每个 VPN 站点都有自己的 VPN 专用路由表。当入口 PE 路由器 (SN2) 接收从直连接入节点 (CE2) 播发的路由时,它会将接收的路由与该 VPN 的 VRF 导出策略进行检查。如果匹配,路由将转换为 VPN-IPv4 格式;也就是说,将路由识别器添加到路由中此 VPN-IPv4 路由播发至远程 PE 路由器。它还会根据 VRF 表配置的导出目标策略值,将路由目标连接到从直连站点获得的每个路由。当出口 PE 路由器收到此路由时,会将其与 PE 路由器之间的导入策略进行检查。如果接受,路由将被放置在其 bgp.l3vpn.0
表中。同时,路由器会对照 VPN 的 VRF 导入策略检查路由。如果匹配,则路由识别器将从路由中移除,并将路由置于 IPv4 格式的 VRF 表中。
在 SN2 和 SN1 上,路由会根据导入和导出 VRF 策略安装在 VRF 中。OSPF 和来自 CE2 的直接路由安装在 SN2 的 VRF 中,然后将其转换为 IPv4-VPN 路由。要通过 CE-PE 链路学习的路由在路由实例中的协议下定义。现在,从另一端来说,接入伪线在 SN1 设备的 VRF 中终止,并在接入节点 (CE1) 和服务节点 (SN1) 之间配置静态路由。此时的流量在进入第 3 层域之前,在 IP 级别进行处理。从 IP 路由到 IPv4-VPN 路由的转换发生在 SN2。
图 1:伪线端接
- 配置逻辑隧道接口或 lt-ifls。
[edit interfaces]
lt-0/0/10 {
unit 0 {
encapsulation vlan-ccc;
vlan-id number;
peer-unit 1;
}
unit 1 {
encapsulation vlan;
vlan-id number;
peer-unit 0;
family inet {
address IPv4 address;
}
}
}
- 配置适当的导入和导出策略。
每个 VPN 站点都有自己的 VPN 专用路由表。当入口 PE 路由器 (CE2) 接收从直连接入节点播发的路由时,它会将接收的路由与该 VPN 的 VRF 导出策略进行检查。如果匹配,路由将转换为 VPN-IPv4 格式;也就是说,将路由识别器添加到路由中
[edit policy-options]
policy-statement policy-name {
term 1 {
from protocol [ direct ospf ];
then {
community add l3vpn;
accept;
}
}
}
出口路由器收到此路由时,会将其与 CE 路由器之间的导入策略进行检查。如果它被接受,则会将路由放置在其 bgp.l3vpn.0
表中。同时,路由器会对照 VPN 的 VRF 导入策略检查路由。
[edit policy-options]
policy-statement policy-name {
term 1 {
from community l3vpn;
then accept;
}
}
- 访问 SN1 上的伪线配置。
[edit protocols]
l2circuit {
neighbor address {
interface lt-0/0/10.0 {
virtual-circuit-id number;
}
}
}
- 要配置第 3 层 VPN 路由实例。
在服务节点 SN1 与 L2 域互连的第 2 层域中,您需要激活 vrf-table-label
该功能,以便能够将与 lt-ifl 对应的直接子网前缀播发至第 3 层域。
[edit routing-instances]
l3vpn routing instance {
instance-type vrf;
interface lt-0/0/10.1;
route-distinguisher 100:2;
vrf-import l3vpn-import;
vrf-export l3vpn-export;
vrf-table-label;
protocols {
ospf {
export ospf_export;
area 0.0.0.0 {
interface all {
priority 0;
}
}
}
}
}
使用以下操作模式命令验证接入伪线到 VRF 中的终止: