Criação de VPN's
VPN (Virtual Private Network) é uma rede privada, onde pode trafegar informações de forma segura, construída sobre a infra-estrutura de uma rede pública, como a internet. Utilizando a técnica chamada de tunelamento, pacotes são transmitidos na rede pública em um túnel privado que simula uma conexão ponto-a-ponto. As VPN's permitem estender as redes corporativas de uma empresa a pontos distantes. Porém, ao invés de utilizar um grande número de linhas dedicadas para interconexão entre seus diversos pontos, o que onera muito o custo da rede, uma VPN utiliza os serviços das redes IP.
Para criação das VPN's, utilizamos o diagrama apresentado. Com a rede configurada com o protocolo MPLS (como apresentado no link MPLS). Para isso utilizamos os procedimentos a seguir.
Primeiramente criamos uma VPN nos roteadores PE's:
|
conf t |
|
|
ip vrf nome da VPN |
/comando que cria uma VPN com nome dado pelo gerente. |
|
rd a:b |
/o rd (route distinguisher) identifica a VPN - a e b são dois números escolhidos. |
|
route-target import x:y |
/neste comando a VPN importa todas as rotas que possuem esse route-target, onde x e y são números escolhidos. |
|
route-target export x:y |
/igual ao comando anterior, mas neste caso exporta as rotas. |
Configurando a interface do roteador PE que está conectada com a VPN:
|
conf t |
|
|
int interface |
|
|
ip vrf fowarding nome da VPN |
/associa-se esta interface com a VPN criada. |
|
ip add (ip da interface) (máscara da interface) |
/É necessário configurar o endereço da interface novamente. |
Configurando RIP entre os PE's e CE's:
No roteador CE: /configura-se o protocolo RIP normalmente
conf t
router rip
version 2
network ip da rede diretamente conectada
network ip da própria loopback
redistribute conected
No roteador PE:
|
conf t |
|
|
router rip |
|
|
version 2 |
|
|
address-family ipv4 vrf nome da VPN |
/cria-se um sub-processo dentro do RIP para redistribuir as rotas dessa VPN anunciadas pelo BGP para o RIP. Essas serão as rotas que os roteadores CE's, pertencentes a essa VPN, receberão. |
|
redistribute bgp as metric transparent |
|
|
network ip da rede entre o PE e o CE |
|
|
no auto-summary |
|
|
exit-address-family |
|
Criando uma address-family para a troca de endereços VPN's entre os PE's, no processo bgp:
|
conf t |
|
||
|
router bgp as |
|
||
|
|||
|
neighbor ip da loopback do PE vizinho active |
|
||
|
neighbor ip da loopback do PE vizinho send-community extended |
|
||
|
no auto-summary |
|
||
Configurando a VPN, no processo bgp no roteador PE:
|
conf t |
|
|
router bgp as |
|
|
address-family ipv4 vrf nome da VPN |
/ é um sub-processo no BGP criado para cada VPN, para a troca de rotas desta VPN específicamente. Neste caso será criada uma tabela de rotas apenas para esta VPN. Isso fará com que as redes pertencentes a essa VPN apenas tenham conectividade dentro dela. |
|
redistribute rip |
/redistribuimos as rotas anunciadas por RIP para a tabela de VPN. |
|
no auto-summary |
|
|
no synchronization |
|
Para verificar a VPN, utiliza-se os seguintes comandos:
|
show ip vrf |
/mostra todas VPN's existentes com seus respectivos rd's. |
|
show ip vrf nome da VPN |
/mostra somente esta VPN e seu rd. |
|
show ip route vrf nome da VPN |
/mostra as rotas dessa VPN, anunciadas por este roteador. |
|
show ip bgp vpnv4 all tags |
/mostra as tabelas de rotas de cada VPN existente, associando cada rota a um label VPN. |
Exemplo da utilização dos
labels
Como visto no diagrama foram criadas duas VPN's, uma chamada video e outra voz. Posteriormente foi criada uma VPN de gerência, no roteador CBPF-PE, sendo usado o roteador CBPF-CE2 para essa VPN e não mais para VPN de video, vide o novo diagrama. Para configuração desta VPN, importamos o route-target das outras duas VPN's e exportamos somente o route-target de gerência. Nas outras duas, acrescentamos a importação do route-target da gerência. Com essas configurações, a VPN de gerência tem conectividade com todas as VPN's e cada VPN só tem conectividade com ela própria e a de gerência.
Ver show running do roteador PE