Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

VPN 和 VPLS

VPN 是一种从设备到网络的加密连接,可防止未经授权访问窃听流量,并允许用户远程工作。有关详细信息,请参阅以下主题:

VPLS 简介

VPLS 是一种基于以太网的点对多点第 2 层 VPN。它允许您通过一个网络中枢将地理位置分散的以太网局域网 (LAN) 站点相互MPLS连接。对于实施 VPLS 的客户,即使流量跨服务提供商的网络传输,所有站点似乎都在同一以太网 LAN 中。

VPLS 在实施和配置中与 2 层 VPN 具有共通之处。在 VPLS 中,源自服务提供商客户网络的数据包会先发送至客户边缘 (客户边缘) 设备(例如路由器或以太网交换机)。然后发送至服务提供商网络内的提供商边缘 (PE) 路由器。数据包通过一条标签交换路径 (LSP) MPLS服务提供商的网络。它到达出口 PE 路由器,然后将流量转发客户边缘目标客户站点的路由器设备。

注意:

在 VPLS 文档中 ,术语如 PE 路由器的单词路由器用于指用于提供路由功能的任何设备。

不同之处在于,对于 VPLS,数据包可以点对多点方式遍历服务提供商的网络,也就是说,源自 客户边缘 设备的数据包可以广播至 VPLS 路由实例参与的所有 PE 路由器。相比之下,第 2 层 VPN 仅以点到点的方式转发数据包。

参与路由实例的每个 PE 路由器之间承载 VPLS 信息流的路径称为伪线。伪线使用虚拟或 LDP BGP信号。

示例:使用逻辑系统在 3 层 VPN 和 VPLS 场景中配置提供商边缘和提供商路由器

此示例提供使用逻辑系统在 VPN 和 VPLS 情景中配置提供商边缘 (PE) 和提供商 (P) 路由器的逐步过程。

要求

此示例不需要除设备初始化之外的特殊配置。

概述

此示例中,VPN 用于通过提供商中枢分隔客户流量。

拓扑

图 1显示了通过一个客户边缘连接的四对MPLS路由器:

  • 路由器 CE1 和 CE5 是红色 VPN 的一部分。

  • 路由器 CE2 和 CE6 在蓝色 VPN 中。

  • 路由器 CE3 和 CE7 属于 VPLS 域。

  • 路由器 CE4 和 CE8 连接到标准协议。

PE 路由器 PE1 和 PE2 和提供商核心路由器 P0 上配置了两个逻辑系统。这三个路由器各有两个逻辑系统:LS1 和 LS2。为了说明逻辑系统的概念,两个 VPN 都是逻辑系统 LS1 的一部分,VPLS 实例属于逻辑系统 LS2,其余路由器使用路由器 PE1、P0 和 PE2 的主要路由器部分。

图 1:提供商边缘和提供商逻辑系统拓扑图 Provider Edge and Provider Logical System Topology Diagram

在路由器 PE1 上,在逻辑系统 LS1 中创建两个 VPN 路由和转发 (VRF) 路由实例。路由实例称为红色和蓝色。此示例配置了面向客户边缘 (客户边缘) 的逻辑接口,以便来自路由器 CE1 的流量放置在红色 VPN 中,而来自路由器 CE2 的信息流置于蓝色 VPN 中。 fe-0/0/1.1 上的逻辑接口 连接到路由器 P0 上的逻辑系统 LS1。VPLS 路由实例位于逻辑系统 LS2 中。逻辑接口的配置使来自路由器 CE3 的信息流发送至 VPLS 域。此逻辑接口连接到路由器 P0 上的逻辑系统 LS2。此示例还包含逻辑系统 LS1 的管理员。逻辑系统管理员负责维护此逻辑系统。最后,示例说明了如何配置一个逻辑接口,以将路由器 CE4 与路由器 PE1 的主路由器部分互连。

路由器 PE2 在逻辑系统 LS1 中具有两个 VRF 路由实例:红色和蓝色。面向客户边缘接口使路由器 CE5 的信息流可放置在红色 VPN 中,而路由器 CE6 的信息流置于蓝色 VPN 中。 so-1/2/0.1 上的一个逻辑接口 连接到路由器 P0 上的逻辑系统 LS1。VPLS 路由实例在逻辑系统 LS2 中配置。逻辑接口允许将路由器 CE7 的信息流发送至 VPLS 域并连接到路由器 P0 上的逻辑系统 LS2。示例显示了如何配置一个逻辑接口,以将路由器 CE8 与路由器 P0 的主路由器部分互连。最后,您也可选择具有逻辑系统 LS1 配置权限和逻辑系统 LS2 查看权限的逻辑系统管理员。

