Exemplo: Configurar VPNs de Camada 2 baseadas em MPLS
Este exemplo mostra como configurar e validar uma VPN de Camada 2 baseada em MPLS em roteadores ou switches que executam o Junos OS.
Nossa equipe de teste de conteúdo validou e atualizou este exemplo.
Você pode implantar uma rede virtual privada de Camada 2 baseada em MPLS usando roteadores e switches que executam o Junos OS para interconectar locais de clientes com conectividade de Camada 2. As VPNs de camada 2 oferecem aos clientes controle total sobre sua escolha de protocolos de transporte e roteamento.
As VPNs baseadas em MPLS exigem a funcionalidade MPLS de linha de base na rede do provedor. Quando o MPLS básico estiver operacional, você poderá configurar VPNs que usam caminhos comutados por rótulos (LSPs) para transporte pelo núcleo do provedor.
A adição de serviços VPN não afeta as operações básicas de comutação MPLS na rede do provedor. Na verdade, os dispositivos do provedor (P) exigem apenas uma configuração MPLS de linha de base porque não reconhecem VPN. O estado da VPN é mantido apenas nos dispositivos PE. Essa é uma das principais razões pelas quais as VPNs baseadas em MPLS são tão escaláveis.
Requerimentos
Este exemplo usa os seguintes componentes de hardware e software:
Junos OS versão 15.1 ou posterior
Revalidado no Junos OS versão 20.1R1
Dois dispositivos de borda de provedor (PE)
Dispositivo de um provedor (P)
Dois dispositivos de borda do cliente (CE)
O exemplo se concentra em como adicionar VPN de Camada 2 a uma linha de base MPLS pré-existente. Uma configuração básica do MPLS é fornecida caso sua rede ainda não tenha o MPLS implantado.
Para oferecer suporte a VPNs baseadas em MPLS, a linha de base do MPLS subjacente deve fornecer a seguinte funcionalidade:
Interfaces voltadas para o núcleo e loopback operacionais com suporte à família MPLS
Um protocolo de gateway interior, como OSPF ou IS-IS, para fornecer acessibilidade entre os endereços de loopback dos dispositivos do provedor (P e PE)
Um protocolo de sinalização MPLS, como LDP ou RSVP, para sinalizar LSPs
LSPs estabelecidos entre endereços de loopback de dispositivo PE
Os LSPs são necessários entre cada par de dispositivos PE que participam de uma determinada VPN. É uma boa ideia criar LSPs entre todos os dispositivos PE para acomodar o crescimento futuro da VPN. Você configura LSPs no nível de [edit protocols mpls] hierarquia. Ao contrário de uma configuração MPLS para conexão cruzada de circuito (CCC), você não precisa associar manualmente o LSP à interface voltada para o cliente (borda) do dispositivo PE. Em vez disso, as VPNs de Camada 2 usam a sinalização BGP para transmitir a acessibilidade do site de Camada 2. Essa sinalização BGP automatiza o mapeamento de sites VPN remotos de Camada 2 para o encaminhamento LSP nos próximos hops. Isso significa que, com uma VPN de camada 2, o mapeamento explícito de um LSP para a interface voltada para a borda de um dispositivo PE não é necessário.
Para obter detalhes sobre o CCC, consulte Configuração de um VLAN CCC baseado em MPLS usando um circuito de Camada 2.
Visão geral e topologia
Uma VPN de camada 2 oferece separação completa entre as redes do provedor e do cliente. Os benefícios de uma VPN de Camada 2 incluem suporte para protocolos de transporte fora do padrão e o isolamento do endereçamento de link e operação do protocolo de roteamento entre as redes do cliente e do provedor.
A definição de uma VPN envolve alterações apenas nos dispositivos PE locais e remotos. Nenhuma configuração adicional é necessária nos dispositivos do provedor (além do suporte MPLS de linha de base), porque esses dispositivos fornecem apenas funções básicas de comutação MPLS. Os dispositivos CE não usam MPLS. Eles exigem apenas uma interface básica e, se desejado, configuração de protocolo, para operar na VPN de Camada 2. Para uma VPN de Camada 2, você configura os dispositivos CE como se estivessem conectados a um link compartilhado.
Quando uma linha de base MPLS estiver em vigor, você deverá configurar a seguinte funcionalidade nos dispositivos PE para estabelecer uma VPN de Camada 2 baseada em MPLS:
Um grupo BGP com
family l2vpn signalingUma instância de roteamento com tipo de instância
l2vpnAs interfaces voltadas para o cliente nos dispositivos PE devem ser configuradas da seguinte forma:
Especifique
ethernet-cccovlan-cccencapsulamento da camada física dependendo se a marcação VLAN está em uso.Configure um tipo de encapsulamento correspondente na configuração da instância de roteamento.
Configure a interface lógica (unidade) usada para a VPN de Camada 2 com
family ccco .
A Figura 1 fornece a topologia para este exemplo de VPN de Camada 2 baseada em MPLS. A figura detalha os nomes das interfaces, endereçamento IP e protocolos usados na rede do provedor. Ele também destaca a natureza de ponta a ponta do endereçamento do dispositivo CE e da operação da pilha de protocolos. Ao contrário de uma VPN de Camada 3, a operação do dispositivo CE é opaca para a rede do provedor em uma VPN de Camada 2. Não há nenhuma relação de emparelhamento entre os dispositivos CE e a rede do provedor. Como resultado, você espera que os dispositivos CE formem uma adjacência OSPF na rede do provedor, e não na rede do provedor.
