Instancias de enrutamiento en VPN de capa 3
En este tema se analiza la configuración de instancias de enrutamiento en VPN de capa 3
Instancias de enrutamiento en VPN de capa 3
Una instancia de enrutamiento es una colección de tablas de enrutamiento, interfaces y parámetros de protocolo de enrutamiento. El conjunto de interfaces pertenece a las tablas de enrutamiento y los parámetros del protocolo de enrutamiento controlan la información en las tablas de enrutamiento. Cada instancia de enrutamiento tiene un nombre único y una tabla de unidifusión IP correspondiente.
Para implementar VPN de capa 3 en el software JUNOS, configure una instancia de enrutamiento para cada VPN. Solo puede configurar las instancias de enrutamiento en enrutadores de PE. Cada instancia de enrutamiento VPN consta de los siguientes componentes:
Tabla VRF: en cada enrutador pe, configure una tabla VRF para cada VPN.
Conjunto de interfaces que utilizan la tabla VRF: la interfaz lógica a cada enrutador CE conectado directamente se debe asociar a una tabla VRF. Puede asociar más de una interfaz con la misma tabla VRF si más de un enrutador CE en una VPN está conectado directamente al enrutador de PE.
Reglas de política: estas controlan la importación de rutas y la exportación de rutas desde la tabla VRF.
Uno o más protocolos de enrutamiento que instalan rutas desde enrutadores CE en la tabla VRF: puede usar los protocolos de enrutamiento BGP, OSPF y RIP, y puede usar rutas estáticas.
Configuración de unidades lógicas en la interfaz de circuito cerrado para instancias de enrutamiento en VPN de capa 3
Para VPN de capa 3 (instancias de enrutamiento VRF), puede configurar una unidad lógica en la interfaz de circuito cerrado en cada instancia de enrutamiento VRF que haya configurado en el enrutador. Asociar una instancia de enrutamiento VRF con una unidad lógica en la interfaz de circuito cerrado le permite identificar fácilmente la instancia de enrutamiento VRF.
Hacer esto es útil para la solución de problemas:
Le permite hacer ping a un enrutador CE remoto desde un enrutador de PE local en una VPN de capa 3. Para obtener más información, consulte Ejemplo: Solución de problemas de VPN de capa 3.
Garantiza que una unidad de transmisión máxima de ruta (MTU) compruebe el tráfico que se origina en una instancia de enrutamiento VRF o enrutador virtual funcione correctamente. Para obtener más información, consulte Configurar comprobaciones de MTU de ruta para instancias de enrutamiento VPN.
También puede configurar un filtro de firewall para la unidad lógica en la interfaz de circuito cerrado; esta configuración le permite filtrar el tráfico de la instancia de enrutamiento VRF asociada con ella.
A continuación, se describe cómo los filtros de firewall afectan a la instancia de enrutamiento VRF en función de si están configurados en la interfaz de circuito cerrado predeterminada, la instancia de enrutamiento VRF o alguna combinación de las dos. La "interfaz de circuito cerrado predeterminada" se refiere a lo0.0 (asociada con la tabla de enrutamiento predeterminada) y la "interfaz de circuito cerrado VRF" se refiere a lo0.n, que se configura en la instancia de enrutamiento VRF.
Si configura el filtro A en la interfaz de circuito cerrado predeterminado y el filtro B en la interfaz de circuito cerrado VRF, la instancia de enrutamiento VRF utiliza el filtro B.
Si configura el filtro A en la interfaz de circuito cerrado predeterminada, pero no configura un filtro en la interfaz de circuito cerrado VRF, la instancia de enrutamiento VRF no utiliza un filtro.
Si configura el filtro A en la interfaz de circuito cerrado predeterminada, pero no configura una interfaz de circuito cerrado VRF, la instancia de enrutamiento VRF utiliza el filtro A. Para dispositivos MX80, el comportamiento es ligeramente diferente: si configura filtros en la interfaz de circuito cerrado predeterminada, pero no configura una interfaz de circuito cerrado VRF, la instancia de enrutamiento VRF solo utiliza los filtros de entrada asignados al circuito cerrado predeterminado (no utiliza filtros de salida del circuito cerrado predeterminado).