在路由器 P0 上,示例显示如何配置逻辑系统 LS1、LS2 和主路由器。您必须在主路由器层次结构级别配置物理 [edit interfaces] 接口属性。接下来,该示例将展示如何为逻辑系统配置协议(例如 RSVP、MPLS、BGP 和 IS-IS)、路由选项和策略选项。最后,示例显示如何为在路由器 PE1 上配置的逻辑系统 LS1 配置相同的管理员。此逻辑系统 LS2 系统管理员有权查看 LS2 配置,但是不能更改逻辑系统 LS2 的配置。

逻辑系统 LS1 传输路由器 CE1 和 CE5 之间的红色 VPN 的信息流。逻辑系统 LS1 还会连接路由器 CE2 和 CE6 之间的蓝色 VPN。逻辑系统 LS2 在路由器 CE3 和 CE7 之间传输 VPLS 流量。对于路由器 P0 上的主路由器,您可按常规配置路由器。主路由器在路由器 CE4 和 CE8 之间传输流量。示例显示如何配置接口和路由协议(OSPF、BGP)以连接到路由器 PE1 和 PE2 的主路由器部分。

配置

要配置逻辑系统中 PE 和 P 路由器,需要执行以下任务:

在客户边缘设备上配置接口

逐步过程

以下示例要求您在配置层次结构中导航各个级别。有关导航指南CLI,请参阅 CLI 用户 指南 中的 在配置模式下CLI 编辑器

  1. 在路由器 CE1 上OSPF,以连接到路由器 PE1 的逻辑系统 LS1 中的红色 VPN。

  2. 在路由器 CE2 上BGP,以连接到路由器 PE1 的逻辑系统 LS1 中的蓝色 VPN。

  3. 在路由器 CE3 上,将 VLAN 600 中的快速以太网接口配置为与路由器 PE1 的逻辑系统 LS2 中的 VPLS 路由实例连接。

  4. 在路由器 CE4 上,将快速以太网接口配置为与路由器 PE1 上的主路由器连接。

  5. 在路由器 CE5 上OSPF,以连接到路由器 PE2 的逻辑系统 LS1 中的红色 VPN。

  6. 在路由器 CE6 上BGP,以连接到路由器 PE2 的逻辑系统 LS1 中的蓝色 VPN。

  7. 在路由器 CE7 上,将 VLAN 600 中的快速以太网接口配置为与路由器 PE2 的逻辑系统 LS2 中的 VPLS 路由实例连接。

  8. 在路由器 CE8 上,将快速以太网接口配置为与路由器 PE2 上的主路由器连接。

配置路由器 PE1

逐步过程
  1. 在路由器 PE1 上配置主路由器。

  2. 在路由器 PE1 上配置逻辑系统 LS1。

  3. 在路由器 PE1 上配置逻辑系统 LS2。

配置路由器 PE2

逐步过程
  1. 在路由器 PE2 上配置主路由器。

  2. 在路由器 PE2 上配置逻辑系统 LS1。

  3. 在路由器 PE2 上配置逻辑系统 LS2。

配置路由器 P0

逐步过程
  1. 在路由器 P0 上配置主路由器。

  2. 在路由器 P0 上配置逻辑系统 LS1。

  3. 在路由器 P0 上配置逻辑系统 LS2。

结果

在路由器 CE1 上,OSPF PE1 上的逻辑系统 LS1 中的红色 VPN:

路由器 CE1

在路由器 CE2 上BGP,以连接到路由器 PE1 上逻辑系统 LS1 中的蓝色 VPN:

路由器 CE2

在路由器 CE3 上,将 VLAN 600 中的快速以太网接口配置为与路由器 PE1 的逻辑系统 LS2 中的 VPLS 路由实例连接:

路由器 CE3

在路由器 CE4 上,将快速以太网接口配置为与路由器 PE1 上的主路由器连接:

路由器 CE4

在路由器 PE1 上,在逻辑系统 LS1 中创建两个 VPN 路由和转发 (VRF) 路由实例:红色和蓝色。配置客户边缘向逻辑接口,使来自路由器 CE1 的信息流放置在红色 VPN 中,而来自路由器 CE2 的信息流置于蓝色 VPN 中。接下来,在 fe-0/0/1.1 创建一个逻辑接口,以连接到路由器 P0 上的逻辑系统 LS1。

同时还在路由器 PE1 上,在逻辑系统 LS2 中创建 VPLS 路由实例。配置逻辑接口,以便来自路由器 CE3 的信息流发送至 VPLS 域并连接到路由器 P0 上的逻辑系统 LS2。

为逻辑系统 LS1 创建管理员。逻辑系统管理员可负责此逻辑系统的维护。

最后,配置一个逻辑接口,以将路由器 CE4 与路由器 P0 的主路由器部分互连。

路由器 PE1

在路由器 P0 上,配置逻辑系统 LS1、LS2 和主路由器。对于逻辑系统,您必须在主路由器层次结构级别配置物理接口属性,并将 [edit interfaces] 逻辑接口分配给逻辑系统。接下来,您必须为逻辑系统配置协议(例如 RSVP、MPLS、BGP 和 IS-IS)、路由选项和策略选项。最后,为在路由器 PE1 上配置的逻辑系统 LS1 配置相同的管理员。为逻辑系统 LS2 配置此管理员以允许查看 LS2 配置,但不更改 LS2 的配置。

