概述
VPN 类型
虚拟专用网 (VPN) 由两个拓扑区域组成:提供商网络和客户网络。客户的网络通常位于多个物理站点,也是专用的(非互联网)。客户站点通常由位于单个物理位置的一组路由器或其他网络设备组成。该提供商的网络横跨公共互联网基础架构运行,包括向客户网络提供 VPN 服务的路由器以及提供其他服务的路由器。提供商的网络将各个客户站点连接起来,在客户和提供商看来是专用网络。
为确保 VPN 保持专用状态,并与其他 VPN 和公共互联网隔离,提供商的网络会维护将来自不同 VPN 的路由信息分开的策略。提供商可以为多个 VPN 提供服务,只要其策略将来自不同 VPN 的路由分开即可。同样,一个客户站点可以属于多个 VPN,只要它将来自不同 VPN 的路由分开。
Junos®作系统 (Junos OS) 提供多种类型的 VPN;您可以根据自己的网络环境选择最佳解决方案。以下每个 VPN 都有不同的功能,需要不同类型的配置:
2 层 VPN
在路由器上实施第 2 层 VPN 类似于使用 ATM 或帧中继等第 2 层技术实施 VPN。但是,对于路由器上的第 2 层 VPN,流量将以第 2 层格式转发到路由器。它由 MPLS 通过服务提供商的网络进行传输,然后在接收站点转换回第 2 层格式。您可以在发送站点和接收站点配置不同的第 2 层格式。MPLS 第 2 层 VPN 的安全性和隐私性与 ATM 或帧中继 VPN 的安全性和隐私性相同。
在第 2 层 VPN 上,路由发生在客户的路由器上,通常是在 CE 路由器上。连接到第 2 层 VPN 上的服务提供商的 CE 路由器必须选择要发送流量的相应电路。接收流量的 PE 路由器通过服务提供商的网络将其发送到连接到接收站点的 PE 路由器。PE 路由器无需存储或处理客户的路由;只需将其配置为将数据发送到相应的隧道。
对于第 2 层 VPN,客户需要配置自己的路由器以承载所有第 3 层流量。服务提供商只需要知道第 2 层 VPN 需要承载多少流量。服务提供商的路由器使用第 2 层 VPN 接口在客户站点之间传输流量。VPN 拓扑由 PE 路由器上配置的策略决定。
3 层 VPN
在第 3 层 VPN 中,路由发生在服务提供商的路由器上。因此,第 3 层 VPN 需要服务提供商进行更多配置,因为服务提供商的 PE 路由器必须存储并处理客户的路由。
在 Junos OS 中,第 3 层 VPN 基于 RFC 4364,BGP/MPLS IP 虚拟专用网络 (VPN)。此 RFC 定义了一种机制,服务提供商可以通过该机制使用其 IP 主干网向其客户提供第 3 层 VPN 服务。组成第 3 层 VPN 的站点通过提供商现有的公共互联网骨干网进行连接。
基于 RFC 4364 的 VPN 也称为 BGP/MPLS VPN,因为 BGP 用于在提供商的主干网中分发 VPN 路由信息,而 MPLS 用于将 VPN 流量跨主干网转发到远程 VPN 站点。
客户网络由于是专用的,因此可以使用公共地址或专用地址,如 RFC 1918 专用 Internet 的地址分配中所定义。当使用专用地址的客户网络连接到公共互联网基础架构时,专用地址可能会与其他网络用户使用的专用地址重叠。BGP/MPLS VPN 通过为特定 VPN 站点的每个地址添加 VPN 标识符前缀来解决此问题,从而创建一个在 VPN 和公共互联网中都唯一的地址。此外,每个 VPN 都有自己的特定于 VPN 的路由表,仅包含该 VPN 的路由信息。
VPLS
虚拟专用 LAN 服务 (VPLS) 允许您连接地理位置分散的客户站点,就像将它们连接到同一 LAN 一样。在许多方面,它的工作方式类似于第 2 层 VPN。VPLS 和第 2 层 VPN 使用相同的网络拓扑,功能相似。源自客户网络的数据包首先被发送到 CE 设备。然后,它被发送到服务提供商网络内的 PE 路由器。数据包通过 MPLS LSP 遍历服务提供商的网络。流量到达出口 PE 路由器,然后出口 PE 路由器将流量转发至目标客户站点的 CE 设备。
VPLS 的主要区别在于数据包可以点对多点方式遍历服务提供商的网络,这意味着源自 CE 设备的数据包可以广播到 VPLS 中的 PE 路由器。相比之下,第 2 层 VPN 仅以点对点的方式转发数据包。PE 路由器从 CE 设备接收的数据包的目的地必须已知,第 2 层 VPN 才能正常运行。
