Konfigurieren von Routing-Instanzen auf PE-Routern in VPNs
Sie müssen eine Routing-Instanz für jedes VPN auf jedem der am VPN teilnehmenden PE-Router konfigurieren. Die in diesem Abschnitt beschriebenen Konfigurationsverfahren gelten für Layer-2-VPNs, Layer-3-VPNs und VPLS. Die für jeden VPN-Typ spezifischen Konfigurationsverfahren werden in den entsprechenden Abschnitten der anderen Konfigurationskapitel beschrieben.
Um Routing-Instanzen für VPNs zu konfigurieren, fügen Sie die folgenden Anweisungen ein:
description text; instance-type type; interface interface-name; route-distinguisher (as-number:number | ip-address:number); vrf-import [ policy-names ]; vrf-export [ policy-names ]; vrf-target { export community-name; import community-name; }
Sie können diese Anweisungen auf den folgenden Hierarchieebenen einschließen:
[edit routing-instances routing-instance-name][edit logical-systems logical-system-name routing-instances routing-instance-name]
Um VPN-Routing-Instanzen zu konfigurieren, führen Sie die Schritte in den folgenden Abschnitten aus:
Konfigurieren des Routing-Instanznamens für ein VPN
Der Name der Routing-Instanz für ein VPN kann maximal 128 Zeichen und Buchstaben, Zahlen und Bindestriche enthalten. In Junos OS Version 9.0 und höher können Sie nicht mehr als den tatsächlichen Namen der Routing-Instanz angeben default . Sie können auch keine Sonderzeichen (! @ # $ % ^ & * , +< > : ;) im Namen einer Routing-Instanz.
In Junos OS Version 9.6 und höher können Sie einen Slash (/) nur in den Namen einer Routing-Instanz einschließen, wenn ein logisches System nicht konfiguriert ist. Das heißt, Sie können das Schrägstrichzeichen nicht in einen Routinginstanzennamen einschließen, wenn ein anderes logisches System als der Standard explizit konfiguriert ist.
Geben Sie den Namen der Routing-Instanz mit der Anweisung an routing-instance :
routing-instance routing-instance-name {...}
Sie können diese Anweisung auf den folgenden Hierarchieebenen einschließen:
[edit][edit logical-systems logical-system-name]
Konfigurieren der Beschreibung
Um eine Textbeschreibung für die Routinginstanz bereitzustellen, fügen Sie die Anweisung ein description . Wenn der Text ein oder mehrere Leerzeichen enthält, schließen Sie diese in Anführungszeichen (""). Jeder von Ihnen enthaltene beschreibende Text wird in der Ausgabe des show route instance detail Befehls angezeigt und hat keine Auswirkungen auf den Betrieb der Routing-Instanz.
Um eine Textbeschreibung zu konfigurieren, fügen Sie die Anweisung ein description :
description text;
Sie können diese Anweisung auf den folgenden Hierarchieebenen einschließen:
[edit routing-instances routing-instance-name][edit logical-systems logical-system-name routing-instances routing-instance-name]
Konfigurieren des Instanztyps
Der von Ihnen konfigurierte Instanztyp hängt davon ab, ob Sie Layer-2-VPNs, Layer-3-VPNs, VPLS oder virtuelle Router konfigurieren. Geben Sie den Instanztyp an, indem Sie die instance-type Anweisung angeben:
Um Layer-2-VPN-Routing auf einem PE-Router zu aktivieren, fügen Sie die
instance-typeAnweisung ein und geben Sie den Wertl2vpnan:instance-type l2vpn;
Um VPLS-Routing auf einem PE-Router zu aktivieren, fügen Sie die
instance-typeAnweisung ein und geben Sie den Wertvplsan:instance-type vpls;
Layer-3-VPNs erfordern, dass jeder PE-Router über eine VPN-Routing- und Weiterleitungstabelle (VRF) zur Verteilung von Routen innerhalb des VPN verfügt. Um die VRF-Tabelle auf dem PE-Router zu erstellen, fügen Sie die
instance-typeAnweisung ein und geben Sie den Wertvrfan:instance-type vrf;
Hinweis:Routing-Engine-basiertes Sampling wird auf VRF-Routing-Instanzen nicht unterstützt.
Um die Routing-Instanz des virtuellen Routers zu aktivieren, fügen Sie die
instance-typeAnweisung ein und geben Sie den Wertvirtual-routeran:instance-type virtual-router;
Sie können diese Anweisung auf den folgenden Hierarchieebenen einschließen:
[edit routing-instances routing-instance-name][edit logical-systems logical-system-name routing-instances routing-instance-name]
Konfigurieren von Schnittstellen für VPN-Routing
Auf jedem PE-Router müssen Sie eine Schnittstelle konfigurieren, über die der VPN-Datenverkehr zwischen den PE- und CE-Routern geleitet wird.
