3 层 VPN 中的出口保护 |Junos OS |瞻博网络

BGP 标签单播的出口保护

当发生网络节点或链路故障时，使用传统路由表融合恢复服务需要一些时间。本地维修程序可以通过建立尽可能接近故障的本地保护来提供更快的恢复。出口节点快速保护适用于 BGP 标记的单播互连 IGP 区域、级别或自治系统（AS）的服务。如果提供商路由器检测到出口路由器（AS 或区域边界路由器）已关闭，它会立即将发往该路由器的流量转发至保护路由器，后者将流量转发到下游至目标。

要为标记为单播的 BGP 提供出口保护，保护节点必须在故障发生之前为下游目标创建备份状态。该解决方案的基本思想是，保护节点构建与受保护节点关联的转发状态，并将受保护节点分配的 MPLS 标签向下游进一步中继到最终目标。

此功能支持 AS 间选项 C 和无缝 MPLS 等应用。

AS 间选项 C — BGP 标记的单播通过将 AS 内部的 LSP 拼接在一起，提供端到端传输标签交换路径（LSP）。AS 边界路由器向其他 AS 边界路由器运行 EBGP，以交换 /32 PE 环路路由的标签。IBGP 在每个 AS 内的提供商边缘路由器和 AS 边界路由器之间运行。在图 1 中，流量从 CE1 传输到 CE2。ASBR1 是受保护的 AS 边界路由器，ASBR2 是保护器，设备 P1 是本地维修点（PLR）。主路径是从 PE1 到 PE2 而不是 ASBR1 和 ASBR3 选择的。当 ASBR1 发生故障时，路由器 P1 会检测到 ASBR1 故障，并将流量转发给 ASBR2，后者提供备份服务并将流量转发向下游。

图 1：AS 间选项 C Network topology diagram illustrating connections: CE1 and CE2 connect to PE1 and PE2; P1 to P4 are core routers; ASBR1 to ASBR4 link autonomous systems.

Network topology diagram illustrating connections: CE1 and CE2 connect to PE1 and PE2; P1 to P4 are core routers; ASBR1 to ASBR4 link autonomous systems.

无缝 MPLS — BGP 标记的单播通过拼接区域内/级别的 LSP 来提供端到端传输 LSP。区域边界路由器（ABR）将 BGP 标记的单播运行到其他 ABR，以便交换 /32 PE 环路路由的标签。在图 2 中，流量从设备 CE1 传输到设备 CE2。ABR1 是受保护的 ABR，ABR2 是保护器，T1 是 PLR。主路径是从 PE1 到 PE2 而不是 ABR1 和 ABR3 选择的。当 ABR1 发生故障时，路由器 T1 检测到 ABR1 故障并将流量转发给 ABR2，ABR2 提供备份服务并将流量转发向下游。

图 2：无缝 MPLS Network topology diagram showing OSPF routing with areas 0, 1, and 2; includes ABR1-4, PE1-2, T1-6, and CE1-2 routers.

在每个应用程序中，受保护的节点都会播发需要保护的主 BGP 标记的单播路由。启用快速保护后，BGP 会将带有特殊地址的标签路由作为下一跃点播发。此特殊地址是通过 CLI 配置的上下文标识符。受保护的节点还会播发 IGP 中的上下文标识符，并在 LDP 中播发上下文标识符的 NULL 标签。

备份节点为受保护的路由播发备份 BGP 标记的单播路由。保护节点使用备份节点播发的标签将流量转发到备份节点。

保护节点通过交叉连接受保护节点产生的标签和备份节点产生的标签来提供备份服务。如果受保护节点发生故障，保护节点会将流量转发到备份节点。保护节点以高指标将相同的上下文标识符播发到 IGP 中。此外，它还在 LDP 中为上下文标识符播发一个真实标签。保护节点侦听由受保护节点和备份节点播发的 BGP 标记的单播路由，并填充上下文标签表和备份 FIB。当带有真实上下文 LDP 标签的流量到达时，查找将在受保护节点的上下文中完成。保护节点通常充当备份节点。

PLR 检测到受保护节点故障，并将 MPLS 流量转发至保护节点。高 IGP 指标以及保护节点通告的 LDP 标签确保了 PLR 将保护节点用作 LDP 备份 LSP。

有两种受支持的保护类型：并置保护程序和集中保护程序。在主机代管类型中，保护节点也是备份节点。在集中式中，备份节点与保护节点不同。

为 BGP 标记的单播配置出口保护

出口节点快速保护适用于 BGP 标记的单播互连 IGP 区域、级别或 AS 的服务。如果提供商路由器检测到出口路由器（AS 或区域边界路由器）已关闭，它会立即将发往该路由器的流量转发至保护路由器，后者将流量转发到下游至目标。

在为 BGP 标记的单播配置出口保护之前，请确保 AS 或区域中的所有路由器均运行 Junos OS 14.1 或更高版本。

要为 BGP 标记的单播配置出口保护：

将以下配置添加到 受保护 的路由器：

将以下配置添加到 Protector 路由器：

将以下配置添加到 PLR （本地维修点）路由器：

在受保护的路由器上运行 show bgp neighbor 以验证是否已启用出口保护，例如：

示例：配置 BGP 标签单播的出口保护

此示例说明如何配置 BGP 标记的单播保护，以便在 AS 间选项 C 拓扑中发生 PE 故障时使用该保护。

要求
概述
配置
验证

要求

此示例使用以下硬件和软件组件：

M Series 多服务边缘路由器、MX 系列 5G 通用路由平台或 T Series 核心路由器
Junos OS 14.1 或更高版本

概述

当发生网络节点或链路故障时，使用传统路由表融合恢复服务需要一些时间。本地维修程序可以通过建立尽可能接近故障的本地保护来提供更快的恢复。出口节点快速保护适用于 BGP 标记的单播互连 IGP 区域、级别或自治系统（AS）的服务。如果提供商路由器检测到出口路由器（AS 或区域边界路由器）已关闭，它会立即将发往该路由器的流量转发至保护路由器，后者将流量转发到下游至目标。

