Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
本页内容
 

示例:将第 2 层 VPN 与第 3 层 VPN 互连

此示例提供用于将第 2 层 VPN 与第 3 层 VPN 互连和验证的分步过程和命令。其中包含以下部分:

要求

此示例使用以下硬件和软件组件:

  • Junos OS 9.3 或更高版本

  • 五台 MX 系列路由器

  • 三个 M 系列路由器

  • 两个 T 系列路由器

概述和拓扑

第 2 层 VPN 是一种使用 MPLS 标签传输数据的虚拟专用网络 (VPN)。通信发生在提供商边缘 (PE) 路由器之间。

与第 2 层传统 VPN 相比,第 2 层 VPN 使用 BGP 作为信令协议,因此设计更简单,所需的配置开销更少。BGP 信令还支持自动发现第 2 层 VPN 对等方。第 2 层 VPN 可以采用全网状或中心辐射型拓扑。核心网络的隧道机制通常为 MPLS。但是,第 2 层 VPN 也可以使用其他隧道协议,如 GRE。

第 3 层 VPN 基于 RFC 2547bis、 BGP/MPLS IP VPN。RFC 2547bis 定义了一种机制,通过该机制,服务提供商可以使用其 IP 主干为客户提供 VPN 服务。第 3 层 VPN 是一组共享通用路由信息的站点,其连接由一组策略控制。构成第 3 层 VPN 的站点通过提供商现有的公共互联网主干网进行连接。RFC 2547bis VPN 也称为 BGP/MPLS VPN,因为 BGP 用于在提供商的主干网之间分配 VPN 路由信息,而 MPLS 用于通过主干网络将 VPN 流量转发到远程 VPN 站点。

客户网络由于是专用地址,因此可以使用公共地址或专用地址,如 RFC 1918“ 专用互联网地址分配”中的定义。当使用专用地址的客户网络连接到公共互联网基础架构时,专用地址可能会与其他网络用户使用的相同专用地址重叠。MPLS/BGP VPN 通过添加 路由识别器来解决此问题。路由识别符是从特定 VPN 站点添加到每个地址的 VPN 标识符前缀,从而在 VPN 和互联网中创建唯一的地址。

此外,每个 VPN 都有自己特定于 VPN 的路由表,仅包含该 VPN 的路由信息。为了将 VPN 的路由与公共互联网中的路由或其他 VPN 中的路由分离,PE 路由器会为每个 VPN 创建一个单独的路由表,称为 VPN 路由和转发 (VRF) 表。PE 路由器为每个连接到客户边缘 (CE) 路由器的 VPN 创建一个 VRF 表。属于 VPN 的任何客户或站点都只能访问该 VPN VRF 表中的路由。每个 VRF 表都有一个或多个与之关联的扩展社区属性,用于将路由标识为属于特定路由器集合。其中之一( 路由目标 属性)标识 PE 路由器分发路由的站点集合 (VRF 表)。PE 路由器使用路由目标来限制将远程路由导入其 VRF 表中。

当入口 PE 路由器收到从直连 CE 路由器播发的路由时,会对照该 VPN 的 VRF 导出策略检查收到的路由。

  • 如果匹配,则路由将转换为 VPN-IPv4 格式,即将路由识别器添加到路由中。然后,PE 路由器将 VPN-IPv4 格式的路由通告给远程 PE 路由器。它还将路由目标连接到从直连站点获得的每个路由。连接到路由的路由目标基于 VRF 表配置的导出目标策略的值。然后,这些路由将使用在提供商核心网络中配置的 IBGP 会话进行分发。

  • 如果来自 CE 路由器的路由不匹配,则不会将其导出到其他 PE 路由器,但它仍然可以在本地用于路由,例如,当同一 VPN 中的两台 CE 路由器直接连接到同一 PE 路由器时。

