Instancias de enrutamiento en VPN de capa 3
En este tema se describe la configuración de instancias de enrutamiento en VPN de capa 3
Instancias de enrutamiento en VPN de capa 3
Una instancia de enrutamiento es una colección de tablas de enrutamiento, interfaces y parámetros de protocolo de enrutamiento. El conjunto de interfaces pertenece a las tablas de enrutamiento y los parámetros de protocolo de enrutamiento controlan la información de las tablas de enrutamiento. Cada instancia de enrutamiento tiene un nombre único y una tabla de unidifusión IP correspondiente.
Para implementar VPN de capa 3 en el software JUNOS, configure una instancia de enrutamiento para cada VPN. Las instancias de enrutamiento solo se configuran en enrutadores PE. Cada instancia de enrutamiento VPN consta de los siguientes componentes:
Tabla VRF: en cada enrutador PE, se configura una tabla VRF para cada VPN.
Conjunto de interfaces que utilizan la tabla VRF: la interfaz lógica de cada enrutador CE conectado directamente debe estar asociada a una tabla VRF. Puede asociar más de una interfaz con la misma tabla VRF si más de un enrutador CE en una VPN está conectado directamente al enrutador PE.
Reglas de política: controlan la importación y exportación de rutas hacia la tabla VRF.
Uno o más protocolos de enrutamiento que instalan rutas de enrutadores CE en la tabla VRF: puede utilizar los protocolos de enrutamiento BGP, OSPF y RIP, y puede utilizar rutas estáticas.
Configuración de unidades lógicas en la interfaz de circuito cerrado para instancias de enrutamiento en VPN de capa 3
Para VPN de capa 3 (instancias de enrutamiento VRF), puede configurar una unidad lógica en la interfaz de circuito cerrado en cada instancia de enrutamiento VRF que haya configurado en el enrutador. La asociación de una instancia de enrutamiento VRF con una unidad lógica en la interfaz de circuito cerrado permite identificar fácilmente la instancia de enrutamiento VRF.
Hacer esto es útil para solucionar problemas:
-
Le permite hacer ping a un enrutador CE remoto desde un enrutador PE local en una VPN de capa 3. Para obtener más información, consulte Ejemplo: solución de problemas de VPN de capa 3.
-
Garantiza que una comprobación de la unidad de transmisión máxima de ruta (MTU) en el tráfico que se origina en una instancia de enrutamiento de VRF o enrutador virtual funcione correctamente. Para obtener más información, consulte Configuración de comprobaciones de MTU de ruta para instancias de enrutamiento VPN.
También puede configurar un filtro de firewall para la unidad lógica en la interfaz de circuito cerrado; esta configuración le permite filtrar el tráfico para la instancia de enrutamiento VRF asociada a ella.
En los conmutadores de la serie EX (excepto los conmutadores de la serie EX9200) y los conmutadores de la serie QFX5000, no se admite el filtrado de circuito cerrado por VRF. Incluso si configuramos filtros diferentes para cada IFL en circuito cerrado, se aplican a la interfaz de circuito cerrado como un todo y no por separado por VRF.
A continuación se describe cómo los filtros de firewall afectan a la instancia de enrutamiento VRF dependiendo de si están configurados en la interfaz de circuito cerrado predeterminada, la instancia de enrutamiento VRF o alguna combinación de ambas. La "interfaz de circuito cerrado predeterminada" se refiere a lo0.0 (asociada con la tabla de enrutamiento predeterminada) y la "interfaz de circuito cerrado VRF" se refiere a lo0.n, que se configura en la instancia de enrutamiento VRF.
-
Si configura el filtro A en la interfaz de circuito cerrado predeterminado y el filtro B en la interfaz de circuito cerrado VRF, la instancia de enrutamiento VRF utiliza el filtro B.
-
Si configura el filtro A en la interfaz de circuito cerrado predeterminada pero no configura un filtro en la interfaz de circuito cerrado VRF, la instancia de enrutamiento VRF no utiliza un filtro.
