0 172.16.1.1 172.16.1.0/30 Intra Network IP 1 ge-0/0/0.0 192.168.1.1/32 Intra Network IP 1 ge-0/0/0.0 172.16.1.1 -
En el enrutador PE1, utilice el
show route advertising-protocolcomando para comprobar que el enrutador PE1 anuncia la192.168.1.1ruta al enrutador ASBR1 mediante MP-BGP con la etiqueta MPLS de VPN.user@PE1> show route advertising-protocol bgp 192.168.100.3 extensive to_CE1.inet.0: 5 destinations, 5 routes (5 active, 0 holddown, 0 hidden) * 192.168.1.1/32 (1 entry, 1 announced) BGP group to-ASBR1 type Internal Route Distinguisher: 192.168.100.1:1 VPN Label: 299808 Nexthop: Self Flags: Nexthop Change MED: 1 Localpref: 100 AS path: [65100] I Communities: target:65100:1 rte-type:0.0.0.0:1:0 -
En el enrutador ASBR1, utilice el
show route receive-protocolcomando para comprobar que el enrutador recibe y acepta la192.168.1.1ruta y la coloca en la tabla debgp.l3vpn.0enrutamiento.user@ASBR1> show route receive-protocol bgp 192.168.100.1 extensive inet.0: 15 destinations, 15 routes (15 active, 0 holddown, 0 hidden) inet.3: 1 destinations, 1 routes (1 active, 0 holddown, 0 hidden) mpls.0: 6 destinations, 6 routes (6 active, 0 holddown, 0 hidden) bgp.l3vpn.0: 2 destinations, 2 routes (2 active, 0 holddown, 0 hidden) * 192.168.100.1:1:192.168.1.1/32 (1 entry, 1 announced) Accepted Route Distinguisher: 192.168.100.1:1 VPN Label: 299808 Nexthop: 192.168.100.1 MED: 1 Localpref: 100 AS path: I Communities: target:65100:1 rte-type:0.0.0.0:1:0 -
En el enrutador ASBR1, utilice el
show route advertising-protocolcomando para comprobar que el enrutador ASBR1 anuncia la192.168.1.1ruta al enrutador ASBR2.user@ASBR1> show route advertising-protocol bgp 172.16.12.2 extensive bgp.l3vpn.0: 2 destinations, 2 routes (2 active, 0 holddown, 0 hidden) * 192.168.100.1:1:192.168.1.1/32 (1 entry, 1 announced) BGP group to-ASBR2 type External Route Distinguisher: 192.168.100.1:1 VPN Label: 299824 Nexthop: Self Flags: Nexthop Change AS path: [65100] I Communities: target:65100:1 rte-type:0.0.0.0:1:0 -
En el enrutador ASBR2, utilice el
show route receive-protocolcomando para comprobar que el enrutador recibe y acepta la192.168.1.1ruta y la coloca en la tabla debgp.l3vpn.0enrutamiento.user@ASBR2> show route receive-protocol bgp 172.16.12.1 extensive inet.0: 15 destinations, 15 routes (15 active, 0 holddown, 0 hidden) inet.3: 1 destinations, 1 routes (1 active, 0 holddown, 0 hidden) mpls.0: 6 destinations, 6 routes (6 active, 0 holddown, 0 hidden) bgp.l3vpn.0: 2 destinations, 2 routes (2 active, 0 holddown, 0 hidden) * 192.168.100.1:1:192.168.1.1/32 (1 entry, 1 announced) Accepted Route Distinguisher: 192.168.100.1:1 VPN Label: 299824 Nexthop: 172.16.12.1 AS path: 65100 I Communities: target:65100:1 rte-type:0.0.0.0:1:0 -
En el enrutador ASBR2, utilice el
show route advertising-protocolcomando para comprobar que el enrutador ASBR2 anuncia la192.168.1.1ruta al enrutador PE2.user@ASBR2> show route advertising-protocol bgp 192.168.200.1 extensive bgp.l3vpn.0: 2 destinations, 2 routes (2 active, 0 holddown, 0 hidden) * 192.168.100.1:1:192.168.1.1/32 (1 entry, 1 announced) BGP group to-PE2 type Internal Route Distinguisher: 192.168.100.1:1 VPN Label: 299824 Nexthop: Self Flags: Nexthop Change Localpref: 100 AS path: [65200] 65100 I Communities: target:65100:1 rte-type:0.0.0.0:1:0 -
En el enrutador PE2, utilice el
show route receive-protocolcomando para comprobar que el enrutador recibe y acepta la192.168.1.1ruta y la coloca en la tabla deto_CE2.inet.0enrutamiento.user@PE2> show route receive-protocol bgp 192.168.200.3 extensive inet.0: 13 destinations, 13 routes (13 active, 0 holddown, 0 hidden) inet.3: 1 destinations, 1 routes (1 active, 0 holddown, 0 hidden) to_CE2.inet.0: 4 destinations, 4 routes (4 active, 0 holddown, 0 hidden) * 192.168.1.1/32 (1 entry, 1 announced) Import Accepted Route Distinguisher: 192.168.100.1:1 VPN Label: 299824 Nexthop: 192.168.200.3 Localpref: 100 AS path: 65100 I Communities: target:65100:1 rte-type:0.0.0.0:1:0 mpls.0: 5 destinations, 5 routes (5 active, 0 holddown, 0 hidden) bgp.l3vpn.0: 1 destinations, 1 routes (1 active, 0 holddown, 0 hidden) * 192.168.100.1:1:192.168.1.1/32 (1 entry, 0 announced) Import Accepted Route Distinguisher: 192.168.100.1:1 VPN Label: 299824 Nexthop: 192.168.200.3 Localpref: 100 AS path: 65100 I Communities: target:65100:1 rte-type:0.0.0.0:1:0 inet6.0: 1 destinations, 1 routes (1 active, 0 holddown, 0 hidden) to_CE2.inet6.0: 1 destinations, 1 routes (1 active, 0 holddown, 0 hidden) -
En el enrutador PE2, utilice el
