EN ESTA PÁGINA
Configuración de instancias de enrutamiento para una MVPN MBGP
Configuración del modo solo SPT para VPN de multidifusión basadas en BGP multiprotocolo
Selección de túnel de proveedor en la replicación de entrada
Descripción general del control de recursos PIM para VPN de multidifusión
Descripción de los comodines para configurar LSP selectivos de punto a multipunto para una MVPN MBGP
Configuración de un túnel de proveedor selectivo mediante caracteres comodín
Ejemplo: configuración de túneles de proveedores selectivos mediante caracteres comodín
Distribución de rutas MVPN
En este tema se proporciona información y ejemplos sobre cómo configurar instancias de enrutamiento para admitir la multidifusión en una VPN de capa 3.
Configuración de instancias de enrutamiento para una MVPN MBGP
Para configurar MVPN de MBGP, incluya la mvpn instrucción:
mvpn { mvpn-mode (rpt-spt | spt-only); receiver-site; route-target { export-target { target target-community; unicast; } import-target { target { target-value; receiver target-value; sender target-value; } unicast { receiver; sender; } } } sender-site; traceoptions { file filename <files number> <size size> <world-readable | no-world-readable>; flag flag <flag-modifier> <disable>; } }
Puede incluir esta instrucción en los siguientes niveles jerárquicos:
[edit routing-instances routing-instance-name protocols][edit logical-systems logical-system-name routing-instances routing-instance-name protocols]
De forma predeterminada, una instancia de enrutamiento MVPN MBGP está asociada tanto al emisor de multidifusión como a los sitios receptores. Si configura la receiver-site opción, la instancia de enrutamiento solo se asociará a sitios receptores de multidifusión. La configuración de la sender-site opción asocia la instancia de enrutamiento solo con sitios de remitentes de multidifusión.
Al configurar la instancia de enrutamiento para la MVPN de MBGP, debe configurar los LSP de MPLS (con señal RSVP o con señal LDP) entre los enrutadores PE de la instancia de enrutamiento para garantizar la conectividad de unidifusión VPN. Los LSP de punto a multipunto solo se utilizan para el reenvío de datos de multidifusión.
Modo RPT-SPT con fuentes directas y receptores
Configure el modo RPT-SPT con fuentes y receptores conectados directamente al enrutador PE, sin necesidad de un enrutador CE.
En el modo RPT-SPT, el protocolo MVPN instala una entrada de reenvío (*,G) en enrutadores PE donde hay una ruta MVPN de tipo 6. Si esto está en el PE de entrada o salida, el tráfico se reenvía a través de la entrada de reenvío instalada (*,G), lo que significa que el enrutador no es consciente del tráfico de envío de origen al grupo de multidifusión y, por lo tanto, no puede crear estados de registro o (S, G) se une por sí mismo.
Puede haber situaciones en las que la fuente y los receptores de multidifusión estén conectados directamente al enrutador de PE de entrada/salida. Por ejemplo, con el uso de EVPN en enrutadores PE para lograr la redundancia de capa 2, la fuente y los receptores se conectan a través de conmutadores de capa 2, lo que hace innecesario el enrutador CE. Debido a la instalación predeterminada de la entrada de reenvío (*,G) en los enrutadores PE, el tráfico que fluye a través de estos enrutadores PE se reenvía directamente a través de la entrada (*,G) y no se generan solicitudes de resolución. Por lo tanto, no se activa el proceso de creación del estado del registro y de cambio al árbol de ruta más corto. Esta situación se puede evitar configurando la sg-forwarding-only instrucción en los enrutadores PE.
Al habilitar la sg-forwarding-only instrucción en los enrutadores de PE de salida bajo la edit routing-instances <routing-instance-name> protocols mvpn mvpn-mode rpt-spt jerarquía, las entradas de reenvío (*, G) no se instalan en el enrutador de PE de salida.
Como resultado, el tráfico de multidifusión desencadena solicitudes de resolución ya que no hay ningún estado de reenvío coincidente en el PFE. En función de estas solicitudes de resolución, los activadores del protocolo PIM (S, G) se unen y la ruta MVPN tipo 7 correspondiente si el enrutador PE es el enrutador de último salto (LHR) con el receptor conectado directamente. Si no es la LHR, las solicitudes de resolución desencadenan la creación del estado de reenvío (S, G) para reenviar el tráfico.
Del mismo modo, cuando las fuentes de multidifusión están conectadas directamente al enrutador de PE de entrada, la sg-forwarding-only instrucción de configuración garantiza la generación de registros en el punto de encuentro (RP), lo que permite a los receptores detrás del RP descubrir la fuente y unirse al árbol de fuentes.
Se recomienda agregar la instrucción de sg-forwarding-only configuración a todos los dispositivos ACX PE basados en Junos Evolved involucrados en la implementación, en lugar de configurar solo el dispositivo PE que está conectado directamente a una fuente o receptor.
Configuración del modo solo SPT para VPN de multidifusión basadas en BGP multiprotocolo
Para las MVPN MBGP (también conocidas como VPN de multidifusión de capa 3 de próxima generación), el modo de operación predeterminado es solo el modo de árbol de ruta más corto (solo SPT). En el modo de solo SPT, las fuentes de multidifusión activas se aprenden a través de rutas activas de origen de VPN de multidifusión. Este modo de operación se describe en la sección 14 del borrador BGP-MVPN (draft-ietf-l3vpn-2547bis-mcast-bgp-00.txt).
A diferencia del modo solo SPT, el modo rendezvous point tree (RPT)-SPT (también conocido como distribución de datos de árbol compartido) admite el modelo PIM nativo de transmisión de mensajes (*,G) desde el receptor al RP para mensajes de unión de árbol compartido entre sitios.
En el modo de solo SPT, cuando un enrutador PE recibe un mensaje de unión (*, C-G), el enrutador busca una fuente activa que transmita datos al grupo de clientes. Si el enrutador de PE tiene una ruta activa de origen para el grupo de clientes, el enrutador crea una ruta de multidifusión de cliente de árbol de origen y envía la ruta al enrutador de PE conectado al sitio VPN con el origen. La fuente está determinada por la elección de un solo reenviador de MVPN. Cuando un receptor envía un mensaje de unión (*,G) en un sitio VPN, el mensaje de unión (*,G) solo llega hasta el enrutador PE. Después de convertir el mensaje de unión en una ruta de multidifusión de tipo 7, que es equivalente a un mensaje de unión (S,G), la ruta se instala con la configuración de comunidad sin publicidad.
La elección de reenviador único MVPN sigue la regla documentada en la sección 9.1.1 del borrador BGP-MVPN (draft-ietf-l3vpn-2547bis-mcast-bgp-00.txt). El ganador de la elección de un solo remitente se basa en las siguientes reglas:
Si la ruta de unidifusión activa al origen se realiza a través de la interfaz, esta ruta se utiliza para determinar el salto de multidifusión ascendente (UMH).
Si la ruta de unidifusión activa al origen es una ruta VPN, MVPN selecciona el UMH según la dirección IP más alta de la comunidad de importación de rutas para las rutas VPN y la dirección de circuito cerrado principal local para las rutas VRF locales.
La elección de un solo reenviador garantiza la selección de un reenviador único para una fuente de cliente determinada (C-S). El enrutador de PE ascendente puede diferir para el árbol de origen y el árbol compartido porque la elección se basa en el origen del cliente y C-RP, respectivamente. Aunque la elección de reenviador único es suficiente para el modo solo SPT, el modo RPT-SPT alternativo implica procedimientos para evitar que se envíe tráfico duplicado al árbol compartido y al árbol de origen. Estos procedimientos pueden requerir parámetros configurados por el administrador para reducir el tráfico duplicado y reducir las rutas nulas durante el conmutador RPT a SPT y viceversa.