只有在第 3 层网络中,您才能配置虚拟专用 LAN 服务 (VPLS),以通过 MPLS 骨干网将地理上分散的以太网局域网 (LAN) 站点相互连接。对于实施 VPLS 的 ISP 客户来说,即使流量在服务提供商的网络中传输,所有站点似乎都在同一个以太网 LAN 中。VPLS 旨在通过支持 MPLS 的服务提供商网络传输以太网流量。VPLS 在某些方面会模仿以太网的行为。配置了 VPLS 路由实例的 PE 路由器收到来自 CE 设备的数据包时,会先检查相应的路由表以查找 VPLS 数据包的目标。如果路由器有目标地址,则会将其转发至相应的 PE 路由器。如果没有目标,则会将数据包广播到属于同一 VPLS 路由实例的所有其他 PE 路由器。PE 路由器将数据包转发到其 CE 设备。作为数据包预期接收者的 CE 设备将其转发到最终目的地。其他 CE 设备将其丢弃。
虚拟路由器路由实例
虚拟路由器路由实例与 VPN 路由和转发 (VRF) 路由实例一样,为每个实例维护单独的路由和转发表。但是,虚拟路由器路由实例不需要 VRF 路由实例所需的许多配置步骤。具体而言,您无需在 P 路由器之间配置路由识别符、路由表策略(、vrf-exportvrf-import和route-distinguisher语句)或 MPLS。
但是,您需要在参与虚拟路由器路由实例的每个服务提供商路由器之间配置单独的逻辑接口。您还需要在服务提供商路由器和参与每个路由实例的客户路由器之间配置单独的逻辑接口。每个虚拟路由器实例都需要为所有参与的路由器提供自己独特的逻辑接口集。
图 1 显示了此工作原理。服务提供商路由器 G 和 H 配置为虚拟路由器路由实例红色和绿色。每个服务提供商路由器都直接连接到两台本地客户路由器,每个路由实例中一台。服务提供商路由器也通过服务提供商网络相互连接。这些路由器需要四个逻辑接口:一个是指向每个本地连接的客户路由器的 逻辑接口 ,另一个是用于在每个虚拟路由器实例的两个服务提供商路由器之间传输流量的逻辑接口。
中每个路由器的逻辑接口
第 3 层 VPN 没有此配置要求。如果在 PE 路由器上配置多个第 3 层 VPN 路由实例,则所有实例都可以使用相同的逻辑接口到达其他 PE 路由器。这是可能的,因为第 3 层 VPN 使用 MPLS (VPN) 标签来区分进出各种路由实例的流量。如在虚拟路由器路由实例中一样,如果没有 MPLS 和 VPN 标签,则需要单独的逻辑接口来分隔来自不同实例的流量。
在服务提供商路由器之间提供此逻辑接口的一种方法是在路由器之间配置隧道。您可以在服务提供商路由器之间配置 IP 安全 (IPsec)、通用路由封装 (GRE) 或 IP-IP 隧道,从而在虚拟路由器实例上终止隧道。
VPN 和逻辑系统
您可以将单个物理路由器划分为多个逻辑系统,由这些逻辑系统执行独立的路由任务。由于逻辑系统只执行由物理路由器处理的任务的子集,因此逻辑系统提供了一种有效的方式来最大限度地利用单个路由平台。
逻辑系统执行物理路由器作的一个子集,并具有自己独特的路由表、接口、策略和路由实例。单个路由器中的一组逻辑系统可以处理以前由多个小型路由器执行的功能。
逻辑系统支持第 2 层 VPN、第 3 层 VPN、VPLS 和第 2 层电路。有关逻辑系统的更多信息,请参阅 路由器和交换机逻辑系统用户指南。
从 Junos OS 17.4R1 版开始,以太网 VPN (EVPN) 支持也已扩展到在 MX 设备上运行的逻辑系统。相同的 EVPN 选项和性能可用,并且可以在层次结构下 [edit logical-systems logical-system-name routing-instances routing-instance-name protocols evpn] 进行配置。
了解 3 层 VPN
虚拟专用网络 (VPN) 是使用公共网络连接两个或两个以上远程站点的专用网络。VPN 使用通过公共网络(通常是服务提供商网络)路由(以隧道方式发送)的虚拟连接,而非网络之间的专用连接。
第 3 层 VPN 在 OSI 模型的第 3 层,即网络层运行。第 3 层 VPN 由一组客户站点组成,这些站点通过服务提供商的现有公共互联网主干网连接。点对点模型用于连接到客户站点,服务提供商可以在其中学习与客户对等的客户路由。通用路由信息使用多协议 BGP 在提供商的骨干网中共享,VPN 流量使用 MPLS 转发到客户站点。