show route advertising-protocolcomando para comprobar que el enrutador PE2 anuncia la192.168.1.1ruta al enrutador CE2 a través delto_CE2grupo del mismo nivel.user@PE2> show route advertising-protocol bgp 172.16.2.1 extensive to_CE2.inet.0: 4 destinations, 4 routes (4 active, 0 holddown, 0 hidden) * 192.168.1.1/32 (1 entry, 1 announced) BGP group to_CE2 type External Nexthop: Self AS path: [65200] 65100 I Communities: target:65100:1 rte-type:0.0.0.0:1:0 -
En el enrutador CE2, utilice el
show routecomando para comprobar que el enrutador CE2 recibe la192.168.1.1ruta del enrutador PE2.user@CE2> show route 192.168.1.1 inet.0: 10 destinations, 10 routes (10 active, 0 holddown, 0 hidden) + = Active Route, - = Last Active, * = Both 192.168.1.1/32 *[BGP/170] 6d 02:09:53, localpref 100 AS path: 65200 65100 I, validation-state: unverified > to 172.16.2.2 via ge-0/0/0.0 -
En el enrutador CE2, utilice el comando y especifique
192.168.2.1como origen de los paquetes de ping para verificar lapingconectividad con el enrutador CE1.user@CE2> ping 192.168.1.1 source 192.168.2.1 count 2 PING 192.168.1.1 (192.168.1.1): 56 data bytes 64 bytes from 192.168.1.1: icmp_seq=0 ttl=58 time=27.008 ms 64 bytes from 192.168.1.1: icmp_seq=1 ttl=58 time=40.004 ms --- 192.168.1.1 ping statistics --- 2 packets transmitted, 2 packets received, 0% packet loss round-trip min/avg/max/stddev = 27.008/33.506/40.004/6.498 ms
Nota:Para hacer ping de extremo a extremo sin obtener del circuito invertido, asegúrese de anunciar las rutas de interfaz PE a CE. Puede lograr esto de varias maneras, pero para este ejemplo agregue protocolo directamente a la
vpnexportpolítica tanto en PE1 como en PE2.
Ejemplo: configuración de la opción C de VPN de capa 3 de interproveedor
La opción C de VPN de capa 3 de interproveedor proporciona redistribución de EBGP de múltiples saltos entre proveedores de rutas VPN-IPv4 etiquetadas entre AS de origen y destino, con redistribución EBGP de rutas IPv4 etiquetadas de AS a AS vecinos. En comparación con la opción A y la opción B, la opción C es la solución más escalable. Para configurar un servicio de opción C de VPN de capa 3 entre proveedores, debe configurar los enrutadores de borde AS y los enrutadores PE conectados a los enrutadores CE del cliente final mediante EBGP multisalto.
En este ejemplo se proporciona un procedimiento paso a paso para configurar la opción C de VPN de capa 3 entre proveedores, que es una de las implementaciones recomendadas de VPN MPLS cuando ese servicio es requerido por un cliente que tiene más de un AS, pero no todos los AS del cliente pueden ser atendidos por el mismo proveedor de servicios (SP). Está organizado en las siguientes secciones:
Requisitos
Este ejemplo requiere los siguientes componentes de hardware y software:
-
Junos OS versión 9.5 o posterior.
-
Ocho enrutadores de borde multiservicio serie M de Juniper Networks, enrutadores de núcleo serie T, enrutadores de matriz TX o plataformas de enrutamiento universal 5G serie MX.
Descripción general de la configuración y topología
La opción C de VPN de capa 3 de interproveedor es una solución VPN entre proveedores muy escalable para el problema de proporcionar servicios VPN a un cliente que tiene sitios diferentes, no todos los cuales pueden usar el mismo SP.
RFC 4364, sección 10, se refiere a este método como redistribución EBGP multisalto de rutas VPN-IPv4 etiquetadas entre AS de origen y destino, con redistribución EBGP de rutas IPv4 etiquetadas de AS a AS vecinos.
Esta solución es similar a la descrita en Implementación de la opción B de VPN de capa 3 de interproveedor, excepto que se anuncian rutas de unidifusión IPv4 internas en lugar de rutas externas de unidifusión VPN-IPv4 mediante EBGP. Las rutas internas son internas a los SP leaf (SP1 y SP2 en este ejemplo) y las rutas externas son aquellas aprendidas del cliente final que solicita servicios VPN.
En esta configuración:
-
Después de que el enrutador PE1 aprende la dirección de circuito cerrado del enrutador PE2 y el enrutador PE2 aprende la dirección de circuito cerrado del enrutador PE1, los enrutadores PE finales establecen una sesión MP-EBGP para intercambiar rutas VPN-IPv4.
-
Dado que las rutas VPN-IPv4 se intercambian entre enrutadores PE finales, ningún otro enrutador en la ruta del enrutador PE1 y el enrutador PE2 no necesita conservar ni instalar rutas VPN-IPv4 en sus tablas de base de información de enrutamiento (RIB) o base de información de reenvío (FIB).
-
Es necesario establecer una ruta MPLS entre el enrutador PE1 y el enrutador PE2.
RFC 4364 describe solo una solución que usa un enfoque de unidifusión etiquetada BGP. En este enfoque, los enrutadores ASBR anuncian las direcciones de circuito cerrado de los enrutadores PE y asocian cada prefijo con una etiqueta de acuerdo con RFC 3107. Los proveedores de servicios pueden usar RSVP o LDP para establecer un LSP entre enrutadores ASBR y enrutadores PE en su red interna.
