Após falarmos sobre as configurações da rede de backbone e MPLS, nas partes 1 e 2, nesta terceira e última parte, iremos abordar as configurações das VRF's (Virtual Routing and Forwarding) dos clientes e também como ficou configurado a rede de cliente.
Relembrando a Topologia Completa:
Rede de Cliente:
Conforme em nossa Topologia temos Matriz e Filiais dos dois clientes fictícios, a navegação das unidades é realizado pela Matriz, onde a Matriz é a responsável por propagar a rota default (0.0.0.0/0) para a rede MPLS e por consequência para as Filiais.
Cada Filial possuí sua LAN específica, onde a propagação das rotas entre os CPE's das unidades e o PE que é diretamente conectado com o CPE é realizado via Protocolo BGP, para realizarmos essa troca de forma dinâmica.
Virtual Routing and Forwarding
Virtual Routing and Forward, ou simplesmente VRF, é uma técnica de virtualização de diferentes tabelas de roteamentos em um mesmo roteador.
Normalmente é utilizada por provedores de serviço na oferta do serviço MPLS L3VPN para conectividade dos clientes por meio de um compartilhamento da mesma infraestrutura.
Com a utilização desta tecnologia, é possível criar tabelas de roteamento
independentes para cada cliente, conforme pode-se observar na Figura 2 abaixo, quando mesmo compartilhando da mesma infraestrutura de backbone, o tráfego destes clientes não será envolvido, permanecendo apenas na VRF proposta de cada um, onde também não é agregada na tabela de roteamento global dos roteadores.
Com a utilização de VRF, endereços IP's conflitantes (iguais) podem ser utilizados sem conflitos entre as VRF's, devido às tabelas de roteamento serem independentes.
Mais detalhes sobre VRF, segue um material ótimo encontrado na comunidade da Cisco.
Configurações Aplicadas para VRF:
Vamos analisar a configuração do "PE-SP", entretanto, a configuração é semelhante em todos os PE's, com exceção dos IP's utilizados. O "PE-SP" atende as Filiais 03 do cliente Borges e Venancio. Segue configurações aplicadas:
Configuração das Interfaces do PE:
interface Ethernet0/1
description VENANCIO-FIL03
vrf forwarding venancio
ip address 172.16.0.17 255.255.255.252 <-- WAN da CPE
!
interface Ethernet0/2
description BORGES-FIL03
vrf forwarding borges
ip address 172.16.0.17 255.255.255.252 <-- WAN da CPE
Na configuração das interfaces de comunicação entre o PE e o CPE do cliente, apenas incluimos a interface na VRF específica de cada com o comando vrf forwarding nome-vrf,
Configuração da VRF
vrf definition borges
rd 10:1
!
address-family ipv4
route-target export 10:1
route-target import 10:1
exit-address-family
!
vrf definition venancio
rd 10:2
!
address-family ipv4
route-target export 10:2
route-target import 10:2
exit-address-familyConforme demonstrado acima, configuramos as VRF's borges e venancio com a utilização do vrf definition nome-vrf. Nesta parte, poderíamos configurar também com o ip vrf nome-vrf invé-s do utilizado. A diferença é que com a utilização do vrf definition, permite a configuração de pilha dupla (tanto IPv4 quanto IPv6). Com ip vrf, é possível configurar apenas IPv4. No caso do nosso LAB, como não estamos utilizando IPv6, o ip vrf atenderia o objetivo final.
O route-distinguisher (rd) para a VRF borges foi configurado o 10:1, e para a VRF venancio 10:2. Numa rede MPLS, rd é necessário pois é assim que o PE vai distinguir e exportar as rotas das VRF's pela mesma sessão iBGP para o RR (Route-Reflector). Por exemplo, na nossa topologia utilizamos as mesmas redes WAN's e LAN's para os dois clientes, e é aqui que o rd entra, para que essas rotas sejam diferentes entre as VRF's quando são anunciadas na mesma sessão iBGP ao RR.
Num modo grosseiro, as rotas ficariam assim:
LAN Filial 01 Borges: 192.168.1.0/24:10:1
LAN Filial 01 Venancio: 192.168.1.0/24:10:2
No caso do route-target import e export, no caso da nossa topologia não seria necessário o uso, pois ele é utilizado quando trata-se de troca de rotas entre VRF's.
Outro detalhe interessante, é que o nome da VRF não é anunciado. O nome da VRF só é valido e utilizado localmente no roteador. Portanto o que diferencia as rotas, conforme já falado, é o rd (route-distinguisher).
Vamos a um exemplo prático, digamos que será necessário a configuração de uma rede LAN nova 192.168.70.0/24 na Filial 03 do cliente Venancio. Conforme a propagação das rotas entre o PE e a CPE do cliente é via BGP, basta configurarmos a rede LAN nova na CPE que o BGP fará o resto dinamicamente.