In den folgenden Abschnitten wird beschrieben, wie Schnittstellen für VPNs konfiguriert werden:
- Allgemeine Konfiguration für VPN-Routing
- Konfigurieren von Schnittstellen für Layer-3-VPNs
- Konfigurieren von Schnittstellen für Carrier-of-Carrier-VPNs
- Konfigurieren von Unicast RPF auf VPN-Schnittstellen
Allgemeine Konfiguration für VPN-Routing
Die in diesem Abschnitt beschriebene Konfiguration gilt für alle Arten von VPNs. Schließen Sie für Layer-3-VPNs und Carrier-of-Carrier-VPNs die in diesem Abschnitt beschriebene Konfiguration ab, bevor Sie mit den für diese Themen spezifischen Abschnitten zur Schnittstellenkonfiguration fortfahren.
Um Schnittstellen für VPN-Routing zu konfigurieren, fügen Sie die Anweisung ein interface :
interface interface-name;
Sie können diese Anweisung auf den folgenden Hierarchieebenen einschließen:
[edit routing-instances routing-instance-name][edit logical-systems logical-system-name routing-instances routing-instance-name]
Geben Sie sowohl den physischen als auch den logischen Teil des Schnittstellennamens im folgenden Format an:
physical.logical
In ist at-1/2/1 beispielsweise at-1/2/1.2der physische Teil des Schnittstellennamens und 2 der logische Teil. Wenn Sie den logischen Teil des Schnittstellennamens nicht angeben, wird der Wert 0 standardmäßig festgelegt.
Eine logische Schnittstelle kann nur einer Routing-Instanz zugeordnet werden. Wenn Sie ein Routing-Protokoll auf allen Instanzen aktivieren, indem Sie bei der Konfiguration der Masterinstanz des Protokolls auf [edit protocols] Hierarchieebene angebeninterfaces all, und wenn Sie eine bestimmte Schnittstelle für VPN-Routing auf [edit routing-instances routing-instance-name] Hierarchieebene oder auf [edit logical-systems logical-system-name routing-instances routing-instance-name] Hierarchieebene konfigurieren, hat die letztere Schnittstellenaussage Vorrang und die Schnittstelle wird ausschließlich für das VPN verwendet.
Wenn Sie denselben Schnittstellennamen explizit auf Hierarchie [edit protocols] - und Hierarchieebene [edit routing-instances routing-instance-name] [edit logical-systems logical-system-name routing-instances routing-instance-name] konfigurieren, schlägt ein Versuch, die Konfiguration zu bestätigen, fehl.
Konfigurieren von Schnittstellen für Layer-3-VPNs
Wenn Sie die Layer-3-VPN-Schnittstellen auf [edit interfaces] Hierarchieebene konfigurieren, müssen Sie auch bei der Konfiguration der logischen Schnittstelle konfigurieren family inet :
[edit interfaces]
interface-name {
unit logical-unit-number {
family inet;
}
}
Konfigurieren von Schnittstellen für Carrier-of-Carrier-VPNs
Wenn Sie Carrier-of-Carrier-VPNs konfigurieren, müssen Sie die family mpls Anweisung zusätzlich zur Anweisung für die family inet Schnittstellen zwischen den PE- und CE-Routern konfigurieren. Konfigurieren Sie für Carrier-of-Carrier-VPNs die logische Schnittstelle wie folgt:
[edit interfaces]
interface-name {
unit logical-unit-number {
family inet;
family mpls;
}
}
Wenn Sie auf der logischen Schnittstelle konfigurieren family mpls und diese Schnittstelle dann für eine Routing-Instanz ohne Carrier-of-Carrier konfigurieren, wird die family mpls Anweisung automatisch aus der Konfiguration für die logische Schnittstelle entfernt, da sie nicht benötigt wird.
Konfigurieren von Unicast RPF auf VPN-Schnittstellen
Für VPN-Schnittstellen, die IP-Version 4 oder Version 6 (IPv4 oder IPv6)-Datenverkehr übertragen, können Sie die Auswirkungen von Denial-of-Service-Angriffen (DoS) reduzieren, indem Sie Unicast Reverse Path Forwarding (RPF) konfigurieren. Unicast RPF hilft bei der Ermittlung der Quelle von Angriffen und weist Pakete von unerwarteten Quelladressen an Schnittstellen ab, an denen Unicast-RPF aktiviert ist.
