Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
本页内容
 

示例:将第 2 层电路与第 3 层 VPN 互连

此示例提供了配置和验证第 2 层电路到第 3 层 VPN 互连的分步过程和命令。它包含以下部分:

要求

此示例使用以下硬件和软件组件:

  • Junos OS 9.3 或更高版本

  • 3 MX 系列 5G 通用路由平台

  • 1 M Series 多服务边缘路由器

  • 1 T Series 核心路由器

  • 1 EX 系列以太网交换机

概述和拓扑

1 显示了第 2 层电路到第 3 层 VPN 互连的物理拓扑。

图 1:第 2 层电路到第 3 层 VPN 互连 Layer 2 circuit network diagram with labeled routers and switches, showing connections between Provider Edge routers PE1-PE5, Customer Edge devices CE1-CE4, a Route Reflector, and specific interfaces such as xe-0/1/0 and ge-1/1/0.的物理拓扑

第 2 层电路到第 3 层 VPN 互连的逻辑拓扑如 图 2 所示。

图 2:第 2 层电路到第 3 层 VPN 互连 Network topology diagram showing interconnections in a service provider network. CE devices connect to PE devices for VPN services. P router facilitates routing. Route Reflector optimizes BGP. Orange line indicates Layer 2 circuit; green line shows Layer 3 VPN; blue line represents end-to-end connectivity. Uses MX Series and M Series routers.的逻辑拓扑

拓扑学

配置

注意:

在任何配置会话中,最好定期验证是否可以使用 commit check 命令提交配置。

在此示例中,将使用以下命令提示符识别正在配置的路由器:

  • CE2 识别客户边缘 2 (CE2) 路由器

  • PE1 标识提供商边缘 1 (PE1) 路由器

  • CE3 识别客户边缘 3 (CE3) 路由器

  • PE3 识别提供商边缘 3 (PE3) 路由器

  • CE5 识别客户边缘 5 (CE5) 路由器

  • PE5 标识提供商边缘 5 (PE5) 路由器

此示例包含以下过程:

配置 PE 路由器 面向客户的环路接口

分步过程

要开始构建互连,请配置 PE 路由器上的接口。如果您的网络包含提供商 (P) 路由器,请同时配置 P 路由器上的接口。此示例显示了路由器 PE2、路由器 PE3 和路由器 PE5 的配置。

  1. 在路由器 PE2 上,配置 ge-1/0/2 接口封装。要配置接口封装,请包含 encapsulation 语句并指定 ethernet-ccc 选项(vlan-ccc 还支持封装)。为电路交叉连接功能配置 ge-1/0/2.0 逻辑接口族。要配置逻辑接口家族,请包含 family 语句并指定 ccc 选项。对于第 2 层电路域中的所有路由器,应以相同的方式配置封装。

  2. 在路由器 PE2 上,配置 lo0.0 接口。包括 family 语句并指定 inet 选项。包含 address 语句并指定 192.0.2.2/24 为环路 IPv4 地址。

  3. 在路由器 PE3 上,配置 ge-1/0/1 接口。包括 family 语句并指定 inet 选项。包括 address 语句并指定 198.51.100.1/24 为此设备的接口地址。

  4. 在路由器 PE3 上,配置 lo0.0 环路接口。包括 family 语句并指定 inet 选项。包含 address 语句并指定 192.0.2.3/24 为此路由器的环路 IPv4 地址。

  5. 在路由器 PE5 上,配置 ge-2/0/0 接口。包括 family 语句并指定 inet 选项。包含 address 语句并指定 198.51.100.8/24 为接口地址。

  6. 在路由器 PE5 上,配置 lo0.0 接口。包括 family 语句并指定 inet 选项。包含 address 语句并指定 192.0.2.5/24 为此路由器的环路 IPv4 地址。

配置面向核心的接口

分步过程

此过程介绍如何在 PE 路由器上配置面向核心的接口。此示例不包括物理拓扑图中显示的所有面向核心的接口。在面向核心的接口上启用 mplsinet 地址族。

  1. 在路由器 PE2 上,配置 xe-0/2/0 接口。包含 family 语句并指定 inet 地址族。包含 address 语句并指定 10.10.5.1/30 为接口地址。包含 family 语句并指定 mpls 地址族。