此示例说明如何在第 3 层 VPN 中配置带标签的单播出口保护。

拓扑学

在此示例中，通过在四个自治系统中配置两个客户边缘（CE）设备和六个服务提供商边缘（PE）设备来设置 AS 间选项 C 拓扑。CE 设备配置在 AS100 和 AS101 中。PE 设备配置在 AS200 和 AS300 中。

图 3 显示了此示例中使用的拓扑。

图 3：第 3 层 VPN Network topology diagram with routers in Autonomous Systems: AS 100 has router R0; AS 200 has R1, R2, R3, R8; AS 300 has R4, R5, R6, R9; AS 101 has R7. Point-to-point links with IPs like 10.2.x.x/30 interconnect routers. Loopback addresses for R0 to R9 are 192.0.2.1 to 192.0.2.10.

Network topology diagram with routers in Autonomous Systems: AS 100 has router R0; AS 200 has R1, R2, R3, R8; AS 300 has R4, R5, R6, R9; AS 101 has R7. Point-to-point links with IPs like 10.2.x.x/30 interconnect routers. Loopback addresses for R0 to R9 are 192.0.2.1 to 192.0.2.10.

中的出口保护

此示例的目的是保护 PE 路由器 R4。在路由器 R4 和路由器 R9 上配置了出口保护，以便在路由器 R4（或从 R5 到 R4 的链路）出现故障时，流量可以通过备份链路（R9 到 R8）路由。在此示例中，路由器 R4 是受保护的路由器，路由器 R9 是保护路由器，路由器 R5 是本地维修点（PLR）。

CLI 快速配置

要快速配置此示例，请复制以下命令，将其粘贴到文本文件中，删除所有换行符，更改详细信息，以便与网络配置匹配，然后将命令复制并粘贴到层 [edit] 级的 CLI 中。

路由器 R0

路由器 R1

路由器 R2

路由器 R3

路由器 R4

路由器 R5

路由器 R6

路由器 R7

路由器 R8

路由器 R9

在第 3 层 VPN 中配置出口保护

分步过程

下面的示例要求您在各个配置层级中进行导航。有关 CLI 导航的信息，请参阅 CLI 用户指南中的在配置模式下使用 CLI 编辑器。

要配置带标签的单播出口保护：

配置每个路由器上的接口，例如：

为每台路由器配置路由器 ID 和自治系统（AS）编号，例如：
在此示例中，选择的路由器 ID 与路由器上配置的环路地址相同。

在每台路由器上配置协议，例如：

在所有 PE 路由器和 AS 边界路由器（路由器 R1、R3、R4、R6、R8 和 R9）上配置路由策略，例如：

在路由器 R1 和 R6 上配置 VPN 路由实例。

和

为路由器 R4 配置出口保护，将路由器 R4 设置为受保护的路由器，将路由器 R9 设置为保护器。

和

结果

在配置模式下，输入 show interfaces、 show routing-options、 show protocols、 show policy-options （如果适用）和 show routing-instances （如果适用）命令，以确认您的配置。

如果输出未显示预期的配置，请重复此示例中的说明以更正配置。

如果完成路由器配置，请从配置模式输入 commit 。

在此示例中，对每台路由器重复该过程，并为每台路由器使用适当的接口名称和地址。

验证

验证出口保护是否已启用
验证受保护 ASBR 的状态为“主”
验证保护程序 ASBR 作为“保护程序”的状态

验证出口保护是否已启用

目的
行动

目的

验证受保护的路由器路由器 R4 上是否已启用出口保护。

行动

在路由器 R4 上运行 show bgp neighbor 以验证出口保护是否已启用。

验证受保护 ASBR 的状态为“主”

目的
行动

目的

验证受保护的 AS 边界路由器路由器 R4 的状态是否为“主”。

行动

在路由器 R4 上运行 show mpls context-identifier 。

验证保护程序 ASBR 作为“保护程序”的状态

目的
行动

目的

验证保护程序 AS 边界路由器路由器 R9 的状态是否为“protector”。

行动

在路由器 R9 上运行 show mpls context-identifier 。

第 3 层 VPN 的出口保护边缘保护概述

通常，多宿主客户边缘（CE）路由器的第 3 层 VPN 服务恢复取决于入口提供商边缘（PE）路由器来检测出口 PE 链路或节点故障，并将流量切换到备份 PE 路由器。为了实现更快的恢复速度，可以使用 PE 路由器的保护机制在出口 PE 节点发生故障时立即执行服务的本地恢复。此机制要求本地维修（PLR）点的路由器将 VPN 流量重定向到保护者 PE 路由器，以实现流量的快速重新路由。

以下拓扑描述了出口保护的概念。

图 4：出口保护

Network topology diagram with PE routers PE1-PE4, CE routers CE1-CE3, PLR devices, and IP ranges 192.0.2.2/24, 192.0.2.3/24, 192.0.2.1/24 indicating MPLS components.

