在 VPN 中的 PE 路由器上配置路由实例
您需要在参与 VPN 的每台 PE 路由器上为每个 VPN 配置路由实例。本部分中概述的配置过程适用于第 2 层 VPN、第 3 层 VPN 和 VPLS。其他配置章节的相应部分介绍了特定于每种 VPN 类型的配置过程。
要为 VPN 配置路由实例,请加入以下语句:
description text; instance-type type; interface interface-name; route-distinguisher (as-number:number | ip-address:number); vrf-import [ policy-names ]; vrf-export [ policy-names ]; vrf-target { export community-name; import community-name; }
您可以在以下层次结构级别包含这些语句:
[edit routing-instances routing-instance-name][edit logical-systems logical-system-name routing-instances routing-instance-name]
要配置 VPN 路由实例,请执行以下部分中的步骤:
配置 VPN 的路由实例名称
VPN 路由实例的名称最多可以是 128 个字符,并且可以包含字母、数字和连字符。在现代 Junos OS 版本中,您无法指定 default 为实际的路由实例名称。您也不能使用任何特殊字符 (! @ # $ % ^ & * , +< > : ;)包含在路由实例的名称中。
只有当未配置逻辑系统时,才能在路由实例名称中包含斜杠 (/)。也就是说,如果显式配置了默认逻辑系统,则不能在路由实例名称中包含斜杠字符。
使用 routing-instance 以下语句指定路由实例名称:
routing-instance routing-instance-name {...}
您可以在以下层级包含此语句:
[edit][edit logical-systems logical-system-name]
配置说明
要为路由实例提供文本说明,请包含该 description 语句。如果文本包含一个或多个空格,请用引号 (“ ”) 将它们括起来。您包含的任何描述性文本都将显示在命令输出 show route instance detail 中,不会影响路由实例的作。
要配置文本说明,请包含以下 description 语句:
description text;
您可以在以下层级包含此语句:
[edit routing-instances routing-instance-name][edit logical-systems logical-system-name routing-instances routing-instance-name]
配置实例类型
您配置的实例类型会有所不同,具体取决于您配置的是第 2 层 VPN、第 3 层 VPN、VPLS 还是虚拟路由器。通过包含 instance-type 以下语句来指定实例类型:
要在 PE 路由器上启用第 2 层 VPN 路由,请包含该
instance-type语句并指定值l2vpn:instance-type l2vpn;
要在 PE 路由器上启用 VPLS 路由,请包含该
instance-type语句并指定值vpls:instance-type vpls;
第 3 层 VPN 要求每个 PE 路由器都有一个 VPN 路由和转发 (VRF) 表,用于在 VPN 内分配路由。要在 PE 路由器上创建 VRF 表,请包含该
instance-type语句并指定值vrf:instance-type vrf;
注意:VRF 路由实例不支持基于路由引擎的采样。
要启用虚拟路由器路由实例,请包含该
instance-type语句并指定值virtual-router:instance-type virtual-router;
您可以在以下层级包含此语句:
[edit routing-instances routing-instance-name][edit logical-systems logical-system-name routing-instances routing-instance-name]
为 VPN 路由配置接口
在每个 PE 路由器上,您必须配置一个接口,用于 VPN 流量在 PE 路由器和客户边缘路由器之间传输。
以下部分介绍了如何为 VPN 配置接口:
VPN 路由的常规配置
本部分所述的配置适用于所有类型的 VPN。对于第 3 层 VPN 和载波至载波 VPN,请先完成本部分中介绍的配置,然后再继续学习特定于这些主题的接口配置部分。
要为 VPN 路由配置接口,请包含以下语 interface 句:
interface interface-name;
您可以在以下层级包含此语句:
[edit routing-instances routing-instance-name][edit logical-systems logical-system-name routing-instances routing-instance-name]
指定接口名称的物理部分和逻辑部分,格式如下:
physical.logical
例如,中 at-1/2/1.2是 at-1/2/1 接口名称的物理部分, 2 是逻辑部分。如果未指定接口名称的逻辑部分,则默认设置该值0 。