En el modo de solo SPT, cuando un origen está activo, PIM crea un estado de registro para el origen tanto en el DR como en el C-RP (o en un enrutador PE que ejecuta el Protocolo de detección de origen de multidifusión [MSDP] entre él y el C-RP). Después de crear los estados del registro, MVPN crea una ruta activa de origen. Estas rutas activas de origen tipo 5 se instalan en todos los enrutadores de PE. Cuando el enrutador PE de salida con el mensaje de unión (*,G) recibe la ruta activa de origen, tiene dos rutas que puede combinar para producir la ruta de multidifusión (S,G). La ruta de tipo 7 informa al enrutador PE de que un receptor está interesado en el grupo G. La ruta activa de origen informa al enrutador de PE de que una fuente S está transmitiendo datos al grupo G. MVPN combina esta información para producir un mensaje de unión de multidifusión y lo anuncia al enrutador de PE de entrada, según lo determine la elección del reenviador único.
Para algunos proveedores de servicios, la implementación solo de SPT no es ideal porque crea una restricción en la configuración de C-RP. Para que un enrutador PE cree rutas de multidifusión del cliente a partir de mensajes de unión (*, C-G), el enrutador debe aprender acerca de los orígenes activos a través de las rutas activas de origen tipo 5 de MVPN. Estas rutas activas de origen solo pueden ser originadas por un enrutador PE. Esto significa que un enrutador PE en la MVPN debe aprender acerca de todos los mensajes de registro PIM enviados al RP, lo que solo es posible en los siguientes casos:
El C-RP se coloca en uno de los PE de la MVPN.
MSDP se ejecuta entre la instancia C-RP y VRF en uno de los enrutadores PE de MVPN.
Si esta restricción no es aceptable, los proveedores pueden usar el modo RPT-SPT en lugar del modo predeterminado solo SPT. Sin embargo, dado que el modo solo SPT no transmite rutas (*,G) entre sitios VPN, el modo solo SPT tiene las siguientes ventajas sobre el modo RPT-SPT:
Operaciones simplificadas al intercambiar y procesar solo rutas de multidifusión del cliente del árbol de origen entre enrutadores de PE
Operaciones simplificadas al eliminar la necesidad de que el proveedor de servicios suprima duplicados transitorios de MVPN durante el cambio de RPT a SPT
Menos sobrecarga del plano de control en el espacio del proveedor de servicios al limitar el tipo de rutas de multidifusión intercambiadas por el cliente, lo que da como resultado implementaciones más escalables
Patrones de tráfico más estables en la red troncal sin los cambios de tráfico involucrados en el modo RPT-SPT
Mantenimiento más fácil en el espacio del proveedor de servicios debido a la menor información de estado
Para configurar el modo solo SPT:
Configuración de la multidifusión de Internet mediante túneles del proveedor de replicación de entrada
El tipo mpls-internet-multicast de instancia de enrutamiento utiliza túneles del proveedor de replicación de entrada para transportar datos de multidifusión IP entre enrutadores a través de una nube MPLS, lo que permite una ruta más rápida para el tráfico de multidifusión entre enrutadores emisores y receptores en implementaciones a gran escala.
La mpls-internet-multicast instancia de enrutamiento es una instancia sin reenvío que se utiliza únicamente para procedimientos del plano de control; no admite ninguna configuración de interfaz. Solo se puede definir una mpls-internet-multicast instancia de enrutamiento para un sistema lógico. Todas las rutas de multidifusión y unidifusión utilizadas para la multidifusión por Internet se asocian únicamente a la instancia maestra (inet.0), no a la instancia de enrutamiento.
Cada enrutador que participa en la multidifusión de Internet debe configurarse con multidifusión de Internet basada en MPLS BGP para los procedimientos del plano de control y con replicación de entrada para el túnel del proveedor de datos, que forma una malla completa de LSP punto a punto de MPLS. El túnel de replicación de entrada puede ser selectivo o inclusivo, y coincidir con la configuración del túnel del proveedor en la instancia de enrutamiento.
La topología consiste en enrutadores en el borde del dominio de multidifusión IP que tienen un conjunto de interfaces IP y un conjunto de interfaces MPLS orientadas al núcleo, consulte la figura 1. El tráfico de multidifusión de Internet se transporta entre los enrutadores IP, a través de la nube MPLS, utilizando túneles de replicación de entrada para el plano de datos y una sesión IGBP de malla completa para el plano de control.
El mpls-internet-multicast tipo de instancia de enrutamiento está configurado para que la instancia maestra predeterminada de cada enrutador admita la multidifusión de Internet a través de MPLS. Cuando se utiliza PIM como protocolo de multidifusión, la instrucción de mpls-internet-multicast configuración también se incluye en el nivel de [edit protocols pim] jerarquía de la instancia maestra. Esto crea una pseudointerfaz que asocia PIM con la instancia de mpls-internet-multicast enrutamiento.
Cuando es necesario agregar un nuevo destino al túnel del proveedor de replicación de entrada, el comportamiento resultante varía en función de cómo esté configurado el túnel del proveedor de replicación de entrada:
create-new-ucast-tunnel: cuando se configura esta instrucción, se crea un nuevo túnel de unidifusión al destino y se elimina cuando el destino ya no es necesario. Use este modo para RSVP LSP que usan replicación de entrada.label-switched-path-template (Multicast): cuando se configura esta instrucción, se utiliza una plantilla LSP para el LSP punto a multipunto para la replicación de entrada.
de multidifusión de Internet
Example: Configure Internet Multicast Using Ingress Replication Tunnels
En este ejemplo se configura VPN-B con el tipo mpls-internet-multicastde instancia . En este ejemplo también se utiliza PIM para el protocolo de multidifusión.
Ver también
Selección de túnel de proveedor en la replicación de entrada
Ajuste los criterios de coincidencia de los túneles de unidifusión con los túneles de proveedor RSVP/MLDP.
- Configurar expresiones regulares para seleccionar túneles RSVP durante la replicación de entrada
- Configurar una tabla inet.3 coloreada para la replicación de entrada
- Ajuste preciso de la selección de túnel RSVP mediante la combinación de expresiones regulares con tablas de colores
- Configurar una dirección raíz para túneles MLDP
Configurar expresiones regulares para seleccionar túneles RSVP durante la replicación de entrada
La compatibilidad con expresiones regulares para túneles de unidifusión mejora los criterios de coincidencia de túneles de unidifusión con túneles de proveedor RSVP, lo que permite un control preciso sobre la selección de túneles durante la replicación de entrada. Puede ajustar los criterios de selección para determinar cuál de los túneles del proveedor paralelo hacia un dispositivo PE de salida se usa para un flujo específico o para todos los flujos, mejorando así sus implementaciones de VPN de multidifusión (MVPN).
de entrada
Por ejemplo, en la ilustración anterior, hay dos conjuntos de túneles RSVP con los nombres "rojo" y "azul". Además, puede especificar estos nombres como una expresión regular en la configuración del túnel (ya sea inclusiva o selectiva) para que coincida con el conjunto correspondiente de túneles de unidifusión. Cuando la expresión regular del túnel de unidifusión coincide con la del LSP del túnel RSVP de la tabla inet.3, se selecciona ese LSP específico para la replicación de entrada. Esto es aplicable tanto para PMSI inclusivo como selectivo. Utilice la instrucción de unicast-tunnel-name-regular-expression configuración en la routing-instances provider-tunnel ingress-replication jerarquía.
- Para configurar PMSI inclusivo :
set routing-instances routing-instance-name provider-tunnel ingress-replication unicast-tunnel-name-regular-expression <reg-ex> - Para configurar PMSI selectivo :
set routing-instances routing-instance-name provider-tunnel selective group 228.1.1.1/32 source 0.0.0.0/0 ingress-replication unicast-tunnel-name-regular-expression <reg-ex>
Configurar una tabla inet.3 coloreada para la replicación de entrada
De forma predeterminada, la replicación de entrada utiliza la tabla inet.3 predeterminada para buscar el túnel de unidifusión a una hoja de túnel. Junos admite tablas inet.3 de colores para resolver los próximos saltos del BGP y también se pueden usar para la replicación de entrada a través de túneles de unidifusión.