Para algunos enrutadores universales para redes metropolitanas serie ACX (ACX1000, ACX2000, ACX4000 y ACX5000), el filtro de circuito cerrado predeterminado debe estar en el mismo enrutamiento o enrutamiento y reenvío virtual (VRF), instancia como el tráfico de entrada que filtra. Es decir, en estos dispositivos, el filtro de circuito cerrado predeterminado no se puede usar para el tráfico que atraviesa una interfaz que pertenece a una instancia de enrutamiento diferente.
Para configurar una unidad lógica en la interfaz de circuito cerrado, incluya la unit instrucción:
unit number {
family inet {
address address;
}
}
Puede incluir esta instrucción en los siguientes niveles jerárquicos:
[edit interfaces lo0][edit logical-systems logical-system-name interfaces lo0]
Para asociar un filtro de firewall a la unidad lógica en la interfaz de circuito cerrado, incluya la filter instrucción:
filter {
input filter-name;
}
Puede incluir esta instrucción en los siguientes niveles jerárquicos:
[edit interfaces lo0 unit unit-number family inet][edit logical-systems logical-system-name interfaces lo0 unit unit-number family inet]
Para incluir la lo0.n interfaz (donde n especifica la unidad lógica) en la configuración de la instancia de enrutamiento VRF, incluya la siguiente instrucción:
interface lo0.n;
Puede incluir esta instrucción en los siguientes niveles jerárquicos:
[edit routing-instances routing-instance-name][edit logical-systems logical-system-name routing-instances routing-instance-name]
Configuración de instancias de enrutamiento en enrutadores de PE en VPN
Debe configurar una instancia de enrutamiento para cada VPN en cada uno de los enrutadores de PE que participan en la VPN. Los procedimientos de configuración descritos en esta sección se aplican a VPN de capa 2, VPN de capa 3 y VPLS. Los procedimientos de configuración específicos de cada tipo de VPN se describen en las secciones correspondientes en los otros capítulos de configuración.
Para configurar instancias de enrutamiento para VPN, incluya las siguientes instrucciones:
description text; instance-type type; interface interface-name; route-distinguisher (as-number:number | ip-address:number); vrf-import [ policy-names ]; vrf-export [ policy-names ]; vrf-target { export community-name; import community-name; }
Puede incluir estas instrucciones en los siguientes niveles jerárquicos:
[edit routing-instances routing-instance-name][edit logical-systems logical-system-name routing-instances routing-instance-name]
Para configurar instancias de enrutamiento VPN, realice los pasos en las siguientes secciones:
- Configuración del nombre de instancia de enrutamiento para una VPN
- Configuración de la descripción
- Configuración del tipo de instancia
- Configuración de interfaces para enrutamiento VPN
- Configuración del distinguidor de rutas
- Configuración automática de distinguidores de rutas
Configuración del nombre de instancia de enrutamiento para una VPN
El nombre de la instancia de enrutamiento de una VPN puede ser un máximo de 128 caracteres y puede contener letras, números y guiones. En la versión 9.0 y posteriores de Junos OS, ya no se puede especificar default como el nombre real de instancia de enrutamiento. Tampoco puede utilizar caracteres especiales (! @ # $ % ↑ & + < > : ;) dentro del nombre de una instancia de enrutamiento.
En la versión 9.6 y posteriores de Junos OS, solo puede incluir una barra diagonal (/) en un nombre de instancia de enrutamiento si no está configurado un sistema lógico. Es decir, no puede incluir el carácter de barra diagonal en un nombre de instancia de enrutamiento si un sistema lógico distinto del predeterminado está configurado explícitamente.
Especifique el nombre de instancia de enrutamiento con la routing-instance instrucción:
routing-instance routing-instance-name {...}
Puede incluir esta instrucción en los siguientes niveles jerárquicos:
[edit][edit logical-systems logical-system-name]
Configuración de la descripción
Para proporcionar una descripción de texto para la instancia de enrutamiento, incluya la description instrucción. Si el texto incluye uno o más espacios, encierrelos entre comillas (" "). Cualquier texto descriptivo que incluya se muestra en el resultado del show route instance detail comando y no tiene ningún efecto en la operación de la instancia de enrutamiento.