-
Si configura el filtro A en la interfaz de circuito cerrado predeterminada pero no configura una interfaz de circuito cerrado VRF, la instancia de enrutamiento VRF utiliza el filtro A. Para los dispositivos MX80, el comportamiento es ligeramente diferente: si configura filtros en la interfaz de circuito cerrado predeterminada pero no configura una interfaz de circuito cerrado VRF, la instancia de enrutamiento VRF utiliza solo los filtros de entrada asignados al circuito cerrado predeterminado (no utiliza filtros de salida del circuito cerrado predeterminado).
Para algunos enrutadores de metro universales serie ACX (ACX1000, ACX2000, ACX4000 y ACX5000), el filtro de circuito cerrado predeterminado debe estar en la misma instancia de enrutamiento o enrutamiento y reenvío virtual (VRF) que el tráfico de entrada que filtra. Es decir, en estos dispositivos, el filtro de circuito cerrado predeterminado no se puede usar para el tráfico que atraviesa una interfaz que pertenece a una instancia de enrutamiento diferente.
Para configurar una unidad lógica en la interfaz de circuito cerrado, incluya la unit instrucción:
unit number {
family inet {
address address;
}
}
Puede incluir esta instrucción en los siguientes niveles jerárquicos:
-
[edit interfaces lo0] -
[edit logical-systems logical-system-name interfaces lo0]
Para asociar un filtro de firewall con la unidad lógica de la interfaz de circuito cerrado, incluya la filter instrucción:
filter {
input filter-name;
}
Puede incluir esta instrucción en los siguientes niveles jerárquicos:
-
[edit interfaces lo0 unit unit-number family inet] -
[edit logical-systems logical-system-name interfaces lo0 unit unit-number family inet]
Para incluir la lo0.n interfaz (donde n especifica la unidad lógica) en la configuración de la instancia de enrutamiento VRF, incluya la siguiente instrucción:
interface lo0.n;
Puede incluir esta instrucción en los siguientes niveles jerárquicos:
-
[edit routing-instances routing-instance-name] -
[edit logical-systems logical-system-name routing-instances routing-instance-name]
Configuración de instancias de enrutamiento en enrutadores PE en VPN
Debe configurar una instancia de enrutamiento para cada VPN en cada uno de los enrutadores PE que participan en la VPN. Los procedimientos de configuración descritos en esta sección se aplican a VPN de capa 2, VPN de capa 3 y VPLS. Los procedimientos de configuración específicos para cada tipo de VPN se describen en las secciones correspondientes de los demás capítulos de configuración.
Para configurar instancias de enrutamiento para VPN, incluya las siguientes instrucciones:
description text; instance-type type; interface interface-name; route-distinguisher (as-number:number | ip-address:number); vrf-import [ policy-names ]; vrf-export [ policy-names ]; vrf-target { export community-name; import community-name; }
Puede incluir estas instrucciones en los siguientes niveles jerárquicos:
[edit routing-instances routing-instance-name][edit logical-systems logical-system-name routing-instances routing-instance-name]
Para configurar instancias de enrutamiento VPN, realice los pasos de las secciones siguientes:
- Configuración del nombre de instancia de enrutamiento para una VPN
- Configuración de la descripción
- Configuración del tipo de instancia
- Configuración de interfaces para el enrutamiento VPN
- Configuración del Route Distinguisher
- Configuración de diferenciadores de ruta automáticos
Configuración del nombre de instancia de enrutamiento para una VPN
El nombre de la instancia de enrutamiento de una VPN puede tener un máximo de 128 caracteres y puede contener letras, números y guiones. En Junos OS versión 9.0 y posteriores, ya no se puede especificar default como el nombre real de la instancia de enrutamiento. Tampoco puede usar caracteres especiales (! @ # $ % ^ & * , +< > : ;) dentro del nombre de una instancia de enrutamiento.
En Junos OS versión 9.6 y posteriores, puede incluir una barra diagonal (/) en un nombre de instancia de enrutamiento solo si no está configurado un sistema lógico. Es decir, no puede incluir el carácter de barra diagonal en un nombre de instancia de enrutamiento si se configura explícitamente un sistema lógico distinto del predeterminado.
