在第 3 层 VPN 中的路由实例的环路接口上配置逻辑单元
对于第 3 层 VPN(VRF 路由实例),您可以在环路接口上配置一个逻辑单元到您在路由器上配置的每个 VRF 路由实例中。通过将 VRF 路由实例与环路接口上的逻辑单元相关联,您可以轻松识别 VRF 路由实例。
这样做对于故障排除很有用:
它允许您从第 3 层 VPN 中的本地 PE 路由器对远程客户边缘路由器执行 ping 操作。更多信息,请参见 示例:对第 3 层 VPN 进行故障排除。
它可确保对源自 VRF 或虚拟路由器路由实例的流量进行路径最大传输单元 (MTU) 检查正常运行。有关更多信息,请参阅 为 VPN 路由实例配置路径 MTU 检查。
您还可以为环路接口上的逻辑单元配置防火墙过滤器;此配置允许您过滤与其关联的 VRF 路由实例的流量。
下面介绍了防火墙过滤器如何影响 VRF 路由实例,具体取决于它们是在默认环路接口、VRF 路由实例还是两者的某种组合上配置的。“默认环路接口”是指 lo0.0 (与默认路由表关联),“VRF 环路接口”是指 lo0.n在 VRF 路由实例中配置的 。
如果在默认环路接口上配置过滤器 A,在 VRF 环路接口上配置过滤器 B,则 VRF 路由实例将使用过滤器 B。
如果在默认环路接口上配置过滤器 A,但未在 VRF 环路接口上配置过滤器,则 VRF 路由实例不使用过滤器。
如果在默认环路接口上配置过滤器 A,但未配置 VRF 环路接口,则 VRF 路由实例将使用过滤器 A。对于 MX80 设备,行为略有不同:如果在默认环路接口上配置过滤器,但不配置 VRF 环路接口,则 VRF 路由实例仅使用分配给默认环路的输入过滤器(它不使用默认环路的输出过滤器)。
对于某些 ACX 系列通用城域网路由器(ACX1000、ACX2000、ACX4000 和 ACX5000),默认环路过滤器必须与其过滤的入口流量位于同一路由或虚拟路由和转发 (VRF) 实例中。也就是说,在这些设备上,默认环路过滤器不能用于遍历属于不同路由实例的接口的流量。
要在环路接口上配置逻辑单元,请包含以下 unit 语句:
unit number {
family inet {
address address;
}
}
您可以在以下层次结构级别包含此语句:
[edit interfaces lo0][edit logical-systems logical-system-name interfaces lo0]
要将防火墙过滤器与环路接口上的逻辑单元相关联,请包含以下 filter 语句:
filter {
input filter-name;
}
您可以在以下层次结构级别包含此语句:
[edit interfaces lo0 unit unit-number family inet][edit logical-systems logical-system-name interfaces lo0 unit unit-number family inet]
lo0.n要在 VRF 路由实例的配置中包含接口(其中n指定逻辑单元),请包含以下语句:
interface lo0.n;
您可以在以下层次结构级别包含此语句:
[edit routing-instances routing-instance-name][edit logical-systems logical-system-name routing-instances routing-instance-name]