在第 2 层 VPN 的 PE 路由器上配置本地站点
对于每个本地站点,PE 路由器都会将一组 VPN 标签通告给为第 2 层 VPN 提供服务的其他 PE 路由器。VPN 标签构成单个连续标签块;但是,为了允许重新配置,可以播发多个此类块。每个标签块都包含一个标签库、一个范围(块的大小)和一个远程站点 ID,用于标识使用此标签块连接到本地站点的远程站点序列(远程站点 ID 是该序列中的第一个站点标识符)。封装类型也随标签块一起播发。
以下部分介绍如何在 PE 路由器上配置与本地站点的连接。
并非所有平台都支持所有子任务;检查设备上的 CLI。
配置第 2 层 VPN 路由实例
要配置网络上的第 2 层 VPN,请在 PE 路由器上配置第 2 层 VPN 路由实例,包括以下 l2vpn 语句:
l2vpn { (control-word | no-control-word); encapsulation-type type; traceoptions { file filename <files number> <size size> <world-readable | no-world-readable>; flag flag <flag-modifier> <disable>; } site site-name { site-identifier identifier; site-preference preference-value { backup; primary; } interface interface-name { description text; remote-site-id remote-site-id; } } }
您可以在以下层级包含此语句:
[edit routing-instances routing-instance-name protocols][edit logical-systems logical-system-name routing-instances routing-instance-name protocols]
您无法在 2 层 VPN 路由实例 (instance-type l2vpn) 内配置路由协议(OSPF、RIP、IS-IS 或 BGP)。Junos CLI 不允许此配置。
以下部分包含有关如何配置剩余语句的说明。
配置站点
为本地站点配置的所有第 2 层电路均列为语句中site一组逻辑接口(由包括interface语句指定)。
在每个 PE 路由器上,都必须配置有连接到 PE 路由器的电路的每个站点。为此,请包括以下 site 语句:
site site-name { site-identifier identifier; site-preference preference-value { backup; primary; } interface interface-name { description text; remote-site-id remote-site-ID; } }
您可以在以下层级包含此语句:
[edit routing-instances routing-instance-name protocols l2vpn][edit logical-systems logical-system-name routing-instances routing-instance-name protocols l2vpn]
您必须为每个站点配置以下内容:
site-name-站点名称。site-identifier identifier—用于唯一标识本地第 2 层 VPN 站点的大于 0 的未签名 16 位编号。站点标识符与同一 VPN 内另一站点上配置的远程站点 ID 相对应。interface interface-name- 接口名称和(可选)远程站点连接的远程站点 ID。请参阅 配置远程站点 ID。
配置远程站点 ID
远程站点 ID 允许您配置稀疏的第 2 层 VPN 拓扑。稀疏拓扑意味着每个站点都不必连接到 VPN 中的所有其他站点;因此无需为所有远程站点分配电路如果配置比全网状更复杂的拓扑(例如中心辐射型拓扑),则远程站点 ID 尤为重要。
远程站点 ID(用 remote-site-id 语句配置)与在单独站点上配置的站点 ID(使用 site-identifier 语句配置)相对应。 图 1 展示了站点标识符与远程站点 ID 之间的关系。
之间的关系
如图所示,连接到路由器 CE1 的路由器 PE1 配置如下所示:
site-identifier 1;
interface so-0/0/0 {
remote-site-id 2;
}
连接到路由器 CE2 的路由器 PE2 配置如下所示:
site-identifier 2;
interface so-0/0/1 {
remote-site-id 1;
}
路由器 PE1 上的远程站点 ID (2) 与路由器 PE2 上的站点标识符 (2) 相对应。在路由器 PE2 上,远程站点 ID (1) 与路由器 PE1 上的站点标识符 (1) 相对应。
要配置远程站点 ID,请添加 remote-site-id 语句:
remote-site-id remote-site-id;
您可以在以下层级包含此语句:
[edit routing-instances routing-instance-name protocols l2vpn site site-name interface interface-name][edit logical-systems logical-system-name routing-instances routing-instance-name protocols l2vpn site site-name interface interface-name]
如果未显式包含 remote-site-id 在层次结构级别上配置的接口的 [edit routing-instances routing-instance-name protocols l2vpn site site-name] 语句,则为该接口分配一个远程站点 ID。
某个接口的远程站点 ID 会自动设置为比上一个接口的远程站点 ID 高 1。接口的顺序基于其 site-identifier 语句。例如,如果列表中的第一个接口没有远程站点 ID,则其 ID 设置为 1。列表中第二个接口的远程站点 ID 设置为 2,第三个接口的远程站点 ID 设置为 3。如果不进行显式配置,则任何接口的远程站点地址都以相同的方式递增。