Junos OS 支持基于 RFC 4364 的第 3 层 VPN。RFC 介绍了使用 MPLS 隧道进行连接、使用 BGP 分发可访问性信息以及使用 IP 骨干进行传输的 VPN。服务提供商使用其 IP 主干网链接属于同一 VPN 的一组客户站点。
第 3 层 VPN 的组件
MPLS VPN 主要有三种类型:第 2 层 VPN、第 2 层电路和第 3 层 VPN。所有类型的 MPLS VPN 共享某些组件:
-
CE 设备 — 客户内部连接到提供商网络的客户边缘 (CE) 设备。某些型号称这些为客户端设备 (CPE) 设备。
-
客户网络 — 使用属于 VPN 的 CE 设备的客户站点。
-
提供商网络 — 运行 MPLS 主干网的服务提供商骨干网络。
-
P 设备 — 提供商网络核心中的提供商 (P) 设备。提供商设备未连接到客户站点的任何设备,并且是 PE 设备对之间隧道的一部分。提供商设备支持将标签交换路径 (LSP) 功能作为隧道支持的一部分,但不支持 VPN 功能。
-
PE 设备 — 服务提供商核心网络中的提供商边缘 (PE) 设备,可直接连接到客户站点的 CE 设备。
-
MP-BGP — PE 设备使用 MP-BGP 通过 MPLS 主干将客户路由分发到适当的 PE 设备。
3 层 VPN 术语
VPN 使用不同的术语来识别网络的组件:
-
IP 路由表(也称为全局路由表)— 此表包含 VRF 中未包含的服务提供商路由。提供商设备需要此表才能相互访问,而 VRF 表需要访问特定 VPN 上的所有客户设备。例如,接口 A 到 CE 路由器,接口 B 到骨干 P 路由器的 PE 路由器将接口 A 地址置于 VRF 中,将接口 B 地址置于全局 IP 路由表中。
-
路由识别符 — 前置到 IP 地址的 64 位值。当数据包流经同一服务提供商隧道时,此唯一标记有助于识别不同客户的路由。
由于典型的传输网络配置为处理多个 VPN,因此提供商路由器可能配置了多个 VRF 实例。因此,根据流量的来源和应用于流量的任何过滤规则,BGP 路由表可以包含特定目标地址的多个路由。由于 BGP 要求将每个目标只导入一个 BGP 路由转发表,因此 BGP 必须能够区分从不同 VPN 接收的可能相同的网络层可达性信息 (NLRI) 消息。
路由识别符是本地唯一的编号,用于标识特定 VPN 的所有路由信息。唯一数字标识符允许 BGP 区分在其他方面相同的路由。
在 PE 路由器上配置的每个路由实例都必须具有唯一的路由识别符。有两种可能的格式:
-
as-number:number—其中,as-number是 1 到 65,535 范围内的自治系统 (AS) 编号(2 字节值),也是number任意 4 字节值。我们建议使用互联网编号分配机构 (IANA) 分配的非专用 AS 编号,最好是 ISP 或客户 AS 编号。
-
ip-address:number—其中,ip-address是 IP 地址(4 字节值),也是number任意 2 字节值。IP 地址可以是任何全局唯一的单播地址。建议您使用 router-id 语句中配置的地址,即分配的前缀范围内的公共 IP 地址。
-
-
路由目标 (RT) — 一个 64 位值,用于标识特定 VRF 中客户路由的最终出口 PE 设备,以实现复杂的路由共享。路由目标定义哪个路由是 VPN 的一部分。唯一的路由目标有助于区分同一路由器上的不同 VPN 服务。每个 VPN 还有一个策略,用于定义如何将路由导入到路由器上的 VRF 表中。第 2 层 VPN 配置了导入和导出策略。第 3 层 VPN 使用唯一的路由目标来区分 VPN 路由。例如,RT 允许将共享服务网络中的路由共享给多个客户。每个 VPN 路由可以有一个或多个 RT。PE 设备将 RT 作为扩展的 BGP 社区值处理,并使用 RT 安装客户路由。
-
VPN-IPv4 路由 — 由 96 位序列组成的路由,该序列由前置到 32 位 IPv4 地址的 64 位 RD 标记组成。PE 设备将 IBGP 会话中的 VPN-IPv4 路由导出到其他提供商设备。这些路由使用 iBGP 在 MPLS 主干网中交换。当出站 PE 设备收到路由时,它会剥离路由识别符并将路由通告至连接的 CE 设备,通常通过标准 BGP IPv4 路由通告的方式。
-
VRF — 虚拟路由和转发 (VRF) 表可区分 PE 设备上不同客户的路由,以及客户路由和提供商路由。这些路由可以包括重叠的专用网络地址空间、特定于客户的公共路由,以及 PE 设备上对客户有用的提供商路由。