Para configurar una descripción de texto, incluya la description instrucción:
description text;
Puede incluir esta instrucción en los siguientes niveles jerárquicos:
[edit routing-instances routing-instance-name][edit logical-systems logical-system-name routing-instances routing-instance-name]
Configuración del tipo de instancia
El tipo de instancia que configure varía según si está configurando VPN de capa 2, VPN de capa 3, VPLS o enrutadores virtuales. Especifique el tipo de instancia incluyendo la instance-type instrucción:
Para habilitar el enrutamiento VPN de capa 2 en un enrutador de PE, incluya la
instance-typeinstrucción y especifique el valorl2vpn:instance-type l2vpn;
Para habilitar el enrutamiento VPLS en un enrutador de PE, incluya la
instance-typeinstrucción y especifique el valorvpls:instance-type vpls;
Las VPN de capa 3 requieren que cada enrutador de PE tenga una tabla de enrutamiento y reenvío VPN (VRF) para distribuir rutas dentro de la VPN. Para crear la tabla VRF en el enrutador de PE, incluya la
instance-typeinstrucción y especifique el valorvrf:instance-type vrf;
Nota:El muestreo basado en motor de enrutamiento no se admite en instancias de enrutamiento VRF.
Para habilitar la instancia de enrutamiento de enrutador virtual, incluya la
instance-typeinstrucción y especifique el valorvirtual-router:instance-type virtual-router;
Puede incluir esta instrucción en los siguientes niveles jerárquicos:
[edit routing-instances routing-instance-name][edit logical-systems logical-system-name routing-instances routing-instance-name]
Configuración de interfaces para enrutamiento VPN
En cada enrutador de PE, debe configurar una interfaz a través de la cual el tráfico VPN viaja entre los enrutadores PE y CE.
Las secciones siguientes describen cómo configurar interfaces para VPN:
- Configuración general para enrutamiento VPN
- Configuración de interfaces para VPN de capa 3
- Configuración de interfaces para VPN de operadora de operadoras
- Configuración de RPF de unidifusión en interfaces VPN
Configuración general para enrutamiento VPN
La configuración descrita en esta sección se aplica a todos los tipos de VPN. Para VPN de capa 3 y VPN carrier-of-carriers, complete la configuración descrita en esta sección antes de pasar a las secciones de configuración de interfaz específicas para esos temas.
Para configurar interfaces para enrutamiento VPN, incluya la interface instrucción:
interface interface-name;
Puede incluir esta instrucción en los siguientes niveles jerárquicos:
[edit routing-instances routing-instance-name][edit logical-systems logical-system-name routing-instances routing-instance-name]
Especifique las partes físicas y lógicas del nombre de interfaz, con el siguiente formato:
physical.logical
Por ejemplo, en at-1/2/1.2, at-1/2/1 es la parte física del nombre de interfaz y 2 es la parte lógica. Si no especifica la parte lógica del nombre de interfaz, el valor 0 se establece de forma predeterminada.
Una interfaz lógica se puede asociar a una sola instancia de enrutamiento. Si habilita un protocolo de enrutamiento en todas las instancias especificando interfaces all al configurar la instancia maestra del protocolo en el [edit protocols] nivel de jerarquía, y si configura una interfaz específica para el enrutamiento VPN en el [edit routing-instances routing-instance-name] nivel de jerarquía o en el [edit logical-systems logical-system-name routing-instances routing-instance-name] nivel de jerarquía, esta última instrucción de interfaz tiene prioridad y la interfaz se utiliza exclusivamente para la VPN.
Si configura explícitamente el mismo nombre de interfaz en el [edit protocols] nivel de jerarquía y en los [edit routing-instances routing-instance-name] niveles de [edit logical-systems logical-system-name routing-instances routing-instance-name] jerarquía, se producirá un error en el intento de confirmar la configuración.
