BGP-basiertes VPN
Carrier-of-Carriers-VPNs verstehen
Der Kunde eines VPN-Dienstanbieters kann ein Dienstanbieter für den Endkunden sein. Im Folgenden sind die beiden Haupttypen von Carrier-of-Carriers-VPNs aufgeführt (wie in RFC 4364 beschrieben):
Internet Service Provider als Kunde—Der VPN-Kunde ist ein ISP, der das Netzwerk des VPN-Dienstanbieters nutzt, um seine geografisch unterschiedlichen regionalen Netzwerke zu verbinden. Der Kunde muss MPLS nicht innerhalb seiner regionalen Netze konfigurieren.
VPN-Dienstanbieter als Kunde—Der VPN-Kunde ist selbst ein VPN-Dienstanbieter, der seinen Kunden VPN-Dienste anbietet. Der Carrier-of-Carriers-VPN-Service-Kunde verlässt sich auf den Backbone-VPN-Service-Provider für die Konnektivität zwischen den Standorten. Der VPN-Dienstanbieter des Kunden ist verpflichtet, MPLS in seinen regionalen Netzwerken auszuführen.
Abbildung 1 veranschaulicht die Netzwerkarchitektur, die für einen Carrier-of-Carriers-VPN-Dienst verwendet wird.
In diesem Thema wird Folgendes behandelt:
Internet Service Provider als Kunde
Bei dieser Art der Carrier-of-Carrier-VPN-Konfiguration konfiguriert ISP A sein Netzwerk so, dass es Internetdienste für ISP B bereitstellt. ISP B stellt die Verbindung zu dem Kunden bereit, der einen Internetdienst wünscht, aber der eigentliche Internetdienst wird von ISP A bereitgestellt.
Diese Art der Carrier-of-Carrier-VPN-Konfiguration weist die folgenden Merkmale auf:
Der Carrier-of-Carrier-VPN-Service-Kunde (ISP B) muss MPLS in seinem Netzwerk nicht konfigurieren.
Der Carrier-of-Carrier-VPN-Dienstanbieter (ISP A) muss MPLS in seinem Netzwerk konfigurieren.
MPLS muss auch auf den CE-Routern und PE-Routern konfiguriert werden, die in den Netzwerken des Carrier-of-Carriers-VPN-Service-Kunden und des Carrier-of-Carrier-VPN-Service-Providers miteinander verbunden sind.
VPN-Dienstanbieter als Kunde
Ein VPN-Dienstanbieter kann Kunden haben, die selbst VPN-Dienstanbieter sind. Bei dieser Art von Konfiguration, die auch als hierarchisches oder rekursives VPN bezeichnet wird, werden die VPN-IPv4-Routen des VPN-Dienstanbieters des Kunden als externe Routen betrachtet, und der Backbone-VPN-Dienstanbieter importiert sie nicht in seine VRF-Tabelle. Der Backbone-VPN-Dienstanbieter importiert nur die internen Routen des VPN-Dienstanbieters des Kunden in seine VRF-Tabelle.
Die Gemeinsamkeiten und Unterschiede zwischen Interprovider- und Carrier-of-Carriers-VPNs sind in Tabelle 1dargestellt.
Funktion |
ISP-Kunde |
VPN-Dienstanbieter-Kunde |
|---|---|---|
Kunden-Edge-Gerät |
AS Border-Router |
PE-Router |
IBGP-Sitzungen |
IPv4-Routen übertragen |
Externe VPN-IPv4-Routen mit zugehörigen Labels übertragen |
Weiterleitung innerhalb des Kundennetzwerks |
MPLS ist optional |
MPLS ist erforderlich |
Unterstützung für VPN-Service, da der Kunde auf QFX10000 Switches ab Junos OS Version 17.1R1 unterstützt wird.
Grundlegendes zu Interprovider- und Carrier-of-Carriers-VPNs
Alle Interprovider- und Carrier-of-Carriers-VPNs haben die folgenden Merkmale gemeinsam:
Jeder Interprovider- oder Carrier-of-Carriers-VPN-Kunde muss zwischen internen und externen Kundenrouten unterscheiden.
Interne Kundenrouten müssen vom VPN-Dienstanbieter in seinen PE-Routern gepflegt werden.
Externe Kundenrouten werden nur von den Routing-Plattformen des Kunden übertragen, nicht von den Routing-Plattformen des VPN-Dienstanbieters.
