在第 2 层 VPN 的 PE 路由器上配置本地站点
对于每个本地站点,PE 路由器会将一组 VPN 标签播发给为第 2 层 VPN 提供服务的其他 PE 路由器。VPN 标签构成单个连续标签块;但是,为了允许重新配置,可以播发多个这样的块。每个标签块由一个标签库、一个范围(块的大小)和一个远程站点 ID 组成,该站点标识使用此标签块连接到本地站点的远程站点序列(远程站点 ID 是序列中的第一个站点标识符)。封装类型也会与标签块一起播发。
以下部分介绍如何在 PE 路由器上配置与本地站点的连接。
并非所有平台都支持所有子任务;检查设备上的 CLI。
配置第 2 层 VPN 路由实例
要在网络上配置第 2 层 VPN,请在 PE 路由器上配置第 2 层 VPN 路由实例,方法是包含 l2vpn 以下语句:
在 EX9200 交换机上,将 encapsulation-type 替换为 encapsulation 语句。
l2vpn { (control-word | no-control-word); encapsulation-type type; traceoptions { file filename <files number> <size size> <world-readable | no-world-readable>; flag flag <flag-modifier> <disable>; } site site-name { site-identifier identifier; site-preference preference-value { backup; primary; } interface interface-name { description text; remote-site-id remote-site-id; } } }
您可以在以下层级包含此语句:
[edit routing-instances routing-instance-name protocols][edit logical-systems logical-system-name routing-instances routing-instance-name protocols]
无法在第 2 层 VPN 路由实例 (instance-type l2vpn) 中配置路由协议(OSPF、RIP、IS-IS 或 BGP)。Junos CLI 不允许进行此配置。
以下部分包含有关如何配置其余语句的说明。
配置站点
为本地站点调配的所有第 2 层电路都列为语句中的site逻辑接口集(通过包含语句指定interface)。
在每个 PE 路由器上,您必须配置每个站点,该站点有一条到 PE 路由器的电路。为此,请添加 site 以下语句:
site site-name { site-identifier identifier; site-preference preference-value { backup; primary; } interface interface-name { description text; remote-site-id remote-site-ID; } }
您可以在以下层级包含此语句:
[edit routing-instances routing-instance-name protocols l2vpn][edit logical-systems logical-system-name routing-instances routing-instance-name protocols l2vpn]
您必须为每个站点配置以下内容:
site-name—站点的名称。site-identifier identifier— 大于零的无符号 16 位数字,可唯一标识本地第 2 层 VPN 站点。站点标识符与在同一 VPN 内的其他站点上配置的远程站点 ID 对应。interface interface-name- 接口的名称,以及远程站点连接的远程站点 ID(可选)。请参阅 配置远程站点 ID。
配置远程站点 ID
远程站点 ID 允许您配置稀疏的第 2 层 VPN 拓扑。稀疏拓扑意味着每个站点不必连接到 VPN 中的所有其他站点;因此,无需为所有远程站点分配电路。如果配置比全网状拓扑更复杂的拓扑(如中心辐射型拓扑),则远程站点 ID 尤为重要。
远程站点 ID(使用语句配置 remote-site-id )与在单独站点上配置的站点 ID(使用语句配置 site-identifier )相对应。 图 1 说明了站点标识符与远程站点 ID 之间的关系。
之间的关系
如图所示,连接到路由器 CE1 的路由器 PE1 的配置如下:
site-identifier 1;
interface so-0/0/0 {
remote-site-id 2;
}
路由器 PE2 连接到路由器 CE2 的配置如下:
site-identifier 2;
interface so-0/0/1 {
remote-site-id 1;
}
路由器 PE1 上的远程站点 ID (2) 与路由器 PE2 上的站点标识符 (2) 对应。在路由器 PE2 上,远程站点 ID (1) 与路由器 PE1 上的站点标识符 (1) 对应。
要配置远程站点 ID,请包含以下 remote-site-id 语句:
remote-site-id remote-site-id;
您可以在以下层级包含此语句:
[edit routing-instances routing-instance-name protocols l2vpn site site-name interface interface-name][edit logical-systems logical-system-name routing-instances routing-instance-name protocols l2vpn site site-name interface interface-name]
如果未在层次结构级别上[edit routing-instances routing-instance-name protocols l2vpn site site-name]配置的接口显式包含remote-site-id该语句,则会为该接口分配一个远程站点 ID。