Puede especificar qué túneles RSVP se colocan en tablas inet.3 de color específicas mediante la instrucción transport-class configuration situada en la routing-instances vrf provider-tunnel ingress-replication jerarquía.
set routing-instances vrf provider-tunnel ingress-replication transport-class
<color>
Posteriormente, configure el túnel MVPN para la replicación de entrada para especificar qué tabla inet.3 de color correspondiente se va a utilizar.
Ajuste preciso de la selección de túnel RSVP mediante la combinación de expresiones regulares con tablas de colores
Al combinar expresiones regulares con tablas inet.3 de colores, puede ajustar aún más la selección del túnel RSVP durante la replicación de entrada. Solo se seleccionan los nombres de túnel RSVP que coincidan con una expresión regular específica y pertenezcan a una tabla inet.3 de color específica, lo que proporciona un control granular sobre qué túneles de proveedor se usan para enrutar el tráfico de multidifusión a través de la red principal hacia los PE de salida.
Por ejemplo, hay cuatro LSP en la misma hoja de túnel de replicación de entrada denominadas red1, red2, blue1 y blue2. Se colocan en tablas inet.3 de color rojo y azul y la configuración del túnel MVPN para la replicación de entrada se usa para especificar tanto una expresión regular como la tabla de colores que se va a usar. Esto garantiza que solo se utilice un túnel en la tabla especificada con el nombre LSP coincidente.
-
Para configurar PMSI inclusivo :
set routing-instances vrf provider-tunnel ingress-replication transport-class <color> unicast-tunnel-name-regular-expression <reg-ex> -
Para configurar PMSI selectivo :
set routing-instances vrf provider-tunnel selective group <group-address> source <source-address> ingress-replication transport-class <color> unicast-tunnel-name-regular-expression <reg-ex>
Configurar una dirección raíz para túneles MLDP
Las instancias múltiples de IS-IS se pueden usar para crear diferentes topologías. Al configurar la dirección raíz de los túneles MLDP, la interfaz lo.0 se puede exportar a diferentes instancias con direcciones diferentes. Con esto, los dispositivos PE de salida pueden unir túneles en sus topologías correspondientes, logrando así redundancia de flujo rojo/azul.
MVPN analiza la dirección raíz configurada y la pasa a MLDP. A cambio, MLDP envía un FEC MLDP con diferentes direcciones de circuito cerrado (a diferencia del circuito cerrado predeterminado) que MVPN utiliza para anunciar túneles inclusivos y selectivos a través de rutas I-PMSI/S-PMSI. Con diferentes direcciones de circuito cerrado que se exportan a diferentes instancias, los dispositivos de PE de salida pueden unir túneles en sus topologías correspondientes.
Utilice la instrucción de root-address configuración en la routing-instances provider tunnel ldp-p2mp jerarquía.
set routing-instances vrf provider-tunnel ldp-p2mp root-address <root-address>
Ver también
Descripción general del control de recursos PIM para VPN de multidifusión
Una red de proveedores de servicios debe protegerse de posibles ataques de dispositivos perimetrales del cliente (CE) mal configurados o que se comportan mal y sus instancias de enrutamiento y reenvío VPN (VRF) asociadas. Los dispositivos CE que se comportan mal pueden anunciar potencialmente una gran cantidad de rutas de multidifusión hacia un dispositivo perimetral del proveedor (PE), consumiendo así memoria en el dispositivo PE y utilizando otros recursos del sistema en la red que están reservados para rutas que pertenecen a otras VPN.
Para protegerse contra posibles dispositivos CE e instancias de enrutamiento VRF que se porten mal para VPN de multidifusión (MVPN) específicas, puede controlar los siguientes recursos de multidifusión independiente del protocolo (PIM):
Limite el número de mensajes de unión PIM aceptados para grupos de cualquier origen (*,G) y grupos específicos de origen (S,G).
Observe cómo el dispositivo cuenta los mensajes de unión PIM:
Cada (*,G) cuenta como un grupo hacia el límite.
Cada (S, G) cuenta como un grupo hacia el límite.
Limite el número de mensajes de registro PIM recibidos para una instancia de enrutamiento VRF específica. Utilice esta configuración si el dispositivo está configurado como un punto de encuentro (RP) o tiene el potencial de convertirse en un RP. Cuando un origen en una red de multidifusión se activa, el enrutador designado (DR) del origen encapsula los paquetes de datos de multidifusión en un mensaje de registro PIM y los envía por medio de unidifusión al enrutador RP.
Observe cómo cuenta el dispositivo los mensajes de registro PIM:
Cada unión única (S,G) recibida por el RP cuenta como un grupo para el límite de mensajes de registro configurado.
Los mensajes de registro periódicos enviados por el DR para entradas existentes o ya conocidas (S,G) no cuentan para el límite de mensajes de registro configurado.
Los mensajes de registro se aceptan hasta que se supere el límite de registro PIM o el límite de unión PIM (si está configurado). Una vez que se alcanza cualquiera de los límites, se eliminan las solicitudes nuevas.
Limite el número de asignaciones de grupo a RP permitidas en una instancia específica de enrutamiento VRF. Utilice esta configuración si el dispositivo está configurado como RP o puede convertirse en RP. Esta configuración se puede aplicar a dispositivos configurados para el anuncio y descubrimiento automático de RP (Auto-RP) o como un enrutador de arranque PIM. Cada dispositivo de multidifusión dentro de un dominio PIM debe poder asignar una dirección de grupo de multidifusión determinada al mismo RP. Tanto Auto-RP como la funcionalidad del enrutador de arranque son los mecanismos utilizados para aprender el conjunto de asignaciones de grupo a RP. Auto-RP se usa normalmente en una implementación de modo denso PIM y el enrutador de arranque se usa típicamente en una implementación de modo disperso PIM.
Nota:El límite de asignaciones de grupo a RP no se aplica a las configuraciones de RP estático ni de RP incrustado.
Algunas cosas importantes a tener en cuenta acerca de cómo el dispositivo cuenta las asignaciones de grupo a RP:
Un prefijo de grupo asignado a cinco RP cuenta como cinco asignaciones de grupo a RP.
Cinco prefijos de grupo distintos asignados a un RP cuentan como cinco asignaciones de grupo a RP.
Una vez alcanzados los límites configurados, no se aceptan nuevos mensajes de unión PIM, mensajes de registro PIM ni asignaciones de grupo a RP, a menos que se produzca una de las siguientes situaciones:
Los estados de unión PIM actuales se borran mediante el
clear pim joincomando. Si utiliza este comando en un RP configurado para límites de mensajes de registro PIM, el recuento de límites de registro también se reinicia porque el RP desconoce los mensajes de unión PIM.Nota:En el RP, también puede utilizar el
clear pim registercomando para borrar todos los registros PIM. Este comando es útil si el recuento actual de registros PIM es mayor que el límite de registros PIM recién configurado. Después de borrar los registros PIM, se reciben nuevos mensajes de registro PIM hasta el límite configurado.El tráfico responsable del exceso de mensajes de unión PIM y mensajes de registro PIM se detiene y ya no está presente.
-
CAUTELA:
Nunca reinicie ninguno de los procesos de software a menos que así lo indique un ingeniero de atención al cliente.
Reinicie el proceso de enrutamiento PIM en el dispositivo. Este reinicio borra todos los límites configurados, pero interrumpe el enrutamiento y, por lo tanto, requiere una ventana de mantenimiento para el cambio.
Mensajes de registro del sistema para recursos PIM
Opcionalmente, puede configurar un umbral de advertencia de registro del sistema para cada uno de los recursos PIM. Con esta configuración, puede generar y revisar mensajes de registro del sistema para detectar si se ha recibido un número excesivo de mensajes de unión PIM, mensajes de registro PIM o asignaciones de grupo a RP en el dispositivo. Los umbrales de advertencia del registro del sistema se configuran por recurso PIM y son un porcentaje de los límites máximos configurados de los mensajes de unión PIM, los mensajes de registro PIM y las asignaciones de grupo a RP. Además, puede especificar un intervalo de registro para cada recurso PIM configurado, que es la cantidad de tiempo (en segundos) entre los mensajes de registro.
