Router Teldat Facilidad VRF-Lite Doc. DM775 Rev. 10.80 Septiembre, 2011 ÍNDICE Capítulo 1 Introducción ....................................................................................................1 1. 2. 3. Introducción ....................................................................................................................... 2 La facilidad VRF-Lite ........................................................................................................ 3 Configuración de la facilidad VRF-Lite ............................................................................. 5 3.1. Consideraciones previas .......................................................................................... 5 3.2. Configuración por defecto....................................................................................... 5 3.3. Pasos para la correcta configuración ....................................................................... 5 a) Configurar los nombres de las VRFs secundarias .................................................. 6 b) Asociar cada interfaz o subinterfaz a la VRF correspondiente .............................. 6 c) Configurar los parámetros del protocolo IP asociados a cada VRF ...................... 6 d) Configurar el protocolo de routing de cada VRF ................................................... 7 • Configurar routing estático en una VRF secundaria .................................... 7 • Configurar los parámetros del protocolo RIP asociados a cada VRF .......... 7 • Configurar los parámetros del protocolo BGP asociados a cada VRF......... 8 e) Configurar TNIP para traspasar VRFs .................................................................. 9 Capítulo 2 Configuración..................................................................................................10 1. Comandos de Configuración .............................................................................................. 11 ? (AYUDA) ............................................................................................................. 11 NO ........................................................................................................................... 11 VRF ......................................................................................................................... 12 a) Asociar un contexto a la VRF secundaria ............................................................... 12 1.4. EXIT ....................................................................................................................... 12 1.1. 1.2. 1.3. Capítulo 3 Monitorización ................................................................................................13 1. Comandos de Monitorización ............................................................................................ 14 - ii - Capítulo 1 Introducción 1. Introducción Las Redes Privadas Virtuales (Virtual Private Networks o VPNs) permiten que varios clientes compartan el ancho de banda de la red de backbone de un proveedor de servicio de Internet (ISP). Una VPN se puede definir como el conjunto de ubicaciones que comparten una misma tabla de enrutamiento. Una ubicación de cliente se conecta al proveedor de servicio a través de uno o más interfaces. El proveedor de servicio asocia cada interfaz con la tabla de encaminamiento de una VPN. La tabla de encaminamiento de una VPN es lo que se denomina VRF (VPN routing/forwarding table). ROUTER TELDAT - Introducción VRF-Lite I-2 Doc.DM775 Rev.10.80 2. La facilidad VRF-Lite Mediante la facilidad VRF-Lite, los router Teldat pueden soportar varias tablas de encaminamiento, es decir, varias VRFs, cuando actúan como equipo de cliente; de ahí que al VRF-Lite también se le denomine multi-VRF CE (multi-VRF Customer Edge Device). VRF-Lite permite a un proveedor de servicio soportar dos o más VPNs con espacios de direccionamiento solapados, usando un único interfaz físico. VRF-Lite usa los interfaces de entrada para distinguir entre las distintas VPNs. Para ello, mediante configuración, se asocia cada interfaz a una VRF. Los interfaces pueden ser tanto físicos (puertos Ethernet) o lógicos (VLANs), pero un interfaz no puede pertenecer