Especifique el nombre de la instancia de enrutamiento con la routing-instance instrucción:
routing-instance routing-instance-name {...}
Puede incluir esta instrucción en los siguientes niveles jerárquicos:
[edit][edit logical-systems logical-system-name]
Configuración de la descripción
Para proporcionar una descripción de texto para la instancia de enrutamiento, incluya la description instrucción. Si el texto incluye uno o más espacios, escríbalos entre comillas (" "). Cualquier texto descriptivo que incluya se muestra en la salida del show route instance detail comando y no tiene ningún efecto en el funcionamiento de la instancia de enrutamiento.
Para configurar una descripción de texto, incluya la description instrucción:
description text;
Puede incluir esta instrucción en los siguientes niveles jerárquicos:
[edit routing-instances routing-instance-name][edit logical-systems logical-system-name routing-instances routing-instance-name]
Configuración del tipo de instancia
El tipo de instancia que configure varía en función de si está configurando VPN de capa 2, VPN de capa 3, VPLS o enrutadores virtuales. Especifique el tipo de instancia incluyendo la instance-type instrucción:
Para habilitar el enrutamiento VPN de capa 2 en un enrutador PE, incluya la
instance-typeinstrucción y especifique el valorl2vpn:instance-type l2vpn;
Para habilitar el enrutamiento VPLS en un enrutador PE, incluya la
instance-typeinstrucción y especifique el valorvpls:instance-type vpls;
Las VPN de capa 3 requieren que cada enrutador PE tenga una tabla de enrutamiento y reenvío VPN (VRF) para distribuir rutas dentro de la VPN. Para crear la tabla VRF en el enrutador PE, incluya la
instance-typeinstrucción y especifique el valorvrf:instance-type vrf;
Nota:El muestreo basado en motor de enrutamiento no se admite en instancias de enrutamiento VRF.
Para habilitar la instancia de enrutamiento del enrutador virtual, incluya la
instance-typeinstrucción y especifique el valorvirtual-router:instance-type virtual-router;
Puede incluir esta instrucción en los siguientes niveles jerárquicos:
[edit routing-instances routing-instance-name][edit logical-systems logical-system-name routing-instances routing-instance-name]
Configuración de interfaces para el enrutamiento VPN
En cada enrutador PE, debe configurar una interfaz a través de la cual el tráfico VPN viaja entre los enrutadores PE y CE.
En las secciones siguientes se describe cómo configurar interfaces para VPN:
- Configuración general para el enrutamiento VPN
- Configuración de interfaces para VPN de capa 3
- Configuración de interfaces para VPN de portadora de carriers
- Configuración de RPF de unidifusión en interfaces VPN
Configuración general para el enrutamiento VPN
La configuración descrita en esta sección se aplica a todos los tipos de VPN. Para VPN de capa 3 y VPN de operadora de operadoras, complete la configuración descrita en esta sección antes de continuar con las secciones de configuración de interfaz específicas de esos temas.
Para configurar interfaces para el enrutamiento VPN, incluya la interface instrucción:
interface interface-name;
Puede incluir esta instrucción en los siguientes niveles jerárquicos:
[edit routing-instances routing-instance-name][edit logical-systems logical-system-name routing-instances routing-instance-name]
Especifique las partes físicas y lógicas del nombre de la interfaz con el siguiente formato:
physical.logical
Por ejemplo, en at-1/2/1.2, at-1/2/1 es la parte física del nombre de la interfaz y 2 es la parte lógica. Si no especifica la parte lógica del nombre de la interfaz, el valor 0 se establece de forma predeterminada.
Una interfaz lógica solo se puede asociar a una instancia de enrutamiento. Si habilita un protocolo de enrutamiento en todas las instancias especificando interfaces all al configurar la instancia maestra del protocolo en el [edit protocols] nivel de jerarquía y si configura una interfaz específica para el enrutamiento VPN en el [edit routing-instances routing-instance-name] nivel de jerarquía o en el [edit logical-systems logical-system-name routing-instances routing-instance-name] nivel de jerarquía, esta última instrucción de interfaz tiene prioridad y la interfaz se utiliza exclusivamente para la VPN.
Si configura explícitamente el mismo nombre de interfaz en el nivel de [edit protocols] jerarquía y en los niveles de [edit routing-instances routing-instance-name] jerarquía o [edit logical-systems logical-system-name routing-instances routing-instance-name] , se producirá un error al intentar confirmar la configuración.