  2. 在路由器 PE3 上,配置面向核心的接口。包含 family 语句并指定 inet 地址族。包含 address 语句并将示例中显示的 IPv4 地址指定为接口地址。包含 family 语句并指定 mpls 地址族。在此示例中, xe-2/1/0 接口连接到路由器 PE5, xe-2/2/0 接口连接到路由器 PE2。

  3. 在路由器 PE5 上,配置 xe-0/1/0 接口。包含 family 语句并指定 inet 地址族。包含 address 语句并指定 10.10.6.2/30 为接口地址。包含 family 语句并指定 mpls 地址族。

配置协议

分步过程

此过程介绍如何配置此示例中使用的协议。如果您的网络包含 P 路由器,请同时配置 P 路由器上的接口。

  1. 在路由器 PE3 上,将 OSPF 启用为 IGP。在除 fxp.0以外的所有接口上启用 MPLS、LDP 和 BGP 协议。LDP 用作到路由器 PE2 的第 2 层电路的信令协议。以下配置片段显示了路由器 PE3 的协议配置:

  2. 在路由器 PE2 上,配置 MPLS、OSPF 和 LDP 协议。

  3. 在路由器 PE5 上,将 OSPF 启用为 IGP。在所有接口上启用 MPLS、RSVP 和 BGP 协议,但 fxp.0。使用 mplsinet 地址系列启用面向核心的接口。

配置路由实例和第 2 层电路

分步过程

此过程介绍如何配置第 2 层电路和第 3 层 VPN。

  1. 在路由器 PE2 上,配置第 2 层电路。包括 l2circuit 语句。包含 neighbor 语句并将路由器 PE3 的环路 IPv4 地址指定为邻接方。包含接口语句,并指定 ge-1/0/2.0 为参与第 2 层电路的逻辑接口。包含 virtual-circuit-id 语句并指定 100 为标识符。 no-control-word 包括不支持控制字的设备的语句。

  2. 在路由器 PE3 上,将第 2 层电路配置为路由器 PE2。包括 l2circuit 语句。包含 neighbor 语句并将路由器 PE2 的环路 IPv4 地址指定为邻接方。包括 interface 语句并指定 lt-1/1/10.0 为参与第 2 层电路的逻辑隧道接口。包含 virtual-circuit-id 语句并指定 100 为标识符。包括 no-control-word 语句。

  3. 在路由器 PE3 上,将第 3 层 VPN (L3VPN) 路由实例配置为路由器 PE5 的 [edit routing-instances] 层次结构级别。此外,在 [edit routing-instances L3VPN protocols] 层次结构级别配置 BGP 对等体组。

  4. 在路由器 PE5 上,在[edit routing-instances]层次结构级别配置第 3 层 VPN 路由实例 (L3VPN)。此外,在[edit routing-instances L3VPN protocols]层次结构级别配置 BGP 对等体组。

配置路由反射器

分步过程

虽然将第 2 层电路与第 3 层 VPN 互连不需要路由反射器,但此示例使用路由反射器。此过程显示路由反射器配置的相关部分。

  1. 使用 RSVP、MPLS、BGP 和 OSPF 配置路由反射器。路由反射器是 PE 路由器的 BGP 对等体。请注意,BGP 对等体组配置包含语句, family 并指定 inet-vpn 了选项 inet-vpn : 该选项使 BGP 能够播发第 3 层 VPN 路由的网络层可达性信息 (NLRI)。配置还包括 family 语句并指定 l2vpn 选项。该 l2vpn 选项使 BGP 能够播发第 2 层电路的 NLRI。第 2 层电路使用与第 2 层 VPN 相同的内部 BGP 基础架构。

将第 2 层电路与第 3 层 VPN 互连

分步过程

必须先创建用于隧道服务的隧道服务接口,然后才能在 MX 系列路由器中配置逻辑隧道接口。

  1. 在路由器 PE3 上创建隧道服务接口。在[edit chassis fpc slot-number pic slot-number tunnel-services]层次结构级别包含bandwidth语句,并指定要为隧道服务保留的带宽量(以千兆位/秒为单位)。

