使用虚拟环路隧道接口促进 VRF 表查找
为 VRF 表查找配置虚拟环路隧道
要启用出口过滤,您可以根据 IP 报头配置过滤,也可以在配备隧道 PIC 的路由器上配置虚拟环路隧道。 表 1 描述了每种方法。
方法 |
接口类型 |
配置准则 |
评论 |
|---|---|---|---|
根据 IP 报头过滤流量 |
非通道化点对点协议/高级数据链路控制 (PPP/HDLC) 面向核心的 SONET/SDH 接口 |
有关详细信息,请参阅 适用于路由设备的 Junos OS VPN 库。 |
客户边缘 (CE) 路由器到提供商边缘 (PE) 路由器接口没有限制。 |
在配备隧道 PIC 的路由器上配置虚拟环路隧道 |
所有接口 |
请参阅本节中的准则。 |
路由器必须配备隧道 PIC。 对所使用的面向核心的接口类型或使用的 CE 路由器到 PE 路由器接口没有限制。 您不能同时配置虚拟环路隧道和 |
您可以配置虚拟环路隧道,以便基于 MPLS 标签进行 VRF 表查找。您可能希望启用此功能,以便可以执行以下任一操作:
将 PE 路由器上的流量转发到 CE 设备接口,该接口位于共享介质中,其中 CE 设备是没有 IP 功能的第 2 层交换机(例如,城域以太网交换机)。
第一次查找基于 VPN 标签完成,以确定要引用的 VRF 表,第二次查找是在 IP 报头上完成的,以确定如何将数据包转发到共享介质上的正确终端主机。
在出口 PE 路由器上执行出口过滤。
对 VPN 标签执行第一次查找以确定要引用的 VRF 表,第二次查找对 IP 标头执行,以确定如何过滤和转发数据包。您可以通过在 VRF 接口上配置输出过滤器来启用此功能。
要配置虚拟环路隧道以促进基于 MPLS 标签的 VRF 表查找,请指定虚拟环路隧道接口名称并将其与属于特定路由表的路由实例相关联。数据包通过虚拟环回隧道进行路由查找。要指定虚拟环路隧道接口名称,请在层次结构级别配置虚拟环路隧道接口 [edit interfaces] ,并包括 family inet and family mpls 语句:
vt-fpc/pic/port {
unit 0 {
family inet;
family mpls;
}
unit 1 {
family inet;
}
}
要将虚拟环路隧道与路由实例关联,请在层次结构级别包含 [edit routing-instances] 虚拟环路隧道接口名称:
interface vt-fpc/pic/port;
在虚拟环回隧道接口上,除语句外,不支持任何 family 逻辑接口语句。请注意,您只能 inet 配置和 mpls 系列,不能在虚拟环路隧道接口上配置 IPv4 或 IPv6 地址。此外,虚拟环路隧道接口不支持服务等级 (CoS) 配置。
参见
为路由表查找配置隧道接口
要配置隧道接口以便于 VPN 的路由表查找,请指定隧道的端点 IP 地址,并将其与属于特定路由表的路由实例相关联。这使 Junos OS 能够在相应的路由表中搜索路由前缀,因为同一个前缀可能会出现在多个路由表中。要配置目标 VPN,请包含以下 routing-instance 语句:
routing-instance { destination routing-instance-name; }
您可以在以下层次结构级别包含此语句:
[edit interfaces gr-fpc/pic/port unit logical-unit-number tunnel][edit logical-systems logical-system-name interfaces gr-fpc/pic/port unit logical-unit-number tunnel]
此配置指示隧道的目标地址位于路由实例 routing-instance-name中。缺省情况下,假定隧道路由前缀位于缺省因特网路由表中 inet.0。
如果在同一路由实例上配置虚拟环路隧道接口和 vrf-table-label 语句, vrf-table-label 则该语句优先于虚拟环路隧道接口。有关更多信息,请参阅 为 VRF 表查找配置虚拟环路隧道。
有关 VPN 的详细信息,请参阅 适用于路由设备的 Junos OS VPN 库。
参见
示例:为 VRF 表查找配置虚拟环路隧道
为 VRF 表查找配置虚拟环路隧道:
[edit routing-instances]
routing-instance-1 {
instance-type vrf;
interface vt-1/0/0.0;
interface so-0/2/2.0;
route-distinguisher 2:3;
vrf-import VPN-A-import;
vrf-export VPN-A-export;
routing-options {
static {
route 10.0.0.0/8 next-hop so-0/2/2.0;
}
}
}
routing-instance-2 {
instance-type vrf;
interface vt-1/0/0.1;
interface so-0/3/2.0;
route-distinguisher 4:5;
vrf-import VPN-B-import;
vrf-export VPN-B-export;
routing-options {
static {
route 10.0.0.0/8 next-hop so-0/3/2.0;
}
}
}
[edit interfaces]
vt-1/0/0 {
unit 0 {
family inet;
family mpls;
}
unit 1 {
family inet;
}
}
参见
示例:虚拟路由和转发 (VRF) 和服务配置
以下示例结合了虚拟路由和转发 (VRF) 和服务配置:
[edit policy-options]
policy-statement test-policy {
term t1 {
then reject;
}
}
[edit routing-instances]
test {
interface ge-0/2/0.0;
interface sp-1/3/0.20;
instance-type vrf;
route-distinguisher 10.58.255.1:37;
vrf-import test-policy;
vrf-export test-policy;
routing-options {
static {
route 0.0.0.0/0 next-table inet.0;
}
}
}
[edit interfaces]
ge-0/2/0 {
unit 0 {
family inet {
service {
input service-set nat-me;
output service-set nat-me;
}
}
}
}
sp-1/3/0 {
unit 0 {
family inet;
}
unit 20 {
family inet;
service-domain inside;
}
unit 21 {
family inet;
service-domain outside;
}
[edit services]
stateful-firewall {
rule allow-any-input {
match-direction input;
term t1 {
then accept;
}
}
}
nat {
pool hide-pool {
address 10.58.16.100;
port automatic;
}
rule hide-all-input {
match-direction input;
term t1 {
then {
translated {
source-pool hide-pool;
translation-type source napt-44;
}
}
}
}
}
service-set nat-me {
stateful-firewall-rules allow-any-input;
nat-rules hide-all-input;
interface-service {
service-interface sp-1/3/0.20;
}
}
}