Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

在第 2 层 VPN 的 PE 路由器上配置本地站点

对于每个本地站点,PE 路由器都会将一组 VPN 标签通告给为第 2 层 VPN 提供服务的其他 PE 路由器。VPN 标签构成单个连续标签块;但是,为了允许重新配置,可以播发多个此类块。每个标签块都包含一个标签库、一个范围(块的大小)和一个远程站点 ID,用于标识使用此标签块连接到本地站点的远程站点序列(远程站点 ID 是该序列中的第一个站点标识符)。封装类型也随标签块一起播发。

以下部分介绍如何在 PE 路由器上配置与本地站点的连接。

注意:

并非所有平台都支持所有子任务;检查设备上的 CLI。

配置第 2 层 VPN 路由实例

要配置网络上的第 2 层 VPN,请在 PE 路由器上配置第 2 层 VPN 路由实例,包括以下 l2vpn 语句:

注意:

在 EX9200 交换机上,用 封装 语句替换 封装 类型。

您可以在以下层级包含此语句:

  • [edit routing-instances routing-instance-name protocols]

  • [edit logical-systems logical-system-name routing-instances routing-instance-name protocols]

注意:

您无法在 2 层 VPN 路由实例 (instance-type l2vpn) 内配置路由协议(OSPF、RIP、IS-IS 或 BGP)。Junos CLI 不允许此配置。

以下部分包含有关如何配置剩余语句的说明。

配置站点

为本地站点配置的所有第 2 层电路均列为语句中site一组逻辑接口(由包括interface语句指定)。

在每个 PE 路由器上,都必须配置有连接到 PE 路由器的电路的每个站点。为此,请包括以下 site 语句:

您可以在以下层级包含此语句:

  • [edit routing-instances routing-instance-name protocols l2vpn]

  • [edit logical-systems logical-system-name routing-instances routing-instance-name protocols l2vpn]

您必须为每个站点配置以下内容:

  • site-name-站点名称。

  • site-identifier identifier—用于唯一标识本地第 2 层 VPN 站点的大于 0 的未签名 16 位编号。站点标识符与同一 VPN 内另一站点上配置的远程站点 ID 相对应。

  • interface interface-name- 接口名称和(可选)远程站点连接的远程站点 ID。请参阅 配置远程站点 ID

配置远程站点 ID

远程站点 ID 允许您配置稀疏的第 2 层 VPN 拓扑。稀疏拓扑意味着每个站点都不必连接到 VPN 中的所有其他站点;因此无需为所有远程站点分配电路如果配置比全网状更复杂的拓扑(例如中心辐射型拓扑),则远程站点 ID 尤为重要。

远程站点 ID(用 remote-site-id 语句配置)与在单独站点上配置的站点 ID(使用 site-identifier 语句配置)相对应。 图 1 展示了站点标识符与远程站点 ID 之间的关系。

图 1:站点标识符与远程站点 ID Relationship Between the Site Identifier and the Remote Site ID 之间的关系

如图所示,连接到路由器 CE1 的路由器 PE1 配置如下所示:

连接到路由器 CE2 的路由器 PE2 配置如下所示:

路由器 PE1 上的远程站点 ID (2) 与路由器 PE2 上的站点标识符 (2) 相对应。在路由器 PE2 上,远程站点 ID (1) 与路由器 PE1 上的站点标识符 (1) 相对应。

要配置远程站点 ID,请添加 remote-site-id 语句:

您可以在以下层级包含此语句:

  • [edit routing-instances routing-instance-name protocols l2vpn site site-name interface interface-name]

  • [edit logical-systems logical-system-name routing-instances routing-instance-name protocols l2vpn site site-name interface interface-name]

如果未显式包含 remote-site-id 在层次结构级别上配置的接口的 [edit routing-instances routing-instance-name protocols l2vpn site site-name] 语句,则为该接口分配一个远程站点 ID。

某个接口的远程站点 ID 会自动设置为比上一个接口的远程站点 ID 高 1。接口的顺序基于其 site-identifier 语句。例如,如果列表中的第一个接口没有远程站点 ID,则其 ID 设置为 1。列表中第二个接口的远程站点 ID 设置为 2,第三个接口的远程站点 ID 设置为 3。如果不进行显式配置,则任何接口的远程站点地址都以相同的方式递增。

配置封装类型

在每个第 2 层 VPN 站点上配置的封装类型因您选择配置的第 2 层协议而异。如果配置为 ethernet-vlan 封装类型,则需要在每个第 2 层 VPN 站点使用相同的协议。

如果配置以下任一封装类型,则不需要在每个第 2 层 VPN 站点使用相同的协议:

  • atm-aal5—异步传输模式 (ATM) 适配层 (AAL5)

  • atm-cell—ATM 信元中继

  • atm-cell-port-mode—ATM 信元中继端口混杂模式

  • atm-cell-vc-mode—ATM 虚拟电路 (VC) 信元中继非交集模式

  • atm-cell-vp-mode—ATM 虚拟路径 (VP) 信元中继混杂模式

  • cisco-hdlc— 与 Cisco Systems 兼容的高级数据链路控制 (HDLC)

  • ethernet— 以太网

  • ethernet-vlan—以太网虚拟 LAN (VLAN)

  • frame-relay—帧中继

  • frame-relay-port-mode—帧中继端口模式

  • interworking— 2.5 层互连 VPN

  • ppp—点对点协议 (PPP)

如果在第 2 层 VPN 站点上配置不同的协议,则需要配置转换交叉连接 (TCC) 封装类型。有关更多信息,请参阅 为第 2 层 VPN 和第 2 层电路配置 TCC 封装

要配置 PE 路由器接受的第 2 层协议,请通过包括 encapsulation-type 语句来指定封装类型:

对于 EX9200 交换机,请通过包括 encapsulation 语句来指定封装类型:

您可以在以下层级包含此语句:

  • [edit routing-instances routing-instance-name protocols l2vpn]

  • [edit logical-systems logical-system-name routing-instances routing-instance-name protocols l2vpn]

配置站点优先级和第 2 层 VPN 多宿主

您可以指定为特定第 2 层 VPN 站点播发的优先级值。站点优先级值编码在 BGP 本地优先级属性中。当 PE 路由器收到具有相同 CE 设备标识符的多个播发时,本地优先级值最高为首选播发。

您还可以使用该 site-preference 语句为第 2 层 VPN 启用多宿主。多宿主允许您将 CE 设备连接到多个 PE 路由器。如果与主 PE 路由器的连接失败,流量会自动切换到备份 PE 路由器。

要为第 2 层 VPN 配置站点首选项,请添加以下 site-preference 语句:

您可以在以下层级包含此语句:

  • [edit routing-instances routing-instance-name protocols l2vpn site site-name]

  • [edit logical-systems logical-system-name routing-instances routing-instance-name protocols l2vpn site site-name]

您还可以为语句指定 backup 选项或 primary 选项 site-preference 。备份选项将优先级值指定为 1,这是最低可能值,可确保第 2 层 VPN 站点被选择的可能性最小。主选项将优先级值指定为 65,535,这是最高的可能值,确保最可能选择第 2 层 VPN 站点。

对于第 2 层 VPN 多宿主配置,如果 primary CE 设备也连接到其他 PE 路由器,则为第 2 层 VPN 站点指定选项,将从 PE 路由器到 CE 设备的连接指定为首选连接。如果 CE 设备也连接到其他 PE 路由器,则 backup 指定第 2 层 VPN 站点的选项将从 PE 路由器到 CE 设备的连接指定为辅助连接。

跟踪第 2 层 VPN 流量和操作

要跟踪第 2 层 VPN 协议流量,请在第 2 层 VPN 配置中指定 traceoptions 语句的选项:

您可以在以下层级包含此语句:

  • [edit routing-instances routing-instance-name protocols l2vpn]

  • [edit logical-systems logical-system-name routing-instances routing-instance-name protocols l2vpn]

以下跟踪标记显示与第 2 层 VPN 关联的操作:

  • all— 所有第 2 层 VPN 跟踪选项。

  • connections-第 2 层连接(事件和状态变化)。

  • error-错误条件。

  • general- 常规活动。

  • nlri— 通过 BGP 接收或发送的第 2 层播发。

  • normal— 正常事件。

  • policy-策略处理。

  • route-路由信息。

  • state-状态转换。

  • task-路由协议任务处理。

  • timer-路由协议计时器处理。

  • topology— 使用 BGP 从其他 PE 路由器收到的重新配置或播发引起的第 2 层 VPN 拓扑更改。

禁用 VPN 的正常 TTL 减速

要诊断与 VPN 相关的网络问题,禁用正常生存时间 (TTL) 减少会很有用。在 Junos 中,您可以使用 and no-decrement-ttl 语句来做到这一no-propagate-ttl点。但是,当您跟踪 VPN 流量时,只有语句no-propagate-ttl有效。

要使语句 no-propagate-ttl 对 VPN 行为产生影响,您需要清除 PE 路由器到 PE 路由器的 BGP 会话,或禁用然后启用 VPN 路由实例。

有关和no-decrement-ttl语句的详细信息no-propagate-ttl,请参阅 MPLS 应用程序用户指南。。