En esta red, ASBR1 recibe información de la etiqueta asociada con la dirección IP de circuito cerrado del enrutador PE1 y anuncia otra etiqueta al enrutador ASBR2 mediante MP-EBGP labeled-unicast. Mientras tanto, los ASBR construyen su propia tabla de reenvío MPLS de acuerdo con las rutas y etiquetas recibidas y anunciadas. El enrutador ASBR1 utiliza su propia dirección IP como información del próximo salto.
El enrutador ASBR2 recibe este prefijo asociado a una etiqueta, asigna otra etiqueta, cambia la dirección del salto siguiente a su propia dirección y la anuncia en el enrutador PE1. El enrutador PE1 ahora tiene una actualización con la información de la etiqueta y el próximo salto al enrutador ASBR1. Además, el enrutador PE1 ya tiene una etiqueta asociada con la dirección IP del enrutador ASBR1. Si el enrutador PE1 envía un paquete IP al enrutador PE2, inserta dos etiquetas: una para la dirección IP del enrutador PE2 (obtenida mediante el anuncio de unidifusión etiquetada MP-IBGP) y otra para la dirección IP del enrutador ASBR1 (obtenida mediante LDP o RSVP).
El enrutador ASBR1 luego abre la etiqueta externa e intercambia la etiqueta interna con la etiqueta aprendida de un ASBR vecino para su enrutador PE vecino. El enrutador ASBR2 realiza una función similar e intercambia la etiqueta entrante (solo una) y empuja otra etiqueta asociada con la dirección del enrutador PE2. El enrutador PE2 muestra ambas etiquetas y pasa el paquete IP restante a su propia CPU. Después de crear la conexión de extremo a extremo entre los enrutadores PE, los enrutadores PE establecen una sesión MP-EBGP para intercambiar rutas VPN-IPv4.
En esta solución, los enrutadores PE insertan tres etiquetas en el paquete IP provenientes del usuario final de VPN. La etiqueta más interna, obtenida mediante MP-EBGP, determina la instancia correcta de enrutamiento y reenvío VPN (VRF) en el PE remoto. La etiqueta del medio está asociada con la dirección IP del PE remoto y se obtiene de un ASBR utilizando MP-IBGP labeled-unicast. La etiqueta exterior está asociada con las direcciones IP de los ASBR y se obtiene utilizando LDP o RSVP.
La topología física de la red se muestra en la figura 4.
Topología
Configuración
El procedimiento presentado aquí se escribe asumiendo que el lector ya está familiarizado con la configuración de MPLS MVPN. Este ejemplo se centra en explicar la configuración única requerida para las soluciones de operadora de operadoras para servicios VPN a diferentes sitios.
Para configurar la opción C de VPN de capa 3 entre proveedores, realice las siguientes tareas:
- Configuración del enrutador CE1
- Configuración del enrutador PE1
- Configuración del enrutador P1
- Configuración del enrutador ASBR1
- Configuración del enrutador ASBR2
- Configuración del enrutador P2
- Configuración del enrutador PE2
- Configuración del enrutador CE2
- Verificación del funcionamiento de la VPN
Configuración del enrutador CE1
Procedimiento paso a paso
-
En el enrutador CE1, configure la dirección IP y la familia de protocolos en la interfaz de Fast Ethernet para el vínculo entre el enrutador CE1 y el enrutador PE1. Especifique el tipo de familia de
inetdirecciones.[edit interfaces fe-0/0/1.0] family inet { address 198.51.100.1/24; } -
En el enrutador CE1, configure la dirección IP y la familia de protocolos en la interfaz de circuito cerrado. Especifique el tipo de familia de
inetdirecciones.[edit interfaces lo0] unit 0 { family inet { address 192.0.2.1/32; } } -
En el enrutador CE1, configure un protocolo de enrutamiento. El protocolo de enrutamiento puede ser una ruta estática, RIP, OSPF, ISIS o EBGP. En este ejemplo configuramos OSPF. Incluya la interfaz lógica para el vínculo entre el enrutador CE1 y el enrutador PE1 y la interfaz de circuito cerrado lógico del enrutador CE1.
[edit protocols] ospf { area 0.0.0.2 { interface fe-0/0/1.0; interface lo0.0 { passive; } } }
Configuración del enrutador PE1
Procedimiento paso a paso
-
En el enrutador PE1, configure las direcciones IPv4 en la SONET, Fast Ethernet y las interfaces de circuito cerrado lógico. Especifique la
inetfamilia de direcciones en todas las interfaces. Especifique la familia demplsdirecciones en las interfaces SONET.[edit interfaces] so-0/2/0 { unit 0 { family inet { address 192.168.1.2/24; } family mpls; } } fe-1/2/3 { unit 0 { family inet { address 198.51.100.3/24; } } } lo0 { unit 0 { family inet { address 192.0.2.2/32; } } } -
En el enrutador PE1, configure la instancia de enrutamiento para VPN2. Especifique el tipo de
vrfinstancia y especifique la interfaz Fast Ethernet orientada al cliente. Configure un diferenciador de ruta para crear un prefijo de dirección VPN-IPv4 único. Aplique las políticas de importación y exportación de VRF para habilitar el envío y la recepción de destinos de ruta. Configure el protocolo OSPF en el VRF. Especifique la interfaz Fast Ethernet orientada al cliente y especifique la política de exportación para exportar rutas BGP a OSPF.[edit routing-instances] vpn2CE1 { instance-type vrf; interface fe-1/2/3.0; route-distinguisher 1:100; vrf-import vpnimport; vrf-export vpnexport; protocols { ospf { export bgp-to-ospf; area 0.0.0.2 { interface fe-1/2/3.0; } } } } -
En el enrutador PE1, configure los protocolos RSVP y MPLS para admitir el LSP. Configure el LSP en el enrutador ASBR1 y especifique la dirección IP de la interfaz de circuito cerrado lógico en el enrutador ASBR1. Configure el protocolo OSPF. Especifique la interfaz SONET orientada al núcleo y especifique la interfaz de circuito cerrado lógico en el enrutador PE1.
