在 VPN 中的 PE 路由器上配置路由实例
您需要为参与 VPN 的每台 PE 路由器上的每个 VPN 配置路由实例。本节中概述的配置过程适用于第 2 层 VPN、第 3 层 VPN 和 VPLS。其他配置章节的相应章节中介绍了特定于每种类型 VPN 的配置过程。
要为 VPN 配置路由实例,请包含以下语句:
description text; instance-type type; interface interface-name; route-distinguisher (as-number:number | ip-address:number); vrf-import [ policy-names ]; vrf-export [ policy-names ]; vrf-target { export community-name; import community-name; }
您可以在以下层级包含这些语句:
[edit routing-instances routing-instance-name][edit logical-systems logical-system-name routing-instances routing-instance-name]
要配置 VPN 路由实例,请执行以下部分中的步骤:
配置 VPN 的路由实例名称
VPN 的路由实例名称最多为 128 个字符,可以包含字母、数字和连字符。在现代 Junos OS 版本中,不能指定 default 为实际的路由实例名称。您也不能使用任何特殊字符 (! @ # $ % ^ & * , +< > : ;)在路由实例的名称中。
仅当未配置逻辑系统时,才能在路由实例名称中包含斜杠 (/)。也就是说,如果显式配置了除默认值之外的逻辑系统,则不能在路由实例名称中包含斜杠字符。
使用 routing-instance 语句指定路由实例名称:
routing-instance routing-instance-name {...}
您可以在以下层级包含此语句:
[edit][edit logical-systems logical-system-name]
配置描述
要为路由实例提供文本说明,请包含语 description 句。如果文本包含一个或多个空格,请用引号 (“ ”) 将其括起来。您包含的任何描述性文本都将显示在命令的输出 show route instance detail 中,对路由实例的作没有影响。
要配置文本描述,请包含以下 description 语句:
description text;
您可以在以下层级包含此语句:
[edit routing-instances routing-instance-name][edit logical-systems logical-system-name routing-instances routing-instance-name]
配置实例类型
您配置的实例类型会有所不同,具体取决于您配置的是第 2 层 VPN、第 3 层 VPN、VPLS 还是虚拟路由器。通过包含 instance-type 语句来指定实例类型:
要在 PE 路由器上启用第 2 层 VPN 路由,请添加
instance-type语句并指定值l2vpn:instance-type l2vpn;
要在 PE 路由器上启用 VPLS 路由,请添加
instance-type语句并指定值vpls:instance-type vpls;
第 3 层 VPN 要求每个 PE 路由器都有一个 VPN 路由和转发 (VRF) 表,用于在 VPN 内分配路由。要在 PE 路由器上创建 VRF 表,请包含语
instance-type句并指定值vrf:instance-type vrf;
注意:VRF 路由实例不支持基于路由引擎的采样。
要启用虚拟路由器路由实例,请包含语
instance-type句并指定值virtual-router:instance-type virtual-router;
您可以在以下层级包含此语句:
[edit routing-instances routing-instance-name][edit logical-systems logical-system-name routing-instances routing-instance-name]
配置 VPN 路由接口
在每台 PE 路由器上,都必须配置一个接口,VPN 流量通过该接口在 PE 和 CE 路由器之间传输。
以下部分介绍如何为 VPN 配置接口:
VPN 路由的常规配置
本部分所述的配置适用于所有类型的 VPN。对于第 3 层 VPN 和载波至载波 VPN,请先完成本节所述的配置,然后再继续执行特定于这些主题的接口配置部分。
要为 VPN 路由配置接口,请添加 interface 语句:
interface interface-name;
您可以在以下层级包含此语句:
[edit routing-instances routing-instance-name][edit logical-systems logical-system-name routing-instances routing-instance-name]
采用以下格式指定接口名称的物理和逻辑部分:
physical.logical
例如, at-1/2/1 in at-1/2/1.2是接口名称的物理部分,也是2逻辑部分。如果未指定接口名称的逻辑部分,则默认情况下会设置该值0。