Segue topologia da configuração nova:
Assim que é configurado a LAN 192.168.70.1/24 numa interface do CPE da Filial 3 do cliente Venancio, o CPE já anuncia esta rede para o "PE-SP" através do eBGP que há entre os equipamentos, com uma mensagem de UPDATE do BGP. Realizando uma captura de pacote na interface e0/1 do "PE-SP", vemos a mensagem (172.16.0.18 é o CPE e 172.16.0.17 é o "PE01-SP"):
A rede 192.168.70.0/24 entra na rede MPLS no "PE-SP", e é anunciada via iBGP para o "RR" (Route-Reflector) via mensagem UPDATE do BGP, com o route-distinguisher 10:2, conforme Captura de Pacote da interface e0/0 do "RR" (10.10.10.10 é o "PE-SP" e 10.10.10.4 é o "RR"):
E por fim, o "RR" também anuncia a rede 192.168.70.0/24 com o rd 10:2 para o restante dos PE's que possuem configurado a VRF venancio. Tudo isso de forma dinâmica, sem a necessidade de configurações complementares no restante da rede.
E é desta forma que os PE's diferenciam as rotas entre as VRF's, e criam tabelas de roteamento virtuais para cada uma delas. Nas imagens abaixo, vemos as tabelas de roteamento das VRF's e também a tabela global, e podemos analisar que elas são extremamente semelhantes, pois foram utilizadas as mesmas redes WANs e LANs, e com o uso das VRF's, não temos conflitos de endereços IP's.
Tabela de Roteamento - VRF venancio
Tabela de Roteamento - VRF borges
Tabela de Roteamento - Global
Configuração da Rede de Cliente
Conforme falado acima, a troca de rotas entre PE x CPE é realizada via roteamento dinâmico com o uso do Protocolo BGP. Poderia ter sido utilizado apenas roteamento estático, principalmente nas Filiais que são apenas uma abordagem, entretanto, para termos um certo dinamismo e troca de rotas automáticas, sem a necessidade de configuração de rota estática, realizamos esse LAB utilizando o BGP.
No caso da Matriz dos clientes, que é duplamente abordado, caso utilizássemos roteamento estático, seria necessário a configuração de ip sla nos PE's que são Cisco, e nos CPE's que são Mikrotik, seria necessário habilitar o check-gateway=ping nas rotas, o que é uma configuração mais extensa que o Protocolo BGP, que faz isso de forma automática.
Para o tráfego de download: controlado nos anúncios de out do BGP no CPE, onde para a abordagem secundária, a rota da rota default que o CPE da Matriz anuncia para rede MPLS será anunciada com prepend.
Para o tráfego de upload: controlado nos anúncios de in do BGP no CPE, no qual foi manipulado com o uso do atributo Local Preference. Quanto maior o valor do atributo, maior a preferência sob a rota.
Segue a configuração do BGP aplicado na CPE da Matriz do cliente Venancio:
/routing bgp instance
add as=65000 name=MPLS redistribute-connected=yes router-id=192.168.0.1
/routing bgp peer
add default-originate=if-installed in-filter=BGP-IN-PRI instance=MPLS name=\
BGP-VENANCIO-MATRIZ-01 out-filter=BGP-OUT-PRI remote-address=172.16.0.1 \
remote-as=10 update-source=ether1-wan-pe01-rs
add default-originate=if-installed in-filter=BGP-IN-SEC instance=MPLS name=\
BGP-VENANCIO-MATRIZ-02 out-filter=BGP-OUT-SEC remote-address=172.16.0.5 \
remote-as=10 update-source=ether2-wan-pe02-rs
/routing filter
add action=accept chain=BGP-OUT-PRI
add action=accept chain=BGP-IN-PRI set-bgp-local-pref=500
add action=accept chain=BGP-OUT-SEC set-bgp-prepend=2
add action=accept chain=BGP-IN-SEC set-bgp-local-pref=400Falamos um pouco sobre o BGP neste Post do BLOG, confere lá -> Utilização do BGP para manipulação de rotas em conjunto com SD-WAN para obter um melhor desempenho da rede no Fortigate
No Post acima, falamos um pouco sobre como o BGP manipula as rotas, que foi exatamente como fizemos nesse LAB.
Tabela de Roteamento - CPE Matriz Venancio
Com isso, finalizamos o nosso Laboratório de uma Topologia de uma rede de backone MPLS e utilização do MPLS L3VPN (VRF).
Se ficou alguma dúvida ou tiver alguma curiosidade, não deixe de me contatar!
Obrigado por chegar até aqui :)
excelente material obrigado!!!