Sie können Unicast-RPF auf einer VPN-Schnittstelle konfigurieren, indem Sie Unicast-RPF auf der Schnittstelle aktivieren und die interface Anweisung auf Hierarchieebene [edit routing-instances routing-instance-name] hinzufügen.
Unicast-RPF auf coreorientierten Schnittstellen kann nicht konfiguriert werden. Unicast-RPF kann nur auf den CE-Router-zu-PE-Router-Schnittstellen auf dem PE-Router konfiguriert werden. Für Routing-Instanzen des virtuellen Routers wird Unicast-RPF jedoch auf allen Schnittstellen unterstützt, die Sie in der Routing-Instanz angeben.
Informationen zur Konfiguration von Unicast-RPF auf VPN-Schnittstellen finden Sie unter Understanding Unicast RPF (Routers).
Konfigurieren des Route Distinguisher
Jede Routing-Instanz, die Sie auf einem PE-Router konfigurieren, muss über einen eindeutigen Routenscheider verfügen. VPN-Routing-Instanzen benötigen einen Routenscheider, damit BGP zwischen potenziell identischen NLRI-Nachrichten (Network Layer Reachability Information) unterscheiden kann, die von verschiedenen VPNs empfangen werden. Wenn Sie verschiedene VPN-Routing-Instanzen mit demselben Routenscheider konfigurieren, schlägt der Commit fehl.
Wenn Sie die Anweisung für Layer 2-VPNs und VPLS konfiguriert haben, müssen Sie für jeden PE-Router, der l2vpn-use-bgp-rules an einer bestimmten Routing-Instanz teilnimmt, einen eindeutigen Routenscheider konfigurieren.
Für andere Arten von VPNs empfehlen wir, einen eindeutigen Routenscheider für jeden PE-Router zu verwenden, der an der Routing-Instanz teilnimmt. Obwohl Sie den gleichen Routenscheider auf allen PE-Routern für dieselbe VPN-Routing-Instanz verwenden können (außer Layer-2-VPNs und VPLS), können Sie bei Verwendung eines eindeutigen Routenscheiders den CE-Router bestimmen, von dem eine Route aus dem VPN stammt.
Um einen Routenscheider auf einem PE-Router zu konfigurieren, fügen Sie die Anweisung ein route-distinguisher :
route-distinguisher (as-number:number | ip-address:number);
Eine Liste der Hierarchieebenen, auf denen Sie diese Anweisung einschließen können, finden Sie im Abschnitt "Statement Summary" für diese Anweisung.
Der Routenscheider ist ein 6-Byte-Wert, den Sie in einem der folgenden Formate angeben können:
as-number:number, wobeias-numberist eine autonome Systemnummer (AS) (ein 2-Byte-Wert) undnumberein beliebiger 4-Byte-Wert. Die AS-Nummer kann im Bereich 1 bis 65.535 liegen. Wir empfehlen, dass Sie eine von der Internet Assigned Numbers Authority (IANA) zugewiesene, nichtprivate AS-Nummer verwenden, vorzugsweise die des Internet Service Providers (ISP) oder die eigene AS-Nummer des Kunden.ip-address:number, wobeiip-addressist eine IP-Adresse (ein 4-Byte-Wert) undnumberein beliebiger 2-Byte-Wert. Die IP-Adresse kann eine beliebige global eindeutige Unicast-Adresse sein. Wir empfehlen, dass Sie die Adresse verwenden, die Sie in der Anweisung konfigurieren, bei derrouter-ides sich um eine nichtprivate Adresse im zugewiesenen Präfixbereich handelt.
Konfigurieren automatischer Routenscheider
Wenn Sie die route-distinguisher-id Anweisung auf Hierarchieebene [edit routing-options] konfigurieren, wird der Routing-Instanz automatisch ein Routenscheider zugewiesen. Wenn Sie die route-distinguisher Anweisung zusätzlich zur route-distinguisher-id Anweisung konfigurieren, ersetzt der für route-distinguisher konfigurierte Wert den von route-distinguisher-id.
Um einen Routenscheider automatisch zuzuweisen, fügen Sie die Anweisung ein route-distinguisher-id :
route-distinguisher-id ip-address;
Sie können diese Anweisung auf den folgenden Hierarchieebenen einschließen:
[edit routing-options][edit logical-systems logical-system-name routing-options]
Ein Routenscheider vom Typ 1 wird automatisch der Routing-Instanz im Format ip-address:numberzugewiesen. Die IP-Adresse wird durch die route-distinguisher-id Anweisung angegeben, und die Nummer ist eindeutig für die Routing-Instanz.