Настойка Можжевельника: Готовим Можжевельник Srx. Часть 3. Виртуальные Маршрутизаторы

В этом случае интерфейсы не привязаны к RI, а остаются в RI по умолчанию.

* Виртуальная частная сеть уровня 2 (VPN) — Используется для организации MPLS L2VPN. * Непересылка — Все маршруты и интерфейсы помещаются в основной экземпляр маршрутизации, но вы можете «разделить» основную таблицу маршрутизации на несколько более мелких.

* Маршрутизация и переадресация VPN (VRF) — Используется для организации L3VPN. Он содержит не только таблицу маршрутизации, но и таблицу коммутации (таблицу пересылки).

В этом случае трафик от интерфейса сопоставляется с RI «один к одному», что позволяет отправлять и получать метки маршрутизации, что приводит к распределенной VPN. Используя протоколы динамической маршрутизации (BGP, OSPF или ISIS), можно организовать обмен информацией между PE (краем провайдера) и CE (краем клиента) таким образом, что каждый из них будет получать (и отправлять) маршруты только в пределах «своей границы».

» VPN. * Виртуальный маршрутизатор - Аналогичен VRF, но не имеет таких опций, как импорт VRF, экспорт VRF, цель VRF или различитель маршрута.

Соответственно, для создания L3VPN он не подходит, поскольку отдельная таблица маршрутизации «живет» только внутри одного роутера.

Благодаря своей простоте он используется гораздо чаще, чем его «старший брат».

* Служба виртуальной частной локальной сети (VPLS) — Объект для организации многоточечного распределенного L2VPN поверх MPLS. Для клиента это будет выглядеть как виртуальный свитч, к портам которого подключаются его Edge (CE) устройства.

Мы не будем рассматривать все это великолепие сразу, а остановимся лишь на VR. Что это вообще такое? Из описания понятно, что это немного упрощенная версия VRF, по сути VRF-lite из мира Cisco. Поддерживаются логические туннели и ребровые группы для обмена маршрутами и связи между виртуальными машинами.

Разумеется, протоколы маршрутизации (ospf, bgp, isis) настраиваются отдельно для каждого VR. Для каждого VR требуется своя Зона безопасности (интерфейсы разных VR не могут быть помещены в зону).

Зачем все это необходимо? Ровно по той же причине, по которой обычно делают VRF — изоляция сетей (клиентов) друг от друга и упрощение маршрутизации.

Например, можно разделить маршрутизацию филиалов, туннелей IPSec до клиентов и маршрутизацию сервисных устройств и трафика самого маршрутизатора (таблица маршрутизации по умолчанию).

Ограничение на Dynamic VPN, конечно, обидно (такое есть в планах), но пережить можно.

Главное правильно определить внешний интерфейс, который может быть и в другом VR. После этого добавляем st0 в нужный VR, настраиваем маршрутизацию и политику.

В нашем случае 10.6.6.0/24 — это сеть за шлюзом ipsec нашего партнера.

Работает только в одну сторону (между VR нельзя настроить «встречные» маршруты).

admin@jpsrx550# show routing-instances SAMPLE_VR routing-options static route a.b.c.d/32 next-table inet.0;

Здесь мы указываем VR, что адрес abcd следует искать в таблице маршрутизации по умолчанию (inet.0).

б.

группы ребер Позволяет импортировать таблицы маршрутизации из одного VR в другой.

И не полностью, а именно те части, которые нужны.

Например, статические маршруты, интерфейсные маршруты (сети с прямым подключением) или маршруты из протокола динамической маршрутизации.

set routing-options rib-groups IPSEC_to_default_RIB import-rib IPSEC_VR.inet.0 set routing-options rib-groups IPSEC_to_default_RIB import-rib inet.0 set routing-instances IPSEC_VR routing-options static rib-group IPSEC_to_default_RIB set routing-options rib-groups default_to_IPSEC_RIB import-rib inet.0 set routing-options rib-groups default_to_IPSEC_RIB import-rib IPSEC_VR.inet.0 set protocols ospf rib-group default_to_IPSEC_RIB

В этом случае можно настроить «встречную» маршрутизацию между VR (разными ребристыми группами), или, например, сделать статический маршрут в одну сторону, а ребровую группу — в противоположную.

Импортированные таким образом маршруты воспринимаются VR «как родные», т.е.

их можно, например, экспортировать в OSPF/BGP. в.

логические туннели Опция прозрачна в реализации и удобна в некоторых случаях (например, когда нужно обмениваться таблицами BGP между разными VR).

Создаются виртуальные интерфейсы, которые выглядят так же, как настоящие.

Их можно добавлять в зоны безопасности, маршрутизировать-экземпляры, к ним можно применять политики, назначать адреса и т. д. Но трафик не уходит с роутера.

Настройка довольно проста.

Обратите внимание, что при настройке lt указывается идентификатор соседа.

Те.

туннелей может быть больше двух (что логично).

Длинный кусок конфигурации

interfaces { lt-0/0/0 { unit 1 { encapsulation ethernet; peer-unit 2; family inet { address 10.20.30.1/30; } } unit 2 { encapsulation ethernet; peer-unit 1; family inet { address 10.20.30.2/30; } } } policy-options { policy-statement p1 { from { instance R1; protocol direct; } then accept; } policy-statement p2 { from { instance R2; protocol direct; } then accept; } } security { zones { security-zone Z1 { host-inbound-traffic { system-services { all; } protocols { all; } } interfaces { ge-0/0/1.0; lt-0/0/0.1; } } security-zone Z2 { host-inbound-traffic { system-services { all; } protocols { all; } } interfaces { ge-0/0/2.0; lt-0/0/0.2; } } } policies { from-zone Z1 to-zone Z1 { policy Z1-Z1 { match { source-address any; destination-address any; application any; } then { permit; } } } from-zone Z2 to-zone Z2 { policy Z2-Z2 { match { source-address any; destination-address any; application any; } then { permit; } } } } flow { traceoptions { file lt-testing; flag basic-datapath; packet-filter 1 { source-prefix 192.168.1.2/32; destination-prefix 192.168.2.2/32; } } } } routing-instances { R1 { instance-type virtual-router; interface lt-0/0/0.1; interface ge-0/0/1.0; protocols { ospf { traceoptions { file R1; flag all; } export p1; area 0.0.0.0 { interface lt-0/0/0.1; } } } } R2 { instance-type virtual-router; interface lt-0/0/0.2; interface ge-0/0/2.0; protocols { ospf { export p2; area 0.0.0.0 { interface lt-0/0/0.2; } } } } }

Минус в том, что нужно создавать интерфейсы, добавлять их в VR, security-зону, учитывать при настройке динамической маршрутизации и т.д. Вот и все, собственно.

Буду рад ответить на вопросы и замечания в комментариях.

Ссылки (некоторые из них могут быть доступны только при наличии контракта на обслуживание): Руководство по настройке протоколов маршрутизации ОС Junos PDF-документ Руководство по настройке безопасности ОС Junos PDF-документ Руководство по настройке MPLS Junos OS для устройств безопасности PDF-документ Пример: настройка интерфейса st0 в виртуальном маршрутизаторе [SRX] Статический NAT с использованием экземпляра виртуальной маршрутизации [SRX] Конфигурация туннеля GRE в экземпляре маршрутизации [SRX] Пример конфигурации: NAT назначения: два пункта назначения имеют один и тот же IP-адрес и различаются по адресу источника.

[SRX, серии J] Пример.