Konfigurieren von OSPFv2-Scheinlinks
Übersicht über OSPFv2-Scheinlinks
Sie können eine bereichsinterne Verbindung oder eine Scheinverbindung zwischen zwei PE-Routinggeräten (Provider Edge) erstellen, sodass der VPN-Backbone dem Backdoor-Link vorgezogen wird. Ein Backdoor-Link ist ein Backup-Link, der Kunden-Edge-Geräte (CE) verbindet, falls das VPN-Backbone nicht verfügbar ist. Wenn eine solche Sicherungsverbindung verfügbar ist und sich die CE-Geräte im selben OSPF-Bereich befinden, wird diese Sicherungsverbindung standardmäßig dem VPN-Backbone vorgezogen. Dies liegt daran, dass die Backup-Verbindung als Intra-Area-Link betrachtet wird, während der VPN-Backbone immer als Interarea-Link betrachtet wird. Intra-Area-Links werden immer gegenüber Interarea-Links bevorzugt.
Bei der Scheinverbindung handelt es sich um eine nicht nummerierte Punkt-zu-Punkt-Verbindung innerhalb des Bereichs zwischen PE-Geräten. Wenn das VPN-Backbone über eine Scheinverbindung innerhalb eines Bereichs verfügt, kann diese Scheinverbindung dem Sicherungslink vorgezogen werden, wenn der Scheinlink eine niedrigere OSPF-Metrik als die Sicherungsverbindung aufweist.
Der Scheinlink wird mithilfe von Link State Advertisements (LSAs) vom Typ 1 angekündigt. Scheinlinks sind nur für Routinginstanzen und OSPFv2 gültig.
Jeder Scheinlink wird durch die Kombination einer lokalen Endgeräteadresse und einer Remoteendpunktadresse identifiziert. Abbildung 1 zeigt einen OSPFv2-Scheinlink. Router CE1 und Router CE2 befinden sich im selben OSPFv2-Bereich. Diese Kunden-Edge (CE)-Routing-Geräte sind über ein Layer-3-VPN über Router PE1 und Router PE2 miteinander verbunden. Darüber hinaus sind Router CE1 und Router CE2 über eine Intra-Area-Verbindung verbunden, die als Backup dient.
OSPFv2 behandelt die Verbindung über das Layer-3-VPN als Interarea-Link. Standardmäßig bevorzugt OSPFv2 standortinterne Verbindungen gegenüber standortübergreifenden Verbindungen, sodass OSPFv2 die gebietsinterne Sicherungsverbindung als aktiven Pfad auswählt. Dies ist nicht akzeptabel in einer Konfiguration, in der die Verbindung innerhalb des Bereichs nicht der erwartete primäre Pfad für den Datenverkehr zwischen den CE-Routing-Geräten ist. Sie können die Metrik für die Scheinverbindung konfigurieren, um sicherzustellen, dass der Pfad über das Layer-3-VPN einem Backup-Pfad über eine bereichsinterne Verbindung zwischen den CE-Routing-Geräten vorgezogen wird.
Für den Remoteendpunkt können Sie die OSPFv2-Schnittstelle als Bedarfsschaltung konfigurieren, die IPsec-Authentifizierung konfigurieren (die eigentliche IPsec-Authentifizierung wird separat konfiguriert) und den Metrikwert definieren.
Sie sollten einen OSPFv2-Scheinlink unter den folgenden Umständen konfigurieren:
Zwei CE-Routing-Geräte sind über ein Layer-3-VPN miteinander verbunden.
Diese CE-Routing-Geräte befinden sich im selben OSPFv2-Bereich.
Zwischen den beiden CE-Routing-Geräten wird eine bereichsinterne Verbindung konfiguriert.
Wenn keine bereichsinterne Verbindung zwischen den CE-Routing-Geräten vorhanden ist, müssen Sie keine OSPFv2-Scheinverbindung konfigurieren.
In Junos OS Version 9.6 und höher ist ein OSPFv2-Scheinlink in der Routing-Tabelle als versteckte Route installiert. Außerdem wird eine BGP-Route nicht nach OSPFv2 exportiert, wenn ein entsprechender OSPF-Scheinlink verfügbar ist.