Los mensajes de registro transmiten cuando se han superado los límites configurados, cuando se han superado los umbrales de advertencia configurados y cuando los límites configurados caen por debajo del umbral de advertencia configurado. En la tabla 1 se describen los distintos tipos de mensajes del sistema PIM que puede ver en función de las configuraciones de advertencia de registro e intervalo de registro del sistema.
Mensaje de registro del sistema |
Definición |
|---|---|
RPD_PIM_SG_THRESHOLD_EXCEED |
Registra cuando las rutas (S,G)/(*,G) superan el umbral de advertencia configurado. |
RPD_PIM_REG_THRESH_EXCEED |
Registra cuando los registros PIM superan el umbral de advertencia configurado. |
RPD_PIM_GRP_RP_MAP_THRES_EXCEED |
Registra cuando las asignaciones de grupo a RP superan el umbral de advertencia configurado. |
RPD_PIM_SG_LIMIT_EXCEED |
Registra cuando las rutas (S,G)/(*,G) superan el límite configurado, o cuando se ha cumplido el intervalo de registro configurado y las rutas superan el límite configurado. |
RPD_PIM_REGISTER_LIMIT_EXCEED |
Registra cuando los registros PIM superan el límite configurado o cuando se ha cumplido el intervalo de registro configurado y los registros superan el límite configurado. |
RPD_PIM_GRP_RP_MAP_LIMIT_EXCEED |
Registra cuando las asignaciones de grupo a RP superan el límite configurado o cuando se ha cumplido el intervalo de registro configurado y la asignación supera el límite configurado. |
RPD_PIM_SG_LIMIT_BELOW |
Registra cuándo las rutas (S,G)/(*,G) caen por debajo del límite configurado y del intervalo de registro configurado. |
RPD_PIM_REGISTER_LIMIT_BELOW |
Registra cuándo los registros PIM caen por debajo del límite configurado y del intervalo de registro configurado. |
RPD_PIM_GRP_RP_MAP_LIMIT_BELOW |
Registra cuándo las asignaciones de grupo a RP caen por debajo del límite configurado y del intervalo de registro configurado. |
Ejemplo: configuración de límites de estado PIM
En este ejemplo se muestra cómo establecer límites en la información de estado de multidifusión independiente del protocolo (PIM) para que una red de proveedor de servicios pueda protegerse de posibles ataques de dispositivos perimetrales del cliente (CE) mal configurados o que se comportan mal y sus instancias de enrutamiento y reenvío VPN (VRF) asociadas.
Requisitos
No se requiere ninguna configuración especial más allá de la inicialización del dispositivo antes de configurar este ejemplo.
Visión general
En este ejemplo, se configura una VPN de multidifusión basada en BGP (MVPN MBGP de próxima generación) con límites en los recursos de estado PIM.
La sglimit maximum instrucción establece un límite para el número de estados de unión PIM aceptados (*,G) y (S,G) recibidos para la instancia de enrutamiento vpn-1.
La rp register-limit maximum instrucción configura un límite para el número de mensajes de registro PIM recibidos para la instancia de enrutamiento vpn-1. Esta instrucción se configura en el punto de encuentro (RP) o en todos los dispositivos que podrían convertirse en RP.
La group-rp-mapping maximum instrucción configura un límite para el número de asignaciones de grupo a RP permitidas en la instancia de enrutamiento vpn-1.
Para cada recurso PIM configurado, la threshold instrucción establece un porcentaje del límite máximo en el que empezar a generar mensajes de advertencia en el archivo de registro PIM.
Para cada recurso PIM configurado, la instrucción es una cantidad de tiempo (en segundos) entre la log-interval generación de mensajes de registro del sistema.
La figura 3 muestra la topología utilizada en este ejemplo.
de límites de estado PIM
La Configuración rápida de CLI muestra la configuración de todos los dispositivos de la Figura 3. En la sección Dispositivo PE1 siguiente se describen los pasos para el Dispositivo PE1.
Configuración
Procedimiento
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red y, a continuación, copie y pegue los comandos en la CLI en el nivel de [edit] jerarquía.
Dispositivo CE1
set interfaces ge-1/2/0 unit 1 family inet address 10.1.1.1/30 set interfaces ge-1/2/0 unit 1 family mpls set interfaces lo0 unit 1 family inet address 192.0.2.1/24 set protocols ospf area 0.0.0.0 interface lo0.1 passive set protocols ospf area 0.0.0.0 interface ge-1/2/0.1 set protocols pim rp static address 203.0.113.1 set protocols pim interface all set routing-options router-id 192.0.2.1
Dispositivo PE1
set interfaces ge-1/2/0 unit 2 family inet address 10.1.1.2/30 set interfaces ge-1/2/0 unit 2 family mpls set interfaces ge-1/2/1 unit 5 family inet address 10.1.1.5/30 set interfaces ge-1/2/1 unit 5 family mpls set interfaces vt-1/2/0 unit 2 family inet set interfaces lo0 unit 2 family inet address 192.0.2.2/24 set interfaces lo0 unit 102 family inet address 203.0.113.1/24 set protocols mpls interface ge-1/2/1.5 set protocols bgp group ibgp type internal set protocols bgp group ibgp local-address 192.0.2.2 set protocols bgp group ibgp family inet-vpn any set protocols bgp group ibgp family inet-mvpn signaling set protocols bgp group ibgp neighbor 192.0.2.4 set protocols bgp group ibgp neighbor 192.0.2.5 set protocols ospf area 0.0.0.0 interface lo0.2 passive set protocols ospf area 0.0.0.0 interface ge-1/2/1.5 set protocols ldp interface ge-1/2/1.5 set protocols ldp p2mp set policy-options policy-statement parent_vpn_routes from protocol bgp set policy-options policy-statement parent_vpn_routes then accept set routing-instances vpn-1 instance-type vrf set routing-instances vpn-1 interface ge-1/2/0.2 set routing-instances vpn-1 interface vt-1/2/0.2 set routing-instances vpn-1 interface lo0.102 set routing-instances vpn-1 route-distinguisher 100:100 set routing-instances vpn-1 provider-tunnel ldp-p2mp set routing-instances vpn-1 vrf-target target:1:1 set routing-instances vpn-1 protocols ospf export parent_vpn_routes set routing-instances vpn-1 protocols ospf area 0.0.0.0 interface lo0.102 passive set routing-instances vpn-1 protocols ospf area 0.0.0.0 interface ge-1/2/0.2 set routing-instances vpn-1 protocols pim sglimit family inet maximum 100 set routing-instances vpn-1 protocols pim sglimit family inet threshold 70 set routing-instances vpn-1 protocols pim sglimit family inet log-interval 10 set routing-instances vpn-1 protocols pim rp register-limit family inet maximum 100 set routing-instances vpn-1 protocols pim rp register-limit family inet threshold 80 set routing-instances vpn-1 protocols pim rp register-limit family inet log-interval 10 set routing-instances vpn-1 protocols pim rp group-rp-mapping family inet maximum 100 set routing-instances vpn-1 protocols pim rp group-rp-mapping family inet threshold 80 set routing-instances vpn-1 protocols pim rp group-rp-mapping family inet log-interval 10 set routing-instances vpn-1 protocols pim rp static address 203.0.113.1 set routing-instances vpn-1 protocols pim interface ge-1/2/0.2 mode sparse set routing-instances vpn-1 protocols mvpn set routing-options router-id 192.0.2.2 set routing-options autonomous-system 1001
Dispositivo P