Configuración de interfaces para VPN de capa 3
Cuando configure las interfaces VPN de capa 3 en el nivel jerárquico [edit interfaces] , también debe configurar family inet al configurar la interfaz lógica:
[edit interfaces]
interface-name {
unit logical-unit-number {
family inet;
}
}
Configuración de interfaces para VPN de portadora de carriers
Cuando configure VPN de portadora de operadoras, debe configurar la family mpls instrucción además de la family inet instrucción para las interfaces entre los enrutadores PE y CE. Para VPN de portadora de operadoras, configure la interfaz lógica de la siguiente manera:
[edit interfaces]
interface-name {
unit logical-unit-number {
family inet;
family mpls;
}
}
Si configura family mpls en la interfaz lógica y, a continuación, configura esta interfaz para una instancia de enrutamiento que no sea portadora de operadoras, la family mpls instrucción se quita automáticamente de la configuración de la interfaz lógica, ya que no es necesaria.
Configuración de RPF de unidifusión en interfaces VPN
Para las interfaces VPN que llevan tráfico IP versión 4 o versión 6 (IPv4 o IPv6), puede reducir el impacto de los ataques de denegación de servicio (DoS) configurando el reenvío de ruta inversa de unidifusión (RPF). El FPR de unidifusión ayuda a determinar el origen de los ataques y rechaza paquetes desde direcciones de origen inesperadas en interfaces en las que el FPR de unidifusión está habilitado.
Puede configurar RPF de unidifusión en una interfaz VPN habilitando RPF de unidifusión en la interfaz e incluyendo la interface instrucción en el nivel de [edit routing-instances routing-instance-name] jerarquía.
No puede configurar RPF de unidifusión en las interfaces orientadas al núcleo. Solo puede configurar RPF de unidifusión en las interfaces de enrutador CE a PE del enrutador PE. Sin embargo, para las instancias de enrutamiento de enrutador virtual, RPF de unidifusión es compatible con todas las interfaces que especifique en la instancia de enrutamiento.
Para obtener información acerca de cómo configurar RPF de unidifusión en interfaces VPN, consulte Descripción de RPF de unidifusión (enrutadores).
Configuración del Route Distinguisher
Cada instancia de enrutamiento que configure en un enrutador PE debe tener asociado un diferenciador de ruta único. Las instancias de enrutamiento VPN necesitan un diferenciador de ruta para ayudar a BGP a distinguir entre mensajes de información de accesibilidad de capa de red (NLRI) potencialmente idénticos recibidos de diferentes VPN. Si configura diferentes instancias de enrutamiento VPN con el mismo distintivo de ruta, se producirá un error en la confirmación.
Para VPN de capa 2 y VPLS, si ha configurado la l2vpn-use-bgp-rules instrucción, debe configurar un diferenciador de ruta único para cada enrutador PE que participe en una instancia de enrutamiento específica.
Para otros tipos de VPN, le recomendamos que utilice un diferenciador de ruta único para cada enrutador PE que participe en la instancia de enrutamiento. Aunque puede utilizar el mismo diferenciador de ruta en todos los enrutadores PE para la misma instancia de enrutamiento VPN (excepto para VPN de capa 2 y VPLS), si utiliza un distinguidor de ruta único, puede determinar el enrutador CE desde el que se originó una ruta dentro de la VPN.
Para configurar un diferenciador de ruta en un enrutador PE, incluya la route-distinguisher instrucción:
route-distinguisher (as-number:number | ip-address:number);
Para obtener una lista de los niveles jerárquicos en los que puede incluir esta instrucción, vea la sección de resumen de instrucción de esta instrucción.
El diferenciador de ruta es un valor de 6 bytes que puede especificar en uno de los siguientes formatos:
as-number:number, dondeas-numberes un número de sistema autónomo (AS) (un valor de 2 bytes) ynumberes cualquier valor de 4 bytes. El número de AS puede estar en el rango de 1 a 65,535. Le recomendamos que use un número de AS no privado asignado por la Autoridad de asignación de números de Internet (IANA), preferiblemente el número de AS del proveedor de servicios de Internet (ISP) o del cliente.ip-address:number, dondeip-addresses una dirección IP (un valor de 4 bytes) ynumberes cualquier valor de 2 bytes. La dirección IP puede ser cualquier dirección de unidifusión única globalmente. Se recomienda usar la dirección que configure en larouter-idinstrucción, que es una dirección no privada en el intervalo de prefijos asignado.