Der Hauptunterschied zwischen Interprovider- und Carrier-of-Carriers-VPNs besteht darin, ob die Kundenstandorte zum selben AS oder zu separaten AS gehören:
Interprovider-VPNs: Die Kundenstandorte gehören zu unterschiedlichen ASs. Sie müssen EBGP so konfigurieren, dass die externen Routen des Kunden ausgetauscht werden.
Carrier-of-Carriers-VPNs verstehen: Die Kundenstandorte gehören zum gleichen AS. Sie müssen IBGP so konfigurieren, dass die externen Routen des Kunden ausgetauscht werden.
Im Allgemeinen muss jeder Service Provider in einer VPN-Hierarchie seine eigenen internen Routen in seinen P-Routern und die internen Routen seiner Kunden in seinen PE-Routern pflegen. Durch die rekursive Anwendung dieser Regel ist es möglich, eine Hierarchie von VPNs zu erstellen.
Im Folgenden finden Sie Definitionen der Arten von PE-Routern, die für Interprovider- und Carrier-of-Carrier-VPNs spezifisch sind:
Der AS-Border-Router befindet sich an der AS-Grenze und verarbeitet den Datenverkehr, der den AS verlässt und in ihn einführt.
Der PE-Endrouter ist der PE-Router im Kunden-VPN. Er wird mit dem CE-Router beim Endkunden verbunden.
Konfigurieren von Carrier-of-Carriers-VPNs für Kunden, die VPN-Dienste bereitstellen
Sie können einen Carrier-of-Carrier-VPN-Dienst für Kunden konfigurieren, die einen VPN-Service wünschen.
Führen Sie die Schritte in den folgenden Abschnitten aus, um die Router (oder Switches) in den Netzwerken des Kunden und des Anbieters so zu konfigurieren, dass der VPN-Dienst von Netzbetreibern aktiviert wird:
- Konfigurieren des PE-Routers des Carrier-of-Carriers-Kunden
- Konfigurieren des CE-Routers (oder Switches) des Carrier-of-Carriers-Kunden
- Konfigurieren des PE-Routers oder -Switches des Anbieters
Konfigurieren des PE-Routers des Carrier-of-Carriers-Kunden
Der PE-Router (oder Switch) des Carrier-of-Carrier-Kunden ist mit dem CE-Router (oder Switch) des Endkunden verbunden.
In den folgenden Abschnitten wird beschrieben, wie der PE-Router (oder Switch) des Carrier-of-Carrier-Kunden konfiguriert wird:
- Konfigurieren von MPLS
- BGP konfigurieren
- OSPF konfigurieren
- LDP konfigurieren
- Konfigurieren des VPN-Dienstes in der Routinginstanz
- Konfigurieren von Richtlinienoptionen
Konfigurieren von MPLS
Um MPLS auf dem PE-Router (oder Switch) des Carrier-of-Carriers-Kunden zu konfigurieren, fügen Sie die mpls folgende Anweisung ein:
mpls {
interface interface-name;
interface interface-name;
}
Sie können diese Anweisung auf den folgenden Hierarchieebenen einbinden:
[edit protocols][edit logical-systems logical-system-name protocols]
BGP konfigurieren
Fügen Sie die labeled-unicast Anweisung in die Konfiguration für die IBGP-Sitzung an den CE-Router (oder Switch) des Carrier-of-Carriers-Kunden und die Anweisung in die Konfiguration für die IBGP-Sitzung an den PE-Router (oder Switch) des Carrier-of-Carriers-Kunden auf der anderen Seite des Netzwerks ein family-inet-vpn :
bgp {
group group-name {
type internal;
local-address address;
neighbor address {
family inet {
labeled-unicast;
resolve-vpn;
}
}
}
neighbor address {
family inet-vpn {
any;
}
}
}
Sie können diese Anweisungen auf den folgenden Hierarchieebenen einbinden:
[edit protocols][edit logical-systems logical-system-name protocols]
OSPF konfigurieren
Um OSPF auf dem PE-Router (oder Switch) des Carrier-of-Carriers-Kunden zu konfigurieren, fügen Sie die ospf folgende Anweisung ein:
ospf {
area area-id {
interface interface-name {
passive;
}
interface interface-name;
}
}
Sie können diese Anweisung auf den folgenden Hierarchieebenen einbinden:
[edit protocols][edit logical-systems logical-system-name protocols]
LDP konfigurieren
Um LDP auf dem PE-Router (oder Switch) des Carrier-of-Carriers-Kunden zu konfigurieren, fügen Sie die ldp folgende Anweisung ein:
ldp {
interface interface-name;
}
Sie können diese Anweisung auf den folgenden Hierarchieebenen einbinden:
[edit protocols][edit logical-systems logical-system-name protocols]
Konfigurieren des VPN-Dienstes in der Routinginstanz