的示例拓扑

在此拓扑中：

路由器 PE3 充当 PE2 第 3 层 VPN 路由实例或子网的保护器。

CE 路由器是 VPN 的一部分，其中路由器 CE1 与路由器 PE1 和路由器 PE2 多宿主。同样，路由器 CE2 与路由器 PE2 和 PE3 是多宿主的。

路由器 PE1 可以是路由器 CE1 的上下文标识符的发起方，而路由器 PE2 是该上下文标识符的保护方。同样，PE2 可以是路由器 CE2 的上下文标识符的发起方，而路由器 PE3 是该上下文标识符的保护方。

对于路由器 CE1 和路由器 CE2，路由器 PE4 采用的工作路径可能通过 PLR>PE2。路由器 CE1 的备份路径通过 PLR>PE1。路由器 CE2 的备份路径通过 PLR>PE3。正常情况量会流经工作路径。

当路由器 PE4 检测到 PE2 节点或链路故障时，流量将从工作路径重新路由到受保护路径。在正常的故障切换过程中，故障检测和恢复依赖于控制平面，因此速度相对较慢。

通常，如果核心网络中出现链路或节点故障，出口 PE 路由器必须依靠入口 PE 路由器来检测故障并切换到备用路径，因为出口故障的本地修复选项不可用。

要为出口 PE 链路或节点故障提供本地修复解决方案，可以使用一种称为出口保护的机制来快速修复和恢复连接。如果配置了出口保护，PLR 路由器将检测到 PE2 链路或节点故障，并使用备份 LDP 信号标签交换路径（LSP）通过保护路由器 PE3 重新路由流量。PLR 路由器使用按前缀的无环路备用路由，通过路由器 PE3 对备份下一跃点进行编程，并使用备用路径将流量转发至路由器 CE1 和 CE2。在 PLR 路由器检测到路由器 PE2 出口节点或链路故障后，会快速完成此恢复。

双重保护机制也可用于出口保护，其中两个 PE 路由器可以同时充当主 PE 路由器和保护者 PE 路由器，适用于各自的上下文 ID 路由或下一跳。

路由器功能
保护程序和保护模型
IGP 通告模型

路由器功能

在图 4 中，以下路由器执行以下功能：

受保护的 PE 路由器
Protector PE 路由器
PLR 路由器

受保护的 PE 路由器

受保护的 PE PE2 执行以下功能：

更新第 3 层 VPN 前缀的 BGP 下一跃点的上下文标识符。
将上下文标识符播发至 IS-IS 域。

Protector PE 路由器

保护 PE 路由器 PE3 执行以下功能：

以高指标将上下文标识符播发至 IS-IS 域。高 IGP 指标（可配置）以及 LDP 标签可确保 PLR 路由器在出口 PE 路由器发生故障时使用 LDP 信号备份 LSP。
构建用于路由查找的上下文标签表，以及为受保护的 PE 路由器（PE2）构建备份转发表。

注意：
保护器 PE 路由器不应位于到主 PE 路由器的转发路径中。

PLR 路由器

作为本地维修点（PLR）的路由器执行以下功能：

计算每个前缀的无环路备用路由。要使此计算正常工作，必须在[edit protocols isis]层次结构级别上配置node-link-protection语句和backup-spf-options per-prefix-calculation语句。
通过 PE3 路由器（保护者 PE）为上下文标识符安装备份下一跃点。
检测 PE 路由器故障，并将传输 LSP 流量重定向到保护程序。

注意：

PLR 路由器必须直接连接到保护路由器（在本例中为 PE3）。否则，无环路备用路由将无法找到保护程序的备份路径。在 Junos OS 13.3 及更高版本中已删除此限制。

保护程序和保护模型

Protector 是用于恢复出口 PE 节点故障的新角色或功能。对于需要出口节点保护的 VPN 前缀，备份出口 PE 路由器或参与 VPN 控制平面的任何其他节点即可扮演此角色。根据保护者的位置和角色，有两种保护模式：

主机代管保护程序 — 在此模型中，保护程序 PE 路由器和备份 PE 路由器配置在同一台路由器上完成。保护程序与受保护前缀的备份 PE 路由器位于同一位置，并且它与发起受保护前缀的多宿主站点有直接连接。如果出口 PE 发生故障，保护程序将从 PLR 路由器接收流量，并将流量路由到多宿主站点。
集中式保护程序 — 在此模型中，保护程序 PE 路由器和备份 PE 路由器不同。集中式保护程序可能与多宿主站点没有直接连接。如果发生出口 PE 链路或节点故障，集中式保护程序会将流量重新路由到备份出口 PE 路由器，并使用为备份出口 PE 路由器播发的 VPN 标签，该路由器将接管向多宿主站点发送流量的角色。

根据需求，网络可以使用其中一种保护模型，也可以结合使用这两种保护模型。

作为出口节点保护的一种特殊方案，如果路由器既是保护者又是 PLR，它将安装备份下一跃点以保护传输 LSP。特别是，它不需要旁路 LSP 进行本地修复。

在主机代管保护器模型中，PLR 或保护器通过备用交流电直接连接到 CE，而在集中式保护器模型中，PLR 或保护器具有到备用 PE 的 MPLS 隧道。在任何一种情况下，PLR 或 Protector 都将安装带有标签的备份下一跳，然后在表中 context label 进行查找，即 __context__.mpls.0.当出口节点发生故障时，PLR 或 Protector 会将流量切换到 PFE 中的此备份下一跃点。此时会弹出数据包的外部标签（传输 LSP 标签），并在中 __context__.mpls.0查找内部标签（出口节点分配的第 3 层 VPN 标签），这会将数据包直接转发到 CE（在主机代管保护器模型中）或备份 PE（在集中式保护器模型中）。