VRF 实例由一个或多个路由表、派生转发表、使用转转发表的接口以及确定转转发表内容的策略和路由协议组成。由于每个实例都是针对特定 VPN 配置的,因此每个 VPN 都有单独的表、规则和策略来控制其作。
系统会为每个连接到 CE 路由器的 VPN 创建一个单独的 VRF 表。VRF 表中填充了从与 VRF 实例关联的直接连接的 CE 站点接收的路由,以及从同一 VPN 中的其他 PE 路由器接收的路由。
3 层 VPN 架构
第 3 层 VPN 将客户边缘路由器(CE 路由器)连接到服务提供商网络边缘的路由器(PE 路由器)。第 3 层 VPN 在直接连接的本地 PE 和 CE 路由器之间使用对等路由模型。也就是说,无需在提供商主干网上进行多次跃点连接 PE 和 CE 路由器对。PE 路由器根据 BGP 路由识别符,在本地和整个提供商网络中将路由信息分发给属于同一 VPN 的所有 CE 路由器。每个 VPN 都有其自己的该 VPN 路由表,并与 CE 和 PE 对等路由器中的路由表协调。CE 和 PE 路由器具有不同的 VRF 表。每个 CE 路由器只有一个 VRF 表,因为其他 VPN 对 CE 不可见。一个 PE 路由器可以连接到多个 CE 路由器,因此 PE 路由器对于每个连接的 CE 都有一个通用的 IP 路由表和 VRF 表,并带有一个 VPN。
图 2 显示了第 3 层 VPN 的一般架构。
PE 路由器知道要将哪个 VRF 表用于从远程 VPN 站点传入的数据包,因为每个 VRF 表都有一个或多个与命中关联的扩展社区属性。社区属性将路由标识为属于特定的路由器集合。路由目标社区属性标识 PE 路由器将路由分发到的站点集合(更准确地说,是其 VRF 表的集合)。PE 路由器使用路由目标将正确的远程 VPN 路由导入到 VRF 表中。
VPN 站点之间的 VPN 路由导入和导出不是自动的。此进程由 BPG 路由策略控制。路由策略用于在服务提供商的 MPLS 网络中交换路由信息,并且必须在网络拓扑发生变化时进行正确配置和维护。
PE 路由器将对等 CE 路由器宣布并由 PE 路由器接收的 IPv4 路由分类为 VPN-IPv4 路由。当入口 PE 路由器收到从直接连接的对等 CE 路由器播发的路由时,入口 PE 路由器会根据该 VPN 的 VRF 导出策略检查收到的路由。也就是说,入口 PE 路由器决定哪些远程 PE 路由器需要了解播发的路由。这个过程分为两步:
-
如果建立的导出策略接受路由,PE 路由器会将路由识别符添加到 IPv4 地址,从而将信息转换为 VPN-IPv4 格式。然后,PE 路由器会播发到远程 PE 路由器的 VPN-IPv4 路由。VRF 表的配置导出目标策略决定了附加的路由目标的值。IBGP 会话在服务提供商的核心网络中分配 VNP-IPv4 路由。
-
如果建立的导出策略不接受路由,则 PE 路由器不会将路由导出到其他 PE 路由器,但 PE 路由器会在本地使用路由。例如,当同一 VPN 中的两台 CE 路由器直接连接到同一台 PE 路由器时,就会发生这种情况,这样一般流量就可以从一个 CE 站点流向另一个 CE 站点。
当服务提供商网络另一端的出口 PE 路由器收到路由时,出口 PE 路由器会根据 PE 路由器之间实施的 IBGP 导入策略检查路由。如果出口 PE 路由器接受路由,则出口 PE 路由器会将路由添加到 bgp.l3vpn.0 路由表。路由器还会根据 VPN 的 VRF 导入策略检查路由。如果路由被接受,出口 PE 路由器将移除路由识别符,并将路由放入正确的 VRF 表中。VRF 表使用 routing-instance-name.inet.0 命名约定,因此“VPN A”通常将表配置为 vpna.inet.0。
受支持的第 3 层 VPN 标准
Junos OS 实质上支持以下 RFC,这些 RFC 定义了第 3 层虚拟专用网络 (VPN) 的标准。
RFC 2283,BGP-4 的多协议扩展
RFC 2685, 虚拟专用网络标识符
RFC 2858,BGP-4 的多协议扩展
RFC 4364,BGP/MPLS IP 虚拟专用网络 (VPN)
RFC 4379, 检测多协议标签交换 (MPLS) 数据平面故障
traceroute 功能仅在中转路由器上受支持。
RFC 4576, 使用链路状态通告 (LSA) 选项位防止 BGP/MPLS IP 虚拟专用网络 (VPN) 中的环路