[edit protocols] rsvp { interface so-0/2/0.0; interface lo0.0; } mpls { label-switched-path To-ASBR1 { to 192.0.2.4; } interface so-0/2/0.0; interface lo0.0; } ospf { traffic-engineering; area 0.0.0.0 { interface so-0/2/0.0; interface lo0.0 { passive; } } } -
En el enrutador PE1, configure el
To_ASBR1grupo BGP del mismo nivel. Especifique el tipo de grupo comointernal. Especifique la dirección local como interfaz lógica de circuito cerrado en el enrutador PE1. Especifique la dirección del vecino como interfaz de circuito cerrado lógico en el enrutador ASBR1. Especifique la familia deinetdirecciones. Para que un enrutador PE instale una ruta en el VRF, el siguiente salto debe resolverse en una ruta almacenada en lainet.3tabla. Laslabeled-unicast resolve-vpninstrucciones permiten colocar rutas etiquetadas en la tabla de enrutamiento para la resolución deinet.3rutas, que luego se resuelven para conexiones de enrutador PE donde el PE remoto se encuentra en otro AS.[edit protocols] bgp { group To_ASBR1 { type internal; local-address 192.0.2.2; neighbor 192.0.2.4 { family inet { labeled-unicast { resolve-vpn; } } } } } -
En el enrutador PE1, configure el EBGP de múltiples saltos hacia PE2. Especifique la
inet-vpnfamilia.[edit protocols] bgp { group To_PE2 { multihop { ttl 20; } local-address 192.0.2.2; family inet-VPN { unicast; } neighbor 192.0.2.7 { peer-as 200; } } } -
En el enrutador PE1, configure el número de sistema autónomo local BGP.
[edit routing-options] autonomous-system 100;
-
En el enrutador PE1, configure una política para exportar las rutas BGP a OSPF.
[edit policy-options] policy-statement bgp-to-ospf { term 1 { from protocol bgp; then accept; } term 2 { then reject; } } -
En el enrutador PE1, configure una política para agregar el destino de ruta VRF a las rutas que se anuncian para esta VPN.
[edit policy-options] policy-statement vpnexport { term 1 { from protocol ospf; then { community add test_comm; accept; } } term 2 { then reject; } } -
En el enrutador PE1, configure una política para importar rutas desde BGP que tengan la
test_commcomunidad asociada.[edit policy-options] policy-statement vpnimport { term 1 { from { protocol bgp; community test_comm; } then accept; } term 2 { then reject; } } -
En el enrutador PE1, defina la comunidad BGP con un destino de
test_commruta.[edit policy-options] community test_comm members target:1:100;
Configuración del enrutador P1
Procedimiento paso a paso
-
En el enrutador P1, configure las direcciones IP para las interfaces SONET y Gigabit Ethernet. Habilite las interfaces para procesar las
inetfamilias ymplsdirecciones. Configure la dirección IP para lalo0.0interfaz de circuito cerrado y habilite la interfaz para procesar la familia deinetdirecciones.[edit interfaces] so-0/2/1 { unit 0 { family inet { address 192.168.1.4/24; } family mpls; } } ge-1/3/0 { unit 0 { family inet { address 192.168.2.5/24; } family mpls; } } lo0 { unit 0 { family inet { address 192.0.2.3/32; } } } -
En el enrutador P1, configure los protocolos RSVP y MPLS para admitir el LSP. Especifique las interfaces SONET y Gigabit Ethernet.
Configure el protocolo OSPF. Especifique las interfaces SONET y Gigabit Ethernet y especifique la interfaz lógica de circuito cerrado. Habilite OSPF para que admita extensiones de ingeniería de tráfico.
[edit protocols] rsvp { interface so-0/2/1.0; interface ge-1/3/0.0; interface lo0.0; } mpls { interface lo0.0; interface ge-1/3/0.0; interface so-0/2/1.0; } ospf { traffic-engineering; area 0.0.0.0 { interface ge-1/3/0.0; interface so-0/2/1.0; interface lo0.0 { passive; } } }
Configuración del enrutador ASBR1
Procedimiento paso a paso
-
En el enrutador ASBR1, configure las direcciones IP para las interfaces de Gigabit Ethernet. Habilite las interfaces para procesar las
inetfamilias ymplsdirecciones. Configure las direcciones IP para lalo0.0interfaz de circuito cerrado y habilite la interfaz para procesar la familia deinetdirecciones.[edit interfaces] ge-0/0/0 { unit 0 { family inet { address 192.168.2.6/24; } family mpls; } } ge-0/1/1 { unit 0 { family inet { address 192.168.3.7/24; } family mpls; } } lo0 { unit 0 { family inet { address 192.0.2.4/32; } } } -
En el enrutador ASBR1, configure los protocolos para admitir el LSP.
Configure el protocolo RSVP especificando la interfaz Gigabit Ethernet frente al enrutador P1 y la interfaz lógica de circuito cerrado.
Configure el protocolo MPLS especificando las interfaces Gigabit Ethernet y la interfaz de circuito cerrado lógico. Incluya la
traffic-engineering bgp-igp-both-ribsinstrucción en el[edit protocols mpls]nivel jerárquico.Configure el protocolo OSPF en la interfaz Gigabit Ethernet orientada hacia el enrutador P1 y la interfaz lógica de circuito cerrado. Habilite OSPF para que admita extensiones de ingeniería de tráfico.
