Konfigurieren logischer Einheiten auf der Loopback-Schnittstelle für Routing-Instanzen in Layer 3-VPNs
Für Layer-3-VPNs (VRF-Routinginstanzen) können Sie eine logische Einheit an der Loopback-Schnittstelle in jede VRF-Routinginstanz konfigurieren, die Sie auf dem Router konfiguriert haben. Durch die Zuordnung einer VRF-Routinginstanz zu einer logischen Einheit an der Loopback-Schnittstelle können Sie die VRF-Routinginstanz leicht identifizieren.
Dies ist nützlich für die Fehlerbehebung:
Sie können einen Remote-CE-Router von einem lokalen PE-Router in einem Layer-3-VPN pingen. Weitere Informationen finden Sie unter Beispiel: Fehlerbehebung bei Layer 3-VPNs.
Es stellt sicher, dass eine MTU-Prüfung (Path Maximum Transmission Unit) für Datenverkehr, der von einer VRF- oder virtuellen Router-Routinginstanz stammt, ordnungsgemäß funktioniert. Weitere Informationen finden Sie unter Konfigurieren von Pfad-MTU-Prüfungen für VPN-Routinginstanzen.
Sie können auch einen Firewall-Filter für die logische Einheit auf der Loopback-Schnittstelle konfigurieren; mit dieser Konfiguration können Sie den Datenverkehr für die ihr zugeordnete VRF-Routinginstanz filtern.
Im Folgenden wird beschrieben, wie sich Firewall-Filter auf die VRF-Routinginstanz auswirken, je nachdem, ob sie auf der Standard-Loopback-Schnittstelle, der VRF-Routinginstanz oder einer Kombination aus beiden konfiguriert sind. Die "Standard-Loopback-Schnittstelle" bezieht sich auf lo0.0
(verknüpft mit der Standard-Routingtabelle), und die "VRF-Loopback-Schnittstelle" bezieht sich auf lo0.n
, die in der VRF-Routinginstanz konfiguriert ist.
Wenn Sie Filter A auf der Standard-Loopback-Schnittstelle und Filter B auf der VRF-Loopback-Schnittstelle konfigurieren, verwendet die VRF-Routinginstanz Filter B.
Wenn Sie Filter A auf der Standard-Loopback-Schnittstelle konfigurieren, aber keinen Filter auf der VRF-Loopback-Schnittstelle konfigurieren, verwendet die VRF-Routinginstanz keinen Filter.
Wenn Sie Filter A auf der Standard-Loopback-Schnittstelle konfigurieren, aber keine VRF-Loopback-Schnittstelle konfigurieren, verwendet die VRF-Routinginstanz Filter A. Bei MX80-Geräten ist das Verhalten etwas anders: Wenn Sie Filter auf der Standard-Loopback-Schnittstelle konfigurieren, aber keine VRF-Loopback-Schnittstelle konfigurieren, verwendet die VRF-Routinginstanz nur die dem Standard-Loopback zugewiesenen Eingabefilter (sie verwendet keine Ausgabefilter aus dem Standard-Loopback).
Bei einigen universellen Metro-Routern der ACX-Serie (ACX1000, ACX2000, ACX4000 und ACX5000) muss der Standard-Loopback-Filter im selben Routing oder virtuellem Routing und Forwarding (VRF) sein, beispielsweise wie der eingehende Datenverkehr, den er filtert. Das heißt, auf diesen Geräten kann der Standard-Loopback-Filter nicht für den Datenverkehr verwendet werden, der eine Schnittstelle einer anderen Routinginstanz durchläuft.
Um eine logische Einheit auf der Loopback-Schnittstelle zu konfigurieren, fügen Sie die unit
Anweisung ein:
unit number { family inet { address address; } }
Sie können diese Anweisung auf den folgenden Hierarchieebenen einfügen:
[edit interfaces lo0]
[edit logical-systems logical-system-name interfaces lo0]
Um einen Firewall-Filter mit der logischen Einheit auf der Loopback-Schnittstelle zu verknüpfen, fügen Sie die filter
Anweisung ein:
filter { input filter-name; }
Sie können diese Anweisung auf den folgenden Hierarchieebenen einfügen:
[edit interfaces lo0 unit unit-number family inet]
[edit logical-systems logical-system-name interfaces lo0 unit unit-number family inet]
Um die lo0.n
Schnittstelle (wobei n
die logische Einheit angegeben wird) in die Konfiguration für die VRF-Routinginstanz einzuschließen, fügen Sie folgende Anweisung ein:
interface lo0.n;
Sie können diese Anweisung auf den folgenden Hierarchieebenen einfügen:
[edit routing-instances routing-instance-name]
[edit logical-systems logical-system-name routing-instances routing-instance-name]