simultáneamente a más de una VRF. Los interfaces que se asocian a las VRFs deben ser interfaces de nivel 3. La arquitectura de red propia de VRF-Lite incluye los siguientes dispositivos: • Customer edge (CE): dispositivo situado en el cliente que se conecta a la red del proveedor de servicio para comunicarse contra los CEs de las ubicaciones de cliente remotas. El CE comunica las rutas locales al PE y aprende las rutas de las ubicaciones remotas de la misma VPN que le envía el PE. • Provider edge (PE): router de la red del proveedor de servicio que intercambia rutas con los CEs mediante routing estático, RIP o BGP. Cada PE mantiene una VRF por cada una de las VPNs directamente conectada. Varios interfaces de un PE pueden estar asociados a una misma VRF si las ubicaciones de cliente que conectan pertenecen a la misma VPN. Tras aprender las rutas locales que le envían los CEs directamente conectados, el PE intercambia dichas rutas con el resto de PEs mediante el uso de internal BGP (IBGP). • Provider routers (core routers): son routers del proveedor de servicio que no están conectados a ningún CE. Mediante VRF-Lite, varios clientes pueden compartir un mismo CE, y usar sólo una línea física entre el CE y el PE. El CE compartido mantiene una VRF distinta por cada cliente. Por tanto, VRF-Lite extiende la funcionalidad de los PEs a los CEs, al permitirles mantener VRFs separadas en la ubicación del cliente. La siguiente figura muestra una configuración donde los CE 1 y 3 actúan como multiples CEs virtuales: ROUTER TELDAT - Introducción VRF-Lite I-3 Doc.DM775 Rev.10.80 En el escenario de la figura, el prosamiento de paquetes es el siguiente: • Cuando el “CE 1” recibe un paquete de una de las VPNs localmente conectadas, se mira la tabla de rutas virtual que corresponde en función del interfaz de entrada. Cuando se encuentra una ruta, el CE enruta el paquete al PE. • En el enlace físico que conecta cada CE con su PE se definen tantos interfaces virtuales (VLANs en caso de puertos Ethernet) como VPNs directamente conectadas tenga configurados el CE. Por ejemplo, en el caso del enlace entre “CE 1” y “PE 1” hay definidos tres enlaces virtuales, de tal manera que, cuando cuando el “PE 1” recibe un paquete del “CE 1”, realiza una consulta a la tabla de rutas de la VRF asociada al interfaz virtual correspondiente. Cuando se encuentra la ruta, el PE añade al paquete la etiqueta MPLS correspondiente y lo envía a la red MPLS. • Cuando el PE remoto recibe el paquete de la red MPLS, quita la etiqueta y usa la VRF asociada a la etiqueta para realizar la consulta de la ruta siguiente. • Cuando el CE remoto recibe el paquete, se usa la información del interfaz virtual entrante, para averiguar la VRF asociada al paquete, y así poder enrutar el paquete dentro de la VPN correspondiente. ROUTER TELDAT - Introducción VRF-Lite I-4 Doc.DM775 Rev.10.80 3. Configuración de la facilidad VRF-Lite Para configurar la facilidad VRF-Lite en un CE, hay que crea una o más tablas VRF y especificar los interfaces de nivel 3 asociados a las mismas. Posteriormente, se configuran los protocolos de routing de las VPNs directamente conectada al CE y el protocolo de routing entre entre el CE y el PE. 3.1. Consideraciones previas Antes de configurar VRF-Lite se deben tener en cuenta las siguientes consideraciones: • Independientemente de la configuración de VRF-Lite, el equipo dispone de una tabla de encaminamiento global de la que, por defecto, participan todos los interfaces. Se puede considerar como una VRF más y se la denomina VRF principal (main VRF). El resto de VRFs son VRFs secundarias. • Un router con VRF-Lite configurado, es un router que va a ser compartido por varios clientes (varias VPNs). Cada cliente tendrá por tanto su propia tabla de rutas. • VRF-Lite permite compartir la línea física que existe entre el PE y el CE. Para ello es necesario definir interfaces virtuales, normalmente VLANs, uno por cada cliente. Por la línea física se multiplexaran las VLANs: puertos trunk. • La facilidad de VRF-Lite no soporta todas las funcionalidades asociadas al MPLS-VRF: intercambio de etiquetas, adyacencia LDP, paquetes etiquetados. • Para el PE no existe diferencia entre conectarse a un CE multi-VRF o conectarse a multiples CEs mono-VRF. • BGP, RIP y routing estático son los protocolos de routing posibles entre los CEs y PEs. 3.2. Configuración por defecto • • • • Por defecto VRF-Lite está deshabilitado, por tanto, no existe ninguna VRF secundaria activa. Los interfaces están asociados a la VRF principal. Los protocolos de routing estático, RIP y BGP participan de la VRF principal. Todas las funcionalidades del equipo que hacen uso de IP utilizan la VRF principal. 