Configurações rápidas
Use as configurações desta seção para colocar rapidamente sua VPN de Camada 2 baseada em MPLS em funcionamento. As configurações incluem uma linha de base MPLS funcional para oferecer suporte à sua VPN de Camada 2. Este exemplo se concentra nos aspectos VPN da configuração. Consulte os links a seguir para obter informações adicionais sobre a funcionalidade MPLS de linha de base usada neste exemplo:
Configuração rápida da CLI
As configurações do dispositivo omitem a interface de gerenciamento, as rotas estáticas, o registro do sistema, os serviços do sistema e as informações de login do usuário. Essas partes da configuração variam de acordo com o local e não estão diretamente relacionadas à funcionalidade MPLS ou VPN.
Edite os seguintes comandos conforme necessário para as especificidades do seu ambiente e cole-os na janela do terminal do dispositivo CE (CE1) local:
A configuração completa para o dispositivo CE1.
set system host-name ce1 set interfaces ge-0/0/0 description "Link from CE1 to PE1" set interfaces ge-0/0/0 unit 0 family inet address 172.16.1.1/30 set interfaces lo0 unit 0 family inet address 172.16.255.1/32 set protocols ospf area 0.0.0.0 interface lo0.0 set protocols ospf area 0.0.0.0 interface ge-0/0/0.0
Edite os seguintes comandos conforme necessário para as especificidades do seu ambiente e cole-os na janela do terminal do dispositivo PE (PE1) local:
A configuração completa do dispositivo PE1.
set system host-name pe1 set interfaces ge-0/0/0 description "Link from PE1 to CE1" set interfaces ge-0/0/0 encapsulation ethernet-ccc set interfaces ge-0/0/0 unit 0 family ccc set interfaces ge-0/0/1 description "Link from PE1 to P-router" set interfaces ge-0/0/1 mtu 4000 set interfaces ge-0/0/1 unit 0 family inet address 10.1.23.1/24 set interfaces ge-0/0/1 unit 0 family mpls set interfaces lo0 unit 0 family inet address 192.168.0.1/32 set routing-instances l2vpn1 protocols l2vpn interface ge-0/0/0.0 description "EDGE LINK BETWEEN PE1 AND CE1" set routing-instances l2vpn1 protocols l2vpn site CE-1 interface ge-0/0/0.0 remote-site-id 2 set routing-instances l2vpn1 protocols l2vpn site CE-1 site-identifier 1 set routing-instances l2vpn1 protocols l2vpn encapsulation-type ethernet set routing-instances l2vpn1 instance-type l2vpn set routing-instances l2vpn1 interface ge-0/0/0.0 set routing-instances l2vpn1 route-distinguisher 192.168.0.1:12 set routing-instances l2vpn1 vrf-target target:65412:12 set routing-options autonomous-system 65412 set protocols bgp group ibgp type internal set protocols bgp group ibgp local-address 192.168.0.1 set protocols bgp group ibgp family l2vpn signaling set protocols bgp group ibgp neighbor 192.168.0.3 set protocols mpls label-switched-path lsp_to_pe2 to 192.168.0.3 set protocols mpls interface ge-0/0/1.0 set protocols ospf traffic-engineering set protocols ospf area 0.0.0.0 interface lo0.0 set protocols ospf area 0.0.0.0 interface ge-0/0/1.0 set protocols rsvp interface lo0.0 set protocols rsvp interface ge-0/0/1.0
A configuração completa para o dispositivo P.
set system host-name p set interfaces ge-0/0/0 description "Link from P-router to PE1" set interfaces ge-0/0/0 mtu 4000 set interfaces ge-0/0/0 unit 0 family inet address 10.1.23.2/24 set interfaces ge-0/0/0 unit 0 family mpls set interfaces ge-0/0/1 description "Link from P-router to PE2" set interfaces ge-0/0/1 mtu 4000 set interfaces ge-0/0/1 unit 0 family inet address 10.1.34.1/24 set interfaces ge-0/0/1 unit 0 family mpls set interfaces lo0 unit 0 family inet address 192.168.0.2/32 set protocols mpls interface ge-0/0/0.0 set protocols mpls interface ge-0/0/1.0 set protocols ospf traffic-engineering set protocols ospf area 0.0.0.0 interface lo0.0 set protocols ospf area 0.0.0.0 interface ge-0/0/0.0 set protocols ospf area 0.0.0.0 interface ge-0/0/1.0 set protocols rsvp interface lo0.0 set protocols rsvp interface ge-0/0/0.0 set protocols rsvp interface ge-0/0/1.0
A configuração completa do dispositivo PE2.
set system host-name pe2 set interfaces ge-0/0/0 description "Link from PE2 to CE2" set interfaces ge-0/0/0 encapsulation ethernet-ccc set interfaces ge-0/0/0 unit 0 family ccc set interfaces ge-0/0/1 description "Link from PE2 to P-router" set interfaces ge-0/0/1 mtu 4000 set interfaces ge-0/0/1 unit 0 family inet address 10.1.34.2/24 set interfaces ge-0/0/1 unit 0 family mpls set interfaces lo0 unit 0 family inet address 192.168.0.3/32 set routing-instances l2vpn1 protocols l2vpn interface ge-0/0/0.0 description "EDGE LINK BETWEEN PE2 AND CE2" set routing-instances l2vpn1 protocols l2vpn site CE-2 interface ge-0/0/0.0 remote-site-id 1 set routing-instances l2vpn1 protocols l2vpn site CE-2 site-identifier 2 set routing-instances l2vpn1 protocols l2vpn encapsulation-type ethernet set routing-instances l2vpn1 instance-type l2vpn set routing-instances l2vpn1 interface ge-0/0/0.0 set routing-instances l2vpn1 route-distinguisher 192.168.0.3:12 set routing-instances l2vpn1 vrf-target target:65412:12 set routing-options autonomous-system 65412 set protocols bgp group ibgp type internal set protocols bgp group ibgp local-address 192.168.0.3 set protocols bgp group ibgp family l2vpn signaling set protocols bgp group ibgp neighbor 192.168.0.1 set protocols mpls label-switched-path lsp_to_pe1 to 192.168.0.1 set protocols mpls interface ge-0/0/1.0 set protocols ospf traffic-engineering set protocols ospf area 0.0.0.0 interface lo0.0 set protocols ospf area 0.0.0.0 interface ge-0/0/1.0 set protocols rsvp interface lo0.0 set protocols rsvp interface ge-0/0/1.0
A configuração completa do dispositivo CE2.