Configuración de diferenciadores de ruta automáticos
Si configura la route-distinguisher-id instrucción en el nivel de [edit routing-options] jerarquía, se asigna automáticamente un diferenciador de ruta a la instancia de enrutamiento. Si también configura la route-distinguisher instrucción además de la route-distinguisher-id instrucción, el valor configurado para reemplaza al valor generado a route-distinguisher partir de route-distinguisher-id.
Para asignar un diferenciador de ruta automáticamente, incluya la route-distinguisher-id instrucción:
route-distinguisher-id ip-address;
Puede incluir esta instrucción en los siguientes niveles jerárquicos:
[edit routing-options][edit logical-systems logical-system-name routing-options]
Un diferenciador de ruta de tipo 1 se asigna automáticamente a la instancia de enrutamiento con el formato ip-address:number. La dirección IP se especifica mediante la route-distinguisher-id instrucción y el número es único para la instancia de enrutamiento.
Configuración de instancias de enrutamiento de enrutador virtual en VPN
Una instancia de enrutamiento de enrutador virtual, como una instancia de enrutamiento VRF, mantiene tablas de enrutamiento y reenvío independientes para cada instancia. Sin embargo, muchos de los pasos de configuración necesarios para las instancias de enrutamiento VRF no son necesarios para las instancias de enrutamiento de enrutador virtual. En concreto, no es necesario configurar un diferenciador de ruta, una directiva de tabla de enrutamiento (las vrf-exportinstrucciones, y route-distinguisher y) vrf-importo MPLS entre los enrutadores del proveedor de servicios.
Configure una instancia de enrutamiento de enrutador virtual incluyendo las siguientes instrucciones:
description text; instance-type virtual-router; interface interface-name; protocols { ... }
Puede incluir estas instrucciones en los siguientes niveles jerárquicos:
[edit routing-instances routing-instance-name][edit logical-systems logical-system-name routing-instances routing-instance-name]
En las secciones siguientes se explica cómo configurar una instancia de enrutamiento de enrutador virtual:
- Configuración de un protocolo de enrutamiento entre enrutadores del proveedor de servicios
- Configuración de interfaces lógicas entre enrutadores participantes
Configuración de un protocolo de enrutamiento entre enrutadores del proveedor de servicios
Los enrutadores del proveedor de servicios deben poder intercambiar información de enrutamiento. Puede configurar los siguientes protocolos para la configuración de la instrucción de instancia protocols de enrutamiento del enrutador virtual en el nivel de [edit routing-instances routing-instance-name] jerarquía:
BGP
IS-IS
LDP
OSPF
Multidifusión independiente del protocolo (PIM)
RASGADURA
También puede configurar rutas estáticas.
La reflexión de ruta del IBGP no es compatible con las instancias de enrutamiento de enrutador virtual.
Si configura LDP en una instancia de enrutador virtual, las rutas LDP se colocan de forma predeterminada en las tablas de enrutamiento inet.0 e inet.3 de la instancia de enrutamiento (por ejemplo, sample.inet.0 y sample.inet.3). Para restringir las rutas LDP solo a la tabla inet.3 de la instancia de enrutamiento, incluya la no-forwarding instrucción:
no-forwarding;
Puede incluir esta instrucción en los siguientes niveles jerárquicos:
[edit routing-instances routing-instance-name protocols ldp][edit logical-systems logical-system-name routing-instances routing-instance-name protocols ldp]
Cuando restringe las rutas LDP solo a la tabla de enrutamiento inet.3, la ruta IGP correspondiente en la tabla de enrutamiento inet.0 se puede redistribuir y anunciar en otros protocolos de enrutamiento.
Para obtener información acerca de las tablas de enrutamiento, consulte Descripción de las tablas de enrutamiento de Junos OS.
