AUF DIESER SEITE
Erleichterung der VRF-Tabellensuche mithilfe von Virtual Loopback-Tunnelschnittstellen
Konfigurieren von Virtual Loopback-Tunneln für die VRF-Tabellensuche
Um die Ausgangsfilterung zu aktivieren, können Sie entweder die Filterung basierend auf dem IP-Header konfigurieren oder einen virtuellen Loopback-Tunnel auf Routern konfigurieren, die mit einem Tunnel-PIC ausgestattet sind. In Tabelle 1 werden die einzelnen Methoden beschrieben.
Methode |
Schnittstellentyp |
Konfigurationsrichtlinien |
Kommentare |
|---|---|---|---|
Filtern des Datenverkehrs basierend auf dem IP-Header |
Nicht kanalisiertes Point-to-Point-Protokoll / High Level Data Link Control (PPP/HDLC) Core-zugewandte SONET/SDH-Schnittstellen |
Fügen Sie die Weitere Informationen finden Sie in der Junos OS VPNs-Bibliothek für Routing-Geräte. |
Es gibt keine Beschränkung für Router-zu-Provider-Edge-Routerschnittstellen (CE) und Provider-Edge-Router (PE). |
Konfigurieren eines virtuellen Loopback-Tunnels auf Routern, die mit einem Tunnel-PIC ausgestattet sind |
Alle Schnittstellen |
Weitere Informationen finden Sie in den Richtlinien in diesem Abschnitt. |
Der Router muss mit einem Tunnel PIC ausgestattet sein. Es gibt keine Einschränkungen hinsichtlich der Art der verwendeten Core-Facing-Schnittstelle oder der verwendeten CE-Router-zu-PE-Router-Schnittstelle. Es ist nicht möglich, einen virtuellen Loopback-Tunnel und die |
Sie können einen virtuellen Loopback-Tunnel konfigurieren, um die Suche nach VRF-Tabellen basierend auf MPLS-Labels zu erleichtern. Möglicherweise möchten Sie diese Funktion aktivieren, damit Sie eine der folgenden Aktionen ausführen können:
Weiterleitung des Datenverkehrs an der Schnittstelle eines PE-Routers an ein CE-Gerät in einem gemeinsam genutzten Medium, wobei es sich bei dem CE-Gerät um einen Layer-2-Switch ohne IP-Funktionen handelt (z. B. ein Metro-Ethernet-Switch).
Die erste Suche erfolgt basierend auf der VPN-Bezeichnung, um zu bestimmen, auf welche VRF-Tabelle verwiesen werden soll, und die zweite Suche erfolgt auf der Grundlage des IP-Headers, um zu bestimmen, wie Pakete an die richtigen Endhosts auf dem gemeinsam genutzten Medium weitergeleitet werden sollen.
Führen Sie die Ausgangsfilterung am ausgehenden PE-Router durch.
Die erste Suche auf dem VPN-Label wird durchgeführt, um zu bestimmen, auf welche VRF-Tabelle verwiesen werden soll, und die zweite Suche erfolgt auf dem IP-Header, um zu bestimmen, wie Pakete gefiltert und weitergeleitet werden sollen. Sie können diese Funktion aktivieren, indem Sie Ausgabefilter auf den VRF-Schnittstellen konfigurieren.
Um einen virtuellen Loopback-Tunnel so zu konfigurieren, dass er die Suche in VRF-Tabellen basierend auf MPLS-Bezeichnungen erleichtert, geben Sie einen Schnittstellennamen für den virtuellen Loopback-Tunnel an und ordnen ihn einer Routing-Instanz zu, die zu einer bestimmten Routing-Tabelle gehört. Das Paket durchläuft den virtuellen Loopback-Tunnel für die Routensuche. Um den Namen einer Schnittstelle für einen virtuellen Loopback-Tunnel anzugeben, konfigurieren Sie die Schnittstelle des virtuellen Loopback-Tunnels auf Hierarchieebene [edit interfaces] und fügen die family inet Anweisungen and family mpls ein:
vt-fpc/pic/port {
unit 0 {
family inet;
family mpls;
}
unit 1 {
family inet;
}
}
Um den virtuellen Loopback-Tunnel einer Routing-Instanz zuzuordnen, fügen Sie den Schnittstellennamen des virtuellen Loopback-Tunnels auf der [edit routing-instances] Hierarchieebene ein:
interface vt-fpc/pic/port;
Bei virtuellen Loopback-Tunnelschnittstellen wird keine der logischen Schnittstellenanweisungen außer der family Anweisung unterstützt. Beachten Sie, dass Sie nur inet Familien mpls und keine IPv4- oder IPv6-Adressen auf virtuellen Loopback-Tunnelschnittstellen konfigurieren können. Außerdem unterstützen virtuelle Loopback-Tunnelschnittstellen keine CoS-Konfigurationen (Class-of-Service).