set system host-name ce2 set interfaces ge-0/0/0 description "Link from CE2 to PE2" set interfaces ge-0/0/0 unit 0 family inet address 172.16.1.2/30 set interfaces lo0 unit 0 family inet address 172.16.255.2/32 set protocols ospf area 0.0.0.0 interface lo0.0 set protocols ospf area 0.0.0.0 interface ge-0/0/0.0
Certifique-se de confirmar as alterações de configuração em todos os dispositivos quando estiver satisfeito com seu trabalho. Parabéns pela sua nova VPN de Camada 2 baseada em MPLS! Consulte a seção Verificação para ver as etapas necessárias para confirmar se sua VPN está funcionando conforme o esperado.
Configure o dispositivo PE local (PE1) para uma VPN de Camada 2 baseada em MPLS
Esta seção aborda as etapas necessárias para configurar o dispositivo PE1 para este exemplo. Consulte a seção Exemplo: Configurar VPNs de Camada 2 baseadas em MPLS para as configurações de dispositivo CE e dispositivo P usadas neste exemplo.
Configurar a linha de base do MPLS (se necessário)
Antes de configurar a VPN de Camada 2, certifique-se de que o dispositivo PE tenha uma linha de base MPLS em funcionamento. Se você já tem uma linha de base MPLS, pode pular para o procedimento passo a passo para adicionar a VPN de Camada 2 ao dispositivo PE local.
-
Configure o nome do host.
[edit] user@pe1# set system host-name pe1
-
Configure as interfaces.
[edit] user@pe1# set interfaces ge-0/0/1 description "Link from PE1 to P-router" [edit] user@pe1# set interfaces ge-0/0/1 mtu 4000 [edit] user@pe1# set interfaces ge-0/0/1 unit 0 family inet address 10.1.23.1/24 [edit] user@pe1# set interfaces ge-0/0/1 unit 0 family mpls [edit] user@pe1# set interfaces lo0 unit 0 family inet address 192.168.0.1/32
ATENÇÃO:As VPNs de camada 2 não oferecem suporte à fragmentação na rede do provedor. É fundamental que a rede do provedor ofereça suporte ao maior quadro que os dispositivos CE podem gerar depois que os rótulos MPLS e de roteamento e encaminhamento virtual (VRF) são adicionados pelos dispositivos PE. Este exemplo deixa os dispositivos CE na unidade de transmissão máxima (MTU) padrão de 1500 bytes ao configurar o núcleo do provedor para dar suporte a uma MTU de 4000 bytes. Essa configuração evita descartes, garantindo que os dispositivos CE não possam exceder o MTU na rede do provedor.
-
Configure os protocolos.
Observação:A engenharia de tráfego é suportada para LSPs sinalizados por RSVP, mas não é necessária para comutação MPLS básica ou implantação de VPN. A linha de base MPLS fornecida usa RSVP para sinalizar LSPs e permite a engenharia de tráfego para OSPF. No entanto, nenhuma restrição de caminho está configurada, então você espera que os LSPs sejam roteados pelo caminho mais curto do protocolo de gateway interior.
[edit ]user@pe1# set protocols ospf area 0.0.0.0 interface lo0.0 [edit] user@pe1# set protocols ospf area 0.0.0.0 interface ge-0/0/1.0 [edit] user@pe1# set protocols ospf traffic-engineering [edit] user@pe1# set protocols mpls interface ge-0/0/1.0 [edit] user@pe1# set protocols rsvp interface lo0.0 [edit] user@pe1# set protocols rsvp interface ge-0/0/1.0
-
Defina o LSP para o endereço de loopback do dispositivo PE remoto.
[edit] user@pe1# set protocols mpls label-switched-path lsp_to_pe2 to 192.168.0.3
Tramitação processual
Procedimento passo a passo
Siga estas etapas para configurar o dispositivo PE1 para uma VPN de Camada 2.
Configure a interface voltada para a borda. Especifique um tipo de encapsulamento físico de
ethernet-ccccomfamily cccna unidade 0. Este é o único número de unidade válido para uma interface Ethernet não marcada. Se você estiver usando VLAN tagging, especifiquevlan-ccco encapsulamento e adicione a família CCC à(s) unidade(s) desejada(s).Dica:Você pode configurar uma VPN de Camada 2 baseada em MPLS e uma VPN de Camada 3 baseada em MPLS no mesmo dispositivo PE. No entanto, você não pode configurar a mesma interface voltada para a borda do cliente para oferecer suporte a uma VPN de Camada 2 e uma VPN de Camada 3.
[edit]user@pe1# set interfaces ge-0/0/0 encapsulation ethernet-ccc [edit] user@pe1# set interfaces ge-0/0/0 unit 0 family ccc [edit] user@pe1# set interfaces ge-0/0/0 description "Link from PE1 to CE1"
Observação:Uma VPN de Camada 2 requer que as interfaces voltadas para a borda do dispositivo PE sejam configuradas com encapsulamento CCC no nível do dispositivo físico com a família CCC configurada no nível da unidade. Os dispositivos do provedor são configurados da mesma maneira, independentemente de você estar implantando o CCC, uma VPN de Camada 2 baseada em MPLS ou uma VPN de Camada 3 baseada em MPLS. Isso ocorre porque eles não têm interfaces voltadas para a borda ou reconhecimento de VPN.