有关出口 PE 故障保护的详细信息，请参阅互联网草案 draft-minto-2547-egress-node-fast-protection-00、 2547 出口 PE 快速故障保护。。。

IGP 通告模型

出口保护可用性在内部网关协议（IGP）中公布。标签协议以及受限最短路径优先（CSPF）使用此信息进行出口保护。

对于第 3 层 VPN，IGP 播发可以是以下类型：

作为存根链接的上下文标识符（在 Junos OS 11.4 R3 及更高版本中受支持）。将短节点连接到中转节点的链路是短链路。
作为存根别名节点的上下文标识符（在 Junos OS 13.3 及更高版本中受支持）。
作为存根代理节点的上下文标识符（在 Junos OS 13.3 及更高版本中受支持）。

默认情况下，使用存根链接。要启用增强型本地修复点（PLR）功能（在出口故障期间 PLR 重新路由服务流量），请按如下方式配置存根别名节点或存根代理节点：

这两种方法各有不同优势，具体取决于您的网络部署需求。

作为存根别名节点的上下文标识符
作为存根代理节点的上下文标识符

作为存根别名节点的上下文标识符

在存根别名方法中，LSP 端点地址有一个显式备份出口节点，可以在受保护的 LSP 的倒数第二个跃点节点上学习或配置备份。在此模型中，受保护 LSP 的倒数第二个跃点节点会设置绕过 LSP 隧道，通过避开主出口节点来支持出口节点。这种模式需要在核心节点上升级 Junos OS，但足够灵活，可以支持所有流量工程约束。

PLR 了解到上下文 ID 具有保护器。当主上下文 ID 出现故障时，数据包将通过预先编程的备份路径重新路由到保护程序。在 PLR 上配置或学习上下文 ID 和保护程序映射，并在 IGP 中通过保护程序发出信号。PLR 上名为 inet.5 的路由表提供已配置或 IGP 学习的详细信息。

IS-IS 通过 IP 地址 TLV 将上下文 ID 播发到 TED 中。IS-IS 将此 TLV 作为扩展信息导入 TED。IS-IS 在 inet.5 路由中为上下文 ID 通告保护方 TLV 路由，协议下一跃点是保护方的路由器 ID。如果保护程序 TLV 有标签，则该标签将添加到 inet.5 路由表中的路由中，供 LDP 使用。

CSPF 会将 IP 地址 TLV 用于隧道端点计算。

使用存根别名模型时，保护程序 LSP 设置不需要对任何节点进行任何更改。但是，绕过 LSP 设置进行节点保护需要更改 PHN 和保护器路由器。

当 RSVP 为节点保护 LSP 设置旁路时，如果 PLR 是 LSP 的倒数第二跃点，RSVP 也会执行保护程序查找。如果保护程序可用于 LSP 目标，它将使用 CSPF 计算具有排除出口 PE 约束的路径，并在尚未设置上下文 ID 时设置绕过 LSP 目标。对上下文 ID 设置绕过 LSP 时，PLR 将取消设置所有保护选项。

当网络支持 100% 的 LFA 覆盖率但不支持 100% 的按前缀 LFA 覆盖率时，LDP 很有用。LDP 使用保护程序设置备份路径，并使用保护程序向服务点播发的上下文标签。

在无法实现 100% LFA 覆盖的网络中，使用基于 RSVP 的隧道备份 LSP LFA 会很有用。

在稳定状态下，转发与 PLR 中任何其他受保护的 LSP 相同。在保护程序中，为上下文 ID 播发并发出信号的非 null 标签具有指向 MPLS 上下文表的表下一跃点，其中对等方的标签进行编程。

发生故障期间，PLR 会将传输标签与上下文 ID 的旁路 LSP 交换，或者交换标签上下文标签（上下文 ID 的保护方通告标签），并将传输标签推送到保护方 lo0 接口地址。

作为存根代理节点的上下文标识符

作为存根代理节点的上下文标识符（在 Junos OS 13.3 及更高版本中受支持）。剩余节点是仅出现在 AS 路径末尾的节点，这意味着它不提供过渡服务。在这种模式（称为虚拟模式或代理模式）中，LSP 端点地址表示为具有双向链路的节点，以及 LSP 的主出口节点和备份出口节点。有了这种表示方式，LSP 主出口点的倒数第二跃点可以表现得像 PLR，设置绕过隧道，通过避开主出口节点来支持出口。这种模式的优点是不需要在核心节点上升级 Junos OS，从而帮助运维人员部署这项技术。

上下文 ID 表示为流量工程（TE）和 IGP 数据库中的节点。主 PE 设备将上下文节点播发到 IGP 和 TE 数据库中。主 PE 设备和受保护的 PE 设备支持一个指向具有带宽和 TE 指标的上下文节点的链路。Junos OS 不会公布 TE 链路的其他 TE 特征。

在 IS-IS 中，主 PE 路由器播发代理节点以及指向主路由器和保护路由器的链路。主路由器和保护者路由器将链路播发至代理节点。代理节点生成以下信息。

系统 ID - 基于上下文 ID 的二进制编码十进制。
主机名 - Protector-name：context ID
LSP-ID—<System-ID>.00
PDU 类型 - 2 级和 1 级，具体取决于配置
LSP 属性：
- 过载 - 1
- IS_TYPE_L1（0x01） |2 级 PDU 的 IS_TYPE_L2（0x02）
- IS_TYPE_L1 级 1
- 多区域—无
- 所有其他属性 - 0