配置封装类型
在每个第 2 层 VPN 站点上配置的封装类型因您选择配置的第 2 层协议而异。如果配置为 ethernet-vlan 封装类型,则需要在每个第 2 层 VPN 站点使用相同的协议。
如果配置以下任一封装类型,则不需要在每个第 2 层 VPN 站点使用相同的协议:
atm-aal5—异步传输模式 (ATM) 适配层 (AAL5)atm-cell—ATM 信元中继atm-cell-port-mode—ATM 信元中继端口混杂模式atm-cell-vc-mode—ATM 虚拟电路 (VC) 信元中继非交集模式atm-cell-vp-mode—ATM 虚拟路径 (VP) 信元中继混杂模式cisco-hdlc— 与 Cisco Systems 兼容的高级数据链路控制 (HDLC)ethernet— 以太网ethernet-vlan—以太网虚拟 LAN (VLAN)frame-relay—帧中继frame-relay-port-mode—帧中继端口模式interworking— 2.5 层互连 VPNppp—点对点协议 (PPP)
如果在第 2 层 VPN 站点上配置不同的协议,则需要配置转换交叉连接 (TCC) 封装类型。有关更多信息,请参阅 为第 2 层 VPN 和第 2 层电路配置 TCC 封装。
要配置 PE 路由器接受的第 2 层协议,请通过包括 encapsulation-type 语句来指定封装类型:
encapsulation-type type;
对于 EX9200 交换机,请通过包括 encapsulation 语句来指定封装类型:
encapsulation type;
您可以在以下层级包含此语句:
[edit routing-instances routing-instance-name protocols l2vpn][edit logical-systems logical-system-name routing-instances routing-instance-name protocols l2vpn]
配置站点优先级和第 2 层 VPN 多宿主
您可以指定为特定第 2 层 VPN 站点播发的优先级值。站点优先级值编码在 BGP 本地优先级属性中。当 PE 路由器收到具有相同 CE 设备标识符的多个播发时,本地优先级值最高为首选播发。
您还可以使用该 site-preference 语句为第 2 层 VPN 启用多宿主。多宿主允许您将 CE 设备连接到多个 PE 路由器。如果与主 PE 路由器的连接失败,流量会自动切换到备份 PE 路由器。
要为第 2 层 VPN 配置站点首选项,请添加以下 site-preference 语句:
site-preference preference-value { backup; primary; }
您可以在以下层级包含此语句:
[edit routing-instances routing-instance-name protocols l2vpn site site-name][edit logical-systems logical-system-name routing-instances routing-instance-name protocols l2vpn site site-name]
您还可以为语句指定 backup 选项或 primary 选项 site-preference 。备份选项将优先级值指定为 1,这是最低可能值,可确保第 2 层 VPN 站点被选择的可能性最小。主选项将优先级值指定为 65,535,这是最高的可能值,确保最可能选择第 2 层 VPN 站点。
对于第 2 层 VPN 多宿主配置,如果 primary CE 设备也连接到其他 PE 路由器,则为第 2 层 VPN 站点指定选项,将从 PE 路由器到 CE 设备的连接指定为首选连接。如果 CE 设备也连接到其他 PE 路由器,则 backup 指定第 2 层 VPN 站点的选项将从 PE 路由器到 CE 设备的连接指定为辅助连接。
跟踪第 2 层 VPN 流量和操作
要跟踪第 2 层 VPN 协议流量,请在第 2 层 VPN 配置中指定 traceoptions 语句的选项:
traceoptions { file filename <files number> <size size> <world-readable | no-world-readable>; flag flag <flag-modifier> <disable>; }
您可以在以下层级包含此语句:
[edit routing-instances routing-instance-name protocols l2vpn][edit logical-systems logical-system-name routing-instances routing-instance-name protocols l2vpn]
以下跟踪标记显示与第 2 层 VPN 关联的操作:
all— 所有第 2 层 VPN 跟踪选项。connections-第 2 层连接(事件和状态变化)。error-错误条件。general- 常规活动。nlri— 通过 BGP 接收或发送的第 2 层播发。normal— 正常事件。policy-策略处理。route-路由信息。state-状态转换。task-路由协议任务处理。timer-路由协议计时器处理。topology— 使用 BGP 从其他 PE 路由器收到的重新配置或播发引起的第 2 层 VPN 拓扑更改。
禁用 VPN 的正常 TTL 减速
要诊断与 VPN 相关的网络问题,禁用正常生存时间 (TTL) 减少会很有用。在 Junos 中,您可以使用 and no-decrement-ttl 语句来做到这一no-propagate-ttl点。但是,当您跟踪 VPN 流量时,只有语句no-propagate-ttl有效。
要使语句 no-propagate-ttl 对 VPN 行为产生影响,您需要清除 PE 路由器到 PE 路由器的 BGP 会话,或禁用然后启用 VPN 路由实例。
有关和no-decrement-ttl语句的详细信息no-propagate-ttl,请参阅 MPLS 应用程序用户指南。。