在第 2 层 VPN 中的 PE 路由器上配置本地站点
对于每个本地站点,PE 路由器会将一组 VPN 标签播发给为第 2 层 VPN 提供服务的其他 PE 路由器。VPN 标签构成单个连续标签块;但是,为了允许重新配置,可以播发多个这样的块。每个标签块都由一个标签基、一个范围(块的大小)和一个远程站点 ID 组成,该 ID 标识使用此标签块连接到本地站点的远程站点的序列(远程站点 ID 是序列中的第一个站点标识符)。封装类型也与标签块一起播发。
以下部分说明如何在 PE 路由器上配置与本地站点的连接。
并非所有平台都支持所有子任务;检查设备上的 CLI。
配置第 2 层 VPN 路由实例
要在网络上配置第 2 层 VPN,请在 PE 路由器上配置第 2 层 VPN 路由实例,方法是添加 l2vpn 以下语句:
在 EX9200 交换机上,将 encapsulation-type 替换为 encapsulation 语句。
l2vpn { (control-word | no-control-word); encapsulation-type type; traceoptions { file filename <files number> <size size> <world-readable | no-world-readable>; flag flag <flag-modifier> <disable>; } site site-name { site-identifier identifier; site-preference preference-value { backup; primary; } interface interface-name { description text; remote-site-id remote-site-id; } } }
您可以在以下层级包含此语句:
[edit routing-instances routing-instance-name protocols][edit logical-systems logical-system-name routing-instances routing-instance-name protocols]
您无法在第 2 层 VPN 路由实例 ()instance-type l2vpn 中配置路由协议(OSPF、RIP、IS-IS 或 BGP)。Junos CLI 不允许此配置。
以下各节中介绍了如何配置其余语句的说明。
配置站点
为本地站点调配的所有第 2 层 电路都列为语句中的site逻辑接口集(通过包含interface语句来指定)。
在每个 PE 路由器上,都必须配置每个具有 PE 路由器线路的站点。为此,请包含语 site 句:
site site-name { site-identifier identifier; site-preference preference-value { backup; primary; } interface interface-name { description text; remote-site-id remote-site-ID; } }
您可以在以下层级包含此语句:
[edit routing-instances routing-instance-name protocols l2vpn][edit logical-systems logical-system-name routing-instances routing-instance-name protocols l2vpn]
您必须为每个站点配置以下内容:
site-name- 站点名称。site-identifier identifier- 大于零的无符号 16 位数字,用于唯一标识本地第 2 层 VPN 站点。站点标识符对应于在同一 VPN 内的其他站点上配置的远程站点 ID。interface interface-name- 接口名称,以及用于远程站点连接的远程站点 ID(可选)。请参阅 配置远程站点 ID。
配置远程站点 ID
远程站点 ID 允许您配置稀疏的第 2 层 VPN 拓扑。稀疏拓扑意味着每个站点不必连接到 VPN 中的所有其他站点;因此,没有必要为所有远程站点分配电路。如果配置的拓扑比全网格更复杂(如中心辐射型拓扑),则远程站点 ID 尤为重要。
远程站点 ID(使用 remote-site-id 语句配置)与在单独站点配置的站点 ID(使用 site-identifier 语句配置)对应。 图 1 说明了站点标识符与远程站点 ID 之间的关系。
之间的关系
如图所示,连接路由器 CE1 的路由器 PE1 配置如下:
site-identifier 1;
interface so-0/0/0 {
remote-site-id 2;
}
连接到路由器 CE2 的路由器 PE2 的配置如下:
site-identifier 2;
interface so-0/0/1 {
remote-site-id 1;
}
路由器 PE1 上的远程站点 ID (2) 与路由器 PE2 上的站点标识符 (2) 对应。在路由器 PE2 上,远程站点 ID (1) 与路由器 PE1 上的站点标识符 (1) 对应。
要配置远程站点 ID,请包含以下 remote-site-id 语句:
remote-site-id remote-site-id;
您可以在以下层级包含此语句:
[edit routing-instances routing-instance-name protocols l2vpn site site-name interface interface-name][edit logical-systems logical-system-name routing-instances routing-instance-name protocols l2vpn site site-name interface interface-name]
如果未显式包含 remote-site-id 在 [edit routing-instances routing-instance-name protocols l2vpn site site-name] 层次结构级别上配置的接口的语句,则会为该接口分配一个远程站点 ID。