Configure um grupo BGP para o emparelhamento entre os dispositivos PE locais e remotos. Use o endereço de loopback do dispositivo PE como o endereço local e habilite
family l2vpn signalingo .[edit protocols bgp] user@pe1# set group ibgp local-address 192.168.0.1 family l2vpn signaling
Configure o tipo de grupo BGP como interno.
[edit protocols bgp] user@pe1# set group ibgp type internal
Configure o endereço de loopback do dispositivo PE remoto como um vizinho BGP.
[edit protocols bgp] user@pe1# set group ibgp neighbor 192.168.0.3
Configure o número do sistema autônomo BGP.
[edit routing-options] user@pe1# set autonomous-system 65412
Configure a instância de roteamento. Comece especificando o nome l2vpn1da instância , com um
instance-typedel2vpn.[edit routing-instances] user@pe1# set l2vpn1 instance-type l2vpn
Configure a interface voltada para o cliente do dispositivo PE para pertencer à instância de roteamento.
[edit routing-instances] user@pe1# set l2vpn1 interface ge-0/0/0
Configure o diferenciador de rota da instância de roteamento. Essa configuração é usada para distinguir as rotas enviadas de um VRF específico em um dispositivo PE específico. Ele deve ser exclusivo para cada instância de roteamento em cada dispositivo PE.
[edit routing-instances] user@pe1# set l2vpn1 route-distinguisher 192.168.0.1:12
Configure o destino de rota da tabela de roteamento e encaminhamento virtual (VRF) da instância. A
vrf-targetinstrução adiciona a marca de comunidade especificada a todas as rotas anunciadas, ao mesmo tempo em que corresponde automaticamente ao mesmo valor para importação de rota. A configuração de alvos de rota correspondentes nos dispositivos PE que compartilham uma determinada VPN é necessária para a troca de rota adequada.[edit routing-instances] user@pe1# set l2vpn1 vrf-target target:65412:12
Observação:Você pode criar políticas mais complexas configurando explicitamente as políticas de importação e exportação de VRF usando as opções de importação e exportação. Veja vrf-import e vrf-export para detalhes.
Configure o
l2vpnprotocolo na instância e especifique o encapsulamento usado no link voltado para a borda. Se a interface de borda estiver marcada com VLAN, certifique-se de especificarethernet-vlan.[edit routing-instances] user@pe1# set l2vpn1 protocols l2vpn encapsulation-type ethernet
Adicione a interface voltada para a borda na sub-rotina da
l2vpninstância junto com uma descrição.[edit routing-instances] user@pe1# set l2vpn1 protocols l2vpn interface ge-0/0/0.0 description "L2vpn Link Between PE1 and CE1"
Configure as informações do site da VPN de Camada 2 e associe a interface voltada para a borda ao site do cliente local.
[edit routing-instances] user@pe1# set l2vpn1 protocols l2vpn site CE-1 site-identifier 1 interface ge-0/0/0.0 remote-site-id 2
Observação:Neste exemplo, a ID do site para o dispositivo PE1 é 1 e a ID do site para o dispositivo PE2 é 2. Para o dispositivo PE local (PE1), o site remoto está configurado corretamente com um
remote-site-idvalor de 2.Comprometa suas alterações no dispositivo PE1 e retorne ao modo operacional da CLI.
[edit] user@pe1# commit and-quit
Resultados
Exiba os resultados da configuração no dispositivo PE1. A saída reflete apenas a configuração funcional adicionada neste exemplo.
user@pe1> show configuration
interfaces {
ge-0/0/0 {
description "Link from PE1 to CE1";
encapsulation ethernet-ccc;
unit 0 {
family ccc;
}
}
ge-0/0/1 {
description "Link from PE1 to P-router";
mtu 4000;
unit 0 {
family inet {
address 10.1.23.1/24;
}
family mpls;
}
}
lo0 {
unit 0 {
family inet {
address 192.168.0.1/32;
}
}
}
}
routing-instances {
l2vpn1 {
protocols {
l2vpn {
interface ge-0/0/0.0 {
description "L2vpn Link Between PE1 and CE1" ;
}
site CE-1 {
interface ge-0/0/0.0 {
remote-site-id 2;
}
site-identifier 1;
}
encapsulation-type ethernet;
}
}
instance-type l2vpn;
interface ge-0/0/0.0;
route-distinguisher 192.168.0.1:12;
vrf-target target:65412:12;
}
}
routing-options {
autonomous-system 65412;
}
protocols {
bgp {
group ibgp {
type internal;
local-address 192.168.0.1;
family l2vpn {
signaling;
}
neighbor 192.168.0.3;
}
}
mpls {
label-switched-path lsp_to_pe2 {
to 192.168.0.3;
}
interface ge-0/0/1.0;
}
ospf {
traffic-engineering;
area 0.0.0.0 {
interface lo0.0;
interface ge-0/0/1.0;
}
}
rsvp {
interface lo0.0;
interface ge-0/0/1.0;
}
}
Configurar o dispositivo PE remoto (PE2) para uma VPN de Camada 2 baseada em MPLS
Esta seção aborda as etapas necessárias para configurar o dispositivo PE2 para este exemplo. Consulte a seção Exemplo: Configurar VPNs de Camada 2 baseadas em MPLS para as configurações de dispositivo CE e dispositivo P usadas neste exemplo.
Configurar a linha de base do MPLS (se necessário)
Antes de configurar a VPN de Camada 2, certifique-se de que o dispositivo PE tenha uma linha de base MPLS em funcionamento. Se você já tem uma linha de base MPLS, pode pular para o procedimento passo a passo para adicionar a VPN de Camada 2 ao dispositivo PE local.