Configuración de interfaces para VPN de capa 3
Cuando configure las interfaces VPN de capa 3 en el [edit interfaces] nivel de jerarquía, también debe configurar family inet cuando configure la interfaz lógica:
[edit interfaces]
interface-name {
unit logical-unit-number {
family inet;
}
}
Configuración de interfaces para VPN de operadora de operadoras
Cuando configure VPN de operadora de operadoras, debe configurar la instrucción además de la family mpls family inet instrucción para las interfaces entre los enrutadores PE y CE. Para VPN de operadora de operadoras, configure la interfaz lógica de la siguiente manera:
[edit interfaces]
interface-name {
unit logical-unit-number {
family inet;
family mpls;
}
}
Si configura family mpls en la interfaz lógica y, a continuación, configura esta interfaz para una instancia de enrutamiento que no sea operadora de operadoras, la family mpls instrucción se elimina automáticamente de la configuración de la interfaz lógica, ya que no es necesaria.
Configuración de RPF de unidifusión en interfaces VPN
Para las interfaces VPN que transportan tráfico IP versión 4 o versión 6 (IPv4 o IPv6), puede reducir el impacto de los ataques de denegación de servicio (DoS) mediante la configuración del reenvío de ruta inversa de unidifusión (RPF). El RPF de unidifusión ayuda a determinar el origen de los ataques y rechaza paquetes de direcciones de origen inesperadas en interfaces en las que el RPF de unidifusión está habilitado.
Puede configurar RPF de unidifusión en una interfaz VPN habilitando RPF de unidifusión en la interfaz e incluyendo la interface instrucción en el [edit routing-instances routing-instance-name] nivel de jerarquía.
No puede configurar RPF de unidifusión en las interfaces orientadas al núcleo. Solo puede configurar RPF de unidifusión en las interfaces del enrutador ce de enrutador a PE en el enrutador de PE. Sin embargo, para instancias de enrutamiento de enrutador virtual, se admite RPF de unidifusión en todas las interfaces que especifique en la instancia de enrutamiento.
Para obtener información sobre cómo configurar RPF de unidifusión en interfaces VPN, consulte Descripción de RPF de unidifusión (enrutadores).
Configuración del distinguidor de rutas
Cada instancia de enrutamiento que configure en un enrutador de PE debe tener un distinguidor de ruta único asociado con él. Las instancias de enrutamiento VPN necesitan un diferenciador de ruta para ayudar al BGP a distinguir entre mensajes de información de accesibilidad de capa de red (NLRI) potencialmente idénticos recibidos de diferentes VPN. Si configura distintas instancias de enrutamiento VPN con el mismo distinguidor de ruta, se producirá un error en la confirmación.
Para VPN de capa 2 y VPLS, si configuró la l2vpn-use-bgp-rules instrucción, debe configurar un distinguidor de ruta único para cada enrutador de PE que participe en una instancia de enrutamiento específica.
Para otros tipos de VPN, recomendamos que use un distinguidor de ruta único para cada enrutador de PE que participe en la instancia de enrutamiento. Aunque puede usar el mismo distinguidor de ruta en todos los enrutadores de PE para la misma instancia de enrutamiento VPN (excepto para VPN de capa 2 y VPLS), si utiliza un distinguidor de ruta único, puede determinar el enrutador CE desde el que se originó una ruta dentro de la VPN.
Para configurar un distinguidor de ruta en un enrutador de PE, incluya la route-distinguisher instrucción:
route-distinguisher (as-number:number | ip-address:number);
Para obtener una lista de niveles de jerarquía en los que puede incluir esta instrucción, consulte la sección de resumen de instrucciones para esta instrucción.
El distinguidor de ruta es un valor de 6 bytes que puede especificar en uno de los siguientes formatos:
as-number:number, dondeas-numberestá un número de sistema autónomo (AS) (un valor de 2 bytes) ynumberes cualquier valor de 4 bytes. El número del AS puede estar en el intervalo del 1 al 65.535. Le recomendamos que utilice un número de AS asignado por la Autoridad de asignación de números de Internet (IANA), que no seaprivado, preferiblemente el propio proveedor de servicios de Internet (ISP) o el propio número de AS del cliente.ip-address:number, dondeip-addressestá una dirección IP (un valor de 4 bytes) ynumberes cualquier valor de 2 bytes. La dirección IP puede ser cualquier dirección de unidifusión única a nivel global. Recomendamos que use la dirección que configure en larouter-idinstrucción, que es una dirección noprivate en el intervalo de prefijos asignado.