[edit protocols] rsvp { interface ge-0/0/0.0; interface lo0.0; } mpls { traffic-engineering bgp-igp-both-ribs; label-switched-path To_PE1 { to 192.0.2.2; } interface lo0.0; interface ge-0/0/0.0; interface ge-0/1/1.0; } ospf { traffic-engineering; area 0.0.0.0 { interface ge-0/0/0.0; interface lo0.0 { passive; } } } -
En el enrutador ASBR1, cree el
To-PE1grupo del par BGP interno. Especifique la dirección IP del mismo nivel local como dirección locallo0.0. Especifique la dirección del par IP vecino como la dirección de interfaz Gigabit Ethernet del enrutador PE1.[edit protocols] bgp { group To-PE1 { type internal; local-address 192.0.2.4; neighbor 192.0.2.2 { family inet { labeled-unicast; } export next-hop-self; } } -
En el enrutador ASBR1, cree el
To-ASBR2grupo del par BGP externo. Habilite el enrutador para que utilice BGP para anunciar información de accesibilidad de la capa de red (NLRI) para rutas de unidifusión. Especifique la dirección del par IP vecino como la dirección de interfaz Gigabit Ethernet en el enrutador ASBR2.[edit protocols] group To-ASBR2 { type external; family inet { labeled-unicast; } export To-ASBR2; neighbor 192.168.3.8 { peer-as 200; } } -
En el enrutador ASBR1, configure el número de sistema autónomo local BGP.
[edit routing-options] autonomous-system 100;
-
En el enrutador ASBR 1, configure una política para importar rutas desde BGP que coincidan con la ruta 192.0.2.2/24.
[edit policy-options] policy-statement To-ASBR2 { term 1 { from { route-filter 192.0.2.2/32 exact; } then accept; } term 2 { then reject; } -
En el enrutador ASBR 1, defina una autopolítica de salto siguiente y aplíquela a las sesiones de IBGP.
[edit policy-options] policy-statement next-hop-self { then { next-hop self; } }
Configuración del enrutador ASBR2
Procedimiento paso a paso
-
En el enrutador ASBR2, configure las direcciones IP para las interfaces de Gigabit Ethernet. Habilite las interfaces para procesar las
inetfamilias ymplsdirecciones. Configure la dirección IP para lalo0.0interfaz de circuito cerrado y habilite la interfaz para procesar la familia deinetdirecciones.[edit interfaces] ge-0/1/1 { unit 0 { family inet { address 192.168.3.8/24; } family mpls; } } ge-0/2/3 { unit 0 { family inet { address 192.168.4.9/24; } family mpls; } } lo0 { unit 0 { family inet { address 192.0.2.5/32; } } } -
En el enrutador ASBR2, configure los protocolos para admitir el LSP.
Configure el protocolo RSVP especificando la interfaz Gigabit Ethernet orientada hacia el enrutador P2 y la interfaz lógica de circuito cerrado.
Configure el protocolo MPLS especificando las interfaces Gigabit Ethernet y la interfaz de circuito cerrado lógico. Incluya la
traffic-engineering bgp-igp-both-ribsinstrucción en el[edit protocols mpls]nivel jerárquico.Configure el protocolo OSPF en la interfaz Gigabit Ethernet frente al enrutador P2 y la interfaz de circuito cerrado lógico. Habilite OSPF para que admita extensiones de ingeniería de tráfico.
[edit protocols] rsvp { interface ge-0/2/3.0; interface lo0.0; } mpls { traffic-engineering bgp-igp-both-ribs; label-switched-path To_PE2 { to 192.0.2.7; } interface lo0.0 interface ge-0/2/3.0; interface ge-0/1/1.0; } ospf { traffic-engineering; area 0.0.0.0 { interface ge-0/2/3.0; interface lo0.0 { passive; } } } -
En el enrutador ASBR2, cree el
To-PE2grupo del mismo nivel BGP interno. Especifique la dirección IP del mismo nivel local como dirección locallo0.0. Especifique la dirección del par IP vecino como la dirección delo0.0interfaz del enrutador PE2.[edit protocols] bgp { group To-PE2 { type internal; local-address 192.0.2.5; export next-hop-self; neighbor 192.0.2.7 { family inet { labeled-unicast; } export next-hop-self; } } } -
En el enrutador ASBR2, cree el
To-ASBR1grupo del par BGP externo. Habilite el enrutador para que utilice BGP para anunciar NLRI para rutas de unidifusión. Especifique la dirección del par IP vecino como la dirección de interfaz Gigabit Ethernet en el enrutador ASBR1.[edit protocols] bgp { group To-ASBR1 { type external; family inet { labeled-unicast; } export To-ASBR1; neighbor 192.168.3.7 { peer-as 100; } } } -
En el enrutador ASBR2, configure el número de sistema autónomo local BGP.
[edit routing-options] autonomous-system 200;
-
En el enrutador ASBR2, configure una política para importar rutas desde BGP que coincidan con la
192.0.2.7/24ruta.[edit policy-options] policy-statement To-ASBR1 { term 1 { from { route-filter 192.0.2.7/32 exact; } then accept; } term 2 { then reject; } } -
En el enrutador ASBR 2, defina una autopolítica de próximo salto.
[edit policy-options] policy-statement next-hop-self { then { next-hop self; } }
Configuración del enrutador P2
Procedimiento paso a paso
-
En el enrutador P2, configure las direcciones IP para las interfaces SONET y Gigabit Ethernet. Habilite las interfaces para procesar las
inetfamilias ymplsdirecciones. Configure las direcciones IP para lalo0.0interfaz de circuito cerrado y habilite la interfaz para procesar la familia deinetdirecciones.[edit interfaces] so-0/0/0 { unit 0 { family inet { address 192.168.5.10/24; } family mpls; } } ge-0/2/2 { unit 0 { family inet { address 192.168.4.11/24; } family mpls; } } lo0 { unit 0 { family inet { address 192.0.2.6/32; } } } -
En el enrutador P2, configure los protocolos RSVP y MPLS para que admitan el LSP. Especifique las interfaces SONET y Gigabit Ethernet.