In Junos OS Version 16.1 und höher werden OSPF-Scheinlinks auf Standardinstanzen unterstützt. Die Kosten für den Scheinlink werden dynamisch auf die aigp-Metrik der BGP-Route festgelegt, wenn der Benutzer keine Metrik für den Scheinlink konfiguriert hat. Wenn die aigp-metrik nicht in der BGP-Route vorhanden ist, werden die Scheinverbindungskosten standardmäßig auf 1 gesetzt.
Beispiel: Konfigurieren von OSPFv2-Scheinlinks
In diesem Beispiel wird gezeigt, wie OSPFv2-Scheinverbindungen auf einem PE-Routinggerät aktiviert werden.
Anforderungen
Vor der Konfiguration dieses Beispiels ist keine spezielle Konfiguration erforderlich, die über die Geräteinitialisierung hinausgeht.
Überblick
Bei der Scheinverbindung handelt es sich um eine nicht nummerierte Punkt-zu-Punkt-Verbindung innerhalb eines Bereichs, die mittels einer Link-State-Advertisement (LSA) vom Typ 1 beworben wird. Scheinlinks sind nur für Routinginstanzen und OSPFv2 gültig.
Jeder Scheinlink wird durch eine Kombination aus der lokalen Endgeräteadresse und einer Remoteendpunktadresse sowie dem OSPFv2-Bereich, zu dem er gehört, identifiziert. Sie konfigurieren manuell die Scheinverbindung zwischen zwei PE-Geräten, die sich beide in derselben VPN-Routing- und Weiterleitungsinstanz (VRF) befinden, und geben die Adresse für den lokalen Endpunkt der Scheinverbindung an. Diese Adresse wird als Quelle für die Scheinverbindungspakete verwendet und wird auch von dem Remote-PE-Routinggerät als Remoteendpunkt der Scheinverbindung verwendet. Sie können auch die optionale metric Option zum Festlegen eines Metrikwerts für den Remoteendpunkt einschließen. Der Metrikwert gibt die Kosten für die Verwendung des Links an. Routen mit niedrigeren Gesamtpfadmetriken werden gegenüber solchen mit höheren Pfadmetriken bevorzugt.
So aktivieren Sie OSPFv2-Scheinlinks auf einem PE-Routinggerät:
Konfigurieren Sie eine zusätzliche Loopback-Schnittstelle auf dem PE-Routing-Gerät.
Konfigurieren Sie die VRF-Routing-Instanz, die Layer-3-VPNs auf dem PE-Routing-Gerät unterstützt, und ordnen Sie den Scheinlink einem vorhandenen OSPF-Bereich zu. Die OSPFv2-Scheinverbindungskonfiguration ist ebenfalls in der Routinginstanz enthalten. Sie konfigurieren die lokale Endpunktadresse der Scheinverbindung, bei der es sich um die Loopback-Adresse des lokalen VPNs handelt, und die Adresse des Remote-Endgeräts, bei der es sich um die Loopback-Adresse des Remote-VPN handelt. In diesem Beispiel hat die VRF-Routinginstanz den Namen rot.
Abbildung 2 zeigt einen OSPFv2-Scheinlink.
Topologie
Die Geräte in der Abbildung stellen die folgenden Funktionen dar:
CE1 und CE2 sind die Edge-Geräte des Kunden.
PE1 und PE2 sind die Edge-Geräte des Anbieters.
P ist das Provider-Gerät.
Die CLI-Schnellkonfiguration zeigt die Konfiguration für alle Geräte in Abbildung 2. Im Abschnitt Schritt-für-Schritt-Vorgehensweise werden die Schritte auf Gerät PE1 beschrieben.
Konfiguration
Verfahren
CLI Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle erforderlichen Details, damit sie Ihrer Netzwerkkonfiguration entsprechen, und kopieren Sie dann die Befehle, und fügen Sie sie dann in die CLI auf der [edit] Hierarchieebene ein.