set interfaces ge-1/2/0 unit 6 family inet address 10.1.1.6/30 set interfaces ge-1/2/0 unit 6 family mpls set interfaces ge-1/2/1 unit 9 family inet address 10.1.1.9/30 set interfaces ge-1/2/1 unit 9 family mpls set interfaces ge-1/2/2 unit 13 family inet address 10.1.1.13/30 set interfaces ge-1/2/2 unit 13 family mpls set interfaces lo0 unit 3 family inet address 192.0.2.3/24 set protocols mpls interface ge-1/2/0.6 set protocols mpls interface ge-1/2/1.9 set protocols mpls interface ge-1/2/2.13 set protocols ospf area 0.0.0.0 interface lo0.3 passive set protocols ospf area 0.0.0.0 interface ge-1/2/0.6 set protocols ospf area 0.0.0.0 interface ge-1/2/1.9 set protocols ospf area 0.0.0.0 interface ge-1/2/2.13 set protocols ldp interface ge-1/2/0.6 set protocols ldp interface ge-1/2/1.9 set protocols ldp interface ge-1/2/2.13 set protocols ldp p2mp set routing-options router-id 192.0.2.3
Dispositivo PE2
set interfaces ge-1/2/0 unit 10 family inet address 10.1.1.10/30 set interfaces ge-1/2/0 unit 10 family mpls set interfaces ge-1/2/1 unit 17 family inet address 10.1.1.17/30 set interfaces ge-1/2/1 unit 17 family mpls set interfaces vt-1/2/0 unit 4 family inet set interfaces lo0 unit 4 family inet address 192.0.2.4/24 set interfaces lo0 unit 104 family inet address 203.0.113.4/24 set protocols mpls interface ge-1/2/0.10 set protocols bgp group ibgp type internal set protocols bgp group ibgp local-address 192.0.2.4 set protocols bgp group ibgp family inet-vpn any set protocols bgp group ibgp family inet-mvpn signaling set protocols bgp group ibgp neighbor 192.0.2.2 set protocols bgp group ibgp neighbor 192.0.2.5 set protocols ospf area 0.0.0.0 interface lo0.4 passive set protocols ospf area 0.0.0.0 interface ge-1/2/0.10 set protocols ldp interface ge-1/2/0.10 set protocols ldp p2mp set policy-options policy-statement parent_vpn_routes from protocol bgp set policy-options policy-statement parent_vpn_routes then accept set routing-instances vpn-1 instance-type vrf set routing-instances vpn-1 interface vt-1/2/0.4 set routing-instances vpn-1 interface ge-1/2/1.17 set routing-instances vpn-1 interface lo0.104 set routing-instances vpn-1 route-distinguisher 100:100 set routing-instances vpn-1 vrf-target target:1:1 set routing-instances vpn-1 protocols ospf export parent_vpn_routes set routing-instances vpn-1 protocols ospf area 0.0.0.0 interface lo0.104 passive set routing-instances vpn-1 protocols ospf area 0.0.0.0 interface ge-1/2/1.17 set routing-instances vpn-1 protocols pim rp group-rp-mapping family inet maximum 100 set routing-instances vpn-1 protocols pim rp group-rp-mapping family inet threshold 80 set routing-instances vpn-1 protocols pim rp group-rp-mapping family inet log-interval 10 set routing-instances vpn-1 protocols pim rp static address 203.0.113.1 set routing-instances vpn-1 protocols pim interface ge-1/2/1.17 mode sparse set routing-instances vpn-1 protocols mvpn set routing-options router-id 192.0.2.4 set routing-options autonomous-system 1001
Dispositivo PE3
set interfaces ge-1/2/0 unit 14 family inet address 10.1.1.14/30 set interfaces ge-1/2/0 unit 14 family mpls set interfaces ge-1/2/1 unit 21 family inet address 10.1.1.21/30 set interfaces ge-1/2/1 unit 21 family mpls set interfaces vt-1/2/0 unit 5 family inet set interfaces lo0 unit 5 family inet address 192.0.2.5/24 set interfaces lo0 unit 105 family inet address 203.0.113.5/24 set protocols mpls interface ge-1/2/0.14 set protocols bgp group ibgp type internal set protocols bgp group ibgp local-address 192.0.2.5 set protocols bgp group ibgp family inet-vpn any set protocols bgp group ibgp family inet-mvpn signaling set protocols bgp group ibgp neighbor 192.0.2.2 set protocols bgp group ibgp neighbor 192.0.2.4 set protocols ospf area 0.0.0.0 interface lo0.5 passive set protocols ospf area 0.0.0.0 interface ge-1/2/0.14 set protocols ldp interface ge-1/2/0.14 set protocols ldp p2mp set policy-options policy-statement parent_vpn_routes from protocol bgp set policy-options policy-statement parent_vpn_routes then accept set routing-instances vpn-1 instance-type vrf set routing-instances vpn-1 interface vt-1/2/0.5 set routing-instances vpn-1 interface ge-1/2/1.21 set routing-instances vpn-1 interface lo0.105 set routing-instances vpn-1 route-distinguisher 100:100 set routing-instances vpn-1 vrf-target target:1:1 set routing-instances vpn-1 protocols ospf export parent_vpn_routes set routing-instances vpn-1 protocols ospf area 0.0.0.0 interface lo0.105 passive set routing-instances vpn-1 protocols ospf area 0.0.0.0 interface ge-1/2/1.21 set routing-instances vpn-1 protocols pim rp static address 203.0.113.1 set routing-instances vpn-1 protocols pim interface ge-1/2/1.21 mode sparse set routing-instances vpn-1 protocols mvpn set routing-options router-id 192.0.2.5 set routing-options autonomous-system 1001
Dispositivo CE2
set interfaces ge-1/2/0 unit 18 family inet address 10.1.1.18/30 set interfaces ge-1/2/0 unit 18 family mpls set interfaces lo0 unit 6 family inet address 192.0.2.6/24 set protocols sap listen 192.168.0.0 set protocols ospf area 0.0.0.0 interface lo0.6 passive set protocols ospf area 0.0.0.0 interface ge-1/2/0.18 set protocols pim rp static address 203.0.113.1 set protocols pim interface all set routing-options router-id 192.0.2.6
Dispositivo CE3
set interfaces ge-1/2/0 unit 22 family inet address 10.1.1.22/30 set interfaces ge-1/2/0 unit 22 family mpls set interfaces lo0 unit 7 family inet address 192.0.2.7/24 set protocols ospf area 0.0.0.0 interface lo0.7 passive set protocols ospf area 0.0.0.0 interface ge-1/2/0.22 set protocols pim rp static address 203.0.113.1 set protocols pim interface all set routing-options router-id 192.0.2.7
Procedimiento paso a paso
En el ejemplo siguiente es necesario navegar por varios niveles en la jerarquía de configuración. Para obtener información acerca de cómo navegar por la CLI, consulte Uso del editor de CLI en modo de configuración en la Guía del usuario de CLI.
Para configurar los límites de estado de PIM:
Configure las interfaces de red.
[edit interfaces] user@PE1# set ge-1/2/0 unit 2 family inet address 10.1.1.2/30 user@PE1# set ge-1/2/0 unit 2 family mpls user@PE1# set ge-1/2/1 unit 5 family inet address 10.1.1.5/30 user@PE1# set ge-1/2/1 unit 5 family mpls user@PE1# set vt-1/2/0 unit 2 family inet user@PE1# set lo0 unit 2 family inet address 192.0.2.2/24 user@PE1# set lo0 unit 102 family inet address 203.0.113.1/24
Configure MPLS en la interfaz orientada al núcleo.
[edit protocols mpls] user@PE1# set interface ge-1/2/1.5
Configure el BGP interno (IBGP) en el enrutador principal.
Los vecinos del IBGP son los otros dispositivos de PE.
[edit protocols bgp group ibgp] user@PE1# set type internal user@PE1# set local-address 192.0.2.2 user@PE1# set family inet-vpn any user@PE1# set family inet-mvpn signaling user@PE1# set neighbor 192.0.2.4 user@PE1# set neighbor 192.0.2.5
Configure OSPF en el enrutador principal.
[edit protocols ospf area 0.0.0.0] user@PE1# set interface lo0.2 passive user@PE1# set interface ge-1/2/1.5
Configure un protocolo de señalización (RSVP o LDP) en el enrutador principal.