RFC 4577,OSPF 作为 BGP/MPLS IP 虚拟专用网络 (VPN) 的提供商/客户边缘协议
RFC 4659, 用于 IPv6 VPN 的 BGP-MPLS IP 虚拟专用网络 (VPN) 扩展
RFC 4684, 边界网关协议/多协议标签交换 (BGP/MPLS) 互联网协议 (IP) 虚拟专用网络 (VPN) 的受限路由分配
以下 RFC 不定义标准,而是提供有关与 3 层 VPN 相关的技术的信息。IETF 将其分类为“当前最佳实践”或“信息性”。
RFC 1918, 专用互联网的地址分配
RFC 2917, 核心 MPLS IP VPN 架构
另见
了解通过核心的第 3 层 VPN 转发
提供商核心网络中的 PE 路由器是唯一配置为支持 VPN 的路由器,因此是唯一具有 VPN 相关信息的路由器。从 VPN 功能的角度来看,核心中的提供商 (P) 路由器(未直接连接到 CE 路由器的 P 路由器)只是入口和出口 PE 路由器之间隧道上的路由器。
隧道可以是 LDP 或 MPLS。隧道沿线的任何 P 路由器都必须支持用于隧道的协议(LDP 或 MPLS)。
当 PE 路由器到 PE 路由器的转发通过 MPLS 标签交换路径 (LSP) 进行隧道传输时,MPLS 数据包具有两级标签堆栈(参见 图 3):
-
外部标签 — IGP 下一跳分配给 BGP 下一跃点地址的标签
-
内部标签 — 为数据包的目标地址分配的 BGP 下一跃点的标签
之间建立隧道
图 4 说明了如何分配和删除标签:
-
当 CE 路由器 X 将数据包转发至终端为 CE 路由器 Y 的路由器 PE1 时,PE 路由会识别至路由器 Y 的 BGP 下一跃点,并分配与 BGP 下一跃点对应的标签,标识目标 CE 路由器。此标签是内部标签。
-
然后,路由器 PE1 会识别到 BGP 下一跃点的 IGP 路由,并分配与 BGP 下一跃点的 LSP 对应的第二个标签。此标签是外部标签。
-
当数据包遍历 LSP 隧道时,内部标签将保持不变。外部标签在沿 LSP 的每个跃点时交换,然后由倒数第二个跃点路由器(第三个 P 路由器)弹出。
-
路由器 PE2 从路由中弹出内部标签,并将数据包转发至路由器 Y。
了解第 3 层 VPN 属性
VPN 内的路由分布通过 BGP 扩展社区属性进行控制。RFC 4364 定义了 VPN 使用的以下三个属性:
-
目标 VPN — 标识 VPN 中提供商边缘 (PE) 路由器将路由分发到的一组站点。此属性也称为 路由目标。出口 PE 路由器使用路由目标来确定收到的路由是否发往路由器服务的 VPN。
图 5 说明了路由目标的功能。PE 路由器 PE1 将路由目标“VPN B”添加到从 VPN B 中的站点 1 中的客户边缘 (CE) 路由器接收的路由中。出口路由器 PE2 收到路由后,会检查路由目标,确定路由是针对它所服务的 VPN,并接受路由。当出口路由器 PE3 收到相同的路由时,它不接受该路由,因为它不为 VPN B 中的任何 CE 路由器提供服务。
-
源 VPN — 将一组站点和相应的路由标识为来自该集中的某个站点。
-
源站点 — 唯一标识 PE 路由器从特定站点获知的路由集。此属性可确保通过特定 PE-CE 连接从特定站点获知的路由不会通过其他 PE-CE 连接分发回该站点。如果使用 BGP 作为 PE 和 CE 路由器之间的路由协议,并且 VPN 中的不同站点被分配了相同的自治系统 (AS) 编号,则该功能将特别有用。
VPN 中的路由器
图 6 说明了提供商边缘 (PE) 路由器如何提供 VPN 功能;提供商和客户边缘 (CE) 路由器对 VPN 没有特殊的配置要求。
中的路由器
3 层 VPN 配置简介
要配置第 3 层虚拟专用网络 (VPN) 功能,必须在提供商边缘 (PE) 路由器上启用 VPN 支持。您还必须配置为 VPN 提供服务的任何提供商 (P) 路由器,并且必须配置客户边缘 (CE) 路由器,以便将其路由分布到 VPN 中。
要配置第 3 层 VPN,请添加以下语句:
description text; instance-type vrf; interface interface-name; protocols { bgp { group group-name { peer-as as-number; neighbor ip-address; } multihop ttl-value; } (ospf | ospf3) { area area { interface interface-name; } domain-id domain-id; domain-vpn-tag number; sham-link { local address; } sham-link-remote address <metric number>; } rip { rip-configuration; } } route-distinguisher (as-number:id | ip-address:id); router-id address; routing-options { autonomous-system autonomous-system { independent-domain; loops number; } forwarding-table { export [ policy-names ]; } interface-routes { rib-group group-name; } martians { destination-prefix match-type <allow>; } maximum-paths { path-limit; log-interval interval; log-only; threshold percentage; } maximum-prefixes { prefix-limit; log-interval interval; log-only; threshold percentage; } multipath { vpn-unequal-cost; } options { syslog (level level | upto level); } rib routing-table-name { martians { destination-prefix match-type <allow>; } multipath { vpn-unequal-cost; } static { defaults { static-options; } route destination-prefix { next-hop [next-hops]; static-options; } } } } static { defaults { static-options; } route destination-prefix { policy [ policy-names ]; static-options; } } vrf-advertise-selective { family { inet-mvpn; inet6-mvpn; } } vrf-export [ policy-names ]; vrf-import [ policy-names ]; vrf-target (community | export community-name | import community-name); vrf-table-label;
您可以在以下层级包含这些语句:
[edit routing-instances routing-instance-name][edit logical-systems logical-system-name routing-instances routing-instance-name]
[edit logical-systems]层次结构级别不适用于 ACX 系列路由器。
sham-link、 sham-link-remote和 vrf-advertise-selective 语句不适用于 ACX 系列路由器。
对于第 3 层 VPN,只有层次结构中 [edit routing-instances] 的部分语句有效。有关完整层次结构,请参阅 Junos OS 路由协议库。
除了这些语句之外,您还必须在 PE 和 P 路由器上启用信令协议、PE 路由器之间的 IBGP 会话以及内部网关协议 (IGP)。
默认情况下,第 3 层 VPN 处于禁用状态。
第 3 层 VPN 的许多配置过程对于所有类型的 VPN 都是通用的。
变更历史表
是否支持某项功能取决于您使用的平台和版本。使用 功能浏览器 查看您使用的平台是否支持某项功能。
[edit logical-systems logical-system-name routing-instances routing-instance-name protocols evpn] 进行配置。