一个逻辑接口只能与一个路由实例相关联。如果在层次结构级别配置[edit protocols]协议的主实例时指定interfaces all在所有实例上启用路由协议,并且在层次结构级别或层次结构级别为 [edit routing-instances routing-instance-name] [edit logical-systems logical-system-name routing-instances routing-instance-name] VPN 路由配置特定接口,则后一个 interface 语句优先,并且该接口专门用于 VPN。
如果在[edit protocols]层次结构级别和 或 [edit logical-systems logical-system-name routing-instances routing-instance-name] 层次结构级别显[edit routing-instances routing-instance-name]式配置相同的接口名称,则尝试提交配置将失败。
为第 3 层 VPN 配置接口
在层次结构级别配置 [edit interfaces] 第 3 层 VPN 接口时,还必须在配置逻辑接口时进行配置 family inet :
[edit interfaces]
interface-name {
unit logical-unit-number {
family inet;
}
}
为载波至载波 VPN 配置接口
配置载波至载波 VPN 时,除了为 PE 路由器和客户边缘路由器之间的接口配置语句外family inet,还需要配置family mpls该语句。对于载波至载波 VPN,按以下步骤配置逻辑接口:
[edit interfaces]
interface-name {
unit logical-unit-number {
family inet;
family mpls;
}
}
如果在逻辑接口上进行配置 family mpls ,然后为非载波至载波路由实例配置此接口, family mpls 则该语句将自动从逻辑接口的配置中移除,因为不需要该语句。
在 VPN 接口上配置单播 RPF
对于承载 IP 版本 4 或版本 6(IPv4 或 IPv6)流量的 VPN 接口,可以通过配置单播反向路径转发 (RPF) 来减少拒绝服务 (DoS) 攻击的影响。在启用了单播 RPF 的接口上,单播 RPF 有助于确定攻击来源并拒绝来自意外源地址的数据包。
您可以通过在接口上启用单播 RPF 并在 interface 层次结构级别包含 [edit routing-instances routing-instance-name] 该语句,在 VPN 接口上配置单播 RPF。
无法在面向核心的接口上配置单播 RPF。您只能在 PE 路由器上的客户边缘路由器到 PE 路由器接口上配置单播 RPF。但是,对于虚拟路由器路由实例,您在路由实例中指定的所有接口均支持单播 RPF。
有关如何在 VPN 接口上配置单播 RPF 的信息,请参阅了解单播 RPF(路由器)。
配置路由识别符
您在 PE 路由器上配置的每个路由实例都必须有一个与之关联的唯一路由识别符。VPN 路由实例需要路由识别符,以帮助 BGP 区分从不同 VPN 接收的可能相同的网络层可达性信息 (NLRI) 消息。如果使用相同的路由识别符配置不同的 VPN 路由实例,则提交将会失败。
对于第 2 层 VPN 和 VPLS,如果已配置该 l2vpn-use-bgp-rules 语句,则必须为参与特定路由实例的每个 PE 路由器配置唯一的路由识别符。
对于其他类型的 VPN,建议为参与路由实例的每个 PE 路由器使用唯一的路由识别符。虽然您可以为同一 VPN 路由实例(第 2 层 VPN 和 VPLS 除外)在所有 PE 路由器上使用相同的路由识别符,但如果使用唯一路由识别符,则可以确定路由源自 VPN 内的客户边缘路由器。
要在 PE 路由器上配置路由识别符,请包含以下 route-distinguisher 语句:
route-distinguisher (as-number:number | ip-address:number);
有关可包含此语句的层次结构级别列表,请参阅此语句的语句摘要部分。
路由识别符是一个 6 字节值,您可以以下格式之一指定:
as-number:number,其中as-number是自治系统 (AS) 编号(2 字节值),是number任意 4 字节值。AS 编号的范围可以是 1 到 65535。我们建议使用互联网编号分配机构 (IANA) 分配的非专用 AS 编号,最好是互联网服务提供商 (ISP) 自己的 AS 编号或客户自己的 AS 编号。ip-address:number,其中ip-address是 IP 地址(4 字节值),number是任意 2 字节值。IP 地址可以是任何全球唯一单播地址。我们建议使用在语句中router-id配置的地址,即分配的前缀范围内的非专用地址。
配置自动路由区分符
如果在层次结构级别配置[edit routing-options]该route-distinguisher-id语句,则路由识别符会自动分配给路由实例。如果除了语句之外route-distinguisher-id,还配置route-distinguisher了该语句,则为配置route-distinguisher的值将取代从中route-distinguisher-id生成的值。
要自动分配路由识别符,请包含以下 route-distinguisher-id 语句:
route-distinguisher-id ip-address;
您可以在以下层级包含此语句:
[edit routing-options][edit logical-systems logical-system-name routing-options]
类型 1 路由识别符将使用格式 ip-address:number自动分配给路由实例。IP 地址由 route-distinguisher-id 语句指定,并且该编号对于路由实例是唯一的。