Configuración automática de distinguidores de rutas
Si configura la route-distinguisher-id instrucción en el [edit routing-options] nivel de jerarquía, se asigna automáticamente un distinguidor de ruta a la instancia de enrutamiento. Si también configura la route-distinguisher instrucción además de la route-distinguisher-id instrucción, el valor configurado para route-distinguisher reemplaza el valor generado a partir de route-distinguisher-id.
Para asignar un distinguidor de ruta automáticamente, incluya la route-distinguisher-id instrucción:
route-distinguisher-id ip-address;
Puede incluir esta instrucción en los siguientes niveles jerárquicos:
[edit routing-options][edit logical-systems logical-system-name routing-options]
Un distinguidor de ruta tipo 1 se asigna automáticamente a la instancia de enrutamiento con el formato ip-address:number. La dirección IP se especifica mediante la route-distinguisher-id instrucción y el número es único para la instancia de enrutamiento.
Configuración de instancias de enrutamiento de enrutador virtual en VPN
Una instancia de enrutamiento de enrutador virtual, como una instancia de enrutamiento VRF, mantiene tablas de enrutamiento y reenvío independientes para cada instancia. Sin embargo, muchos de los pasos de configuración necesarios para las instancias de enrutamiento VRF no son necesarios para las instancias de enrutamiento de enrutador virtual. Específicamente, no es necesario configurar un distinguidor de rutas, una política de tabla de enrutamiento (las vrf-exportinstrucciones , vrf-importy route-distinguisher ) o MPLS entre los enrutadores del proveedor de servicios.
Configure una instancia de enrutamiento de enrutador virtual incluyendo las siguientes instrucciones:
description text; instance-type virtual-router; interface interface-name; protocols { ... }
Puede incluir estas instrucciones en los siguientes niveles jerárquicos:
[edit routing-instances routing-instance-name][edit logical-systems logical-system-name routing-instances routing-instance-name]
En las siguientes secciones, se explica cómo configurar una instancia de enrutamiento de enrutador virtual:
- Configuración de un protocolo de enrutamiento entre los enrutadores del proveedor de servicios
- Configuración de interfaces lógicas entre enrutadores participantes
Configuración de un protocolo de enrutamiento entre los enrutadores del proveedor de servicios
Los enrutadores de proveedores de servicios deben poder intercambiar información de enrutamiento. Puede configurar los siguientes protocolos para la configuración de instrucción de instancia protocols de enrutamiento de enrutador virtual en el [edit routing-instances routing-instance-name] nivel de jerarquía:
BGP
IS-IS
LDP
OSPF
Multidifusión independiente de protocolo (PIM)
RIP
También puede configurar rutas estáticas.
La reflexión de ruta del IBGP no se admite para instancias de enrutamiento de enrutador virtual.
Si configura LDP en una instancia de enrutador virtual, las rutas LDP se colocan de forma predeterminada en las tablas de enrutamiento inet.0 e inet.3 de la instancia de enrutamiento (por ejemplo, sample.inet.0 y sample.inet.3). Para restringir las rutas LDP a solo la tabla inet.3 de la instancia de enrutamiento, incluya la no-forwarding instrucción:
no-forwarding;
Puede incluir esta instrucción en los siguientes niveles jerárquicos:
[edit routing-instances routing-instance-name protocols ldp][edit logical-systems logical-system-name routing-instances routing-instance-name protocols ldp]
Cuando se restringen las rutas LDP a solo la tabla de enrutamiento inet.3, la ruta IGP correspondiente en la tabla de enrutamiento inet.0 se puede redistribuir y anunciar en otros protocolos de enrutamiento.
Para obtener información acerca de las tablas de enrutamiento, consulte Descripción de las tablas de enrutamiento de Junos OS.