[edit protocols ldp] user@PE1# set interface ge-1/2/1.5 user@PE1# set p2mp
Configure la directiva de exportación de BGP.
[edit policy-options policy-statement parent_vpn_routes] user@PE1# set from protocol bgp user@PE1# set then accept
Configure la instancia de enrutamiento.
En la instancia de enrutamiento se hace referencia a las interfaces orientadas al cliente y a la política de exportación de BGP.
[edit routing-instances vpn-1] user@PE1# set instance-type vrf user@PE1# set interface ge-1/2/0.2 user@PE1# set interface vt-1/2/0.2 user@PE1# set interface lo0.102 user@PE1# set route-distinguisher 100:100 user@PE1# set provider-tunnel ldp-p2mp user@PE1# set vrf-target target:1:1 user@PE1# set protocols ospf export parent_vpn_routes user@PE1# set protocols ospf area 0.0.0.0 interface lo0.102 passive user@PE1# set protocols ospf area 0.0.0.0 interface ge-1/2/0.2 user@PE1# set protocols pim rp static address 203.0.113.1 user@PE1# set protocols pim interface ge-1/2/0.2 mode sparse user@PE1# set protocols mvpn
Configure los límites de estado de PIM.
[edit routing-instances vpn-1 protocols pim] user@PE1# set sglimit family inet maximum 100 user@PE1# set sglimit family inet threshold 70 user@PE1# set sglimit family inet log-interval 10 user@PE1# set rp register-limit family inet maximum 100 user@PE1# set rp register-limit family inet threshold 80 user@PE1# set rp register-limit family inet log-interval 10 user@PE1# set rp group-rp-mapping family inet maximum 100 user@PE1# set rp group-rp-mapping family inet threshold 80 user@PE1# set rp group-rp-mapping family inet log-interval 10
Configure el ID del enrutador y el número de AS.
[edit routing-options] user@PE1# set router-id 192.0.2.2 user@PE1# set autonomous-system 1001
Resultados
Desde el modo de configuración, escriba los comandos , show protocols, show routing-instancesshow policy-options, y show routing-options para confirmar la show interfacesconfiguración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
user@PE1# show interfaces
ge-1/2/0 {
unit 2 {
family inet {
address 10.1.1.2/30;
}
family mpls;
}
}
ge-1/2/1 {
unit 5 {
family inet {
address 10.1.1.5/30;
}
family mpls;
}
}
vt-1/2/0 {
unit 2 {
family inet;
}
}
lo0 {
unit 2 {
family inet {
address 192.0.2.2/24;
}
}
unit 102 {
family inet {
address 203.0.113.1/24;
}
}
}
user@PE1# show protocols
mpls {
interface ge-1/2/1.5;
}
bgp {
group ibgp {
type internal;
local-address 192.0.2.2;
family inet-vpn {
any;
}
family inet-mvpn {
signaling;
}
neighbor 192.0.2.4;
neighbor 192.0.2.5;
}
}
ospf {
area 0.0.0.0 {
interface lo0.2 {
passive;
}
interface ge-1/2/1.5;
}
}
ldp {
interface ge-1/2/1.5;
p2mp;
}
user@PE1# show policy-options
policy-statement parent_vpn_routes {
from protocol bgp;
then accept;
}
user@PE1# show routing-instances
vpn-1 {
instance-type vrf;
interface ge-1/2/0.2;
interface vt-1/2/0.2;
interface lo0.102;
route-distinguisher 100:100;
provider-tunnel {
ldp-p2mp;
}
vrf-target target:1:1;
protocols {
ospf {
export parent_vpn_routes;
area 0.0.0.0 {
interface lo0.102 {
passive;
}
interface ge-1/2/0.2;
}
}
pim {
sglimit {
family inet {
maximum 100;
threshold 70;
log-interval 10;
}
}
rp {
register-limit {
family inet {
maximum 100;
threshold 80;
log-interval 10;
}
}
group-rp-mapping {
family inet {
maximum 100;
threshold 80;
log-interval 10;
}
}
static {
address 203.0.113.1;
}
}
interface ge-1/2/0.2 {
mode sparse;
}
}
mvpn;
}
}
user@PE1# show routing-options
router-id 192.0.2.2;
autonomous-system 1001;
Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.
Verificación
Confirme que la configuración funciona correctamente.
Supervisión de la información de estado de PIM
Propósito
Compruebe que los contadores se establecen como se esperaba y no superan los límites configurados.
Acción
Desde el modo operativo, ingrese el show pim statistics comando.
user@PE1> show pim statistics instance vpn-1 PIM Message type Received Sent Rx errors V2 Hello 393 390 0 ... V4 (S,G) Maximum 100 V4 (S,G) Accepted 0 V4 (S,G) Threshold 70 V4 (S,G) Log Interval 10 V4 (grp-prefix, RP) Maximum 100 V4 (grp-prefix, RP) Accepted 0 V4 (grp-prefix, RP) Threshold 80 V4 (grp-prefix, RP) Log Interval 10 V4 Register Maximum 100 V4 Register Accepted 0 V4 Register Threshold 80 V4 Register Log Interval 10
Significado
El campo Máximo de V4 (S,G) muestra el número máximo de rutas de multidifusión IPv4 (S,G) aceptadas para la instancia de enrutamiento VPN. Si se cumple este número, no se aceptan participaciones adicionales (S, G).
El campo V4 (S,G) Aceptadas muestra el número de rutas de multidifusión IPv4 aceptadas (S,G).
El campo Umbral V4 (S,G) muestra el umbral en el que se registra un mensaje de advertencia (porcentaje del número máximo de rutas de multidifusión IPv4 (S,G) aceptadas por el dispositivo).
El campo Intervalo de registro V4 (S,G) muestra el tiempo (en segundos) entre mensajes de registro consecutivos.
El campo Máximo V4 (prefijo grp, RP) muestra el número máximo de asignaciones de multidifusión IPv4 de grupo a punto de encuentro (RP) aceptadas para la instancia de enrutamiento VRF. Si se cumple este número, no se aceptan asignaciones adicionales.
El campo V4 (prefijo grp, RP) Aceptado muestra el número de asignaciones de multidifusión IPv4 de grupo a RP aceptadas.
El campo Umbral V4 (prefijo grp, RP) muestra el umbral en el que se registra un mensaje de advertencia (porcentaje del número máximo de asignaciones de multidifusión IPv4 de grupo a RP aceptadas por el dispositivo).
El campo Intervalo de registro V4 (prefijo grp, RP) muestra el tiempo (en segundos) entre mensajes de registro consecutivos.
El campo Máximo de registro V4 muestra el número máximo de registros PIM IPv4 aceptados para la instancia de enrutamiento VRF. Si se cumple este número, no se aceptan registros PIM adicionales. Los límites de registro se configuran en el RP.
El campo Registro V4 aceptado muestra el número de registros PIM IPv4 aceptados.
El campo Umbral de registro V4 muestra el umbral en el que se registra un mensaje de advertencia (porcentaje del número máximo de registros PIM IPv4 aceptados por el dispositivo).
El campo V4 Register Log Interval (Intervalo de registro de registro V4) muestra el tiempo (en segundos) entre mensajes de registro consecutivos.
Descripción de los comodines para configurar LSP selectivos de punto a multipunto para una MVPN MBGP
Los LSP selectivos también se conocen como túneles de proveedor selectivo. Los túneles de proveedor selectivo transportan tráfico de algunos grupos de multidifusión en una VPN y se extienden solo a los enrutadores de PE que tienen receptores para estos grupos. Puede configurar un túnel de proveedor selectivo para prefijos de grupo y prefijos de origen, o puede usar caracteres comodín para el grupo y el origen, como se describe en el borrador de draft-rekhter-mvpn-wildcard-spmsi-01.txt de Internet, Uso de caracteres comodín en rutas de detección automática de S-PMSI.
En las secciones siguientes se describen los escenarios y las consideraciones especiales cuando se usan caracteres comodín para túneles de proveedores selectivos.