代理节点仅包含区域、MT、主机名、路由器 ID、协议和 IS 可访问性 TLV。区域、MT、身份验证和协议 TLV 与主数据库相同。IS 可达性 TLV 包含两个链路，称为 Cnode-primary-link 和 Cnode-protector-link。这两个链接都包括 TE TLV。以下 TE-link-TLV 在上下文链接中通告：

IPv4 接口或邻居地址
最大带宽
TE 默认指标
链路（本地或远程）标识符

子 TLV 值：

带宽 - 零
TE 公制 - 最大 TE 公制
接口地址 — 上下文 ID
保护器邻居地址 — 保护器路由器 ID
主邻接方地址 - 受保护的路由器 ID
链路本地 ID 保护程序 - 0x80fffff1
链路本地 ID 主 - 0x80fffff2
链路远程 ID 保护程序 - 从保护程序中获知
链路远程 ID 主节点 - 从主节点获知

指向上下文节点的受保护 PE 链接（主节点使用以下详细信息通告该链接）：

带宽 - 最大值
TE 公制 - 1
接口地址 — 路由器 ID
上下文邻居地址 - 上下文 ID
将本地 ID 链接到上下文节点 - 自动生成（类似于假链接）
将远程 ID 链接到上下文节点 - 0x80fffff2

保护器 PE 链接到上下文节点：

保护程序会将具有最大可路由链路指标和最大 TE 指标且带宽为零的未编号的传输链路播发至上下文节点。其他 TE 特性未公布。

未编号的链接使用以下属性进行播发：

带宽 - 0
TE 公制 - MAX TE 公制
接口地址 — 路由器 ID
上下文邻居地址 - 上下文 ID
将本地 ID 链接到上下文节点 - 自动生成（类似于虚假链接）
将远程 ID 链接到上下文节点 - 0x80fffff1

在 RSVP 中，行为更改仅在保护程序和主路由器中发生。RSVP 终止 LSP，并将 LSP 绕过到上下文 ID。如果上下文 ID 是保护程序，则会发出非空标签信号。否则，它将基于配置或请求的标签类型。RSVP 从路径中验证其自身和上下文 ID 的显式路由对象（ERO）。RSVP 使用两个记录路由对象（RRO）对象发送 Resv 消息 - 一个用于上下文 ID，另一个用于自身。这将模拟倒数第二跳节点（PHN），以使用上下文 ID LSP 的主节点保护器进行节点保护。由于快速重新路由（FRR）需要绕过，因此 LSP 必须通过避开主保护程序合并回保护程序 LSP PHN 设置旁路到上下文 ID。

保护程序还会终止上下文 ID 的备份 LSP，以在故障期间保持受保护的 LSP 处于活动状态，直到入口节点向 LSP 重新发出信号。新的 LSP 将通过保护程序重新建立，但由于服务协议不使用上下文 ID，因此此 LSP 不用于服务流量。即使主设备启动，LSP 也会遍历保护器。只有重新优化才会通过主节点向 LSP 发送信号。在存根代理模式下，不支持带约束的旁路 LSP。

由于 IGP 中宣传的指标膨胀，LDP 无法使用存根代理方法。

关于转发状态，保护连接到其他 PE 的一个或多个分段的 PE 路由器称为保护器 PE。保护方 PE 必须从受保护的主 PE 中学习它所保护的网段的转发状态。

对于给定分段，如果保护器 PE 未直接连接到与该分段关联的 CE 设备，则还必须从至少一个备份 PE 中学习转发状态。只有在出口 PE 故障保护的情况下，才可能出现这种情况。

保护器 PE 在主 PE 的上下文中维护给定分段的转发状态。保护器 PE 可能仅维护主 PE 上部分网段的状态，也可以维护主 PE 上所有网段的状态。

示例：为第 3 层 VPN 服务配置 MPLS 出口保护

此示例介绍一种本地修复机制，用于在客户边缘（CE）路由器具有多个 PE 路由器的多宿主情况下，保护第 3 层 VPN 服务免受出口提供商边缘（PE）路由器故障的影响。

此示例中使用以下术语：

发起方 PE 路由器 — 具有受保护路由实例或子网的 PE 路由器，用于分发主第 3 层 VPN 路由器。
备份 PE 路由器 — 播发备份第 3 层 VPN 路由的 PE 路由器。
保护者 PE 路由器 — 一种路由器，可将发起方 PE 路由器分发的 VPN 标签交叉连接到由备份 PE 路由器发起的标签。保护器 PE 路由器也可以是备份 PE 路由器。
传输 LSP — 用于 BGP 下一跃点的 LDP 信号标签交换路径（LSP）。
PLR — 充当本地修复点（PLR）的路由器，可将第 3 层 VPN 流量重定向到保护者 PE 路由器，以实现快速恢复和重新路由。
无环路备用路由 — 一种通过预计算 IGP 所有主要路由的备份路由，实质上为内部网关协议（IGP）添加 IP 快速重新路由功能的技术。在本文档的上下文中，IGP 为 IS-IS。
多宿主 — 一种可以将 CE 设备连接到多个 PE 路由器的技术。如果与主 PE 路由器的连接失败，流量会自动切换到备用 PE 路由器。
上下文标识符 — 一个 IPv4 地址，用于标识需要保护的 VPN 前缀。标识符将传播到 PE 和 PLR 核心路由器，使受保护的出口 PE 路由器能够向保护方 PE 路由器发出出口保护信号。
双重保护 — 一种保护机制，其中两个 PE 路由器可以同时充当主 PE 路由器和保护者 PE 路由器，用于各自的上下文、ID 路由或下一跳。例如，在两个 PE 路由器 PE1 和 PE2 之间，PE1 可以是上下文标识符 203.0.113.1 的主 PE 路由器和上下文标识符 203.0.113.2 的保护器。同样，PE2 路由器可以是上下文标识符 203.0.113.1 的保护器，也可以是上下文标识符 203.0.113.2 的主 PE 路由器。