CE1
set interfaces fe-1/2/0 unit 0 family inet address 10.1.1.1/30 set interfaces fe-1/2/0 unit 0 family mpls set interfaces fe-1/2/1 unit 0 family inet address 10.0.0.17/30 set interfaces lo0 unit 0 family inet address 192.0.2.1/24 set protocols ospf area 0.0.0.0 interface fe-1/2/0.0 set protocols ospf area 0.0.0.0 interface lo0.0 passive set protocols ospf area 0.0.0.0 interface fe-1/2/1.0 metric 100 set policy-options policy-statement send-direct from protocol direct set policy-options policy-statement send-direct then accept set routing-options router-id 192.0.2.1 set routing-options autonomous-system 1
PE1-KARTON
set interfaces fe-1/2/0 unit 0 family inet address 10.1.1.2/30 set interfaces fe-1/2/0 unit 0 family mpls set interfaces fe-1/2/1 unit 0 family inet address 10.1.1.5/30 set interfaces fe-1/2/1 unit 0 family mpls set interfaces lo0 unit 0 family inet address 192.0.2.2/24 set interfaces lo0 unit 1 family inet address 198.51.100.2/24 set protocols mpls interface fe-1/2/1.0 set protocols bgp group toR4 type internal set protocols bgp group toR4 local-address 192.0.2.2 set protocols bgp group toR4 family inet-vpn unicast set protocols bgp group toR4 neighbor 192.0.2.4 set protocols ospf area 0.0.0.0 interface fe-1/2/1.0 set protocols ospf area 0.0.0.0 interface lo0.0 passive set protocols ldp interface fe-1/2/1.0 set protocols ldp interface lo0.0 set policy-options policy-statement bgp-to-ospf term 1 from protocol bgp set policy-options policy-statement bgp-to-ospf term 1 then accept set policy-options policy-statement bgp-to-ospf term 2 then reject set routing-instances red instance-type vrf set routing-instances red interface fe-1/2/0.0 set routing-instances red interface lo0.1 set routing-instances red route-distinguisher 2:1 set routing-instances red vrf-target target:2:1 set routing-instances red protocols ospf export bgp-to-ospf set routing-instances red protocols ospf sham-link local 198.51.100.2 set routing-instances red protocols ospf area 0.0.0.0 sham-link-remote 198.51.100.4 metric 10 set routing-instances red protocols ospf area 0.0.0.0 interface fe-1/2/0.0 set routing-instances red protocols ospf area 0.0.0.0 interface lo0.1 set routing-options router-id 192.0.2.2 set routing-options autonomous-system 2
P
set interfaces fe-1/2/0 unit 0 family inet address 10.1.1.6/30 set interfaces fe-1/2/0 unit 0 family mpls set interfaces fe-1/2/1 unit 0 family inet address 10.1.1.9/30 set interfaces fe-1/2/1 unit 0 family mpls set interfaces lo0 unit 3 family inet address 192.0.2.3/24 set protocols mpls interface all set protocols ospf area 0.0.0.0 interface lo0.3 passive set protocols ospf area 0.0.0.0 interface all set protocols ldp interface all set routing-options router-id 192.0.2.3
PE2-KARTON
set interfaces fe-1/2/0 unit 0 family inet address 10.1.1.10/30 set interfaces fe-1/2/0 unit 0 family mpls set interfaces fe-1/2/1 unit 0 family inet address 10.1.1.13/30 set interfaces fe-1/2/1 unit 0 family mpls set interfaces lo0 unit 0 family inet address 192.0.2.4/32 set interfaces lo0 unit 1 family inet address 198.51.100.4/32 set protocols mpls interface fe-1/2/0.0 set protocols bgp group toR2 type internal set protocols bgp group toR2 local-address 192.0.2.4 set protocols bgp group toR2 family inet-vpn unicast set protocols bgp group toR2 neighbor 192.0.2.2 set protocols ospf area 0.0.0.0 interface lo0.0 passive set protocols ospf area 0.0.0.0 interface fe-1/2/0.0 set protocols ldp interface fe-1/2/0.0 set protocols ldp interface lo0.0 set policy-options policy-statement bgp-to-ospf term 1 from protocol bgp