- Acerca de S-PMSI
- Escenarios para usar S-PMSI comodín
- Tipos de comodín S-PMSI
- Diferencias entre S-PMSI comodín y (S,G) S-PMSI
- Modo denso comodín (*,*) S-PMSI y PIM
- Comodín (*,*) S-PMSI y PIM-BSR
- Fuente comodín y prefijo fuente 0.0.0.0/0
Acerca de S-PMSI
La interfaz del servicio de multidifusión del proveedor (PMSI) es un atributo de túnel BGP que contiene el identificador de túnel utilizado por el enrutador PE para transmitir tráfico a través del núcleo de la red del proveedor. Una ruta de detección automática de PMSI (S-PMSI) selectiva anuncia el enlace de un flujo de multidifusión de cliente MVPN determinado a un túnel de proveedor determinado. La ruta de autodescubrimiento de S-PMSI anunciada por el enrutador de PE de entrada contiene direcciones IPv4 o /128 IPv6 /32 para el origen del cliente y el grupo de clientes derivado de la ruta de multidifusión del cliente del árbol de origen.
La figura 4 muestra una topología MVPN simple. El enrutador de entrada, PE1, origina la ruta de detección automática S-PMSI. Los enrutadores de salida, PE2 y PE3, tienen un estado de unión como resultado de recibir mensajes de unión de dispositivos CE que no se muestran en la topología. En respuesta al anuncio de ruta de autodescubrimiento S-PMSI enviado por PE1, PE2 y PE3, elija si desea unirse o no al túnel según el estado de unión. La configuración del túnel del proveedor selectivo se configura en una instancia de VRF en PE1.
La configuración del modo MVPN (RPT-SPT o solo SPT) se configura en los tres enrutadores PE para todos los VRF que componen la VPN. Si omite la configuración del modo MVPN, el modo predeterminado es solo SPT.
MVPN simple
Escenarios para usar S-PMSI comodín
Un S-PMSI comodín tiene el campo de origen o grupo (o tanto el origen como el grupo) establecido en el valor comodín 0.0.0.0/0 y anuncia el enlace de varios flujos de multidifusión de cliente a un único túnel de proveedor en una única ruta de autodescubrimiento S-PMSI.
Los escenarios en los que puede configurar una S-PMSI comodín son los siguientes:
Cuando los flujos de multidifusión del cliente son PIM-SM en modo ASM. En este caso, un enrutador de PE conectado al sitio de un cliente MVPN que contenga el RP del cliente (C-RP) podría enlazar todos los flujos de multidifusión del cliente que viajan a lo largo del árbol RPT de un cliente a un único túnel de proveedor.
Cuando un enrutador PE está conectado al sitio de un cliente MVPN que contiene varias fuentes, todas envían al mismo grupo.
Cuando los flujos de multidifusión del cliente son flujos bidireccionales PIM. En este caso, un enrutador PE podría enlazar a un túnel de un único proveedor todos los flujos de multidifusión del cliente para el mismo grupo que se hayan originado dentro de los sitios de una MVPN determinada conectada a ese PE, y anunciar dicho enlace en una única ruta de autodescubrimiento S-PMSI.
Cuando los flujos de multidifusión del cliente son PIM-SM en modo SSM. En este caso, un enrutador de PE podría enlazar a un único túnel de proveedor todos los flujos de multidifusión del cliente procedentes de una fuente determinada ubicada en un sitio conectado a ese enrutador de PE.
Cuando se desea transportar en el túnel del proveedor, todos los flujos de multidifusión del cliente se originaron dentro de los sitios de una MVPN determinada conectada a un enrutador PE determinado.
Tipos de comodín S-PMSI
Se admiten los siguientes tipos de S-PMSI comodín:
Un (*,g) S-PMSI coincide con todas las rutas de multidifusión del cliente que tienen la dirección de grupo. La dirección de origen del cliente en la ruta de multidifusión del cliente puede ser cualquier dirección, incluida 0.0.0.0/0 para rutas de multidifusión de clientes de árbol compartido. Una ruta de autodescubrimiento S-PMSI (*, C-G) se anuncia con el campo de origen establecido en 0 y la longitud de la dirección de origen establecida en 0. La dirección del grupo de multidifusión para la ruta de detección automática de S-PMSI se deriva de las uniones de multidifusión del cliente.
Un S-PMSI (*,*) coincide con todas las rutas de multidifusión del cliente. Cualquier dirección de origen del cliente y cualquier dirección de grupo de clientes en una ruta de multidifusión del cliente se puede enlazar al S-PMSI (*,*). La ruta de detección automática de S-PMSI se anuncia con la dirección de origen y la longitud establecidas en 0 y la dirección de grupo y la longitud establecidas en 0. Los campos restantes en la ruta de autodescubrimiento de S-PMSI siguen la misma regla que (C-S, C-G) S-PMSI, como se describe en la sección 12.1 del borrador BGP-MVPN (draft-ietf-l3vpn-2547bis-mcast-bgp-00.txt).
Diferencias entre S-PMSI comodín y (S,G) S-PMSI
En el caso de los túneles dinámicos de proveedor, cada flujo de multidifusión del cliente está enlazado a un túnel de proveedor independiente y cada túnel se anuncia mediante una ruta de detección automática de S-PMSI independiente. Para los LSP estáticos, varios flujos de multidifusión de clientes están enlazados a un único túnel de proveedor al tener varias rutas de autodescubrimiento S-PMSI que anuncian el mismo túnel de proveedor.
Cuando se configura un comodín (*,G) o (*,*) S-PMSI, una o más rutas de multidifusión del cliente coincidentes comparten un único S-PMSI. Todas las rutas de multidifusión del cliente que tienen un origen y una dirección de grupo coincidentes están enlazadas al mismo S-PMSI (*,G) o (*,*) y comparten el mismo túnel. La S-PMSI (*,G) o (*,*) se establece cuando se recibe el primer mensaje de unión multidifusión del cliente remoto coincidente en el enrutador de PE de entrada y se elimina cuando se retira la última unión de multidifusión del cliente remoto del enrutador de PE de entrada. Compartir una única ruta de autodescubrimiento de S-PMSI mejora la escalabilidad del plano de control.
Modo denso comodín (*,*) S-PMSI y PIM
Para las rutas de autodescubrimiento (S,G) y (*,G) S-PMSI en modo denso PIM (PIM-DM), todos los enrutadores PE descendentes reciben tráfico PIM-DM. Si un enrutador de PE descendente no tiene receptores que estén interesados en la dirección del grupo, el enrutador de PE crea una instancia del estado de poda y deja de recibir tráfico del túnel.
Ahora considere lo que sucede con las rutas de autodescubrimiento (*,*) S-PMSI. Si el tráfico PIM-DM no está enlazado por un s-pmsi coincidente más largo (S,G) o (*,G), está enlazado al S-PMSI (*,*). Como siempre ocurre con el modo denso, el tráfico PIM-DM se inunda a los enrutadores PE descendentes a través del túnel del proveedor, independientemente del estado de unión de multidifusión del cliente. Dado que no hay información de grupo en la ruta de autodescubrimiento (*,*) de S-PMSI, los enrutadores de PE de salida se unen a un túnel S-PMSI (*,*) si hay alguna configuración en el enrutador de PE de salida que indique interés en el tráfico de PIM-DM.
El interés en el tráfico PIM-DM se indica si el enrutador PE de salida tiene una de las siguientes configuraciones en la instancia de VRF que corresponde a la instancia que importa la ruta de detección automática de S-PMSI:
Al menos una interfaz está configurada en modo denso en el nivel jerárquico
[edit routing-instances instance-name protocols pim interface].Al menos un grupo está configurado como un grupo de modo denso en el nivel de
[edit routing-instances instance-name protocols pim dense-groups group-address]jerarquía.