出口 PE 路由器收到路由时,会根据 PE 路由器之间的 IBGP 会话上的导入策略进行检查。如果接受,路由器将路由放入其 bgp.l3vpn.0 表中。同时,路由器会对照 VPN 的 VRF 导入策略检查路由。如果匹配,则路由识别器将从路由中移除,并将路由置于 IPv4 格式的 routing-instance-nameVRF 表(.inet.0 表)中。

拓扑

图 1 显示了第 2 层 VPN 到第 3 层 VPN 互连的物理拓扑。

图 1:终止为第 3 层 VPN 的第 2 层 VPN Physical Topology of a Layer 2 VPN Terminating into a Layer 3 VPN 的物理拓扑

第 2 层 VPN 到第 3 层 VPN 互连的逻辑拓扑如图 2 所示。

图 2:终止为第 3 层 VPN 的第 2 层 VPN Logical Topology of a Layer 2 VPN Terminating into a Layer 3 VPN 的逻辑拓扑

以下定义描述了 图 1 和图 2 中使用的设备缩写的含义。

  • 客户边缘 (CE) 设备 — 客户本地的一台设备,通过数据链路连接到一个或多个提供商边缘 (PE) 路由器,提供对服务提供商 VPN 的访问。

    通常,CE 设备是与其直连 PE 路由器建立邻接的 IP 路由器。建立邻接后,CE 路由器将站点的本地 VPN 路由播发至 PE 路由器,并从 PE 路由器学习远程 VPN 路由。

  • 提供商边缘 (PE) 设备 — 位于提供商网络边缘的一台设备或一组设备,可显示提供商的客户站点视图。

    PE 路由器与 CE 路由器交换路由信息。PE 路由器可以识别通过 VPN 连接的 VPN,而 PE 路由器会维护 VPN 状态。只有 PE 路由器才能为其直连的 VPN 维护 VPN 路由。从 CE 路由器学习本地 VPN 路由后,PE 路由器使用 IBGP 与其他 PE 路由器交换 VPN 路由信息。最后,在使用 MPLS 跨提供商的主干网转发 VPN 数据流量时,入口 PE 路由器充当入口标签交换路由器 (LSR),出口 PE 路由器用作出口 LSR。

  • 提供商 (P) 设备 — 一种在提供商核心网络中运行且不直接连接到任何 CE 的设备。

    虽然 P 设备是为服务提供商的客户实施 VPN 的关键部分,并且可能为属于不同 VPN 的许多提供商运营的隧道提供路由,但它本身并不具有 VPN 感知能力,并且不维护 VPN 状态。它的主要作用是允许服务提供商扩展其 VPN 产品,例如,充当多个 PE 路由器的聚合点。

    在 PE 路由器之间转发 VPN 数据流量时,P 路由器可充当 MPLS 传输 LSR。P 路由器仅用于维护到提供商 PE 路由器的路由;他们不需要维护每个客户站点的特定 VPN 路由信息。

配置

要将第 2 层 VPN 与第 3 层 VPN 互连,请执行以下操作:

配置基本协议和接口

逐步过程

  1. 在每个 PE 和 P 路由器上,在所有接口上配置具有流量工程扩展的 OSPF。禁用 fxp0.0 接口上的 OSPF。

  2. 在所有核心路由器上,在所有接口上启用 MPLS。禁用 fxp0.0 接口上的 MPLS。

  3. 在所有核心路由器上,创建一个内部 BGP 对等组,并将路由反射器地址 (192.0.2.7) 指定为邻接方。此外,通过在层次结构级别包含 signaling 语句 [edit protocols bgp group group-name family l2vpn] ,使 BGP 能够为此对等组传输第 2 层 VPLS 网络层可访问性信息 (NLRI) 消息。

  4. 在路由器 PE3 上,创建内部 BGP 对等组,并将路由反射器 IP 地址 (192.0.2.7) 指定为邻接方。启用 BGP 以为此对等组传输第 2 层 VPLS NLRI 消息,并通过在[edit protocols bgp group group-name family inet-vpn]层次结构级别包含unicast语句来处理 VPN-IPv4 地址。