某个接口的远程站点 ID 会自动设置为 比上一个接口的远程站点 ID 高 1。接口的顺序基于其 site-identifier 语句。例如,如果列表中的第一个接口没有远程站点 ID,则其 ID 将设置为 1。列表中第二个接口的远程站点 ID 设置为 2,第三个接口的远程站点 ID 设置为 3。如果未显式配置以下任何接口的远程站点 ID,则它们将以相同的方式递增。
配置封装类型
在每个第 2 层 VPN 站点上配置的封装类型取决于选择配置的第 2 层 协议。如果配置 ethernet-vlan 为封装类型,则需要在每个第 2 层 VPN 站点使用相同的协议。
如果配置以下任何一种封装类型,则无需在每个第 2 层 VPN 站点上使用相同的协议:
atm-aal5—异步传输模式 (ATM) 适配层 (AAL5)atm-cell—ATM 信元中继atm-cell-port-mode—ATM 信元中继端口混合模式atm-cell-vc-mode—ATM 虚拟电路 (VC) 信元中继非混合模式atm-cell-vp-mode—ATM 虚拟路径 (VP) 信元中继混合模式cisco-hdlc—与思科系统兼容的高级数据链路控制(HDLC)ethernet—以太网ethernet-vlan—以太网虚拟 LAN (VLAN)frame-relay—帧中继frame-relay-port-mode—帧中继端口模式interworking—第 2.5 层 互连 VPNppp—点对点协议 (PPP)
如果在第 2 层 VPN 站点配置不同的协议,则需要配置转换交叉连接 (TCC) 封装类型。有关更多信息,请参阅 为第 2 层 VPN 和第 2 层电路配置 TCC 封装。
要配置 PE 路由器接受的第 2 层 协议,请通过包含 encapsulation-type 语句来指定封装类型:
encapsulation-type type;
对于 EX9200 交换机,通过包含 encapsulation 语句来指定封装类型:
encapsulation type;
您可以在以下层级包含此语句:
[edit routing-instances routing-instance-name protocols l2vpn][edit logical-systems logical-system-name routing-instances routing-instance-name protocols l2vpn]
配置站点优先级和第 2 层 VPN 多宿主
您可以指定为特定第 2 层 VPN 站点播发的首选项值。站点首选项值在 BGP 本地首选项属性中编码。当 PE 路由器收到相同 CE 设备标识符的多个通告时,首选本地优先级最高的通告。
您也可以使用语 site-preference 句为第 2 层 VPN 启用多宿主。多宿主允许您将一台 CE 设备连接至多台 PE 路由器。如果与主 PE 路由器的连接失败,流量会自动切换到备用 PE 路由器。
要为第 2 层 VPN 配置站点优先级,请添加以下 site-preference 语句:
site-preference preference-value { backup; primary; }
您可以在以下层级包含此语句:
[edit routing-instances routing-instance-name protocols l2vpn site site-name][edit logical-systems logical-system-name routing-instances routing-instance-name protocols l2vpn site site-name]
您还可以为site-preference语句指定backup选项或primary选项。backup 选项将首选项指定为 1,这是可能的最小值,以确保最不可能选择第 2 层 VPN 站点。主选项将首选项指定为 65,535,这是可能的最高值,确保最有可能选择第 2 层 VPN 站点。
对于第 2 层 VPN 多宿主配置,如果 CE 设备也连接到另一台 PE 路由器,则为第 2 层 VPN 站点指定 primary 选项会将 PE 路由器到 CE 设备的连接指定为首选连接。 backup 如果为第 2 层 VPN 站点指定选项,则将 PE 路由器到 CE 设备的连接指定为辅助连接(如果 CE 设备也连接到另一台 PE 路由器)。
跟踪第 2 层 VPN 流量和操作
要追踪第 2 层 VPN 协议流量,请在第 2 层 VPN 配置中为语 traceoptions 句指定选项:
traceoptions { file filename <files number> <size size> <world-readable | no-world-readable>; flag flag <flag-modifier> <disable>; }
您可以在以下层级包含此语句:
[edit routing-instances routing-instance-name protocols l2vpn][edit logical-systems logical-system-name routing-instances routing-instance-name protocols l2vpn]
以下追踪标志显示与第 2 层 VPN 关联的操作:
all- 所有第 2 层 VPN 跟踪选项。connections—第 2 层 连接(事件和状态更改)。error- 错误情况。general——一般事件。nlri— 通过 BGP 接收或发送的第 2 层 通告。normal——正常事件。policy—策略处理。route—路由信息。state- 状态转换。task—路由协议任务处理。timer—路由协议计时器处理。topology— 第 2 层 VPN 拓扑更改,这是由于重新配置或使用 BGP 从其他 PE 路由器接收到的通告。
禁用 VPN 的正常 TTL 递减
要诊断与 VPN 相关的网络问题,禁用正常生存时间 (TTL) 递减可能会很有用。在 Junos 中,可以使用和 no-decrement-ttl 语句来执行此no-propagate-ttl操作。但是,当您跟踪 VPN 流量时,只有no-propagate-ttl语句才有效。
要使 no-propagate-ttl 语句对 VPN 行为产生影响,您需要清除 PE 路由器到 PE 路由器的 BGP 会话,或者禁用然后启用 VPN 路由实例。
有关 no-propagate-ttl 和 no-decrement-ttl 语句的更多信息,请参见 《MPLS 应用程序用户指南》。