-
Configure o nome do host.
[edit] user@pe2# set system host-name pe2
-
Configure as interfaces.
[edit] user@pe2# set interfaces ge-0/0/1 description "Link from PE2 to P-router" [edit] user@pe2# set interfaces ge-0/0/1 mtu 4000 [edit] user@pe2# set interfaces ge-0/0/1 unit 0 family inet address 10.1.34.2/24 [edit] user@pe2# set interfaces ge-0/0/1 unit 0 family mpls [edit] user@pe2# set interfaces lo0 unit 0 family inet address 192.168.0.3/32
ATENÇÃO:As VPNs de camada 2 não oferecem suporte à fragmentação na rede do provedor. É fundamental que a rede do provedor ofereça suporte ao maior quadro que os dispositivos CE podem gerar depois que os rótulos MPLS e de roteamento e encaminhamento virtual (VRF) são adicionados pelos dispositivos PE. Este exemplo deixa os dispositivos CE na unidade de transmissão máxima (MTU) padrão de 1500 bytes ao configurar o núcleo do provedor para dar suporte a uma MTU de 4000 bytes. Essa configuração evita descartes, garantindo que os dispositivos CE não possam exceder o MTU na rede do provedor.
-
Configure os protocolos.
Observação:A engenharia de tráfego é suportada para LSPs sinalizados por RSVP, mas não é necessária para comutação MPLS básica ou implantação de VPN. A linha de base MPLS fornecida usa RSVP para sinalizar LSPs e permite a engenharia de tráfego para OSPF. No entanto, nenhuma restrição de caminho está configurada, então você espera que os LSPs sejam roteados pelo caminho mais curto do protocolo de gateway interior.
[edit] user@pe2# set protocols ospf area 0.0.0.0 interface lo0.0 [edit] user@pe2# set protocols ospf area 0.0.0.0 interface ge-0/0/1.0 [edit] user@pe2# set protocols ospf traffic-engineering [edit] user@pe2# set protocols mpls interface ge-0/0/1.0 [edit] user@pe2# set protocols rsvp interface lo0.0 [edit] user@pe2# set protocols rsvp interface ge-0/0/1.0
-
Defina o LSP para o endereço de loopback do dispositivo PE remoto.
[edit] user@pe2# set protocols mpls label-switched-path lsp_to_pe1 to 192.168.0.1
Tramitação processual
Procedimento passo a passo
Siga estas etapas para configurar o dispositivo PE2 para uma VPN de Camada 2.
Configure o encapsulamento e a família da interface voltada para a borda. Lembre-se de que esta é uma interface não marcada, portanto, somente a unidade 0 é válida para a
cccfamília.[edit]user@pe2# set interfaces ge-0/0/0 encapsulation ethernet-ccc [edit] user@pe2# set interfaces ge-0/0/0 unit 0 family ccc [edit] user@pe1# set interfaces ge-0/0/0 description "Link from PE2 to CE2"
Configure um grupo BGP. Especifique o endereço de loopback do dispositivo PE como o endereço local e habilite
family l2vpn signaling.[edit protocols bgp] user@pe2# set group ibgp local-address 192.168.0.3 family l2vpn signaling
Configure o tipo de grupo BGP como interno.
[edit protocols bgp] user@pe2# set group ibgp type internal
Configure o dispositivo PE1 como um vizinho BGP. Certifique-se de especificar o endereço de loopback do PE1 como o vizinho BGP.
[edit protocols bgp] user@pe2# set group ibgp neighbor 192.168.0.1
Configure o número do sistema autônomo BGP.
[edit routing-options] user@pe2# set autonomous-system 65412
Configure a instância de roteamento. Comece especificando o nome l2vpn1 da instância com um
instance-typedel2vpn.[edit routing-instances] user@pe2# set l2vpn1 instance-type l2vpn
Configure a interface voltada para a borda do cliente do dispositivo PE para pertencer à instância de roteamento.
[edit routing-instances] user@pe2# set l2vpn1 interface ge-0/0/0
Configure o diferenciador de rota da instância.
[edit routing-instances] user@pe2# set l2vpn1 route-distinguisher 192.168.0.3:12
Configure o destino de rota da tabela de roteamento e encaminhamento virtual (VRF) de VPN da instância. O destino atribuído deve corresponder ao configurado no dispositivo PE1.
[edit routing-instances] user@pe2# set l2vpn1 vrf-target target:65412:12
Configure a instância para o
l2vpnprotocolo e especifique o encapsulamento usado no link voltado para a borda.[edit routing-instances] user@pe2# set l2vpn1 protocols l2vpn encapsulation-type ethernet
Adicione a interface voltada para a borda do dispositivo PE na hierarquia da
l2vpninstância junto com uma descrição.[edit routing-instances] user@pe2# set l2vpn1 protocols l2vpn interface ge-0/0/0.0 description "L2vpn Link Between PE2 and CE2"
Configure as informações do site VPN de Camada 2 da instância e liste a interface voltada para a borda do dispositivo PE no site local. A ID do site local configurada no dispositivo PE2 deve corresponder à ID do site remoto configurada no dispositivo PE1 e vice-versa.
[edit routing-instances] user@pe1# set l2vpn1 protocols l2vpn site CE-2 site-identifier 2 interface ge-0/0/0.0 remote-site-id 1
Observação:Neste exemplo, a ID do site para o dispositivo PE2 é 2 e a ID do site para o dispositivo PE1 é 1. Para o dispositivo PE2, o site remoto está configurado corretamente com um
remote-site-idvalor de 1.Confirme suas alterações no dispositivo PE2 e retorne ao modo operacional da CLI.