set policy-options policy-statement bgp-to-ospf term 1 then accept set policy-options policy-statement bgp-to-ospf term 2 then reject set routing-instances red instance-type vrf set routing-instances red interface fe-1/2/1.0 set routing-instances red interface lo0.1 set routing-instances red route-distinguisher 2:1 set routing-instances red vrf-target target:2:1 set routing-instances red protocols ospf export bgp-to-ospf set routing-instances red protocols ospf sham-link local 198.51.100.4 set routing-instances red protocols ospf area 0.0.0.0 sham-link-remote 198.51.100.2 metric 10 set routing-instances red protocols ospf area 0.0.0.0 interface fe-1/2/1.0 set routing-instances red protocols ospf area 0.0.0.0 interface lo0.1 set routing-options router-id 192.0.2.4 set routing-options autonomous-system 2
CE2
set interfaces fe-1/2/0 unit 14 family inet address 10.1.1.14/30 set interfaces fe-1/2/0 unit 14 family mpls set interfaces fe-1/2/0 unit 18 family inet address 10.0.0.18/30 set interfaces lo0 unit 5 family inet address 192.0.2.5/24 set protocols ospf area 0.0.0.0 interface fe-1/2/0.14 set protocols ospf area 0.0.0.0 interface lo0.5 passive set protocols ospf area 0.0.0.0 interface fe-1/2/0.18 set policy-options policy-statement send-direct from protocol direct set policy-options policy-statement send-direct then accept set routing-options router-id 192.0.2.5 set routing-options autonomous-system 3
Schritt-für-Schritt-Anleitung
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Weitere Informationen zum Navigieren in der CLI finden Sie unter Ändern der Junos OS-Konfiguration im CLI-Benutzerhandbuch.
So konfigurieren Sie OSPFv2-Scheinlinks auf jedem PE-Gerät:
-
Konfigurieren Sie die Schnittstellen, einschließlich zwei Loopback-Schnittstellen.
[edit interfaces] user@PE1# set fe-1/2/0 unit 0 family inet address 10.1.1.2/30 user@PE1# set fe-1/2/0 unit 0 family mpls user@PE1# set fe-1/2/1 unit 0 family inet address 10.1.1.5/30 user@PE1# set fe-1/2/1 unit 0 family mpls user@PE1# set lo0 unit 0 family inet address 192.0.2.2/24 user@PE1# set lo0 unit 1 family inet address 198.51.100.2/24
-
Konfigurieren Sie MPLS auf der Core-Schnittstelle.
[edit protocols mpls] user@PE1# set interface fe-1/2/1.0
-
Konfigurieren Sie internes BGP (IBGP).
[edit ] user@PE1# set protocols bgp group toR4 type internal user@PE1# set protocols bgp group toR4 local-address 192.0.2.2 user@PE1# set protocols bgp group toR4 family inet-vpn unicast user@PE1# set protocols bgp group toR4 neighbor 192.0.2.4
-
Konfigurieren Sie OSPF auf der Core-Schnittstelle und auf der Loopback-Schnittstelle, die in der Hauptinstanz verwendet wird.
[edit protocols ospf area 0.0.0.0] user@PE1# set interface fe-1/2/1.0 user@PE1# set interface lo0.0 passive
-
Konfigurieren Sie LDP oder RSVP auf der Core-Schnittstelle und auf der Loopback-Schnittstelle, die in der Hauptinstanz verwendet wird.
[edit protocols ldp] user@PE1# set interface fe-1/2/1.0 user@PE1# set interface lo0.0
-
Konfigurieren Sie eine Routing-Richtlinie für die Verwendung in der Routing-Instanz.
[edit policy-options policy-statement bgp-to-ospf] user@PE1# set term 1 from protocol bgp user@PE1# set term 1 then accept user@PE1# set term 2 then reject
-
Konfigurieren Sie die Routing-Instanz.
[edit routing-instances red] user@PE1# set instance-type vrf user@PE1# set interface fe-1/2/0.0 user@PE1# set route-distinguisher 2:1 user@PE1# set vrf-target target:2:1 user@PE1# set protocols ospf export bgp-to-ospf user@PE1# set protocols ospf area 0.0.0.0 interface fe-1/2/0.0
-
Konfigurieren Sie den OSPFv2-Scheinlink.