示例：配置第 3 层 VPN 服务的出口保护

此示例说明如何配置出口保护以快速恢复第 3 层 VPN 服务。

要求
概述
配置
验证

要求

此示例使用以下硬件和软件组件

MX 系列 5G 通用路由平台
隧道 PIC 或增强型 IP 网络服务模式的配置（在[edit chassis]层次结构级别使用network-services enhanced-ip语句）。
设备上运行的 Junos OS 11.4R3 或更高版本

开始之前：

配置设备接口。请参阅《 Junos OS 网络接口配置指南。
在所有 PE 和 PLR 路由器上配置以下路由协议。
- MPLS、LSP 和 LDP。请参阅《 Junos OS MPLS 应用程序配置指南。
- BGP 和 IS-IS。请参阅《 Junos OS 路由协议配置指南。
配置第 3 层 VPN。请参阅 Junos OS VPN 配置指南。

概述

通常，在出口 PE 路由器发生故障时（对于多宿主客户边缘 [CE] 路由器），第 3 层 VPN 服务恢复取决于入口 PE 路由器来检测出口 PE 节点故障，并将流量切换到多宿主 CE 站点的备份 PE 路由器。

使用 Junos OS 11.4R3 或更高版本，您可以为第 3 层 VPN 服务配置出口保护，在 CE 站点多宿主且具有多个 PE 路由器的情况下，保护服务不会发生出口 PE 节点故障。该机制允许在出口节点发生故障时立即执行本地修复。作为本地维修点（PLR）的路由器将 VPN 流量重定向至保护者 PE 路由器以快速恢复服务，实现可与 MPLS 快速重新路由相媲美的快速保护。

用于配置出口保护的语句包括：

egress-protection—在 [edit protocols mpls] 层次结构级别配置时，此语句将指定第 3 层 VPN 和边缘保护虚拟电路的保护器信息和上下文标识符：
在[edit protocols bgp group group-name family inet-vpn unicast][edit protocols bgp group group-name family inet6-vpn unicast]、或[edit protocols bgp group group-name family iso-vpn unicast]层级配置时，egress-protection 语句指定为配置的 BGP VPN 网络层可达性信息（NLRI）启用出口保护的上下文标识符。
在 [edit routing-instances] 层次结构级别配置时，语 egress-protection 句将保存受保护 PE 路由器的上下文标识符。

此配置只能在主 PE 路由器中完成，并用于下一跃点的出站 BGP 更新。
在[edit routing-instances routing-instance-name]层次结构级别配置context-identifier语句可为客户边缘提供每个 VRF 实例的 VRF 级别上下文 ID 粒度。
context-identifier—此语句指定一个 IPV4 地址，用于定义参与出口保护 LSP 的 PE 路由器对。上下文标识符用于将标识符分配给保护器 PE 路由器。该标识符将传播到网络中参与的其他 PE 路由器，从而使受保护的出口 PE 路由器能够向保护方 PE 路由器发出出口保护 LSP 信号。

配置

CLI 快速配置
配置受保护的 PE 路由器（PE2）
配置保护器 PE 路由器（PE3）
配置 PLR 路由器

CLI 快速配置

注意：

此示例仅显示与在受保护的路由器 PE2、保护路由器、PE3 和 PLR 路由器上为第 3 层 VPN 服务配置出口 PE 保护相关的示例配置。

要快速配置此示例，请复制以下命令，将其粘贴到文本文件中，删除所有换行符，更改详细信息，以便与网络配置匹配，然后将命令复制并粘贴到层 [edit] 级的 CLI 中。

PE2（受保护的 PE 路由器）

PE3（保护 PE 路由器）

PLR 路由器

配置受保护的 PE 路由器（PE2）

分步过程
结果

分步过程

要配置受保护的 PE 路由器 PE2，请执行以下作：

在接口上配置 MPLS。

配置出口保护和上下文标识符。

注意：
上下文标识符类型必须设置为 primary。
为配置的 BGP NRLI 配置出口保护。

注意：
在 [edit protocols bgp group group-name family inet-vpn] 层次结构级别配置的上下文标识符应与在 [edit protocols mpls] 层次结构级别配置的上下文标识符匹配。
注意：
在 [edit routing-instances routing-instance-name] 层次结构级别配置上下文标识符可为每个虚拟路由和转发（VRF）实例提供 CE VRF 级别的上下文 ID 粒度。
完成设备配置后，提交配置。