  2. 在路由器 PE3 上,配置 lt-1/1/10 逻辑隧道接口单元 0。

    路由器 PE3 是使用逻辑隧道接口将第 2 层电路拼 到第 3 层 VPN 的路由器。对等单元接口的配置是实现互连的原因。

    包括 encapsulation 语句并指定 ethernet-ccc 选项。包含 peer-unit 语句并将逻辑接口单元 1 指定为对等隧道接口。包括 family 语句并指定 ccc 选项。

    使用ethernet封装配置lt-1/1/10逻辑接口单元1。包含peer-unit语句并将逻辑接口单元0指定为对等隧道接口。包括family语句并指定inet选项。还要包含address语句并指定198.51.100.11/24为接口的 IPv4 地址。

    注意:

    对等逻辑接口必须属于派生自隧道服务 PIC 的同一逻辑隧道接口。

  3. 在每个路由器上,提交配置。

验证第 2 层电路到第 3 层 VPN 互连

要验证互连是否工作正常,请执行以下任务:

验证到路由器 PE3 的第 2 层电路连接是否已打开

目的

要验证从路由器 PE2 到路由器 PE3 的第 2 层电路连接是否为 Up。还要记录传入和传出 LDP 标签以及此第 2 层电路连接使用的电路 ID。

行动

使用 show l2circuit connections 命令验证第 2 层电路连接是否已打开。

意义

输出显示从路由器 PE2 到路由器 PE3 的第 2 层电路连接为 Up ,并且连接正在使用 ge-1/0/2.0 接口。请注意,传出标签为 315264 ,传入标签为 301488,虚拟电路 (VC) 标识符为 100 ,封装为 ETHERNET

验证路由器 PE2 上的 LDP 邻居和目标 LDP LSP

目的

验证路由器 PE2 是否具有到路由器 PE3 的目标 LDP LSP,以及路由器 PE2 和路由器 PE3 是否为 LDP 邻接方。

行动

使用 show ldp neighbor 命令验证路由器 PE2 是否具有到路由器 PE3 的目标 LDP LSP,以及路由器 PE2 和路由器 PE3 是否为 LDP 邻接方。

意义

输出显示路由器 PE2 有一个 IPv4 地址为 192.0.2.3的 LDP 邻接方。地址 192.0.2.3 是路由器 PE3 的 lo0.0 接口地址。请注意,路由器 PE2 使用 LSP 的本地 lo0.0 接口。

验证路由器是否为 LDP 邻接方也会验证目标 LSP 是否已建立。

验证路由器 PE2 上的第 2 层电路路由

目的

验证路由器 PE2 是否具有用于第 2 层电路的路由,以及该路由是否使用路由器 PE3 的 LDP MPLS 标签。

行动

使用 show route table mpls.0 命令验证路由器 PE2 是否具有用于第 2 层电路的路由,以及路由是否使用路由器 PE3 的 LDP MPLS 标签。

意义

输出显示路由器 PE2 在路由出站接口ge-1/0/2.0L2CKT推送315264传出标签。输出还显示路由器 PE2 在传入接口上L2CKT弹出301488传入标签ge-1/0/2.0

验证到路由器 PE2 的第 2 层电路连接是否已建立

目的

要验证从路由器 PE3 到路由器 PE2 的第 2 层电路连接是否为 Up,还要记录传入和传出 LDP 标签以及此第 2 层电路连接使用的电路 ID。

行动

使用 show l2circuit connections 命令验证第 2 层电路连接是否已打开。

意义

输出显示,从路由器 PE3 到路由器 PE2 的第 2 层电路连接为 Up ,且该连接正在使用逻辑隧道 (lt) 接口。请注意,传入标签为 315264 ,传出标签为 301488,虚拟电路 (VC) 标识符为 100,封装为 ETHERNET