3.3. Pasos para la correcta configuración Para configurar VRF-Lite, seguir los siguientes pasos: 1. Configurar los nombres de las VRFs secundarias. 2. Asociar cada interfaz o subinterfaz a la VRF correspondiente. 3. Configurar los parámetros del protocolo IP asociados a cada VRF. 4. Configurar el protocolo de routing de cada VRF. En la actualidad se soportan los siugientes protocolos de routing: a. Routing estático. b. RIP. c. BGP. 5. Configurar TNIP para traspasar VRFs. ROUTER TELDAT - Introducción VRF-Lite I-5 Doc.DM775 Rev.10.80 a) Configurar los nombres de las VRFs secundarias Antes de poder asignar una VRF secundaria a un determinado interfaz, hay que crearla. Para ello se accede al menú de la facilidad VRF y se crea cada VRF asígnandole un nombre. Sintaxis: VRF config>vrf <vrf-name> Ejemplo: Config>feature vrf -- VRF user configuration -VRF config>vrf vrf-1 VRF config>vrf vrf-2 VRF config>vrf vrf-2 b) Asociar cada interfaz o subinterfaz a la VRF correspondiente Una vez definidas las VRFs, se asigna cada interfaz a la VRF secundaria correspondiente. Aquellos interfaces que no se asignen a una VRF secundaria, por defecto quedan asociados a la VRF principal. Para asociar un interfaz a una VRF secundaria hay que introducir el siguiente comando en el menú del interfaz/subinterfaz que corresponda: Sintaxis: <nombre_interfaz> config>ip vrf forwarding <vrf-name> Ejemplo: Config>network ethernet0/0.1 -- Config of the Ethernet Subinterface -ethernet0/0.1 config>ip vrf forwarding vrf-1 ethernet0/0.1 config> c) Configurar los parámetros del protocolo IP asociados a cada VRF Dentro del menú del protocolo IP, explicado en el manual Dm702 TCP-IP se ha creado el submenú VRF que contiene un subconjunto de comandos del menú del mismo, que se corresponde con el conjunto de parámetros que a día de hoy se pueden configurar en una VRF secundaria. Para acceder al submenú se tiene que especificar el nombre de la VRF cuyo parámetro IP se quiere configurar. Los comandos IP del menú raíz del protocolo IP afectan a la VRF principal, y los comandos del submenú VRF del protocolo IP afectan a la VRF secundaria que se especifique. Para acceder al submenú IP de una VRF secundaria hay que ejecutar el siguiente comando que está situado en el menú del protocolo IP: Sintaxis: IP config>vrf <vrf-name> Ejemplo: Config>protocol ip -- Internet protocol user configuration -IP config>vrf vrf-1 A continuación se enumeran aquellos comandos IP que se pueden configurar para una VRF secundaria: ROUTER TELDAT - Introducción VRF-Lite I-6 Doc.DM775 Rev.10.80 IP vrf config>? access-group address aggregation-route broadcast-address classless directed-broadcast filter icmp-redirects icmp-unreachables id-route internal-ip-address list local management-ip-address multipath no policy route router-id tvrp vrrp exit IP vrf config> Specifies per-interface access control system Assigns an ip address to one network interfaces Configures ip aggregation information Sets the ip broadcast format for an interface Enables ip classless routing strategy Enables directed broadcast Designates an ip network/subnet to be filtered Enables sending icmp redirects Enables sending icmp unreachables Sets the internal ip address Lists ip configuration elements Local (not forwarded) traffic settings Sets the management ip address Enables multipath routing Negates a command or sets its defaults Enable policy routing on an interface Configures a static network/subnet ip route Sets the router id Enters in the TVRP configuration menus Enters in the VRRP configuration menus Para más información sobre cada uno de estos comandos consúltese el manual del protocolo IP Dm702 TCP-IP. d) Configurar el protocolo de routing de cada VRF • Configurar routing estático