Siehe auch
Konfigurieren von Tunnelschnittstellen für die Routing-Tabellensuche
Um Tunnelschnittstellen so zu konfigurieren, dass die Suche nach Routingtabellen für VPNs erleichtert wird, geben Sie die Endpunkt-IP-Adressen eines Tunnels an und ordnen sie einer Routinginstanz zu, die zu einer bestimmten Routing-Tabelle gehört. Auf diese Weise kann das Junos-Betriebssystem in der entsprechenden Routing-Tabelle nach dem Routing-Präfix suchen, da dasselbe Präfix in mehreren Routing-Tabellen vorkommen kann. Um das Ziel-VPN zu konfigurieren, fügen Sie die routing-instance folgende Anweisung ein:
routing-instance { destination routing-instance-name; }
Sie können diese Anweisung auf den folgenden Hierarchieebenen einbinden:
[edit interfaces gr-fpc/pic/port unit logical-unit-number tunnel][edit logical-systems logical-system-name interfaces gr-fpc/pic/port unit logical-unit-number tunnel]
Diese Konfiguration gibt an, dass sich die Zieladresse des Tunnels in der Routinginstanz routing-instance-namebefindet. Standardmäßig wird davon ausgegangen, dass sich die Tunnelroutenpräfixe in der Standard-Internet-Routingtabelle inet.0befinden.
Wenn Sie eine virtuelle Loopback-Tunnelschnittstelle und die vrf-table-label Anweisung auf derselben Routing-Instanz konfigurieren, hat die vrf-table-label Anweisung Vorrang vor der virtuellen Loopback-Tunnelschnittstelle. Weitere Informationen finden Sie unter Konfigurieren von Virtual Loopback-Tunneln für die VRF-Tabellensuche.
Weitere Informationen zu VPNs finden Sie in der Junos OS VPNs-Bibliothek für Routing-Geräte.
Siehe auch
Beispiel: Konfigurieren eines virtuellen Loopback-Tunnels für die VRF-Tabellensuche
Konfigurieren Sie einen virtuellen Loopback-Tunnel für die VRF-Tabellensuche:
[edit routing-instances]
routing-instance-1 {
instance-type vrf;
interface vt-1/0/0.0;
interface so-0/2/2.0;
route-distinguisher 2:3;
vrf-import VPN-A-import;
vrf-export VPN-A-export;
routing-options {
static {
route 10.0.0.0/8 next-hop so-0/2/2.0;
}
}
}
routing-instance-2 {
instance-type vrf;
interface vt-1/0/0.1;
interface so-0/3/2.0;
route-distinguisher 4:5;
vrf-import VPN-B-import;
vrf-export VPN-B-export;
routing-options {
static {
route 10.0.0.0/8 next-hop so-0/3/2.0;
}
}
}
[edit interfaces]
vt-1/0/0 {
unit 0 {
family inet;
family mpls;
}
unit 1 {
family inet;
}
}
Siehe auch
Beispiel: Virtual Routing and Forwarding (VRF) und Dienstkonfiguration
Im folgenden Beispiel werden virtuelles Routing und Weiterleitung (VRF) und die Konfiguration von Diensten kombiniert:
[edit policy-options]
policy-statement test-policy {
term t1 {
then reject;
}
}
[edit routing-instances]
test {
interface ge-0/2/0.0;
interface sp-1/3/0.20;
instance-type vrf;
route-distinguisher 10.58.255.1:37;
vrf-import test-policy;
vrf-export test-policy;
routing-options {
static {
route 0.0.0.0/0 next-table inet.0;
}
}
}
[edit interfaces]
ge-0/2/0 {
unit 0 {
family inet {
service {
input service-set nat-me;
output service-set nat-me;
}
}
}
}
sp-1/3/0 {
unit 0 {
family inet;
}
unit 20 {
family inet;
service-domain inside;
}
unit 21 {
family inet;
service-domain outside;
}
[edit services]
stateful-firewall {
rule allow-any-input {
match-direction input;
term t1 {
then accept;
}
}
}
nat {
pool hide-pool {
address 10.58.16.100;
port automatic;
}
rule hide-all-input {
match-direction input;
term t1 {
then {
translated {
source-pool hide-pool;
translation-type source napt-44;
}
}
}
}
}
service-set nat-me {
stateful-firewall-rules allow-any-input;
nat-rules hide-all-input;
interface-service {
service-interface sp-1/3/0.20;
}
}
}