Konfigurieren von Routing-Instanzen auf PE-Routern in VPNs
Sie müssen eine Routing-Instanz für jedes VPN auf jedem der PE-Router konfigurieren, die am VPN teilnehmen. Die in diesem Abschnitt beschriebenen Konfigurationsverfahren gelten für Layer-2-VPNs, Layer-3-VPNs und VPLS. Die für jeden VPN-Typ spezifischen Konfigurationsverfahren werden in den entsprechenden Abschnitten in den anderen Konfigurationskapiteln beschrieben.
Fügen Sie zum Konfigurieren von Routing-Instanzen für VPNs die folgenden Anweisungen ein:
description text; instance-type type; interface interface-name; route-distinguisher (as-number:number | ip-address:number); vrf-import [ policy-names ]; vrf-export [ policy-names ]; vrf-target { export community-name; import community-name; }
Sie können diese Anweisungen auf den folgenden Hierarchieebenen einschließen:
[edit routing-instances routing-instance-name][edit logical-systems logical-system-name routing-instances routing-instance-name]
Um VPN-Routinginstanzen zu konfigurieren, führen Sie die Schritte in den folgenden Abschnitten aus:
Konfigurieren des Routing-Instanznamens für ein VPN
Der Name der Routing-Instanz für ein VPN darf maximal 128 Zeichen lang sein und Buchstaben, Zahlen und Bindestriche enthalten. In modernen Junos OS-Versionen können Sie nicht den tatsächlichen Namen der Routing-Instanz angeben default . Sie dürfen auch keine Sonderzeichen verwenden (! @ # $ % ^ & * , +< > : ;) innerhalb des Namens einer Routing-Instanz.
Sie können nur dann einen Schrägstrich (/) in den Namen einer Routing-Instanz einfügen, wenn kein logisches System konfiguriert ist. Das heißt, Sie können den Schrägstrich nicht in einen Routinginstanznamen aufnehmen, wenn ein anderes logisches System als das Standardsystem explizit konfiguriert ist.
Geben Sie den Namen der routing-Instanz mit der routing-instance folgenden Anweisung an:
routing-instance routing-instance-name {...}
Sie können diese Anweisung auf den folgenden Hierarchieebenen einschließen:
[edit][edit logical-systems logical-system-name]
Konfigurieren der Beschreibung
Um eine Textbeschreibung für die Routing-Instanz bereitzustellen, fügen Sie die description Anweisung ein. Wenn der Text ein oder mehrere Leerzeichen enthält, setzen Sie diese in Anführungszeichen (" "). Jeder beschreibende Text, den Sie einfügen, wird in der show route instance detail Ausgabe des Befehls angezeigt und hat keine Auswirkungen auf den Betrieb der Routing-Instanz.
Um eine Textbeschreibung zu konfigurieren, fügen Sie die description folgende Anweisung ein:
description text;
Sie können diese Anweisung auf den folgenden Hierarchieebenen einschließen:
[edit routing-instances routing-instance-name][edit logical-systems logical-system-name routing-instances routing-instance-name]
Konfigurieren des Instance-Typs
Der von Ihnen konfigurierte Instance-Typ variiert je nachdem, ob Sie Layer-2-VPNs, Layer-3-VPNs, VPLS oder virtuelle Router konfigurieren. Geben Sie den Instanztyp an, indem Sie die instance-type folgende Anweisung einfügen:
Um Layer-2-VPN-Routing auf einem PE-Router zu aktivieren, fügen Sie die
instance-typeAnweisung ein, und geben Sie den Wertl2vpnan:instance-type l2vpn;
Um VPLS-Routing auf einem PE-Router zu aktivieren, fügen Sie die
instance-typeAnweisung hinzu und geben Sie den Wertvplsan:instance-type vpls;
Layer-3-VPNs erfordern, dass jeder PE-Router über eine VPN-Routing- und Weiterleitungstabelle (VRF) zum Verteilen von Routen innerhalb des VPN verfügt. Um die VRF-Tabelle auf dem PE-Router zu erstellen, fügen Sie die
instance-typeAnweisung hinzu und geben Sie den Wertvrfan:instance-type vrf;
Hinweis:Auf Routing-Engine basierende Abtastung wird auf VRF-Routing-Instanzen nicht unterstützt.
Um die Routing-Instanz des virtuellen Routers zu aktivieren, fügen Sie die
instance-typeAnweisung ein und geben Sie den Wertvirtual-routeran:instance-type virtual-router;
Sie können diese Anweisung auf den folgenden Hierarchieebenen einschließen:
[edit routing-instances routing-instance-name][edit logical-systems logical-system-name routing-instances routing-instance-name]
Schnittstellen für VPN-Routing konfigurieren
Auf jedem PE-Router müssen Sie eine Schnittstelle konfigurieren, über die der VPN-Datenverkehr zwischen den PE- und CE-Routern übertragen wird.