Configure el protocolo OSPF. Especifique las interfaces SONET y Gigabit Ethernet y especifique la interfaz lógica de circuito cerrado. Habilite OSPF para que admita extensiones de ingeniería de tráfico.
[edit protocols] rsvp { interface so-0/0/0.0; interface ge-0/2/2.0; interface lo0.0; } mpls { interface lo0.0; interface ge-0/2/2.0; interface so-0/0/0.0; } ospf { traffic-engineering; area 0.0.0.0 { interface ge-0/2/2.0; interface so-0/0/0.0; interface lo0.0 { passive; } } }
Configuración del enrutador PE2
Procedimiento paso a paso
-
En el enrutador PE2, configure las direcciones IPv4 en SONET, Fast Ethernet y las interfaces de circuito cerrado lógico. Especifique la
inetfamilia de direcciones en todas las interfaces. Especifique la familia demplsdirecciones en la interfaz SONET.[edit interfaces] so-0/0/1 { unit 0 { family inet { address 192.168.5.12/24; } family mpls; } } fe-0/3/1 { unit 0 { family inet { address 192.168.6.13/24; } } } lo0 { unit 0 { family inet { address 192.0.2.7/32; } } } -
En el enrutador PE2, configure la instancia de enrutamiento para VPN2. Especifique el tipo de
vrfinstancia y especifique la interfaz Fast Ethernet orientada al cliente. Configure un diferenciador de ruta para crear un prefijo de dirección VPN-IPv4 único. Aplique las políticas de importación y exportación de VRF para habilitar el envío y la recepción de destinos de ruta. Configure el grupo del mismo nivel BGP dentro del VRF. Especifique AS20como AS par y especifique la dirección IP de la interfaz Fast Ethernet en el enrutador CE1 como dirección vecina.[edit routing-instances] vpn2CE2 { instance-type vrf; interface fe-0/3/1.0; route-distinguisher 1:100; vrf-import vpnimport; vrf-export vpnexport; protocols { bgp { group To_CE2 { peer-as 20; neighbor 192.168.6.14; } } } } -
En el enrutador PE2, configure los protocolos RSVP y MPLS para admitir el LSP. Configure el LSP en ASBR2 y especifique la dirección IP de la interfaz de circuito cerrado lógico en el enrutador ASBR2. Configure el protocolo OSPF. Especifique la interfaz SONET orientada al núcleo y especifique la interfaz de circuito cerrado lógico en el enrutador PE2.
[edit protocols] rsvp { interface so-0/0/1.0; interface lo0.0; } mpls { label-switched-path To-ASBR2 { to 192.0.2.5; } interface so-0/0/1.0; interface lo0.0; } ospf { traffic-engineering; area 0.0.0.0 { interface so-0/0/1.0; interface lo0.0 { passive; } } } -
En el enrutador PE2, configure el
To_ASBR2grupo BGP. Especifique el tipo de grupo comointernal. Especifique la dirección local como interfaz de circuito cerrado lógico en el enrutador PE2. Especifique la dirección del vecino como interfaz de circuito cerrado lógico en el enrutador ASBR2.[edit protocols] bgp { group To_ASBR2 { type internal; local-address 192.0.2.7; neighbor 192.0.2.5 { family inet { labeled-unicast { resolve-vpn; } } } } } -
En el enrutador PE2, configure el EBGP de múltiples saltos hacia el enrutador PE1 Especifique la familia de
inet-vpndirecciones.[edit protocols] bgp { group To_PE1 { type external; local-address 192.0.2.7; multihop { ttl 20; } family inet-vpn { unicast; } neighbor 192.0.2.2 { peer-as 100; } } } -
En el enrutador PE2, configure el número de sistema autónomo local BGP.
[edit routing-options] autonomous-system 200;
-
En el enrutador PE2, configure una política para agregar el destino de ruta VRF a las rutas que se anuncian para esta VPN.
[edit policy-options] policy-statement vpnexport { term 1 { from protocol bgp; then { community add test_comm; accept; } } term 2 { then reject; } } -
En el enrutador PE2, configure una política para importar rutas desde BGP que tengan
test_commla comunidad asociada.[edit policy-options] policy-statement vpnimport { term 1 { from { protocol bgp; community test_comm; } then accept; } term 2 { then reject; } } -
En el enrutador PE1, defina la comunidad BGP con un destino de
test_commruta.[edit policy-options] community test_comm members target:1:100;
Configuración del enrutador CE2
Procedimiento paso a paso
-
En el enrutador CE2, configure la dirección IP y la familia de protocolos en la interfaz Fast Ethernet para el vínculo entre el enrutador CE2 y el enrutador PE2. Especifique el tipo de familia de
inetdirecciones.[edit interfaces] fe-3/0/0 { unit 0 { family inet { address 192.168.6.14/24; } } } -
En el enrutador CE2, configure la dirección IP y la familia de protocolos en la interfaz de circuito cerrado. Especifique el tipo de familia de
inetdirecciones.[edit interfaces lo0] lo0 { unit 0 { family inet { address 192.0.2.8/32; } } } -
En el enrutador CE2, defina una política denominada
myroutesque acepte rutas directas.[edit policy-options] policy-statement myroutes { from protocol direct; then accept; } -
En el enrutador CE2, configure un protocolo de enrutamiento. El protocolo de enrutamiento puede ser una ruta estática, RIP, OSPF, ISIS o EBGP. En este ejemplo, configuramos EBGP. Especifique la dirección IP vecina del BGP como interfaz lógica de circuito cerrado del enrutador PE1. Aplique la
myroutesdirectiva.[edit protocols] bgp { group To_PE2 { neighbor 198.51.100.13 { export myroutes; peer-as 200; } } } -
En el enrutador CE2, configure el número de sistema autónomo local BGP.