[edit] user@pe1# commit and-quit
Resultados
Exiba os resultados da configuração no dispositivo PE2.
user@pe2# show
interfaces {
ge-0/0/0 {
description "Link from PE2 to CE2";
encapsulation ethernet-ccc;
unit 0 {
family ccc;
}
}
ge-0/0/1 {
description "Link from PE2 to P-router";
mtu 4000;
unit 0 {
family inet {
address 10.1.34.2/24;
}
family mpls;
}
}
lo0 {
unit 0 {
family inet {
address 192.168.0.3/32;
}
}
}
}
routing-instances {
l2vpn1 {
protocols {
l2vpn {
interface ge-0/0/0.0 {
description "L2vpn Link Between PE2 and CE2" ;
}
site CE-2 {
interface ge-0/0/0.0 {
remote-site-id 1;
}
site-identifier 2;
}
encapsulation-type ethernet;
}
}
instance-type l2vpn;
interface ge-0/0/0.0;
route-distinguisher 192.168.0.3:12;
vrf-target target:65412:12;
}
}
routing-options {
autonomous-system 65412;
}
protocols {
bgp {
group ibgp {
type internal;
local-address 192.168.0.3;
family l2vpn {
signaling;
}
neighbor 192.168.0.1;
}
}
mpls {
label-switched-path lsp_to_pe1 {
to 192.168.0.1;
}
interface ge-0/0/1.0;
}
ospf {
traffic-engineering;
area 0.0.0.0 {
interface lo0.0;
interface ge-0/0/1.0;
}
}
rsvp {
interface lo0.0;
interface ge-0/0/1.0;
}
}
Verificação
Execute estas tarefas para verificar se a VPN de Camada 2 baseada em MPLS funciona corretamente:
- Verificar as adjacências OSPF do provedor e a troca de rotas
- Verificar as configurações da interface MPLS e RSVP
- Verificar LSPs sinalizados por RSVP
- Verificar o status da sessão BGP
- Verificar as rotas VPN de Camada 2 na tabela de roteamento
- Verificar o status da conexão VPN de camada 2
- Faça ping no dispositivo PE remoto usando a conexão VPN de camada 2
- Verifique a operação de ponta a ponta dos dispositivos CE na VPN de Camada 2
Verificar as adjacências OSPF do provedor e a troca de rotas
Finalidade
Confirme se o protocolo OSPF está funcionando corretamente na rede do provedor verificando o status de adjacência e as rotas aprendidas pelo OSPF para os endereços de loopback dos dispositivos do provedor remoto. A operação adequada do IGP é fundamental para o estabelecimento bem-sucedido de LSPs MPLS.
Ação
user@pe1> show ospf neighbor Address Interface State ID Pri Dead 10.1.23.2 ge-0/0/1.0 Full 192.168.0.2 128 38
user@pe1> show route protocol ospf | match 192.168 192.168.0.2/32 *[OSPF/10] 1w5d 20:48:59, metric 1 192.168.0.3/32 *[OSPF/10] 2w0d 00:08:30, metric 2
Significado
A saída mostra que o dispositivo PE1 estabeleceu uma adjacência OSPF para o dispositivo P (192.168.0.2). Ele também mostra que os endereços de loopback do dispositivo P e PE remoto (192.168.0.2) e (192.168.0.3) são aprendidos via OSPF no dispositivo PE local.
Verificar as configurações da interface MPLS e RSVP
Finalidade
Verifique se os protocolos RSVP e MPLS estão configurados para operar nas interfaces voltadas para o núcleo do dispositivo PE. Esta etapa também verifica se family mpls está configurado corretamente no nível da unidade das interfaces voltadas para o núcleo.
Ação
user@pe1> show mpls interface Interface State Administrative groups (x: extended) ge-0/0/1.0 Up <none>
user@pe1> show rsvp interface
RSVP interface: 2 active
Active Subscr- Static Available Reserved Highwater
Interface State resv iption BW BW BW mark
ge-0/0/1.0 Up 1 100% 1000Mbps 1000Mbps 0bps 0bps
lo0.0 Up 0 100% 0bps 0bps 0bps 0bps
Significado
A saída mostra que o MPLS e o RSVP estão configurados corretamente nas interfaces voltadas para o núcleo e loopback do dispositivo PE local.
Verificar LSPs sinalizados por RSVP
Finalidade
Verifique se as sessões de RSVP (entrada e saída) estão estabelecidas corretamente entre os dispositivos PE.
Ação
user@pe1> show rsvp session To From State Rt Style Labelin Labelout LSPname 192.168.0.3 192.168.0.1 Up 0 1 FF - 299888 lsp_to_pe2 Total 1 displayed, Up 1, Down 0 Egress RSVP: 1 sessions To From State Rt Style Labelin Labelout LSPname 192.168.0.1 192.168.0.3 Up 0 1 FF 3 - lsp_to_pe1 Total 1 displayed, Up 1, Down 0 Transit RSVP: 0 sessions Total 0 displayed, Up 0, Down 0
Significado
A saída mostra que as sessões RSVP de entrada e saída estão estabelecidas corretamente entre os dispositivos PE. O estabelecimento bem-sucedido do LSP indica que a linha de base do MPLS está operacional.
Verificar o status da sessão BGP
Finalidade
Verifique se a sessão BGP entre os dispositivos PE está estabelecida corretamente com suporte para informações de alcance de camada de rede (NLRI) VPN de Camada 2.
Ação
user@pe1> show bgp summary
Threading mode: BGP I/O
Groups: 1 Peers: 1 Down peers: 0
Table Tot Paths Act Paths Suppressed History Damp State Pending
bgp.l2vpn.0
1 1 0 0 0 0
Peer AS InPkt OutPkt OutQ Flaps Last Up/Dwn State|#Active/Received/Accepted/Damped...
