Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
本页内容
 

提高 3 层 VPN 性能

本主题介绍链式复合下一跃点 (CNHs), 并举例说明如何在背靠背 PE 路由器上启用链式 CNH。

用于 VPN 和第 2 层电路的链式复合下一跳

瞻博网络 PTX 系列数据包传输路由器、带 MIC 和 MPC 接口的 MX 系列 5G 通用路由平台以及 T4000 核心路由器主要用于处理大型网络核心中的海量流量。通过允许路由器处理大量路由,链式 CNHs 有助于促进此功能。通过链接式 CNH,路由器可以将共享同一目标的路由集定向到共同的下一跃点,而不是让每个路由都包括目标。如果网络目标发生变化,则不必使用新信息更新共享该目标的所有路由,只会将共享转发下一跃点更新为新信息。链接式 CNHs 继续指向这个转发下一跃点,该跃点现在包含新目的地。

在路由器上创建 MPLS LSP 的下一跃点时,与最内部 MPLS 标签对应的标记信息被提取到链接式 CNH 中。链接式 CNH 存储在入口数据包转发引擎中。链接式 CNH 指向位于出口数据包转发引擎上的下一跃点,称为转发下一跃点。转发下一跃点包含所有其他信息(除最内部标签之外的所有标签以及与实际下一跃点节点对应的 IFA/IP 信息)。许多链式复合下一跃点可以共享相同的转发下一跃点。此外,将最内部的标签(即 VPN 标签)与转发下一跃点分隔开来,并将其存储在入口 PFE(在链接的复合下一跃点内),有助于减少存储在出口数据包转发引擎上的重写字符串数量,有助于节省出口数据包转发引擎内存。

表 1 显示了 MPLS 网络上的入口或传输路由器对链接式 CNHs 的支持。

表 1:支持链式复合下一跃点

平台

L2 VPN

L3 VPN

L2 CKT

PTX 系列

入口和中继

入口和中继

仅入口

MX 系列

仅入口

仅入口

仅入口

要在 T4000 路由器上启用链接式 CNHs,必须将机箱配置为在网络服务模式下使用 enhanced-mode 选项。

链式复合下一跳的优势

链式 CNH 通过缩小转发表的大小来优化路由器的内存和性能。当下一跃点相同时,对于具有不同目标的路由,路由器可以在转发表中使用相同的下一跃点条目。这减少了转发表表中的条目数量,并减少必须修改下一跃点条目时的更改次数。

接受使用第 3 层 VPN 中唯一内部 VPN 标签的路由更新

对于在瞻博网络路由器上配置的第 3 层 VPN,Junos OS 通常会为提供商边缘 (PE) 路由器的每个面向客户边缘 (CE) 的虚拟路由和转发 (VRF) 接口分配一个内部 VPN 标签。但是,其他供应商会为通过 PE 路由器的面向 CE 的接口学习的每个路由分配一个 VPN 标签。这种做法会成倍增加 VPN 标签的数量,从而导致系统处理速度变慢,融合速度缓慢。

链式 CNHs 是一种组合功能,用于将与单个下一跃点关联的部分重写字符串串联在一起,以形成添加到数据包中的较大重写字符串。通过使用此功能,具有唯一内部 VPN 标签(可由瞻博网络路由器处理)的路由数量将显著增加。与第 3 层 VPN 关联的通用路由更新元素相结合,从而减少了瞻博网络路由器必须维护的路由更新次数和个别状态,从而提高了扩展和融合性能。

注意:

ACX 系列路由器仅在层级支持 chained-composite-next-hop ingress 第 3 层 VPN 的 [edit routing-options forwarding-table] CLI 语句。 chained-composite-next-hop ingress 不支持第 2 层服务的 CLI 语句。

您可以根据要管理的 VPN 标签数量以及是否要为 IPv6 标签的路由创建链式 CNHs 来配置路由器:

可接受多达 100 万个第 3 层 VPN 路由更新

对于采用多达 100 万个第 3 层 VPN 标签的混合供应商网络的瞻博网络路由器,请将语句l3vpn[edit routing-options forwarding-table chained-composite-next-hop ingress]包含在层次结构级别。语句l3vpn默认处于禁用状态。

注意:

ACX 系列路由器 chained-composite-next-hop ingress[edit routing-options forwarding-table] hierarchy level.
最佳实践:

每当在包含多达 100 万条路由的混合供应商网络中部署瞻博网络路由器以支持第 3 层 VPN 时,我们建议配置 l3vpn 该语句。

由于使用该语句还可以增强仅部署瞻博网络路由器的网络中的瞻博网络路由器的第 3 层 VPN 性能,因此我们也建议在这些网络中配置这些语句。

您可以在以下路由器上配置 l3vpn 语句:

  • ACX 系列路由器

  • MX 系列路由器

  • M120 路由器

  • 带有一个或多个增强型 III FPC 的 M320 路由器

  • T 系列路由器(适用于 Junos OS 10.4 及更高版本)

要使用唯一的内部 VPN 标签接受多达 100 万个第 3 层 VPN 路由更新,请配置语句 l3vpn 。此语句仅在间接连接的 PE 路由器上受支持。在直接连接到 PE 路由器的路由器上配置此语句没有好处。您可以在包含直接连接和间接连接 PE 路由器的组合链路的路由器上配置 l3vpn 该语句。

注意:

您不能在 l3vpn 配置 vpn-unequal-cost 语句的同时配置语句和子语句。

要将路由器配置为使用唯一内部 VPN 标签接受多达 100 万个第 3 层 VPN 路由更新:

  1. 包括语句 l3vpn
  2. 要增强内存分配以支持更多第 3 层 VPN 标签,请添加语句 vpn-label
    注意:

    当用于 MX 系列路由器时,该 vpn-label 语句不提供任何功能更改。您可以在 MX 系列路由器上省略此语句的配置。

    有关为第 3 层 VPN 标签配置更多内存的详细信息,请参阅 Junos OS 管理库

配置 l3vpn 语句后,可以通过检查以下命令的显示输出来确定第 3 层 VPN 路由是否是链接 CNH 的一部分:

  • show route route-value extensive

  • show route forwarding-table destination destination-value extensive

接受超过 100 万个第 3 层 VPN 路由更新

对于包含超过 100 万个第 3 层 VPN 标签的混合供应商网络的瞻博网络路由器,请将语句 extended-space 包含在 [edit routing-options forwarding-table chained-composite-next-hop ingress l3vpn] 层次结构级别。语句 extended-space 默认处于禁用状态。

注意:

chained-composite-next-hop ingress ACX 系列路由器不支持 and extended-space 语句。
最佳实践:

建议在包含超过 100 万个路由的混合供应商网络中配置 extended-space 该语句,以支持第 3 层 VPN。

由于使用此语句还可以增强仅部署瞻博网络路由器的网络中的瞻博网络路由器的第 3 层 VPN 性能,因此我们也建议在这些网络中配置该语句。

extended-space使用该语句,具有唯一内部 VPN 标签的路由数量可由瞻博网络路由器处理,可将路由数量增加一倍。但是,在配置如此大规模的第 3 层 VPN 方案时,请记住以下准则:

  • extended-space 语句仅在仅包含 MPC 的 MX 系列路由器上受支持。

  • 机箱必须配置为在网络服务模式下使用 enhanced-ip 选项。

    有关配置机箱网络服务的更多信息,请参阅 Junos OS 管理库

  • 请确保为关联策略配置按数据包负载均衡。

    有关配置策略的更多信息,请参阅 路由策略、防火墙过滤器和流量监管器用户指南

最佳实践:

我们强烈建议使用运行 64 位 Junos OS 的 64 位路由引擎,以支持规模更高且具有唯一内部 VPN 标签的第 3 层 VPN 前缀。

要配置路由器以接受超过 100 万个使用唯一内部 VPN 标签的第 3 层 VPN 路由更新:

  1. 包括语句 l3vpn
  2. 包括语句 extended-space
  3. 为增强模式配置机箱网络服务。
    注意:

    可能需要重新启动路由器。有关详细信息,请参阅 Junos OS 管理库中的网络服务模式概述

完成配置后,可以通过检查以下命令的显示输出来确定第 3 层 VPN 路由是否是 CNH 的一部分:

  • show route route-value extensive

  • show route forwarding-table destination destination-value extensive

为 IPv6 标记的单播路由启用链式复合下一跃点

您可以通过配置 labeled-bgpinet6 语句,为 IPv6 标记的单播路由启用链式 CNHs:

要为 inet6 标记的单播路由启用链式复合下一跃点,请将 inet6 语句[edit routing-options forwarding-table chained-composite-next-hop ingress labeled-bgp]包含在层次结构级别。默认情况下,此语句处于禁用状态。

示例:为 VPN 中的直接 PE-PE 连接配置链式复合下一跃点

此示例说明如何在 MX 系列和 T4000 路由器上为 MIC 和 MPC 接口启用背靠后提供商边缘 (PE) 路由器第 3 层虚拟专用网 (VPN) 连接。

要求

此示例使用以下硬件和软件组件:

  • 六个路由器,可以是 MX240、MX480、MX960 或 T4000 路由器的组合。

  • 所有设备上运行的 Junos OS 13.3 版。

开始之前:

  1. 配置设备接口。

  2. 在所有路由器上配置以下路由协议:

    1. Mpls

    2. Bgp

    3. LDP LSP 作为 PE 设备之间的隧道

    4. OSPF 或任何其他 IGP 协议

概述

在 Junos OS 13.3 版之前,在没有 MPLS 核心路由器的退化第 3 层 VPN 情况下,由于从后至后的 PE-PE 连接中没有外部标签,入口 PE 设备仅推送单个 VPN 标签,因此会使用先前的扁平化间接下一跃点和单播下一跃点的行为。在混合了 PE-PE 和 PE-P-PE 路径的第 3 层 VPN 多路径场景中,也不能使用链接式 CNHs。

在仅支持 MIC 和 MPC 接口的平台上,默认启用链接式 CNHs。在同时支持 DPC 接口和 MPC 接口的平台上,第 3 层 VPN 配置需要语句 pe-pe-connection 来支持链接式 CNHs 的 PE-PE 连接。但是,仅在具有 MIC 和 FPC 接口的平台上不支持该 pe-pe-connection 语句。

作为针对这些限制的解决方案,从 Junos OS 13.3 版开始,对链式 CNHs 的支持得到了增强,可以在启动时自动识别链式 CNHs 上的底层平台功能,而无需依赖用户配置,并决定嵌入到第 3 层 VPN 标签中的下一跃点类型(复合还是间接)。这增强了第 3 层 VPN 中对从后至后的 PE-PE 连接的支持,并消除了对语句的需求 pe-pe-connection

除了在层次结构级别包含 l3vpn 语句外,要为直接连接的 PE 设备启用链接式 [edit routing-options forwarding-table chained-composite-next-hop ingress] CNHs,请进行以下更改:

  • 在同时包含 DPC 和 MPC FPC 的 MX 系列 5G 通用路由平台上,链接式 CNHs 默认处于禁用状态。要在 MX240、MX480 和 MX960 上启用链式 CNHs,必须将机箱配置为在网络服务模式下使用 enhanced-ip 选项。

  • 在包含 MPC 和 FPC 的 T4000 核心路由器上,链接式 CNHs 默认处于禁用状态。要在 T4000 路由器上启用链接式 CNHs,必须将机箱配置为在网络服务模式下使用 enhanced-mode 选项。

拓扑

图 1:用于 PE-PE 连接的链式复合下一跃点 Chained Composite Next Hops for PE-PE Connections

配置

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,然后将命令复制并粘贴到层级的 [edit] CLI 中。

CE1

PE1

PE2

P

PE3

CE2

使用链式复合下一跃点配置多路径 3 层 VPN

逐步过程

以下示例要求您在配置层次结构中的各个级别上导航。有关导航 CLI 的信息,请参阅 在配置模式下使用 CLI 编辑器

要配置基本第 3 层 VPN,并在 PE1 路由器上采用链式 CNH:

注意:

修改每个路由器的相应接口名称、地址和任何其他参数后,对 MPLS 域中的 PE2 和 PE3 路由器重复此过程。

  1. 配置 PE1 路由器上的接口。

  2. 在 PE1 机箱上启用增强型 IP 模式。

  3. 在全球第 3 层 VPN 上启用链接式 CNH。

  4. 为 PE1 配置自治系统。

  5. 导出为负载平衡配置的策略。

  6. 在连接到 P 路由器和其他 PE 路由器的 PE1 接口上配置 MPLS。

  7. 将 PE1 的 IBGP 组配置为与 PE2 和 PE3 路由器对等。

  8. 在 PE1 的所有接口(不包括管理接口)上配置具有流量工程功能的 OSPF。

  9. 在 PE1 的所有接口(不包括管理接口)上配置 LDP。

  10. 配置策略,以按数据包对流量进行负载均衡。

  11. 在 PE1 面向 CE 的接口上配置 VRF 路由实例。

  12. 配置路由实例参数。

  13. 为路由实例配置 EBGP 组,以便 PE1 可与 CE1 对等。

结果

在配置模式下,输入 、 show chassisshow interfacesshow protocolsshow routing-optionsshow routing-instancesshow policy-options命令,以确认您的配置。如果输出未显示预期的配置,请重复此示例中的说明,以更正配置。

PE1

验证

确认配置工作正常。

验证路由

目的

验证面向 PE1-PE2 的第 3 层 VPN 前缀是否指向链接的 CNHs。

行动

在操作模式下,运行 show route 198.51.100.2 table vpn-a extensive 命令。

意义

PE2 路由器是 PE1 的 CNH,可以到达 CE2。

验证直接 PE-PE 连接上的链接式下一跃点

目的

验证是否已为 CE1 上的直接 PE-PE 连接生成链式下一跃点。

行动

在操作模式下,运行 ping 命令。

意义

为 PE1 到 PE2 连接启用了链式 CNH。

相关文档