结果

发出 show protocols 命令，以确认您的配置。如果输出未显示预期的配置，请重复此示例中的说明以更正配置。

配置保护器 PE 路由器（PE3）

分步过程
结果

分步过程

要配置保护器 PE 路由器 PE3，请执行以下作：

在接口上配置 MPLS。

配置出口保护和上下文标识符。

配置 IPv4 第 3 层 VPN NRLI 参数。

配置路由策略选项。

完成设备配置后，提交配置。

结果

发出 show protocols 和命令 show policy-options ，以确认您的配置。如果输出未显示预期的配置，请重复此示例中的说明以更正配置。

配置 PLR 路由器

分步过程
结果

分步过程

要配置充当本地维修点（PLR）的路由器，请执行以下作：

在接口上配置 MPLS。

配置按前缀 LFA 计算和链路保护。

将 LDP 配置为使用内部网关协议（IGP）路由指标，而不是默认 LDP 路由指标（默认 LDP 路由指标为 1）。

结果

发出 show protocols 命令，确认您的配置。如果输出未显示预期的配置，请重复此示例中的说明以更正配置。

验证

确认配置工作正常。

验证出口保护详细信息
验证路由实例
验证 BGP NRLI

验证出口保护详细信息

目的
行动
意义

目的

检查出口保护配置。

行动

意义

Instance 表示路由实例名称。 Type 显示 VRF 的类型。它可以是 local-vrf 或 remote-vrf。 RIB （路由信息库）表示创建的边缘保护路由表。 Context-Id 显示与 RIB 关联的上下文 ID。 Route Target 显示与路由实例关联的路由目标。

验证路由实例

目的
行动
意义

目的

验证路由实例。

行动

意义

Vrf-edge-protection-id 显示了在具有路由实例的保护器 PE 路由器中配置的出口保护。

验证 BGP NRLI

目的
行动
意义

目的

查看 BGP VPN 网络层可达性信息的详细信息。

行动

意义

NLRI configured with egress-protection 显示配置了出口保护的 BGP 家族。 egress-protection NLRI inet-vpn-unicast, keep-import: [remote-vrf] 显示了 BGP 组的出口保护路由策略。

示例：使用 RSVP 和 LDP 配置第 3 层 VPN 出口保护

此示例说明当客户多宿主到服务提供商时，如何在第 3 层 VPN 的出口处配置快速服务恢复。此外，此示例还包括增强的本地修复点（PLR）功能，其中 PLR 在出口故障期间重新路由服务流量。

从 Junos OS 13.3 版开始，将提供增强的 PLR 功能，其中 PLR 可在出口故障期间重新路由服务流量。作为此增强功能的一部分，PLR 路由器不再需要直接连接到 Protector 路由器。以前，如果 PLR 未直接连接到保护器路由器，则无环路备用路由无法找到到 Protector 的备用路径。

要求
概述
配置
验证

要求

配置此示例之前，不需要除设备初始化之外的特殊配置。

此示例要求 Junos OS 13.3 或更高版本。

概述

在此示例中，客户边缘（CE）设备是 VPN 的一部分，其中设备 CE1 与设备 PE2 和设备 PE3 多宿主。

设备 PE3 充当第 3 层 VPN 路由实例或子网的保护器。

设备 PE1 是设备 CE1 的上下文标识符的发起方，设备 PE2 是该上下文标识符的主路由器，而设备 PE3 是该上下文标识符的保护方。

设备 P1 充当本地维修点（PLR）。因此，设备 P1 可以将第 3 层 VPN 流量重定向至保护器 PE 路由器，以实现快速恢复和重新路由。

工作路径通过 P1>PE2。备份路径通过 P1>PE3。正常情况量会流经工作路径。当检测到设备 PE2 节点或链路故障时，流量会从工作路径重新路由到受保护路径。在正常的故障切换过程中，故障检测和恢复依赖于控制平面，因此速度相对较慢。通常，如果核心网络中出现链路或节点故障，出口 PE 路由器必须依靠入口 PE 路由器来检测故障并切换到备用路径，因为出口故障的本地修复选项不可用。为了为出口 PE 链路或节点故障提供本地修复解决方案，此示例中使用了一种称为出口保护的机制来快速修复和恢复连接。由于配置了出口保护，PLR 路由器会检测到设备 PE2 链路或节点故障，并使用备份 LDP 信号标签交换路径（LSP）通过保护器设备 PE3 重新路由流量。PLR 路由器使用按前缀的无环路备用路由对通过设备 PE3 的备份下一跳进行编程，并使用备用路径将流量转发至设备 CE2。在 PLR 路由器检测到设备 PE2 出口节点或链路故障后，会快速完成此恢复。双重保护机制也可用于出口保护，其中两个 PE 路由器可以同时充当主 PE 路由器和保护者 PE 路由器，适用于各自的上下文 ID 路由或下一跳。

除了出口保护之外，此示例还演示了增强的 PLR 功能，在该功能中，PLR 会在出口故障期间重新路由服务流量。Junos OS 13.3 及更高版本支持此增强功能。在此示例中，设备 P1（PLR）直接连接到设备 PE3（保护器）。通过新的配置语句 advertise-mode ，您可以设置内部网关协议（IGP）通告出口保护可用性的方法。

拓扑学

图 5 显示了示例网络。

图 5：带有 RSVP 和 LDP 的第 3 层 VPN 出口保护 Network topology diagram showing CE routers connected to PE routers with IP subnets and loopback addresses for MPLS or VPN configurations.

Network topology diagram showing CE routers connected to PE routers with IP subnets and loopback addresses for MPLS or VPN configurations.