In den folgenden Abschnitten wird beschrieben, wie Schnittstellen für VPNs konfiguriert werden:
- Allgemeine Konfiguration für VPN-Routing
- Konfigurieren von Schnittstellen für Layer-3-VPNs
- Schnittstellen für Carrier-of-Carriers-VPNs konfigurieren
- Konfigurieren von Unicast RPF auf VPN-Schnittstellen
Allgemeine Konfiguration für VPN-Routing
Die in diesem Abschnitt beschriebene Konfiguration gilt für alle Arten von VPNs. Schließen Sie für Layer-3-VPNs und Carrier-of-Carriers-VPNs die in diesem Abschnitt beschriebene Konfiguration ab, bevor Sie mit den Abschnitten zur Schnittstellenkonfiguration fortfahren, die speziell für diese Themen gelten.
Um Schnittstellen für VPN-Routing zu konfigurieren, fügen Sie die interface folgende Anweisung ein:
interface interface-name;
Sie können diese Anweisung auf den folgenden Hierarchieebenen einschließen:
[edit routing-instances routing-instance-name][edit logical-systems logical-system-name routing-instances routing-instance-name]
Geben Sie sowohl den physischen als auch den logischen Teil des Schnittstellennamens im folgenden Format an:
physical.logical
Beispielsweise ist in at-1/2/1.2der at-1/2/1 der physische Teil des Schnittstellennamens und 2 der logische Teil. Wenn Sie den logischen Teil des Schnittstellennamens nicht angeben, wird der Wert 0 standardmäßig festgelegt.
Eine logische Schnittstelle kann nur einer Routing-Instanz zugeordnet werden. Wenn Sie ein Routing-Protokoll auf allen Instanzen aktivieren, indem Sie bei der Konfiguration der Master-Instanz des Protokolls auf Hierarchieebene [edit protocols] angebeninterfaces all, und wenn Sie eine bestimmte Schnittstelle für VPN-Routing auf Hierarchieebene [edit routing-instances routing-instance-name] oder auf Hierarchieebene [edit logical-systems logical-system-name routing-instances routing-instance-name] konfigurieren, hat die letztere Schnittstellenanweisung Vorrang und die Schnittstelle wird ausschließlich für das VPN verwendet.
Wenn Sie explizit denselben Schnittstellennamen auf der [edit protocols] Hierarchieebene und auf der [edit routing-instances routing-instance-name] ODER-Hierarchieebene [edit logical-systems logical-system-name routing-instances routing-instance-name] konfigurieren, schlägt der Versuch, die Konfiguration zu bestätigen, fehl.
Konfigurieren von Schnittstellen für Layer-3-VPNs
Wenn Sie die Layer-3-VPN-Schnittstellen auf Hierarchieebene [edit interfaces] konfigurieren, müssen Sie bei der Konfiguration der logischen Schnittstelle auch konfigurieren family inet :
[edit interfaces]
interface-name {
unit logical-unit-number {
family inet;
}
}
Schnittstellen für Carrier-of-Carriers-VPNs konfigurieren
Wenn Sie Carrier-of-Carriers-VPNs konfigurieren, müssen Sie die family mpls Anweisung zusätzlich zu der family inet Anweisung für die Schnittstellen zwischen den PE- und CE-Routern konfigurieren. Konfigurieren Sie für Carrier-of-Carriers-VPNs die logische Schnittstelle wie folgt:
[edit interfaces]
interface-name {
unit logical-unit-number {
family inet;
family mpls;
}
}
Wenn Sie die logische Schnittstelle konfigurieren family mpls und diese Schnittstelle dann für eine Nicht-Carrier-of-Carriers-Routing-Instanz konfigurieren, wird die family mpls Anweisung automatisch aus der Konfiguration für die logische Schnittstelle entfernt, da sie nicht benötigt wird.
Konfigurieren von Unicast RPF auf VPN-Schnittstellen
Für VPN-Schnittstellen, die Datenverkehr der IP-Version 4 oder -Version 6 (IPv4 oder IPv6) übertragen, können Sie die Auswirkungen von Denial-of-Service-Angriffen (DoS) reduzieren, indem Sie die Unicast-RPF (Reverse Path Forwarding) konfigurieren. Unicast RPF hilft bei der Ermittlung der Quelle von Angriffen und lehnt Pakete von unerwarteten Quelladressen an Schnittstellen ab, an denen Unicast-RPF aktiviert ist.