验证路由器 PE3 上的 LDP 邻居和目标 LDP LSP

目的

验证路由器 PE3 是否具有到路由器 PE2 的目标 LDP LSP,以及路由器 PE3 和路由器 PE2 是否为 LDP 邻接方。

行动

使用 show ldp neighbor 命令验证路由器 PE2 是否具有到路由器 PE3 的目标 LDP LSP,以及路由器 PE2 和路由器 PE3 是否为 LDP 邻接方。

意义

输出显示路由器 PE3 有一个 IPv4 地址为 192.0.2.2的 LDP 邻接方。地址 192.0.2.2 是路由器 PE2 的 lo0.0 接口地址。输出还显示路由器 PE3 上用于 LSP 的接口为 lo0.0。验证路由器是否为 LDP 邻接方也会验证目标 LSP 是否已建立。

使用路由器 PE3 上的路由反射器验证 BGP 对等会话

目的

验证路由器 PE3 是否已与路由反射器建立对等会话。

行动

使用 show bgp summary 命令验证路由器 PE3 是否已与路由反射器建立对等会话。

意义

输出显示路由器 PE3 与 IPv4 地址为 192.0.2.7的路由器存在对等会话。地址 192.0.2.7 是路由反射器的 lo0.0 接口地址。输出还显示对等会话状态为 Establ,表示会话已建立。

验证路由器 PE3 上的第 3 层 VPN 路由

目的

验证路由器 PE3 是否有到路由器 CE2、路由器 CE3 和路由器 CE5 的第 3 层 VPN 路由。

行动

使用 show route table L3VPN.inet.0 命令验证路由器 PE3 是否有路由到第 3 层 VPN 路由表中的路由器 CE2、路由器 CE3 和路由器 CE5。在此示例中, L3VPN 是为路由实例配置的名称。

意义

输出显示路由器 PE3 有到 IPv4 子网地址的 198.51.100.10路由。地址198.51.100.15是路由器CE2的接口地址。输出显示路由器 PE3 有到 IPv4 子网地址的 198.51.100.12路由。地址198.51.100.10是路由器CE5的接口地址。输出显示路由器 PE3 有到 IPv4 子网地址的 198.51.100.13路由。地址198.51.100.6是路由器CE3的接口地址。

验证路由器 PE3 上的第 2 层电路路由

目的

验证路由器 PE3 在第 2 层电路路由表中是否有到路由器 PE2 的路由。

行动

使用 show route table l2circuit.0 命令验证路由器 PE3 在第 2 层电路路由表中是否有到路由器 PE2 的路由。

意义

输出显示路由器 PE3 的 IPv4 地址为 192.0.2.2的路由。地址 192.0.2.2 是路由器 PE2 的 lo0.0 接口地址。请注意,虚拟机箱标签为 315264。此标签与使用 show l2circuit connections 命令显示的传入 MPLS 标签相同。

验证路由器 PE3 上的 MPLS 路由

目的

验证路由器 PE3 在 MPLS 路由表中是否有到路由器 PE2 的路由。

行动

使用 show route table mpls.0 命令验证路由器 PE3 在 MPLS 路由表中是否有到路由器 PE2 的路由。

意义

输出显示路由器 PE3 具有用于第 2 层电路的路由,并且该路由使用路由器 PE2 的 LDP MPLS 标签。请注意,该 301488 标签与使用 show l2circuit connections 命令在路由器 PE2 上显示的传出标签相同。

验证路由器 CE2 与路由器 CE3 之间的流量

目的

验证 CE 路由器是否可以通过互连发送和接收流量。

行动

使用 ping 命令验证路由器 CE2 是否可以通过互连向路由器 CE3 发送流量或从路由器 CE3 接收流量。

意义

输出显示,路由器 CE2 可以通过互连向路由器 CE3 发送 ICMP 请求,并接收来自路由器 CE3 的响应。

验证路由器 CE2 与路由器 CE5 之间的流量

目的

验证 CE 路由器是否可以通过互连发送和接收流量。

行动

使用 ping 命令验证路由器 CE2 是否可以通过互连向路由器 CE5 发送流量或从路由器 CE5 接收流量。

意义

输出显示,路由器 CE2 可以通过互连向路由器 CE5 发送 ICMP 请求,并接收来自路由器 CE5 的响应。