一个逻辑接口只能与一个路由实例相关联。如果通过指定 interfaces all 在 [edit protocols] 层次结构级别配置协议的主实例时在所有实例上启用路由协议,并且在 [edit routing-instances routing-instance-name] 层次结构级别或层次 [edit logical-systems logical-system-name routing-instances routing-instance-name] 结构级别为 VPN 路由配置特定接口,则后一个接口语句优先,并且该接口专门用于 VPN。
如果在 [edit protocols] 层次结构级别和 [edit routing-instances routing-instance-name] 或 [edit logical-systems logical-system-name routing-instances routing-instance-name] 层次结构级别显式配置相同的接口名称,则尝试提交配置将失败。
配置第 3 层 VPN 的接口
在 [edit interfaces] 层次结构级别配置第 3 层 VPN 接口时,还必须在配置逻辑接口时进行配置 family inet :
[edit interfaces]
interface-name {
unit logical-unit-number {
family inet;
}
}
为载波至载波 VPN 配置接口
配置载波至载波 VPN 时,除了为 PE 和 CE 路由器之间的接口配置语句之外,family inet还需要配置family mpls语句。对于载波至载波 VPN,请按如下方式配置逻辑接口:
[edit interfaces]
interface-name {
unit logical-unit-number {
family inet;
family mpls;
}
}
如果在逻辑接口上配置 family mpls ,然后为非载波至载波路由实例配置此接口, family mpls 则语句会自动从逻辑接口的配置中移除,因为不需要该语句。
在 VPN 接口上配置单播 RPF
对于承载 IP 版本 4 或版本 6(IPv4 或 IPv6)流量的 VPN 接口,您可以通过配置单播反向路径转发 (RPF) 来减少拒绝服务 (DoS) 攻击的影响。单播 RPF 有助于确定攻击源,并拒绝启用了单播 RPF 的接口上来自意外源地址的数据包。
您可以通过在接口上启用单播 RPF 并在层次结构级别包含语句[edit routing-instances routing-instance-name],在 VPN 接口上配置interface单播 RPF。
无法在面向核心的接口上配置单播 RPF。您只能在 PE 路由器上的 CE 路由器到 PE 路由器接口上配置单播 RPF。但是,对于虚拟路由器路由实例,您在路由实例中指定的所有接口都支持单播 RPF。
有关如何在 VPN 接口上配置单播 RPF 的信息,请参阅了解单播 RPF(路由器)。
配置路由识别符
您在 PE 路由器上配置的每个路由实例都必须具有与之关联的唯一路由识别符。VPN 路由实例需要路由识别符来帮助 BGP 区分从不同 VPN 接收的可能相同的网络层可达性信息 (NLRI) 消息。如果使用相同的路由识别符配置不同的 VPN 路由实例,则提交将失败。
对于第 2 层 VPN 和 VPLS,如果已配置语 l2vpn-use-bgp-rules 句,则必须为参与特定路由实例的每台 PE 路由器配置唯一的路由识别符。
对于其他类型的 VPN,我们建议您为参与路由实例的每台 PE 路由器使用唯一的路由识别符。虽然您可以在所有 PE 路由器上对同一个 VPN 路由实例使用相同的路由识别符(第 2 层 VPN 和 VPLS 除外),但如果使用唯一路由识别符,则可以确定路由源自 VPN 的 CE 路由器。
要在 PE 路由器上配置路由识别符,请添加 route-distinguisher 以下语句:
route-distinguisher (as-number:number | ip-address:number);
有关可包含此语句的层次结构级别的列表,请参阅此语句的语句摘要部分。
路由识别符是一个 6 字节值,您可以采用以下格式之一指定该值:
as-number:number,是as-number自治系统 (AS) 编号(2 字节值),也是number任意 4 字节值。AS 编号的范围是 1 到 65,535。我们建议使用互联网编号分配机构 (IANA) 分配的非专用 AS 编号,最好是互联网服务提供商 (ISP) 自己的 AS 编号或客户自己的 AS 编号。ip-address:number,其中ip-address是 IP 地址(4 字节值),number也是任意 2 字节值。IP 地址可以是任何全局唯一的单播地址。建议使用在语句中router-id配置的地址,即分配的前缀范围内的非专用地址。
配置自动路由识别符
如果在[edit routing-options]层次结构级别配置route-distinguisher-id语句,则会自动为路由实例分配路由识别符。如果除了语句之外route-distinguisher-id还配置了route-distinguisher语句,则配置的route-distinguisher值将取代从 route-distinguisher-id生成的值。
要自动分配路由识别符,请包含以下 route-distinguisher-id 语句:
route-distinguisher-id ip-address;
您可以在以下层级包含此语句:
[edit routing-options][edit logical-systems logical-system-name routing-options]
类型 1 路由识别符会使用以下格式 ip-address:number自动分配给路由实例。IP 地址由 route-distinguisher-id 语句指定,路由实例的编号是唯一的。