配置

CLI 快速配置
程序

CLI 快速配置

要快速配置此示例，请复制以下命令，将其粘贴到文本文件中，删除所有换行符，更改详细信息，以便与网络配置匹配，然后将命令复制并粘贴到层 [edit] 级的 CLI 中。

设备 CE1

设备 CE2

设备 P1

设备 PE1

设备 PE2

设备 PE3

程序

分步过程
分步过程
分步过程
分步过程
结果

分步过程

下面的示例要求您在各个配置层级中进行导航。有关 CLI 导航的信息，请参阅 CLI 用户指南中的在配置模式下使用 CLI 编辑器。

要配置设备 P1（PLR），请执行以下作：

配置设备接口。

配置 IS-IS。

配置按前缀 LFA 计算以及节点链路保护。

启用 MPLS。

启用 RSVP。

启用 LDP。

分步过程

下面的示例要求您在各个配置层级中进行导航。有关 CLI 导航的信息，请参阅 CLI 用户指南中的在配置模式下使用 CLI 编辑器。

要配置设备 PE1，请执行以下作：

配置设备接口。

启用 RSVP。

配置 MPLS。

配置 IBGP。

配置 IS-IS。

启用 LDP。

配置路由实例。

配置自治系统（AS）编号。

分步过程

下面的示例要求您在各个配置层级中进行导航。有关 CLI 导航的信息，请参阅CLI 用户指南中的在配置模式下使用 CLI 编辑器。

要配置设备 PE2，请执行以下作：

配置设备接口。

启用 RSVP。

配置 MPLS。

配置 IBGP。

配置 IS-IS。

启用 LDP。

配置 AS 编号。

分步过程

下面的示例要求您在各个配置层级中进行导航。有关 CLI 导航的信息，请参阅 CLI 用户指南中的在配置模式下使用 CLI 编辑器。

要配置设备 PE3，请执行以下作：

配置设备接口。

启用 RSVP。

配置 MPLS。

配置 IBGP。

配置 IS-IS。

启用 LDP。

配置路由策略。

配置 AS 编号。

结果

在配置模式下，输入 show interfaces 和 show protocols 命令，以确认您的配置。如果输出未显示预期的配置，请重复此示例中的说明以更正配置。

设备 P1

设备 PE1

设备 PE2

设备 PE3

如果完成设备配置，请从配置模式输入 commit 。

验证

确认配置工作正常。

验证保护节点
验证主节点
检查上下文标识符路由
验证出口保护
验证设备 PE1 上的路由实例
验证 LSP
验证 BGP NRLI
验证流量工程数据库
验证 IS-IS 数据库

验证保护节点

目的
行动
意义

目的

在保护节点（设备 PE3）上，检查有关配置的出口保护上下文标识符的信息。

行动

意义

设备 PE3 是从设备 PE1 （172.16.183.55）和设备 PE2 （172.16.183.56）配置的两个 LSP 的保护节点。

验证主节点

目的
行动
意义

目的

在主节点（设备 PE2）上，检查有关配置的出口保护上下文标识符的信息。

行动

意义

设备 PE2 是主节点。

检查上下文标识符路由

目的
行动

目的

检查有关上下文标识符（192.0.2.6）的信息。

行动

验证出口保护

目的
行动
意义

目的

在设备 PE3 上，检查路由表中的路由。

行动

意义

Instance表示公共组名称。 Type显示 VRF 的类型。它可以是或local-vrfremote-vrf。 Route Target 显示与路由实例关联的路由目标。

验证设备 PE1 上的路由实例

目的
行动

目的

在设备 PE1 上，检查路由表中的路由。

行动

验证 LSP

目的
行动

目的

在所有设备上，检查 LSP 信息。

行动

验证 BGP NRLI

目的
行动
意义

目的

查看 BGP VPN 网络层可达性信息的详细信息。

行动

意义

NLRI configured with egress-protection显示配置了出口保护的 BGP 家族。 egress-protection NLRI inet-vpn-unicast, keep-import: [remote-vrf]显示了 BGP 组的出口保护路由策略。

本页内容

第 3 层 VPN 中的出口保护

BGP 标签单播的出口保护

为 BGP 标记的单播配置出口保护

另见

示例：配置 BGP 标签单播的出口保护

要求

概述

拓扑学

配置

CLI 快速配置

在第 3 层 VPN 中配置出口保护

分步过程

结果

验证

验证出口保护是否已启用

目的

行动

验证受保护 ASBR 的状态为“主”

目的

行动

验证保护程序 ASBR 作为“保护程序”的状态

目的

行动

另见

第 3 层 VPN 的出口保护 边缘保护概述

路由器功能

受保护的 PE 路由器

Protector PE 路由器

PLR 路由器

保护程序和保护模型

IGP 通告模型

作为存根别名节点的上下文标识符

作为存根代理节点的上下文标识符

示例：为第 3 层 VPN 服务配置 MPLS 出口保护

示例：配置第 3 层 VPN 服务的出口保护

要求

概述

配置

CLI 快速配置

配置受保护的 PE 路由器 （PE2）

分步过程

结果

配置保护器 PE 路由器 （PE3）

分步过程

结果

配置 PLR 路由器

分步过程

结果

验证

验证出口保护详细信息

目的

行动

意义

验证路由实例

目的

行动

意义

验证 BGP NRLI

目的

行动

意义

示例：使用 RSVP 和 LDP 配置第 3 层 VPN 出口保护

要求

概述

拓扑学

配置

CLI 快速配置

程序

分步过程

分步过程

分步过程

分步过程

结果

验证

验证保护节点

目的

行动

意义

验证主节点

第 3 层 VPN 的出口保护边缘保护概述

配置受保护的 PE 路由器（PE2）

配置保护器 PE 路由器（PE3）