  5. 对于路由器 PE3 和路由器 PE5 上的第 3 层 VPN 域,请在所有接口上启用 RSVP。禁用 fxp0.0 接口上的 RSVP。

  6. 在路由器 PE3 和路由器 PE5 上,创建到路由反射器和其他 PE 路由器的标签交换路径 (LSP)。以下示例显示了路由器 PE5 上的配置。

  7. 在路由器 PE1、PE2、PE3 和 PE5 上,使用 IPv4 地址配置核心接口并启用 MPLS 地址系列。以下示例显示了路由器 PE2 上的 xe-0/1/0 接口的配置。

  8. 在路由器 PE2 和路由器 PE3 上,为所有接口的第 2 层 VPN MPLS 信令协议配置 LDP。禁用 fxp0.0 接口上的 LDP。(也可使用 RSVP。)

  9. 在路由反射器上,创建内部 BGP 对等组,并将 PE 路由器的 IP 地址指定为邻接方。

  10. 在路由反射器上,将 MPLS LSP 配置为路由器 PE3 和 PE5,以解决 inet.3 路由表中的 BGP 下一跃点。

配置 VPN 接口

逐步过程

路由器 PE2 是 2 层 VPN 的一端。路由器 PE3 在第 2 层 VPN 和第 3 层 VPN 之间执行第 2 层 VPN 拼接。路由器 PE3 使用在两个不同的第 2 层 VPN 实例下应用了不同逻辑接口单元配置的逻辑隧道接口(lt 接口)。数据包通过路由器 PE3 上配置的 lt 接口实现环路。路由器 PE5 的配置包含 PE-CE 接口。

  1. 在路由器 PE2 上,配置 ge-1/0/2 接口封装。包括封装语句并指定 ethernet-ccc 层级的选项(vlan-ccc 也支持 [edit interfaces ge-1/0/2] 封装)。整个第 2 层 VPN 域(路由器 PE2 和 PE3)的封装应相同。此外,配置接口 lo0。

  2. 在路由器 PE2 上,在 [edit routing-instances] 层次结构级别配置路由实例。此外,在 [edit routing-instances routing-instances-name protocols] 层次结构级别配置第 2 层 VPN 协议。将远程站点 ID 配置为 3。站点 ID 3 表示路由器 PE3 (Hub-PE)。第 2 层 VPN 使用 LDP 作为信令协议。请注意,在以下示例中,路由实例和协议均被命名 l2vpn

  3. 在路由器 PE5 上,为 PE-CE 链路 ge-2/0/0 配置千兆以太网接口,然后配置 lo0 接口。

  4. 在路由器 PE5 上,配置层级的第 3 层 VPN 路由实例 (L3VPN)。 [edit routing-instances] 还要在 [edit routing-instances L3VPN protocols] 层次结构级别配置 BGP。

  5. 在 MX 系列路由器(如路由器 PE3)中,必须创建要用于隧道服务的隧道服务接口。要创建隧道服务接口,请包括 bandwidth 语句并指定在层次结构级别为隧道服务保留的带宽量(以千兆位/秒 [edit chassis fpc slot-number pic slot-number tunnel-services] )。

  6. 在路由器 PE3 上,配置千兆以太网接口。

    address 层次结构级别包括语句 [edit interfaces ge-1/0/1.0 family inet] 并指定 198.51.100.9/24 为 IP 地址。

  7. 在路由器 PE3 上,配置 lt-1/1/10.0 层级的 [edit interfaces lt-1/1/10 unit 0] 逻辑隧道接口。路由器 PE3 是使用逻辑隧道 接口将第 2 层 VPN 拼接到第 3 层 VPN 的路由器。对等单元接口的配置是互连的组成。