192.168.0.3 65412 6 5 0 0 1:34 Establ
bgp.l2vpn.0: 1/1/1/0
l2vpn1.l2vpn.0: 1/1/1/0
Significado
A saída mostra que a sessão BGP para o dispositivo PE remoto (192.168.0.3) foi estabelecida corretamente (Establ) e, por meio do Up/Dwn campo, há quanto tempo a sessão está no estado atual (1:34). Ele também mostra o número de pacotes BGP enviados para (5) e recebidos de (6) o dispositivo PE remoto. O flaps campo confirma que nenhuma transição de estado ocorreu (0), indicando que a sessão está estável. Observe também que o NLRI VPN de camada 2 é trocado corretamente entre os dispositivos PE. Essa saída confirma que o peering BGP entre os dispositivos PE está pronto para oferecer suporte a uma VPN de Camada 2.
Verificar as rotas VPN de Camada 2 na tabela de roteamento
Finalidade
Verifique se a tabela de roteamento no dispositivo PE1 está preenchida com as rotas VPN de Camada 2 usadas para encaminhar o tráfego entre os dispositivos CE.
Ação
user@pe1> show route table bgp.l2vpn.0
bgp.l2vpn.0: 1 destinations, 1 routes (1 active, 0 holddown, 0 hidden)
+ = Active Route, - = Last Active, * = Both
192.168.0.3:12:2:1/96
*[BGP/170] 00:51:36, localpref 100, from 192.168.0.3
AS path: I, validation-state: unverified
> to 10.1.23.2 via ge-0/0/1.0, label-switched-path lsp_to_pe2
user@pe1> show route table l2vpn1.l2vpn.0
l2vpn1.l2vpn.0: 2 destinations, 2 routes (2 active, 0 holddown, 0 hidden)
+ = Active Route, - = Last Active, * = Both
192.168.0.1:12:1:1/96
*[L2VPN/170/-101] 01:48:30, metric2 1
Indirect
192.168.0.3:12:2:1/96
*[BGP/170] 00:51:57, localpref 100, from 192.168.0.3
AS path: I, validation-state: unverified
> to 10.1.23.2 via ge-0/0/1.0, label-switched-path lsp_to_pe2
Significado
O comando show route table bgp.l2vpn.0 exibe todas as rotas VPN de Camada 2 que foram recebidas no dispositivo PE. O comando show route table l2vpn1.l2vpn.0 mostra as rotas VPN de Camada 2 que foram importadas para a l2vpn1 instância de roteamento como resultado de um destino de rota correspondente. A l2vpn1.l2vpn.0 tabela contém a rota VPN de Camada 2 do dispositivo PE local, bem como uma rota remota aprendida por meio do emparelhamento BGP com o dispositivo PE remoto. Ambas as tabelas mostram que a rota VPN remota de Camada 2 está corretamente associada ao lsp_to_pe2 LSP como um próximo salto de encaminhamento. As saídas confirmam que o dispositivo PE local aprendeu sobre o local remoto do cliente a partir do dispositivo PE2. Ele também mostra que ele pode encaminhar tráfego VPN de Camada 2 para o dispositivo PE2 usando transporte MPLS pela rede do provedor.
Verificar o status da conexão VPN de camada 2
Finalidade
Verifique o status da conexão VPN de Camada 2.
Ação
user@pe1> show l2vpn connections
Layer-2 VPN connections:
Legend for connection status (St)
EI -- encapsulation invalid NC -- interface encapsulation not CCC/TCC/VPLS
EM -- encapsulation mismatch WE -- interface and instance encaps not same
VC-Dn -- Virtual circuit down NP -- interface hardware not present
CM -- control-word mismatch -> -- only outbound connection is up
CN -- circuit not provisioned <- -- only inbound connection is up
OR -- out of range Up -- operational
OL -- no outgoing label Dn -- down
LD -- local site signaled down CF -- call admission control failure
RD -- remote site signaled down SC -- local and remote site ID collision
LN -- local site not designated LM -- local site ID not minimum designated
RN -- remote site not designated RM -- remote site ID not minimum designated
XX -- unknown connection status IL -- no incoming label
MM -- MTU mismatch MI -- Mesh-Group ID not available
BK -- Backup connection ST -- Standby connection
PF -- Profile parse failure PB -- Profile busy
RS -- remote site standby SN -- Static Neighbor
LB -- Local site not best-site RB -- Remote site not best-site
VM -- VLAN ID mismatch HS -- Hot-standby Connection
Legend for interface status
Up -- operational
Dn -- down
Instance: l2vpn1
Edge protection: Not-Primary
Local site: CE-1 (1)
connection-site Type St Time last up # Up trans
2 rmt Up Jul 28 10:47:18 2020 1
Remote PE: 192.168.0.3, Negotiated control-word: Yes (Null)
Incoming label: 800009, Outgoing label: 800006
Local interface: ge-0/0/0.0, Status: Up, Encapsulation: ETHERNET
Flow Label Transmit: No, Flow Label Receive: No
Significado
O St campo na saída mostra que a conexão VPN de Camada 2 com Remote PE 192.168.0.3 at connection-site 2 é Up. A saída também confirma o nome ge-0/0/0.0 da interface voltada para a borda do dispositivo PE e o status operacional como up. Você também verifica se o encapsulamento Ethernet está configurado na interface voltada para o cliente do dispositivo PE. Esse é o encapsulamento correto para as interfaces Ethernet não marcadas usadas neste exemplo. As etapas de verificação executadas até agora indicam que o plano de controle da VPN de Camada 2 está operacional. Você verifica o plano de dados da VPN de Camada 2 nas etapas a seguir.