接口的远程站点 ID 会自动设置为比前一个接口的远程站点 ID 高 1。接口的顺序基于其 site-identifier 语句。例如,如果列表中的第一个接口没有远程站点 ID,则其 ID 将设置为 1。列表中第二个接口的远程站点 ID 设置为 2,第三个接口的远程站点 ID 设置为 3。如果未显式配置,则后续任何接口的远程站点 ID 将以相同的方式递增。
配置封装类型
您在每个第 2 层 VPN 站点上配置的封装类型取决于您选择配置的第 2 层协议。如果配置 ethernet-vlan 为封装类型,则需要在每个第 2 层 VPN 站点使用相同的协议。
如果配置以下任何封装类型,则无需在每个第 2 层 VPN 站点使用相同的协议:
atm-aal5— 异步传输模式 (ATM) 适配层 (AAL5)atm-cell— ATM 信元中继atm-cell-port-mode— ATM 信元中继端口混合模式atm-cell-vc-mode— ATM 虚拟电路 (VC) 信元中继非混合模式atm-cell-vp-mode— ATM 虚拟路径 (VP) 信元中继混合模式cisco-hdlc— 与 Cisco Systems 兼容的高级数据链路控制 (HDLC)ethernet—以太网ethernet-vlan— 以太网虚拟 LAN (VLAN)frame-relay—帧中继frame-relay-port-mode— 帧中继端口模式interworking— 2.5 层互连 VPNppp— 点对点协议 (PPP)
如果您在第 2 层 VPN 站点上配置不同的协议,则需要配置转换交叉连接 (TCC) 封装类型。更多信息,请参阅 为第 2 层 VPN 和第 2 层电路配置 TCC 封装。
要配置 PE 路由器接受的第 2 层协议,请通过包含 encapsulation-type 以下语句来指定封装类型:
encapsulation-type type;
对于 EX9200 交换机,通过包含 encapsulation 以下语句来指定封装类型:
encapsulation type;
您可以在以下层级包含此语句:
[edit routing-instances routing-instance-name protocols l2vpn][edit logical-systems logical-system-name routing-instances routing-instance-name protocols l2vpn]
配置站点首选项和第 2 层 VPN 多宿主
您可以指定为特定第 2 层 VPN 站点播发的优先级值。站点优先级值编码在 BGP 本地优先级属性中。当PE路由器收到多个具有相同客户边缘设备标识符的播发时,首选本地优先级最高的播发。
您还可以使用该 site-preference 语句为第 2 层 VPN 启用多宿主。 通过多宿主,您可以将一台客户边缘设备连接到多个 PE 路由器。如果与主 PE 路由器的连接失败,流量可以自动切换到备份 PE 路由器。
要为第 2 层 VPN 配置站点首选项,请包含以下 site-preference 语句:
site-preference preference-value { backup; primary; }
您可以在以下层级包含此语句:
[edit routing-instances routing-instance-name protocols l2vpn site site-name][edit logical-systems logical-system-name routing-instances routing-instance-name protocols l2vpn site site-name]
您还可以为语句指定 backup 选项或 primary 选项 site-preference 。备份选项将优先级值指定为 1,这是可能的最低值,从而确保最不可能选择第 2 层 VPN 站点。主选项将优先级值指定为 65,535,这是可能的最高值,以确保最有可能选择第 2 层 VPN 站点。
对于第 2 层 VPN 多宿主配置, primary 如果 客户边缘 设备也连接到其他 PE 路由器,则指定第 2 层 VPN 站点的选项会将从 PE 路由器到 客户边缘 设备的连接指定为首选连接。 backup 如果 客户边缘 设备也连接到其他 PE 路由器,则指定第 2 层 VPN 站点选项将从 PE 路由器到 客户边缘 设备的连接指定为辅助连接。
跟踪第 2 层 VPN 流量和作
要跟踪第 2 层 VPN 协议流量,请在第 2 层 VPN 配置中为语 traceoptions 句指定选项:
traceoptions { file filename <files number> <size size> <world-readable | no-world-readable>; flag flag <flag-modifier> <disable>; }
您可以在以下层级包含此语句:
[edit routing-instances routing-instance-name protocols l2vpn][edit logical-systems logical-system-name routing-instances routing-instance-name protocols l2vpn]
以下追踪标志显示与第 2 层 VPN 相关的作:
all— 所有第 2 层 VPN 追踪选项。connections— 第 2 层连接(事件和状态更改)。error- 错误情况。general——一般活动。nlri— 通过 BGP 接收或发送的第 2 层通告。normal——正常事件。policy——策略处理。route—路由信息。state- 状态转换。task— 路由协议任务处理。timer— 路由协议计时器处理。topology— 使用 BGP 从其他 PE 路由器接收的重新配置或播发引起的第 2 层 VPN 拓扑更改。
禁用 VPN 的正常 TTL 递减
要诊断与 VPN 相关的网络问题,禁用正常的生存时间 (TTL) 递减会很有用。在 Junos 中,您可以使用 and no-decrement-ttl 语句执行此no-propagate-ttl作。但是,当您跟踪 VPN 流量时,只有语句有效no-propagate-ttl。
要使语 no-propagate-ttl 句对 VPN 行为产生影响,您需要清除 PE 路由器到路由器的 BGP 会话,或者禁用然后启用 VPN 路由实例。
有关 and no-decrement-ttl 语句的详细信息no-propagate-ttl,请参阅 MPLS 应用程序用户指南。