    要配置接口,请添加 encapsulation 语句并指定 ethernet-ccc 选项。包括语句 peer-unit 并将逻辑接口单元 1 指定为对等隧道接口。包括语句 family 并指定 ccc 选项。

  8. 在路由器 PE3 上,配置 lt-1/1/10.1 层级的 [edit interfaces lt-1/1/10 unit 1] 逻辑隧道接口。

    要配置接口,请添加 encapsulation 语句并指定 ethernet 选项。包括语句 peer-unit 并将逻辑接口单元 0 指定为对等隧道接口。包括语句 family 并指定 inet 选项。在 address 层次结构级别包括语句 [edit interfaces lt-1/1/10 unit 0] ,并指定 198.51.100.7/24 为 IPv4 地址。

  9. 在路由器 PE3 上,将lt接口单元 1 添加到层次结构级别的路由实例[edit routing-instances L3VPN]。将实例类型vrflt配置为对等单元 1 作为 PE-CE 接口,以将路由器 PE2 上的第 2 层 VPN 终止到路由器 PE3 上的第 3 层 VPN。

  10. 在路由器 PE3 上,将 lt 接口单元 0 添加到层级的 [edit routing-instances protocols l2vpn] 路由实例中。还要为第 2 层 VPN 和第 3 层 VPN 路由实例配置相同的 vrf 目标,以便在实例之间发生路由泄漏。上一步中的配置示例显示了路由实例的 L3VPN vrf 目标。以下示例显示了路由实例的 l2vpn vrf 目标。

  11. 在路由器 PE3 上,配置语句 policy-statement ,以便在需要时从直连 lt 接口单元 1 中学习到所有 CE 路由器进行连接。

结果

以下输出显示路由器 PE2 的完整配置:

路由器 PE2

以下输出显示路由器 PE5 的最终配置:

路由器 PE5

以下输出显示路由器 PE3 的最终配置:

路由器 PE3

验证

验证第 2 层 VPN 到第 3 层 VPN 互连:

验证路由器 PE2 VPN 接口

目的

检查第 2 层 VPN 是否在路由器 PE2 接口上正常运行,以及所有路由都已存在。

行动

  1. show l2vpn connections使用命令验证路由器 PE3 的连接站点 ID 是否为 3,以及状态是否为Up

  2. show route table使用命令验证第 2 层 VPN 路由是否存在,以及接口是否有下一跃点10.10.5.2xe-0/2/0.0。以下输出用于验证 L2vpn.l2vpn.0 表中是否存在第 2 层 VPN 路由。路由器 PE3 应显示类似的输出。

  3. 验证路由器 PE2 有一个第 2 层 VPN MPLS 标签指向 LDP 标签到路由器 PE3 的两个方向(PUSH 和 POP)。

意义

接口l2vpnge-1/0/2上已启动路由实例,第 2 层 VPN 路由如表 l2vpn.l2vpn.0 中所示。表mpls.0显示了用于使用 LDP 标签转发流量的第 2 层 VPN 路由。

验证路由器 PE3 VPN 接口

目的

检查路由器 PE2 和路由器 PE3 的第 2 层 VPN 连接是否正常运行 Up

行动

  1. 验证是否已建立与家族 l2vpn-signaling 和家族 inet-vpn 的路由反射器的 BGP 会话。

  2. 以下输出将验证第 2 层 VPN 路由及其关联的标签。

  3. 以下输出显示 mpls.0 路由表中的 L2VPN MPLS.0 路由。

  4. show route table mpls.0 命令与选项一起 detail 用于查看路由的 BGP 属性,例如下一跃点类型和标签操作。

验证从路由器 CE2 到路由器 CE5 和路由器 CE3 的端到端连接

目的

检查路由器 CE2、CE3 和 CE5 之间的连接。

行动

  1. 从路由器 CE2 对路由器 CE3 IP 地址执行 Ping 操作。

  2. 从路由器 CE2 中对路由器 CE5 IP 地址执行 Ping 操作。