en una VRF secundaria El routing estático se configura desde el submenú VRF del protocolo IP, ya explicado en el anterior apartado. • Configurar los parámetros del protocolo RIP asociados a cada VRF Dentro del menú del protocolo RIP, explicado en el manual Dm718 Protocolo RIP se ha creado el submenú VRF que contiene un subconjunto de comandos del menú del mismo, que se corresponde con el conjunto de parámetros que a día de hoy se pueden configurar en una VRF secundaria. Para acceder al submenú se tiene que especificar el nombre de la VRF cuyo parámetro RIP se quiere configurar. Los comandos RIP del menú raíz del protocolo RIP afectan a la VRF principal, y los comandos del submenú VRF del protocolo RIP afectan a la VRF secundaria que se especifique. Para acceder al submenú RIP de una VRF secundaria hay que ejecutar el siguiente comando que está situado en el menú del protocolo RIP: Sintaxis: RIP config>vrf <vrf-name> Ejemplo: Config>protocol rip -- RIP protocol user configuration -RIP config>vrf vrf-1 A continuación se enumeran aquellos comandos RIP que se pueden configurar para una VRF secundaria: ROUTER TELDAT - Introducción VRF-Lite I-7 Doc.DM775 Rev.10.80 RIP vrf config>? aggregation-type allow-disconnected-subnetted-networks authentication clear compatibility cost-additional disable distribute-list enable fast-updates limit-rip list no offset-list originate-rip-default receiving redistribute sending timers exit RIP vrf config> RIP aggregation parameters Routes to subnets are always sent Authentication is sent and checked Clears current configuration Configure the compatibility selectors Associates a cost to an interface Disables the RIP protocol Establish input/output filters Enables the RIP protocol Enable fast updates Deactivates the RIP protocol in FR Display RIP configuration Establish input/output offset lists Originate a default ip route RIP reception parameters Redistribute information from another routing protocol RIP sending parameters Timers which control the algorithm Para más información sobre cada uno de estos comandos consúltese el manual del protocolo RIP Dm718 Protocolo RIP. • Configurar los parámetros del protocolo BGP asociados a cada VRF Dentro del menú del protocolo BGP, explicado en el manual Dm763 Protocolo BGP se ha creado el submenú VRF que contiene un subconjunto de comandos del menú del mismo, que se corresponde con el conjunto de parámetros que a día de hoy se pueden configurar en una VRF secundaria. Para acceder al submenú se tiene que especificar el nombre de la VRF cuyo parámetro BGP se quiere configurar. Los comandos BGP del menú raíz del protocolo BGP afectan a la VRF principal, y los comandos del submenú VRF del protocolo BGP afectan a la VRF secundaria que se especifique. Para acceder al submenú BGP de una VRF secundaria hay que ejecutar el siguiente comando que está situado en el menú del protocolo BGP: Sintaxis: BGP config>vrf <vrf-name> Ejemplo: Config>protocol bgp -- Border Gateway Protocol user configuration – BGP config>vrf vrf-1 A continuación se enumeran aquellos comandos BGP que se pueden configurar para una VRF secundaria: ROUTER TELDAT - Introducción VRF-Lite I-8 Doc.DM775 Rev.10.80 BGP vrf config>? aggregate as as-path as-path-set default-metric disable enable export generate group import martians multipath no preference exit BGP vrf config> Define route aggregation policy Autonomous system number of this router Define an as path Define an as path set Metric for BGP routes advertising Disable BGP protocol Enable BGP protocol Define route exportation policy Define route generation policy Define a group of peers Define route importation policy Define martian addresses Enable BGP multipath Negates a command or sets its defaults Preference for routes learned from BGP Para más información sobre cada uno de estos comandos consúltese el manual del protocolo BGP Dm763 Protocolo BGP. e) Configurar TNIP para traspasar VRFs Cuando se asocia un interfaz de tipo túnel “TNIP” a una VRF, por defecto, la dirección destino del túnel IP queda asociada a esa misma VRF, por tanto, la ruta para llegar a dicho destino será consultada en la tabla de rutas de la VRF asociada. Es posible, mediante configuración, cambiar