Schließen Sie die zusätzliche Loopback-Schnittstelle in die Routing-Instanz und auch in die OSPF-Konfiguration ein.
Beachten Sie, dass die Metrik auf der Sham-Link-Schnittstelle auf 10 festgelegt ist. Auf dem Backup-OSPF-Link von Gerät CE1 ist die Metrik auf 100 festgelegt. Dies führt dazu, dass der Scheinlink der bevorzugte Link ist.
[edit routing-instances red] user@PE1# set interface lo0.1 user@PE1# set protocols ospf sham-link local 198.51.100.2 user@PE1# set protocols ospf area 0.0.0.0 sham-link-remote 198.51.100.4 metric 10 user@PE1# set protocols ospf area 0.0.0.0 interface lo0.1
-
Konfigurieren Sie die Nummer des autonomen Systems (AS) und die Router-ID.
[edit routing-options] user@PE1# set router-id 192.0.2.2 user@PE1# set autonomous-system 2
-
Wenn Sie mit der Konfiguration des Geräts fertig sind, bestätigen Sie die Konfiguration.
[edit] user@R1# commit
Befund
Bestätigen Sie Ihre Konfiguration, indem Sie die show interfaces und die show routing-instances Befehle eingeben. Wenn in der Ausgabe nicht die beabsichtigte Konfiguration angezeigt wird, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.
Ausgang für PE1:
user@PE1# show interfaces
fe-1/2/0 {
unit 0{
family inet {
address 10.1.1.2/30;
}
family mpls;
}
}
fe-1/2/1 {
unit 0 {
family inet {
address 10.1.1.5/30;
}
family mpls;
}
}
lo0 {
unit 0 {
family inet {
address 192.0.2.2/24;
}
}
unit 1 {
family inet {
address 198.51.100.2/24;
}
}
}
user@PE1# show protocols
mpls {
interface fe-1/2/1.0;
}
bgp {
group toR4 {
type internal;
local-address 192.0.2.2;
family inet-vpn {
unicast;
}
neighbor 192.0.2.4;
}
}
ospf {
area 0.0.0.0 {
interface fe-1/2/1.0;
interface lo0.0 {
passive;
}
}
}
ldp {
interface fe-1/2/1.0;
interface lo0.0;
}
user@PE1# show policy-options
policy-statement bgp-to-ospf {
term 1 {
from protocol bgp;
then accept;
}
term 2 {
then reject;
}
}
user@PE1# show routing-instances
red {
instance-type vrf;
interface fe-1/2/0.0;
interface lo0.1;
route-distinguisher 2:1;
vrf-target target:2:1;
protocols {
ospf {
export bgp-to-ospf;
sham-link local 198.51.100.2;
area 0.0.0.0 {
sham-link-remote 198.51.100.4 metric 10;
interface fe-1/2/0.0;
interface lo0.1;
}
}
}
}
user@PE1# show routing-options router-id 192.0.2.2; autonomous-system 2;
Verifizierung
Vergewissern Sie sich, dass die Konfiguration ordnungsgemäß funktioniert.
- Überprüfen der Scheinlinkschnittstellen
- Überprüfen der lokalen und Remote-Endpunkte des Scheinlinks
- Überprüfen der Scheinlink-Nachbarschaften
- Überprüfen der Link-State-Ankündigung
- Überprüfen der Pfadauswahl
Überprüfen der Scheinlinkschnittstellen
Zweck
Überprüfen Sie die Scheinlink-Schnittstelle. Der Scheinlink wird in OSPFv2 als Schnittstelle behandelt, wobei der Name als angezeigt wird shamlink.<unique identifier>, wobei der eindeutige Bezeichner eine Zahl ist. Beispiel: shamlink.0. Der Scheinlink wird als Punkt-zu-Punkt-Schnittstelle angezeigt.
Aktion
Geben Sie im Betriebsmodus den show ospf interface instance instance-name Befehl ein.
user@PE1> show ospf interface instance red Interface State Area DR ID BDR ID Nbrs lo0.1 DR 0.0.0.0 198.51.100.2 0.0.0.0 0 fe-1/2/0.0 PtToPt 0.0.0.0 0.0.0.0 0.0.0.0 1 shamlink.0 PtToPt 0.0.0.0 0.0.0.0 0.0.0.0 1
Überprüfen der lokalen und Remote-Endpunkte des Scheinlinks
Zweck
Überprüfen Sie die lokalen und Remoteendpunkte der Scheinverbindung. Die MTU für die Schein-Link-Schnittstelle ist immer Null.
