Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

BGP Layer 3 VPN über IP-IP-Tunnel – Übersicht

Die traditionellen VPN-Dienste verwenden die labelbasierte Weiterleitungstechnik von MPLS. Einige Netzwerke können vom MPLS-Netzwerk auf das IP-Fabric-Core-Netzwerk umgestellt werden. Die VPN-Bezeichnung wird im IP-Fabric-Core-Netzwerk nicht unterstützt.

Wir führen die Unterstützung für BGP-Layer-3-VPN-over-IP-over-IP-Tunnel (IP-IP) ein, um einen neuen Transportdienst zu erstellen, für den kein VPN-Label zur Identifizierung der VRF am PE-Ausgang erforderlich ist. Dieses Angebot überträgt verschiedene Arten von Datenverkehr mit derselben Infrastruktur und derselben BGP-Topologie mit RD- und Routenzielen über das IP-IP-Netzwerk. IP-IP-Tunnel enden in VRF auf Dienstebene, sodass Sie keine Dienstbezeichnung verwenden müssen. Diese Funktion ermöglicht die Interoperabilität zwischen dem neuen VRF und dem herkömmlichen VRF, sodass beide Arten von Overlays in Ihrem Netzwerk koexistieren können. Sie können diese Funktion verwenden, um von einem MPLS-Netzwerk zu einem IP-Fabric-Core-Netzwerk überzugehen und Ihr Netzwerk vor DDoS-Angriffen (Distributed Denial-of-Service) zu schützen.

Abbildung 1: Beispielnetzwerk, das die Koexistenz von neuen und traditionellen VRFs Sample Network That Shows Coexistence of New and Traditional VRFs zeigt

In Abbildung 1 ist PE1 ein Egress PE, das sowohl herkömmliche als auch neue Tunneltypen unterstützt, sodass beide Tunneltypen in seinen L3VPN-Routen angekündigt werden. PE2 ist ein Ingress-PE, das einen neuen Tunneltyp verwendet, um CE1 zu erreichen, und PE3 ist ein Ingress-PE, das einen herkömmlichen Tunnel verwendet, um CE1 zu erreichen. Wenn ein IP-IP-Tunnel für die Weiterleitung des Datenverkehrs ausgewählt wird, wird die Bezeichnung des Anwendungsdienstes ignoriert und ein Firewallfilter verwendet, um den Datenverkehr zu demultiplexen. Der L3VPN-Datenverkehr wird entkapselt und führt dann eine Routensuche in der VRF durch, während IPv4/IPv6-Datenverkehr entkapselt wird und eine Routensuche in der Tabelle inet.0/inet6.0 durchgeführt wird.

Systempräfixe für die Bedrohungsabwehr werden über BGP-inetvpn- oder inet6vpn-Unicast-Updates ausgetauscht. Diese BGP-Updates enthalten Tunnelkapselattribute. Das BGP L3VPN trennt das Präfix zur Bedrohungsabwehr von den Internetrouten und hat keinen Einfluss auf die beste Pfadauswahl der Internetroute, wodurch die Wahrscheinlichkeit minimiert wird, dass sich eine Routingschleife bildet. In Junos OS 20.3R1 und höheren Versionen können Sie je nach Tunnelattribut wählen, ob Sie VPN-over-MPLS-Transport verwenden oder zu IP-over-IP-Tunnel wechseln möchten. Wenn der Empfängerrouter unter Junos OS 20.2 oder früheren Versionen ausgeführt wird, wird das path-Attribut ignoriert und der herkömmliche MPLS-Transportdienst verwendet.

Um VPN über einen IP-IP-Tunnel zu verwenden, müssen Sie ein tunnel-Attribut konfigurieren. Wenn Routen direkt aus der VRF-Tabelle angekündigt werden, können Sie eine BGP- oder VRF-Exportrichtlinie verwenden, um das Tunnelattribut anzufügen. Wenn die advertise-from-main-vpn-tables-Anweisung aktiviert ist oder wenn das Gerät als Routenreflektor oder AS-Boundary-Router fungiert, müssen Sie das tunnel-Attribut mithilfe einer BGP-Exportrichtlinie unter BGP anfügen.

Sie können den Empfänger so konfigurieren, dass er den dynamischen Tunnel programmiert, indem Sie das tunnel-Attribut verwenden, um das tunnel-Attribut auf vertrauenswürdigen BGP-Peers zu aktivieren. Der Routenreflektor ist in der Lage, die Route mit dem Tunnelattribut wiederzugeben, auch wenn dieses nicht konfiguriert ist.