Geben Sie die folgenden Anweisungen an, um den VPN-Dienst für den CE-Router (oder Switch) des Endbenutzers auf dem PE-Router (oder Switch) des Netzbetreibers oder Netzbetreibers des Kunden zu konfigurieren:
instance-type vrf;
interface interface-name;
route-distinguisher address;
vrf-import policy-name;
vrf-export policy-name;
protocols {
bgp {
group group-name {
peer-as as-number;
neighbor address;
}
}
}
Sie können diese Anweisungen auf den folgenden Hierarchieebenen einbinden:
[edit routing-instances routing-instance-name][edit logical-systems logical-system-name routing-instances routing-instance-name]
Konfigurieren von Richtlinienoptionen
Um Richtlinienoptionen zum Importieren und Exportieren von Routen zum und vom CE- Router (oder Switch) des Endkunden zu konfigurieren, fügen Sie die policy-statementcommunity und-Anweisungen ein:
policy-statement policy-name {
term term-name {
from {
protocol bgp;
community community-name;
}
then accept;
}
term term-name {
then reject;
}
}
policy-statement policy-name {
term term-name {
from protocol bgp;
then {
community add community-name;
accept;
}
}
term term-name {
then reject;
}
}
community community-name members value;
Sie können diese Anweisungen auf den folgenden Hierarchieebenen einbinden:
[edit policy-options][edit logical-systems logical-system-name policy-options]
Konfigurieren des CE-Routers (oder Switches) des Carrier-of-Carriers-Kunden
Der CE-Router (oder Switch) des Carrier-of-Carriers-Kunden stellt eine Verbindung zum PE-Router (oder Switch) des Anbieters her. Führen Sie die Anweisungen in den folgenden Abschnitten aus, um den CE-Router (oder Switch) der Carrier-of-Carrier-Kunden zu konfigurieren:
- Konfigurieren von MPLS
- BGP konfigurieren
- Konfigurieren von OSPF und LDP
- Konfigurieren von Richtlinienoptionen
Konfigurieren von MPLS
Fügen Sie in der MPLS-Konfiguration für den CE-Router (oder Switch) des Carrier-of-Carriers-Kunden die Schnittstellen zum PE-Router (oder Switch) des Anbieters und zu einem P-Router (oder Switch) im Netzwerk des Kunden hinzu:
mpls {
traffic-engineering bgp-igp;
interface interface-name;
interface interface-name;
}
Sie können diese Anweisungen auf den folgenden Hierarchieebenen einbinden:
[edit protocols][edit logical-systems logical-system-name protocols]
BGP konfigurieren
Konfigurieren Sie in der BGP-Konfiguration für den CE-Router (oder Switch) des Carrier-of-Carrier-Kunden eine Gruppe, die die labeled-unicast Anweisung enthält, den VPN-Service auf den PE-Router (oder Switch) auszudehnen, der mit dem CE- Router (oder Switch) des Endkunden verbunden ist:
bgp {
group group-name {
type internal;
local-address address;
neighbor address {
family inet {
labeled-unicast;
}
}
}
}
Sie können die bgp Anweisung auf den folgenden Hierarchieebenen einbinden:
[edit protocols][edit logical-systems logical-system-name protocols]
Um eine Gruppe so zu konfigurieren, dass sie gekennzeichnete interne Routen an den PE-Router (oder Switch) des Anbieters sendet, fügen Sie die bgp folgende Anweisung ein:
bgp {
group group-name {
export internal;
peer-as as-number;
neighbor address {
family inet {
labeled-unicast;
}
}
}
}
Sie können diese Anweisung auf den folgenden Hierarchieebenen einbinden:
[edit protocols][edit logical-systems logical-system-name protocols]
Konfigurieren von OSPF und LDP
Um OSPF und LDP auf dem CE-Router (oder Switch) des Carrier-of-Carriers-Kunden zu konfigurieren, fügen Sie die ospf Anweisungen and ldp ein:
ospf {
area area-id {
interface interface-name {
passive;
}
interface interface-name;
}
}
ldp {
interface interface-name;
}
Sie können diese Anweisungen auf den folgenden Hierarchieebenen einbinden:
[edit protocols][edit logical-systems logical-system-name protocols]
Konfigurieren von Richtlinienoptionen
Um die Richtlinienoptionen auf dem CE-Router (oder Switch) des Carrier-of-Carrier-Kunden zu konfigurieren, fügen Sie die policy-statement folgende Erklärung ein:
policy-statement policy-statement-name {