Aktion
Geben Sie im Betriebsmodus den show ospf interface instance instance-name detail Befehl ein.
user@PE1> show ospf interface shamlink.0 instance red Interface State Area DR ID BDR ID Nbrs shamlink.0 PtToPt 0.0.0.0 0.0.0.0 0.0.0.0 1 Type: P2P, Address: 0.0.0.0, Mask: 0.0.0.0, MTU: 0, Cost: 10 Local: 198.51.100.2, Remote: 198.51.100.4 Adj count: 1 Hello: 10, Dead: 40, ReXmit: 5, Not Stub Auth type: None Protection type: None, No eligible backup Topology default (ID 0) -> Cost: 10
Überprüfen der Scheinlink-Nachbarschaften
Zweck
Überprüfen Sie die Nachbarschaften zwischen den konfigurierten Scheinlinks.
Aktion
Geben Sie im Betriebsmodus den show ospf neighbor instance instance-name Befehl ein.
user@PE1> show ospf neighbor instance red Address Interface State ID Pri Dead 10.1.1.1 fe-1/2/0.0 Full 192.0.2.1 128 35 198.51.100.4 shamlink.0 Full 198.51.100.4 0 31
Überprüfen der Link-State-Ankündigung
Zweck
Vergewissern Sie sich, dass die von der Instance stammende Router-LSA die Scheinlink-Nachbarschaft als nicht nummerierten Punkt-zu-Punkt-Link aufweist. Die Linkdaten für Scheinlinks sind eine Zahl, die von 0x80010000 bis 0x8001ffff reicht.
Aktion
Geben Sie im Betriebsmodus den show ospf database instance instance-name Befehl ein.
user@PE1> show ospf database instance red
OSPF database, Area 0.0.0.0
Type ID Adv Rtr Seq Age Opt Cksum Len
Router 192.0.2.1 192.0.2.1 0x80000009 1803 0x22 0x6ec7 72
Router 192.0.2.5 192.0.2.5 0x80000007 70 0x22 0x2746 72
Router *198.51.100.2 198.51.100.2 0x80000006 55 0x22 0xda6b 60
Router 198.51.100.4 198.51.100.4 0x80000005 63 0x22 0xb19 60
Network 10.0.0.18 192.0.2.5 0x80000002 70 0x22 0x9a71 32
OSPF AS SCOPE link state database
Type ID Adv Rtr Seq Age Opt Cksum Len
Extern 198.51.100.2 198.51.100.4 0x80000002 72 0xa2 0x343 36
Extern *198.51.100.4 198.51.100.2 0x80000002 71 0xa2 0xe263 36
Überprüfen der Pfadauswahl
Zweck
Stellen Sie sicher, dass der Layer 3-VPN-Pfad anstelle des Sicherungspfads verwendet wird.
Aktion
Geben Sie im Betriebsmodus den traceroute Befehl von Gerät CE1 zu Gerät CE2 ein.
user@CE1> traceroute 192.0.2.5
traceroute to 192.0.2.5 (192.0.2.5), 30 hops max, 40 byte packets
1 10.1.1.2 (10.1.1.2) 1.930 ms 1.664 ms 1.643 ms
2 * * *
3 10.1.1.10 (10.1.1.10) 2.485 ms 1.435 ms 1.422 ms
MPLS Label=299808 CoS=0 TTL=1 S=1
4 192.0.2.5 (192.0.2.5) 1.347 ms 1.362 ms 1.329 ms
Bedeutung
Der Traceroute-Vorgang zeigt, dass das Layer-3-VPN der bevorzugte Pfad ist. Wenn Sie den Scheinlink entfernen oder die OSPF-Metrik so ändern, dass dieser Sicherungspfad bevorzugt wird, zeigt die Traceroute an, dass der Sicherungspfad bevorzugt wird.