[edit routing-options] autonomous-system 20;
Verificación del funcionamiento de la VPN
Procedimiento paso a paso
-
Confirme la configuración en cada enrutador.
Nota:Las etiquetas MPLS que se muestran en este ejemplo serán diferentes de las etiquetas utilizadas en su configuración.
-
En el enrutador PE1, muestre las rutas de la instancia de
vpn2CE1enrutamiento mediante elshow ospf routecomando. Compruebe que la192.0.2.1ruta se aprende de OSPF.user@PE1> show ospf route instance vpn2CE1 Topology default Route Table: Prefix Path Route NH Metric NextHop Nexthop Type Type Type Interface addr/label 192.0.2.1 Intra Router IP 1 fe-1/2/3.0 198.51.100.1 192.0.2.1/32 Intra Network IP 1 fe-1/2/3.0 198.51.100.1 198.51.100.0/24 Intra Network IP 1 fe-1/2/3.0 -
En el enrutador PE1, utilice el
show route advertising-protocolcomando para comprobar que el enrutador PE1 anuncia la192.0.2.1ruta al enrutador PE2 mediante MP-BGP con la etiqueta MPLS de VPN.user@PE1> show route advertising-protocol bgp 192.0.2.7 extensive bgp.l3vpn.0: 2 destinations, 2 routes (2 active, 0 holddown, 0 hidden) * 1:100:192.0.2.1/32 (1 entry, 1 announced) BGP group To_PE2 type External Route Distinguisher: 1:100 VPN Label: 300016 Nexthop: Self Flags: Nexthop Change MED: 1 AS path: [100] I Communities: target:1:100 rte-type:0.0.0.2:1:0 -
En el enrutador ASBR1, utilice el
show route advertising-protocolcomando para comprobar que el enrutador ASBR1 anuncia la192.0.2.2ruta al enrutador ASBR2.user@ASBR1> show route advertising-protocol bgp 192.168.3,8 extensive inet.0: 14 destinations, 16 routes (14 active, 0 holddown, 0 hidden) * 192.0.2.2/32 (2 entries, 1 announced) BGP group To-PE2 type External Route Label: 300172 Nexthop: Self Flags: Nexthop Change MED: 2 AS path: [100] I -
En el enrutador ASBR2, utilice el
show route receive-protocolcomando para comprobar que el enrutador recibe y acepta la192.0.2.2ruta.user@ASBR2> show route receive-protocol bgp 192.168.3.7 extensive inet.0: 10 destinations, 11 routes (10 active, 0 holddown, 0 hidden) * 192.0.2.2/32 (1 entry, 1 announced) Accepted Route Label: 300172 Nexthop: 192.168.3.7 MED: 2 AS path: 100 I -
En el enrutador ASBR2, utilice el
show route advertising-protocolcomando para comprobar que el enrutador ASBR2 anuncia la192.0.2.2ruta al enrutador PE2.user@ASBR2> show route advertising-protocol bgp 192.0.2.7 extensive inet.0: 10 destinations, 11 routes (10 active, 0 holddown, 0 hidden) * 192.0.2.2/32 (1 entry, 1 announced) BGP group To-PE2 type Internal Route Label: 300192 Nexthop: Self Flags: Nexthop Change MED: 2 Localpref: 100 AS path: [200] 100 I -
En el enrutador PE2, utilice el
show route receive-protocolcomando para comprobar que el enrutador PE2 recibe la ruta y la coloca en la tabla deinet.0.enrutamiento. Compruebe que el enrutador PE2 también recibe la actualización del enrutador PE1 y acepta la ruta.user@PE2> show route receive-protocol bgp 192.0.2.5 extensive inet.0: 13 destinations, 14 routes (13 active, 0 holddown, 0 hidden) * 192.0.2.2/32 (1 entry, 1 announced) Accepted Route Label: 300192 Nexthop: 192.0.2.5 MED: 2 Localpref: 100 AS path: 100 I AS path: Recorded inet.3: 2 destinations, 2 routes (2 active, 0 holddown, 0 hidden) * 192.0.2.2/32 (1 entry, 1 announced) Accepted Route Label: 300192 Nexthop: 192.0.2.5 MED: 2 Localpref: 100 AS path: 100 I AS path: Recorded -
En el enrutador PE2, utilice el
show route receive-protocolcomando para comprobar que el enrutador PE2 coloca la ruta en la tabla de enrutamiento de lavpn2CE2instancia de enrutamiento y anuncia la ruta al enrutador CE2 mediante EBGP.user@PE2> show route receive-protocol bgp 192.0.2.2 detail inet.0: 17 destinations, 18 routes (17 active, 0 holddown, 0 hidden) inet.3: 6 destinations, 6 routes (6 active, 0 holddown, 0 hidden) __juniper_private1__.inet.0: 14 destinations, 14 routes (8 active, 0 holddown, 6 hidden) __juniper_private2__.inet.0: 1 destinations, 1 routes (0 active, 0 holddown, 1 hidden) vpn2CE2.inet.0: 4 destinations, 5 routes (4 active, 0 holddown, 0 hidden) * 192.0.2.1/32 (1 entry, 1 announced) Accepted Route Distinguisher: 1:100 VPN Label: 300016 Nexthop: 192.0.2.2 MED: 1 AS path: 100 I AS path: Recorded Communities: target:1:100 rte-type:0.0.0.2:1:0 iso.0: 1 destinations, 1 routes (1 active, 0 holddown, 0 hidden) mpls.0: 4 destinations, 4 routes (4 active, 0 holddown, 0 hidden) bgp.l3vpn.0: 2 destinations, 2 routes (2 active, 0 holddown, 0 hidden) * 1:100:192.0.2.1/32 (1 entry, 0 announced) Accepted Route Distinguisher: 1:100 VPN Label: 300016 Nexthop: 192.0.2.2 MED: 1 AS path: 100 I AS path: Recorded Communities: target:1:100 rte-type:0.0.0.2:1:0 __juniper_private1__.inet6.0: 4 destinations, 4 routes (4 active, 0 holddown, 0 hidden) -