term term-name {
from protocol [ ospf direct ldp ];
then accept;
}
term term-name {
then reject;
}
}
Sie können diese Anweisung auf den folgenden Hierarchieebenen einbinden:
[edit policy-options][edit logical-systems logical-system-name policy-options]
Konfigurieren des PE-Routers oder -Switches des Anbieters
Die PE-Router (oder Switches) des Carrier-of-Carriers-Anbieters stellen eine Verbindung zu den CE-Routern (oder Switches) des Carrier-of-Carrier-Kunden her. Führen Sie die Anweisungen in den folgenden Abschnitten aus, um den PE-Router (oder Switch) des Anbieters zu konfigurieren:
- Konfigurieren von MPLS
- Konfigurieren einer PE-to-PE-BGP-Sitzung
- IS-IS und LDP konfigurieren
- Konfigurieren von Richtlinienoptionen
- Konfigurieren einer Routing-Instanz zum Senden von Routen an den CE-Router
Konfigurieren von MPLS
Geben Sie in der MPLS-Konfiguration mindestens zwei Schnittstellen an: eine zum CE-Router (oder Switch) des Kunden und eine zum PE-Router (oder Switch) des Anbieters auf der anderen Seite des Netzwerks des Anbieters:
interface interface-name; interface interface-name;
Sie können diese Anweisungen auf den folgenden Hierarchieebenen einbinden:
[edit protocols mpls][edit logical-systems logical-system-name protocols mpls]
Konfigurieren einer PE-to-PE-BGP-Sitzung
Um eine PE-zu-PE-BGP-Sitzung auf den PE-Routern (oder Switches) des Anbieters so zu konfigurieren, dass VPN-IPv4-Routen zwischen den PE-Routern (oder Switches) übertragen werden können, fügen Sie die bgp folgende Anweisung ein:
bgp {
group group-name {
type internal;
local-address address;
family inet-vpn {
any;
}
neighbor address;
}
}
Sie können diese Anweisung auf den folgenden Hierarchieebenen einbinden:
[edit protocols][edit logical-systems logical-system-name protocols]
IS-IS und LDP konfigurieren
Um IS-IS und LDP auf den PE-Routern (oder Switches) des Anbieters zu konfigurieren, fügen Sie die isisldp und-Anweisungen ein:
isis {
interface interface-name;
interface interface-name {
passive;
}
}
ldp {
interface interface-name;
}
Sie können diese Anweisungen auf den folgenden Hierarchieebenen einbinden:
[edit protocols][edit logical-systems logical-system-name protocols]
Konfigurieren von Richtlinienoptionen
Um Richtlinienanweisungen auf dem PE- Router (oder Switch) des Anbieters zu konfigurieren, um Routen in das Netzwerk des Netzbetreiberkunden zu exportieren und Routen aus dem Netzwerk des Netzbetreiberkunden zu importieren, fügen Sie die policy-statementcommunity und-Anweisungen ein:
policy-statement statement-name {
term term-name {
from {
protocol bgp;
community community-name;
}
then accept;
}
term term-name {
then reject;
}
}
policy-statement statement-name {
term term-name {
from protocol bgp;
then {
community add community-name;
accept;
}
}
term term-name {
then reject;
}
}
community community-name members value;
Sie können diese Anweisungen auf den folgenden Hierarchieebenen einbinden:
[edit policy-options][edit logical-systems logical-system-name policy-options]
Konfigurieren einer Routing-Instanz zum Senden von Routen an den CE-Router
Geben Sie die folgenden Anweisungen ein, um die Routing-Instanz auf dem PE-Router (oder Switch) des Anbieters so zu konfigurieren, dass gekennzeichnete Routen an den CE-Router (oder Switch) des Netzbetreiberkunden gesendet werden:
instance-type vrf;
interface interface-name;
route-distinguisher value;
vrf-import policy-name;
vrf-export policy-name;
protocols {
bgp {
group group-name {
peer-as as-number;
neighbor address {
family inet {
labeled-unicast;
}
}
}
}
}
Sie können diese Anweisungen auf den folgenden Hierarchieebenen einbinden:
[edit routing-instances routing-instance-name][edit logical-systems logical-system-name routing-instances routing-instance-name]
Siehe auch
Tabellarischer Änderungsverlauf
Die Unterstützung der Funktion hängt von der Plattform und der Version ab, die Sie benutzen. Verwenden Sie Feature Explorer, um festzustellen, ob eine Funktion auf Ihrer Plattform unterstützt wird.