Faça ping no dispositivo PE remoto usando a conexão VPN de camada 2
Finalidade
Verifique a conectividade VPN de Camada 2 entre os dispositivos PE locais e remotos. Duas formas do ping mpls l2vpn comando são mostradas. Ambos testam o roteamento VPN de Camada 2 e o encaminhamento MPLS entre os dispositivos PE. O primeiro comando pressupõe um único site remoto, enquanto o segundo especifica os identificadores de site local e remoto, o que é útil ao testar uma VPN de Camada 2 de vários sites. Isso ocorre porque a ID do site remoto pode ser usada para direcionar o dispositivo PE remoto desejado.
O ping mpls l2vpn comando valida a troca de rotas VPN de Camada 2 e o encaminhamento MPLS entre os dispositivos PE. Isso é feito gerando tráfego da instância de roteamento VPN de Camada 2 do PE local para o endereço de loopback 127.0.0.1 do dispositivo PE remoto. Esse comando não valida a operação das interfaces do dispositivo CE ou sua configuração. Isso ocorre porque a operação do dispositivo CE é opaca para a rede do provedor em uma VPN de Camada 2.
Ação
user@pe1> ping mpls l2vpn interface ge-0/0/0.0 reply-mode ip-udp !!!!! --- lsping statistics --- 5 packets transmitted, 5 packets received, 0% packet loss
user@pe1> ping mpls l2vpn instance l2vpn1 remote-site-id 2 local-site-id 1 detail
Request for seq 1, to interface 334, labels <800002, 299840>, packet size 88
Reply for seq 1, return code: Egress-ok, time: 593.784 ms
Local transmit time: 2020-07-13 16:15:55 UTC 241.357 ms
Remote receive time: 2020-07-13 16:15:55 UTC 835.141 ms
Request for seq 2, to interface 334, labels <800002, 299840>, packet size 88
Reply for seq 2, return code: Egress-ok, time: 591.700 ms
Local transmit time: 2020-07-13 16:15:56 UTC 241.405 ms
Remote receive time: 2020-07-13 16:15:56 UTC 833.105 ms
Request for seq 3, to interface 334, labels <800002, 299840>, packet size 88
Reply for seq 3, return code: Egress-ok, time: 626.084 ms
Local transmit time: 2020-07-13 16:15:57 UTC 241.407 ms
Remote receive time: 2020-07-13 16:15:57 UTC 867.491 ms
Request for seq 4, to interface 334, labels <800002, 299840>, packet size 88
Reply for seq 4, return code: Egress-ok, time: 593.061 ms
Local transmit time: 2020-07-13 16:15:58 UTC 241.613 ms
Remote receive time: 2020-07-13 16:15:58 UTC 834.674 ms
Request for seq 5, to interface 334, labels <800002, 299840>, packet size 88
Reply for seq 5, return code: Egress-ok, time: 594.192 ms
Local transmit time: 2020-07-13 16:15:59 UTC 241.357 ms
Remote receive time: 2020-07-13 16:15:59 UTC 835.549 ms
--- lsping statistics ---
5 packets transmitted, 5 packets received, 0% packet loss
Significado
A saída confirma que o plano de encaminhamento VPN de Camada 2 está operando corretamente entre os dispositivos PE.
Verifique a operação de ponta a ponta dos dispositivos CE na VPN de Camada 2
Finalidade
Verifique a conectividade VPN de Camada 2 entre os dispositivos CE. Esta etapa confirma que os dispositivos CE têm interfaces operacionais e estão configurados corretamente para conectividade de Camada 2. Isso é feito verificando se os dispositivos CE estabeleceram uma adjacência OSPF e são capazes de passar o tráfego de ponta a ponta entre seus endereços de loopback.
Ação
user@ce1> show ospf neighbor Address Interface State ID Pri Dead 172.16.1.2 ge-0/0/0.0 Full 172.16.255.2 128 32
user@ce1> show ospf route | match 172
172.16.255.2/32 *[OSPF/10] 01:34:50, metric 1
> to 172.16.1.2 via ge-0/0/0.0
user@ce1> ping 172.16.255.2 size 1472 do-not-fragment count 2 PING 172.16.255.2 (172.16.255.2): 1472 data bytes 1480 bytes from 172.16.255.2: icmp_seq=0 ttl=64 time=4.404 ms 1480 bytes from 172.16.255.2: icmp_seq=1 ttl=64 time=5.807 ms --- 172.16.255.2 ping statistics --- 2 packets transmitted, 2 packets received, 0% packet loss round-trip min/avg/max/stddev = 4.404/5.106/5.807/0.702 ms
Significado
A saída mostra que a conectividade VPN de Camada 2 está funcionando corretamente entre os dispositivos CE. Ele confirma que o dispositivo CE local estabeleceu uma adjacência OSPF sobre o núcleo do provedor para o dispositivo 172.16.1.2CE remoto e que o dispositivo CE local aprendeu uma rota para o endereço 172.16.255.2 de loopback do dispositivo CE remoto via OSPF. A saída também mostra que os dispositivos CE são capazes de passar pacotes IP de 1500 bytes sem evocar a fragmentação local. Os pings bem-sucedidos também verificam se os quadros não excederam a MTU suportada pela rede do provedor.
O size argumento adicionado ao ping comando gera 1472 bytes de dados de eco. Um adicional de 8 bytes de Internet Control Message Protocol (ICMP) e 20 bytes de cabeçalho IP são adicionados para elevar o tamanho total do pacote para 1500 bytes. A adição do do-not-fragment switch garante que o dispositivo CE não possa realizar a fragmentação com base em sua MTU local. Esse método confirma que nenhuma fragmentação é possível ou necessária ao enviar quadros Ethernet de comprimento padrão entre os dispositivos CE.