Sie können Unicast-RPF auf einer VPN-Schnittstelle konfigurieren, indem Sie Unicast-RPF auf der Schnittstelle aktivieren und die interface Anweisung auf Hierarchieebene [edit routing-instances routing-instance-name] einschließen.
Sie können Unicast-RPF nicht auf den Core-Schnittstellen konfigurieren. Sie können Unicast RPF nur auf den CE Router-zu-PE-Router Schnittstellen auf der PE-Router konfigurieren. Für virtuelle Router-Routing-Instanzen wird Unicast-RPF jedoch auf allen Schnittstellen unterstützt, die Sie in der Routing-Instanz angeben.
Informationen zum Konfigurieren von Unicast-RPF auf VPN-Schnittstellen finden Sie unter Grundlegendes zu Unicast-RPF (Router).
Konfigurieren der Routenunterscheidung
Jeder Routing-Instanz, die Sie auf einem PE-Router konfigurieren, muss eine eindeutige Routenunterscheidung zugeordnet sein. VPN-Routing-Instanzen benötigen eine Routenunterscheidung, damit BGP zwischen potenziell identischen NLRI-Nachrichten (Network Layer Reachability Information) unterscheiden kann, die von verschiedenen VPNs empfangen werden. Wenn Sie verschiedene VPN-Routinginstanzen mit derselben Routenunterscheidung konfigurieren, schlägt der Commit fehl.
Wenn Sie die l2vpn-use-bgp-rules Anweisung für Layer-2-VPNs und VPLS konfiguriert haben, müssen Sie für jeden PE-Router, der an einer bestimmten Routing-Instanz beteiligt ist, eine eindeutige Routenunterscheidung konfigurieren.
Für andere VPN-Typen wird empfohlen, für jeden PE-Router, der an der Routing-Instanz beteiligt ist, eine eindeutige Route zu unterscheiden. Obwohl Sie auf allen PE-Routern für dieselbe VPN-Routing-Instanz dieselbe Routenunterscheidung verwenden können (mit Ausnahme von Layer-2-VPNs und VPLS), können Sie bei Verwendung einer eindeutigen Routenunterscheidung den CE-Router bestimmen, von dem eine Route innerhalb des VPN stammt.
Um eine Routenunterscheidung auf einem PE-Router zu konfigurieren, fügen Sie die route-distinguisher folgende Anweisung ein:
route-distinguisher (as-number:number | ip-address:number);
Eine Liste der Hierarchieebenen, auf denen Sie diese Anweisung einschließen können, finden Sie im Abschnitt Zusammenfassung der Anweisungen für diese Anweisung.
Der Routenunterschied ist ein 6-Byte-Wert, den Sie in einem der folgenden Formate angeben können:
as-number:number, wobeias-numbereine autonome Systemnummer (AS) (ein 2-Byte-Wert) undnumberein beliebiger 4-Byte-Wert ist. Die AS-Nummer kann im Bereich von 1 bis 65.535 liegen. Es wird empfohlen, eine Internet Assigned Numbers Authority (IANA) zugewiesene, nicht private AS Nummer zu verwenden, vorzugsweise die eigene Nummer des Internet Service Providers (ISP) oder der AS des Kunden.ip-address:number, wobeiip-addresseine IP-Adresse (ein 4-Byte-Wert) undnumberein beliebiger 2-Byte-Wert ist. Die IP-Adresse kann eine beliebige, weltweit eindeutige Unicast-Adresse sein. Es wird empfohlen, die Adresse zu verwenden, die Sie in derrouter-idAnweisung konfigurieren, bei der es sich um eine nicht private Adresse in Ihrem zugewiesenen Präfixbereich handelt.
Konfigurieren automatischer Routenunterscheidungsmerkmale
Wenn Sie die route-distinguisher-id Anweisung auf Hierarchieebene [edit routing-options] konfigurieren, wird der Routing-Instanz automatisch ein Routenunterscheidungsmerkmal zugewiesen. Wenn Sie die route-distinguisher Anweisung zusätzlich zur route-distinguisher-id Anweisung konfigurieren, ersetzt der für konfigurierte route-distinguisher Wert den Wert, der von generiert wird route-distinguisher-id.
Um eine Routenunterscheidung automatisch zuzuweisen, fügen Sie die route-distinguisher-id folgende Anweisung ein:
route-distinguisher-id ip-address;
Sie können diese Anweisung auf den folgenden Hierarchieebenen einschließen:
[edit routing-options][edit logical-systems logical-system-name routing-options]
Eine Route vom Typ 1 wird der Routing-Instanz automatisch im Format ip-address:numberzugewiesen. Die IP-Adresse wird durch die route-distinguisher-id Anweisung angegeben und die Nummer ist für die Routing-Instanz eindeutig.