Configuración de interfaces lógicas entre enrutadores participantes
Debe configurar una interfaz para cada enrutador de cliente que participe en la instancia de enrutamiento y para cada enrutador P que participe en la instancia de enrutamiento. Cada instancia de enrutamiento de enrutador virtual requiere sus propias interfaces lógicas independientes para todos los enrutadores P que participen en la instancia. Para configurar interfaces para instancias de enrutador virtual, incluya la interface instrucción:
interface interface-name;
Puede incluir esta instrucción en los siguientes niveles jerárquicos:
[edit routing-instances routing-instance-name][edit logical-systems logical-system-name routing-instances routing-instance-name]
Especifique las partes físicas y lógicas del nombre de interfaz, con el siguiente formato:
physical.logical
Por ejemplo, en at-1/2/1.2, at-1/2/1 es la parte física del nombre de interfaz y 2 es la parte lógica. Si no especifica la parte lógica del nombre de interfaz, 0 se establece de forma predeterminada.
También debe configurar las interfaces en el [edit interfaces] nivel de jerarquía.
Un método para proporcionar esta interfaz lógica entre los enrutadores del proveedor es mediante la configuración de túneles entre ellos. Puede configurar la seguridad IP (IPsec), la encapsulación de enrutamiento genérico (GRE) o los túneles IP-IP entre los enrutadores del proveedor, terminando los túneles en la instancia del enrutador virtual.
Para obtener información acerca de cómo configurar túneles e interfaces, consulte la Biblioteca de interfaces de servicios de Junos OS para dispositivos de enrutamiento.
Configurar comprobaciones de MTU de ruta para instancias de enrutamiento VPN
De forma predeterminada, la comprobación de la unidad máxima de transmisión (MTU) para las instancias de enrutamiento VPN está deshabilitada en los enrutadores serie M (excepto en el enrutador M320) y está habilitada para el enrutador M320. En enrutadores serie M, puede configurar comprobaciones de MTU de ruta en las interfaces salientes para el tráfico de unidifusión enrutado en instancias de enrutamiento VRF y en instancias de enrutamiento de enrutador virtual.
Cuando habilita una comprobación de MTU, la plataforma de enrutamiento envía un mensaje del Protocolo de mensajes de control de Internet (ICMP) cuando un paquete que atraviesa la instancia de enrutamiento supera el tamaño de la MTU y tiene el conjunto de do-not-fragment bits. El mensaje ICMP utiliza la dirección local VRF como su dirección de origen.
Para que una comprobación de MTU funcione en una instancia de enrutamiento, debe incluir la vrf-mtu-check instrucción en el [edit chassis] nivel de jerarquía y asignar al menos una interfaz que contenga una dirección IP a la instancia de enrutamiento.
Para obtener más información acerca de la comprobación de MTU de ruta, consulte la Biblioteca de administración de Junos OS para dispositivos de enrutamiento.
Para configurar comprobaciones de MTU de ruta, realice las tareas descritas en las siguientes secciones:
- Habilitación de MTU de ruta Busca una instancia de enrutamiento VPN
- Asignación de una dirección IP a la instancia de enrutamiento VPN
Habilitación de MTU de ruta Busca una instancia de enrutamiento VPN
Para habilitar las comprobaciones de ruta en la interfaz saliente para el tráfico de unidifusión enrutado en una VRF o instancia de enrutamiento de enrutador virtual, incluya la vrf-mtu-check instrucción en el [edit chassis] nivel de jerarquía:
[edit chassis] vrf-mtu-check;
Asignación de una dirección IP a la instancia de enrutamiento VPN
Para garantizar que la comprobación de MTU de ruta funcione correctamente, al menos una dirección IP debe asociarse a cada instancia de enrutamiento VRF o enrutador virtual. Si una dirección IP no está asociada con la instancia de enrutamiento, no se pueden enviar mensajes de respuesta ICMP.
Por lo general, la dirección IP de la instancia de enrutamiento VRF o enrutador virtual se extrae de entre las direcciones IP asociadas con interfaces configuradas para esa instancia de enrutamiento. Si ninguna de las interfaces asociadas con una VRF o una instancia de enrutamiento de enrutador virtual está configurada con una dirección IP, debe configurar explícitamente una interfaz de circuito cerrado lógico con una dirección IP. A continuación, esta interfaz debe asociarse a la instancia de enrutamiento. Consulte Configurar unidades lógicas en la interfaz de circuito cerrado para instancias de enrutamiento en VPN de capa 3 para obtener más información.