此示例中,逻辑系统 LS1 传输路由器 CE1 和 CE5 之间存在的红色 VPN 的信息流。逻辑系统 LS1 还会连接路由器 CE2 和 CE6 之间的蓝色 VPN。逻辑系统 LS2 在路由器 CE3 和 CE7 之间传输 VPLS 流量。

对于路由器 P0 上的主路由器,您可按常规配置路由器。此示例中,主路由器在路由器 CE4 和 CE8 之间传输流量。因此,配置接口和路由协议(OSPF、BGP)以连接到路由器 PE1 和 PE2 的主路由器部分。

路由器 P0

在路由器 PE2 上,在逻辑系统 LS1 中创建两个 VRF 路由实例:红色和蓝色。配置面向客户边缘逻辑接口,使来自路由器 CE5 的信息流放置在红色 VPN 中,而来自路由器 CE6 的信息流置于蓝色 VPN 中。接下来,在so-1/2/0 .1上创建一个逻辑接口,以连接到路由器 P0 上的逻辑系统 LS1。

同时还在路由器 PE2 上,在逻辑系统 LS2 中创建 VPLS 路由实例。配置逻辑接口,以便来自路由器 CE7 的信息流发送至 VPLS 域并连接到路由器 P0 上的逻辑系统 LS2。

配置逻辑接口,以将路由器 CE8 与路由器 P0 的主路由器部分互连。

最后,您也可选择具有逻辑系统 LS1 配置权限和逻辑系统 LS2 查看权限的逻辑系统管理员。

路由器 PE2

在路由器 CE5 上,OSPF PE2 上的逻辑系统 LS1 中的红色 VPN:

路由器 CE5

在路由器 CE6 上BGP,以连接到路由器 PE2 上逻辑系统 LS1 中的蓝色 VPN:

路由器 CE6

在路由器 CE7 上,将 VLAN 600 中的快速以太网接口配置为与路由器 PE2 的逻辑系统 LS2 中的 VPLS 路由实例连接:

路由器 CE7

在路由器 CE8 上,将快速以太网接口配置为与路由器 PE2 上的主路由器连接:

路由器 CE8

验证

运行以下命令,以确认配置工作正常:

  • show bgp summary逻辑系统 logical-system-name

  • show isis 邻接逻辑系统 logical-system-name

  • show mpls lsp逻辑系统 logical-system-name

  • show (ospf | ospf3) 邻接(逻辑 logical-system-name 系统

  • show route( 逻辑 logical-system-name 系统

  • show route protocol( logical-system-name 逻辑系统

  • show rsvp session( 逻辑系统 logical-system-name

以下各节显示与配置示例一起使用的命令的输出:

路由器 CE1 状态

目的

验证连接性。

行动

路由器 CE2 状态

目的

验证连接性。

行动

路由器 CE3 状态

目的

验证连接性。

行动

路由器 PE1 状态:主路由器

目的

验证BGP操作。

行动

路由器 PE1 状态:逻辑系统 LS1

目的

验证BGP操作。

行动

红色 VPN

主管理员或逻辑系统管理员可发出以下命令来查看特定逻辑系统的输出。

蓝色 VPN

主管理员或逻辑系统管理员可发出以下命令来查看特定逻辑系统的输出。

路由器 PE1 状态:逻辑系统 LS2

目的

验证 VPLS 操作。

行动

路由器 P0 状态:主路由器

目的

验证连接性。

行动

路由器 P0 状态:主路由器

目的

验证路由协议操作。

行动

路由器 P0 状态:逻辑系统 LS1

目的

验证路由协议操作。

行动

路由器 P0 状态:逻辑系统 LS2

目的

验证路由协议操作。

行动

路由器 PE2 状态:主路由器

目的

验证路由协议操作。

行动

路由器 PE2 状态:逻辑系统 LS1

目的

验证路由协议操作。

行动

红色 VPN

蓝色 VPN

路由器 PE2 状态:逻辑系统 LS2

目的

验证路由协议操作。

行动

路由器 CE5 状态

目的

验证连接性。

行动

路由器 CE6 状态

目的

验证连接性。

行动

路由器 CE7 状态

目的

验证连接性。

行动

逻辑系统管理员验证输出

目的

由于逻辑系统管理员只能访问其分配到的逻辑系统的配置信息,因此验证输出也仅限于这些逻辑系统。以下输出显示此配置中逻辑系统管理员 LS1-admin 看到的结果。

要验证每对 客户边缘 路由器是否具有端到端连接,请发出有关路由器 ping CE1、CE2 和 CE3 的命令:

行动

从 CE1 ping CE5(红色 VPN)。

从 CE2 ping CE6(蓝色 VPN)。

从 CE3 ping CE7 (VPLS)。