este comportamiento de tal manera que la VRF asociada al interfaz y al destino del túnel sean distintas. Para ello hay que usar el comando “vrf-encap” propio de los interfaces túnel IP. Sintaxis: tnip1 config>vrf-encap <vrf-name> A continuación se expone un ejemplo en el que se configura una VRF distinta para el interfaz túnel IP y para el destino del túnel. Con esta configuración se consigue que el tráfico perteneciente a la “vrf-1” viaje encapsulado o traspase la “vrf-2”. Ejemplo: tnip1 config>ip vrf forwarding vrf-1 tnip1 config>vrf-encap vrf-2 tnip1 config> Para más información, consúltese el manual Dm719 Tunel IP. ROUTER TELDAT - Introducción VRF-Lite I-9 Doc.DM775 Rev.10.80 Capítulo 2 Configuración 1. Comandos de Configuración Esta sección resume y explica todos los comandos de configuración del router disponibles en el menú de configuración de la facilidad VRF. Existen funcionalidades cuyos parámetros de configuración pueden asociarse a una VRF determinada, es decir, que son multi-VRF, por ejemplo: IP, RIP, BGP,... Los comandos de configuración específicos de estas funcionalidades son accesibles desde el propio menú de configuración de dicha funcionalidad, y están explicados en el manual correspondiente en cada caso. Introducir los comandos de configuración IP cuando se tenga el prompt VRF config>, para acceder a este prompt se debe teclear lo siguiente: *p 4 config>feature vrf -- VRF user configuration -VRF config> Comando Función ? (AYUDA) NO Lista comandos u opciones. Borra un parámetro de la configuración VRF previamente añadido o reestablece su valor por defecto. Configura el nombre de una VRF. Sale de la configuración VRF. VRF EXIT 1.1. ? (AYUDA) Utilizar el comando ? (AYUDA) para listar los comandos válidos en el nivel donde se está programando el router. Se puede también utilizar este comando después de un comando específico para listar las opciones disponibles. Sintaxis: VRF config>? Ejemplo: VRF config>? no Negates a command or sets its defaults vrf configure a vrf exit Exit to parent menu VRF config> 1.2. NO Comando utilizado para negar otro comando o para restaurar la configuración por defecto de un determinado parámetro. Sintaxis: VRF config>no ? vrf remove a vrf ROUTER TELDAT - Configuración VRF-Lite II - 11 Doc.DM775 Rev.10.80 En el apartado de cada uno de los comandos que pueden ir precedidos por la partícula “NO” se ha explicado como afecta y se ha dado un ejemplo. Por tanto, para saber como afecta la partícula “NO” a cada uno de los comandos consultar el apartado explicatorio del comando en cuestión. 1.3. VRF Crea una VRF secundaria asignándole el nombre. Sintaxis: VRF config>vrf <1..32 chars> Table name Ejemplo: Config>feature vrf -- VRF user configuration -VRF config>vrf vrf-1 VRF config>vrf vrf-2 VRF config>vrf vrf-2 VRF precedido por un “no” borra el VRF Ejemplo: VRF config>no vrf vrf-1 VRF config> a) Asociar un contexto a la VRF secundaria Además de configurar el nombre de la VRF secundaria, podemos asociar de forma opcional, a cada VRF un contexto SNMP. El contexto es único para cada VRF. Sintaxis: VRF config>vrf <vrf-name> context <context-name> Ejemplo: Config>feature vrf -- VRF user configuration -VRF config>vrf vrf-1 ? context Configure a SNMP context no Negate a command or set its defaults <cr> VRF config>vrf vrf1 context ? <1..32 chars> Context name VRF config>vrf vrf1 context cntxt Esta asociación permite el acceso a los gestores SNMP a información relativa a las VRFs secundarias. 1.4. EXIT Utilizar el comando EXIT para volver al nivel de prompt en el que estaba anteriormente. Sintaxis: VRF config>exit Ejemplo: VRF config>exit Config> ROUTER TELDAT - Configuración VRF-Lite II - 12 Doc.DM775 Rev.10.80 Capítulo 3 Monitorización 1. Comandos de Monitorización No existen comandos de monitorización de la facilidad VRF. Existen funcionalidades que se pueden asociar a una VRF determinada, es decir, que son multi-VRF, por ejemplo: IP, RIP, BGP, etc. Los comandos de monitorización específicos de estas funcionalidades son accesibles desde el propio menú de monitorización de dicha funcionalidad, y están explicados en el manual correspondiente en cada caso. ROUTER TELDAT – Monitorización VRF-Lite III - 14 Doc.DM775 Rev.10.80