2.jpg
3.jpg
4.jpg
5.jpg
1.jpg

Настройка VRF-routing instances в Junos

Клиенты, географически расположенные в разных местах, арендуя услуги связи у провайдера, хотят видеть свои удаленные сети как единственную сеть для передачи трафика. Сетевые провайдеры предоставляют для этих целей услуги виртуальных частных сетей VPN, что позволяет объединять подключенные сети клиента в единую сеть. Одним из решений виртуальных частных сетей, является BGP-MLS-L3VPN, наиболее распространенное в операторских сетях.

Для клиента существует ряд преимуществ, при заказе таких услуг у операторов связи. А именно все необходимые настройки производит оператор, для связи с оператором можно использовать любой протокол маршрутизации, оператор гарантирует определенные IP SLA и другие. В данной статье хотелось бы рассмотреть настройку VPN L3 на маршрутизаторах компании Juniper Networks M, T, MX серий.

[edit routing-instances vpn-a]

user@CE-A# show

instance-type vrf;

interface <interface-name>;

route-distinguisher <rd type>;

vrf-target <target community>;

Приведенная конфигурация отображает основные настройки vrf instance:

  • instance type: определяет тип vpn, который определяет доступные для каждого вида vpn параметры конфигурации;
  • interface: определяет логические, либо физические интерфейсы, смотрящие в сторону клиента в данном vpn;
  • route-distinguisher: уникальный идентификатор для каждого маршрутизатора, который принадлежность на PE маршрутов к тому или иному vrf;
  • vrf-target либо vrf-import/vrf-export policies:
  1. ovrf-target: определяет какие маршруты должен импортировать либо экспортировать vrf;
  2. ovrf-import/vrf-export policies: определяет набор правил, каким образом маршруты должны импортироваться либо экспортироваться в vrf.

Все другие настройки выполняются в дереве конфигураций в разделе  [edit routing-instances vpn-a], такие как, например routing-options, protocols и другие.

Рассмотрим настройки на нашем примере с использованием vrf-target:

[edit routing-instances vpn-a]

user@CE-A# show

instance-type vrf;

interface ge-1/0/0.0

route-distinguisher 192.168.1.1:1;

vrf-target 65000:100;

Называем наш VPN vpn-a, далее в instance-type прописываем тип vrf – virtual routing and forwarding, что обозначает vpn layer 3. Определяем интерфейс в сторону клиента ge-1/0/0.0. Назначаем route-distinguisher и vrf-target. Каждый vrf-instance на маршрутизаторе PE должен быть уникальным. Например для vpn-a 192.168.1.1:1, а для vpn-b 192.168.1.1:2. Назначаем vrf-target. Данное значение должно совпадать со значением vrf-target РЕ с другой стороны для попадания маршрутов в нужный vrf. В нашем примере в vpn-a с другой стороны.

Рассмотрим конфигурацию, когда CE и PE соединены по протоколу bgp.

[edit routing-instances]

user@CE-A# show

vpn-a {

          instance-type vrf;

          interface ge-1/0/0.0

          route-distinguisher 192.168.1.1:1;

          vrf-target 65000:100;

          protocols {

                         bgp {

                                group external {

                                                       type external;

                                                       peer-as 65001;

                                                       neighbor 1.1.1.2;

Теперь рассмотрим пример с использованием vrf-import и vrf-export:           

[edit routing-instances]

user@CE-A# show

vpn-a {

          instance-type vrf;

          interface ge-1/0/0.0

          route-distinguisher 192.168.1.1:1;

          vrf-import import-vpn-a;

          vrf-export export-vpn-a;

          protocols {

                         bgp {

                                group external {

                                                       type external;

                                                       peer-as 65001;

                                                       neighbor 1.1.1.2;

При такой конфигурации необходимо прописать политики на импорт и на экспорт, в данном примере это import-vpn-a и export-vpn-a. Настройка политик происходит следующим образом:

[edit policy-options]

user@PE# show

policy-statement import-vpn-a {

          term 1 {

                from {

                         protocol bgp;

                         community vpn-a;

                        }

                 then accept;   

            }

            term 2 {

                 then reject;

community vpn-a members target:65000:100;

Политика vrf-import определяет правила фильтрации маршрутов, а именно распознает по community какие маршруты должны попасть в определенный vrf. В данной политики, в term 1, прописано условие: брать маршруты из протокола bgp с определенным community vpn-a и действие: разрешить. В term 2 соответственно все, что не соответствует term1 отбрасывать.

Политика на экспорт (передача в сторону второго PE) настраивается аналогично:

[edit policy-options]

user@PE# show

 policy-statement export-vpn-a {

          term 1 {

                from {

                         protocol bgp;

                         community vpn-a;

                        }

                 then accept;   

            }

            term 2 {

                 then reject;

community vpn-a members target:65000:100;

Необходимо отметить, что community (а это и есть vrf-target) в политики export на одном PE, должен соответствовать политики import на другом PE. И соответственно наоборот.

 Только те, кто предпринимает абсурдные попытки, смогут достичь невозможного.

Альберт Эйнштейн

Мы ждем Вас!

тел: +7 (499) 755-75-42

email: Этот адрес электронной почты защищен от спам-ботов. У вас должен быть включен JavaScript для просмотра.


Яндекс.Метрика