Configuración de interfaces lógicas entre enrutadores participantes
Debe configurar una interfaz para cada enrutador del cliente que participe en la instancia de enrutamiento y para cada enrutador P que participe en la instancia de enrutamiento. Cada instancia de enrutamiento de enrutador virtual requiere sus propias interfaces lógicas independientes para todos los enrutadores P que participan en la instancia. Para configurar interfaces para instancias de enrutador virtual, incluya la interface instrucción:
interface interface-name;
Puede incluir esta instrucción en los siguientes niveles jerárquicos:
[edit routing-instances routing-instance-name][edit logical-systems logical-system-name routing-instances routing-instance-name]
Especifique las partes físicas y lógicas del nombre de la interfaz con el siguiente formato:
physical.logical
Por ejemplo, en at-1/2/1.2, at-1/2/1 es la parte física del nombre de la interfaz y 2 es la parte lógica. Si no especifica la parte lógica del nombre de la interfaz, 0 se establece de forma predeterminada.
También debe configurar las interfaces en el nivel jerárquico [edit interfaces] .
Un método para proporcionar esta interfaz lógica entre los enrutadores del proveedor es mediante la configuración de túneles entre ellos. Puede configurar la seguridad IP (IPsec), la encapsulación de enrutamiento genérico (GRE) o los túneles IP-IP entre los enrutadores del proveedor, terminando los túneles en la instancia del enrutador virtual.
Para obtener información acerca de cómo configurar túneles e interfaces, consulte la Biblioteca de interfaces de servicios de Junos OS para dispositivos de enrutamiento.
Configuración de comprobaciones de MTU de ruta para instancias de enrutamiento VPN
De forma predeterminada, la comprobación de la unidad máxima de transmisión (MTU) para las instancias de enrutamiento VPN está deshabilitada en los enrutadores de la serie M (excepto el enrutador M320) y habilitada para el enrutador M320. En los enrutadores de la serie M, puede configurar comprobaciones de MTU de ruta en las interfaces salientes para el tráfico de unidifusión enrutado en instancias de enrutamiento VRF y en instancias de enrutamiento de enrutador virtual.
Cuando se habilita una comprobación de MTU, la plataforma de enrutamiento envía un mensaje ICMP (Protocolo de mensajes de control de Internet) cuando un paquete que atraviesa la instancia de enrutamiento supera el tamaño de MTU y tiene el do-not-fragment bit establecido. El mensaje ICMP utiliza la dirección local VRF como dirección de origen.
Para que una comprobación de MTU funcione en una instancia de enrutamiento, debe incluir la vrf-mtu-check instrucción en el nivel de [edit chassis] jerarquía y asignar al menos una interfaz que contenga una dirección IP a la instancia de enrutamiento.
Para obtener más información acerca de la comprobación de MTU de ruta, consulte la Biblioteca de administración de Junos OS para dispositivos de enrutamiento.
Para configurar comprobaciones de MTU de ruta, realice las tareas descritas en las secciones siguientes:
- Habilitación de comprobaciones de MTU de ruta para una instancia de enrutamiento VPN
- Asignación de una dirección IP a la instancia de enrutamiento VPN
Habilitación de comprobaciones de MTU de ruta para una instancia de enrutamiento VPN
Para habilitar las comprobaciones de ruta en la interfaz saliente para el tráfico de unidifusión enrutado en una instancia de enrutamiento de enrutador virtual o VRF, incluya la vrf-mtu-check instrucción en el nivel de [edit chassis] jerarquía:
[edit chassis] vrf-mtu-check;
Asignación de una dirección IP a la instancia de enrutamiento VPN
Para garantizar que la comprobación de MTU de ruta funcione correctamente, se debe asociar al menos una dirección IP a cada instancia de enrutamiento de enrutador virtual o VRF. Si una dirección IP no está asociada con la instancia de enrutamiento, no se pueden enviar mensajes de respuesta ICMP.
Normalmente, la dirección IP del VRF o de la instancia de enrutamiento del enrutador virtual se extrae de entre las direcciones IP asociadas con las interfaces configuradas para esa instancia de enrutamiento. Si ninguna de las interfaces asociadas con una instancia de enrutamiento VRF o de enrutador virtual está configurada con una dirección IP, debe configurar explícitamente una interfaz de circuito cerrado lógico con una dirección IP. A continuación, esta interfaz debe asociarse a la instancia de enrutamiento. Consulte Configuración de unidades lógicas en la interfaz de circuito cerrado para instancias de enrutamiento en VPN de capa 3 para obtener más información.