Comodín (*,*) S-PMSI y PIM-BSR
Para las rutas de autodescubrimiento de s-pmsi (S,G) y (*,G) EN MODO DE ENRUTADOR DE ARRANQUE PIM (PIM-BSR), un enrutador de PE de entrada inunda los paquetes de mensaje de arranque (BSM) de PIM a través del túnel del proveedor a todos los enrutadores de PE de salida. Un enrutador PE de salida no se une al túnel a menos que el mensaje tenga el grupo ALL-PIM-ROUTERS. Si el mensaje tiene este grupo, el enrutador de PE de salida se une al túnel, independientemente del estado de unión. El campo de grupo del mensaje determina la presencia o ausencia de la dirección ALL-PIM-ROUTERS.
Ahora considere lo que sucedería con las rutas de autodescubrimiento (*,*) S-PMSI utilizadas con el modo PIM-BSR. Si los paquetes BSM de PIM no están enlazados por una s-pmsi coincidente más larga (S,G) o (*,G), están enlazados a la S-PMSI (*,*). Como siempre ocurre con PIM-BSR, los paquetes BSM se inundan en enrutadores PE descendentes a través del túnel del proveedor hacia el grupo de destino ALL-PIM-ROUTERS. Dado que no hay información de grupo en la ruta de autodescubrimiento (*,*) de S-PMSI, los enrutadores PE de salida siempre se unen a un túnel S-PMSI (*,*). A diferencia de PIM-DM, es posible que los enrutadores de PE de salida no tengan ninguna configuración que sugiera el uso de PIM-BSR como mecanismo de descubrimiento de RP en la instancia de VRF. Para evitar que todos los enrutadores PE de salida se unan siempre al túnel S-PMSI (*,*), se debe ignorar la configuración del grupo comodín (*,*).
Esto significa que si configura PIM-BSR, se puede configurar un S-PMSI de grupo comodín para todas las demás direcciones de grupo. El (*,*) S-PMSI no se utiliza para el tráfico PIM-BSR. Se necesita un s-pmsi coincidente (*,G) o (S,G) (donde la dirección del grupo es el grupo ALL-PIM-ROUTERS) o un túnel de proveedor inclusivo para transmitir datos a través del núcleo del proveedor. Para PIM-BSR, la búsqueda de coincidencia más larga es (S,G), (*,G) y el túnel de proveedor inclusivo, en ese orden. Si no configura un túnel inclusivo para la instancia de enrutamiento, debe configurar un túnel selectivo (*,G) o (S,G). De lo contrario, los datos se eliminan. Esto se debe a que PIM-BSR funciona como PIM-DM, ya que el tráfico se inunda a los enrutadores PE descendentes a través del túnel del proveedor, independientemente del estado de unión de multidifusión del cliente. Sin embargo, a diferencia de PIM-DM, es posible que los enrutadores de PE de salida no tengan ninguna configuración para indicar interés o no interés en el tráfico PIM-BSR.
Fuente comodín y prefijo fuente 0.0.0.0/0
Puede configurar un prefijo de origen 0.0.0.0/0 y un origen comodín con el mismo prefijo de grupo en un túnel de proveedor selectivo. Por ejemplo, la configuración podría ser la siguiente:
routing-instances {
vpna {
provider-tunnel {
selective {
group 203.0.113.0/24 {
source 0.0.0.0/0 {
rsvp-te {
label-switched-path-template {
sptnl3;
}
}
}
wildcard-source {
rsvp-te {
label-switched-path-template {
sptnl2;
}
static-lsp point-to-multipoint-lsp-name;
}
threshold-rate kbps;
}
}
}
}
}
}
Las funciones de las source 0.0.0.0/0 instrucciones de configuración y wildcard-source son diferentes. El prefijo de origen 0.0.0.0/0 solo coincide con los mensajes y desencadenadores de unión de multidifusión del cliente (C-S, C-G) con las rutas de autodescubrimiento de S-PMSI derivadas de la dirección de multidifusión del cliente. Dado que todos los mensajes de unión (C-S, C-G) coinciden con el prefijo de origen 0.0.0.0/0 del grupo coincidente, el S-PMSI de origen comodín solo se usa para los mensajes de unión de multidifusión del cliente (*,C-G). En ausencia de un prefijo de origen 0.0.0.0/0 configurado, el código de origen comodín coincide con los mensajes de unión de multidifusión del cliente (C-S, C-G) y (*,C-G). En el ejemplo, un mensaje de unión para (10.0.1.0/24, 203.0.113.0/24) está enlazado a sptnl3. Un mensaje de unión para (*, 203.0.113.0/24) está enlazado a sptnl2.
Configuración de un túnel de proveedor selectivo mediante caracteres comodín
Al configurar un túnel de proveedor selectivo para MVPN MBGP (también conocidas como VPN de multidifusión de capa 3 de próxima generación), puede usar comodines para los prefijos de grupo de multidifusión y dirección de origen. El uso de comodines permite que un enrutador de PE utilice una única ruta para anunciar el enlace de varias transmisiones de multidifusión de un cliente MVPN determinado al túnel de un único proveedor, como se describe en https://tools.ietf.org/html/draft-rekhter-mvpn-wildcard-spmsi-00 .
Compartir una sola ruta mejora la escalabilidad del plano de control, ya que reduce el número de rutas de autodescubrimiento de S-PMSI.
Para configurar un túnel de proveedor selectivo mediante caracteres comodín:
Ejemplo: configuración de túneles de proveedores selectivos mediante caracteres comodín
Con el S-PMSI (*,G) y (*,*), un mensaje de unión a la multidifusión del cliente puede coincidir con más de un S-PMSI. En este caso, un mensaje de unión a multidifusión del cliente está enlazado al S-PMSI coincidente más largo. La coincidencia más larga es una (S,G) S-PMSI, seguida de una (*,G) S-PMSI y una (*,*) S-PMSI, en ese orden.
Considere la siguiente configuración:
routing-instances {
vpna {
provider-tunnel {
selective {
wildcard-group-inet {
wildcard-source {
rsvp-te {
label-switched-path-template {
sptnl1;
}
}
}
}
group 203.0.113.0/24 {
wildcard-source {
rsvp-te {
label-switched-path-template {
sptnl2;
}
}
}
source 10.1.1/24 {
rsvp-te {
label-switched-path-template {
sptnl3;
}
}
}
}
}
}
}
}
Para esta configuración, la regla de coincidencia más larga funciona de la siguiente manera:
Un mensaje de unión de multidifusión del cliente (10.1.1.1, 203.0.113.1) está enlazado a la ruta de detección automática S-PMSI sptnl3.
Un mensaje de unión de multidifusión de cliente (10.2.1.1, 203.0.113.1) está enlazado a la ruta de detección automática sptnl2 S-PMSI.
Un mensaje de unión de multidifusión del cliente (10.1.1.1, 203.1.113.1) está enlazado a la ruta de detección automática sptnl1 S-PMSI.
Cuando más de una ruta de multidifusión de cliente está enlazada al mismo S-PMSI comodín, solo se crea una ruta de detección automática de S-PMSI. Un enrutador de PE de salida siempre usa las mismas reglas de coincidencia que el enrutador de PE de entrada que anuncia la ruta de detección automática de S-PMSI. Esto garantiza una asignación de multidifusión coherente del cliente en los enrutadores de PE de entrada y salida.
Configuración de parámetros NLRI para una MVPN MBGP
Para habilitar la señalización VPN donde BGP multiprotocolo lleva NLRI VPN de multidifusión para la familia de direcciones IPv4, incluya la family inet-mvpn instrucción:
inet-mvpn {
signaling {
accepted-prefix-limit {
maximum number;
teardown percentage {
idle-timeout (forever | minutes);
}
}
loops number;
prefix-limit {
maximum number;
teardown percentage {
idle-timeout (forever | minutes);
}
}
}
}
Para habilitar la señalización VPN donde BGP multiprotocolo lleva NLRI VPN de multidifusión para la familia de direcciones IPv6, incluya la family inet6-mvpn instrucción:
inet6-mvpn {
signaling {
accepted-prefix-limit {
maximum number;
teardown percentage {
idle-timeout (forever | minutes);
}
}
loops number
prefix-limit {
maximum number;
teardown percentage {
idle-timeout (forever | minutes);
}
}
}
}