En el enrutador PE2, utilice el
show route advertising-protocolcomando para comprobar que el enrutador PE2 anuncia la192.0.2.1ruta al enrutador CE2 a través delvpn2CE2grupo del mismo nivel.user@PE2> show route advertising-protocol bgp 192.168.6.14 extensive vpn2CE2.inet.0: 4 destinations, 5 routes (4 active, 0 holddown, 0 hidden) * 192.0.2.1/32 (1 entry, 1 announced) BGP group vpn2CE2 type External Nexthop: Self AS path: [200] 100 I Communities: target:1:100 rte-type:0.0.0.2:1:0 -
En el enrutador CE2, utilice el
show routecomando para comprobar que el enrutador CE2 recibe la192.0.2.1ruta del enrutador PE2.user@CE2> show route 192.0.2.1 inet.0: 6 destinations, 6 routes (6 active, 0 holddown, 0 hidden) + = Active Route, - = Last Active, * = Both 192.0.2.1/32 *[BGP/170] 00:25:36, localpref 100 AS path: 200 100 I > to 192.168.6.13 via fe-3/0/0.0 -
En el enrutador CE2, utilice el comando y especifique
192.0.2.8como origen de los paquetes de ping para verificar lapingconectividad con el enrutador CE1.user@CE2> ping 192.0.2.1 source 192.0.2.8 PING 192.0.2.1 (192.0.2.1): 56 data bytes 64 bytes from 192.0.2.1: icmp_seq=0 ttl=58 time=4.786 ms 64 bytes from 192.0.2.1: icmp_seq=1 ttl=58 time=10.210 ms 64 bytes from 192.0.2.1: icmp_seq=2 ttl=58 time=10.588 ms
-
En el enrutador PE2, utilice el
show routecomando para comprobar que el tráfico se envía con una etiqueta interna de300016, una etiqueta intermedia de300192y una etiqueta superior de299776.user@PE2> show route 192.0.2.1 detail vpn2CE2.inet.0: 4 destinations, 5 routes (4 active, 0 holddown, 0 hidden) 192.0.2.1/32 (1 entry, 1 announced) *BGP Preference: 170/-101 Route Distinguisher: 1:100 Next hop type: Indirect Next-hop reference count: 3 Source: 192.0.2.2 Next hop type: Router, Next hop index: 653 Next hop: via so-0/0/1.0 weight 0x1, selected Label-switched-path To-ASBR2 Label operation: Push 300016, Push 300192, Push 299776(top) Protocol next hop: 192.0.2.2 Push 300016 Indirect next hop: 8c61138 262142 State: <Secondary Active Ext> Local AS: 200 Peer AS: 100 Age: 17:33 Metric: 1 Metric2: 2 Task: BGP_100.192.0.2.2+62319 Announcement bits (3): 0-RT 1-KRT 2-BGP RT Background AS path: 100 I AS path: Recorded Communities: target:1:100 rte-type:0.0.0.2:1:0 Accepted VPN Label: 300016 Localpref: 100 Router ID: 192.0.2.2 Primary Routing Table bgp.l3vpn.0 -
En el enrutador ASBR2, utilice el
show route tablecomando para verificar que el enrutador ASBR2 reciba el tráfico después de que el enrutador P2 muestre la etiqueta superior. Verifique que la etiqueta300192esté intercambiada con etiqueta300176y que el tráfico se envíe al enrutador ASBR1 mediante la interfaz ge-0/1/1.0. En este punto, se conserva la etiqueta300016inferior.user@ASBR2# show route table mpls.0 detail 300192 (1 entry, 1 announced) *VPN Preference: 170 Next hop type: Router, Next hop index: 660 Next-hop reference count: 2 Source: 192.168.3.7 Next hop: 192.168.3.7 via ge-0/1/1.0, selected Label operation: Swap 300176 State: <Active Int Ext> Local AS: 200 Age: 24:01 Task: BGP RT Background Announcement bits (1): 0-KRT AS path: 100 I Ref Cnt: 1 -
En el enrutador ASBR1, utilice el
show route tablecomando para comprobar que cuando el enrutador ASBR1 recibe tráfico con la etiqueta300176, intercambia la etiqueta con299824para llegar al enrutador PE1.user@ASBR1> show route table mpls.0 detail 300176 (1 entry, 1 announced) *VPN Preference: 170 Next hop type: Router, Next hop index: 651 Next-hop reference count: 2 Next hop: 192.168.2.5 via ge-0/0/0.0 weight 0x1, selected Label operation: Swap 299824 State: <Active Int Ext> Local AS: 100 Age: 25:53 Task: BGP RT Background Announcement bits (1): 0-KRT AS path: I Ref Cnt: 1 -
En el enrutador PE1, utilice el
show route tablecomando para comprobar que el enrutador PE1 recibe el tráfico después de que el enrutador P1 muestre la etiqueta superior. Verifique que la etiqueta300016aparezca y que el tráfico se envíe hacia el enrutador CE1 mediante la interfazfe-1/2/3.0.user@PE1> show route table mpls.0 detail 300016 (1 entry, 1 announced) *VPN Preference: 170 Next hop type: Router, Next hop index: 643 Next-hop reference count: 2 Next hop: 198.51.100.1 via fe-1/2/3.0, selected Label operation: Pop State:< Active Int Ext> Local AS: 100 Age: 27:37 Task: BGP RT Background Announcement bits (1): 0-KRT AS path: I Ref Cnt: 1 Communities: rte-type:0.0.0.2:1:0