Konfiguration des lokalen Standorts auf PE-Routern in Layer 2-VPNs
Für jeden lokalen Standort kündigt der PE-Router eine Reihe von VPN-Labels an die anderen PE-Router an, die das Layer-2-VPN bedienen. Die VPN-Labels bilden einen einzigen Block zusammenhängender Labels. Um jedoch eine erneute Bereitstellung zu ermöglichen, können mehrere solcher Blöcke angekündigt werden. Jeder Label-Block besteht aus einer Label-Basis, einem Bereich (der Größe des Blocks) und einer Remote-Site-ID, die die Sequenz der Remote-Sites identifiziert, die sich mithilfe dieses Label-Blocks mit dem lokalen Standort verbinden (die Remote-Site-ID ist die erste Site-ID in der Sequenz). Der Kapselungstyp wird ebenfalls zusammen mit dem Label-Block angekündigt.
In den folgenden Abschnitten wird erläutert, wie die Verbindungen zum lokalen Standort auf dem PE-Router konfiguriert werden.
Nicht alle Unteraufgaben werden auf allen Plattformen unterstützt. Überprüfen Sie die CLI auf Ihrem Gerät.
Konfigurieren einer Layer 2-VPN-Routing-Instanz
Um ein Layer-2-VPN in Ihrem Netzwerk zu konfigurieren, konfigurieren Sie eine Layer-2-VPN-Routing-Instanz auf dem PE-Router, indem Sie die l2vpn folgende Anweisung einfügen:
Ersetzen Sie auf den EX9200-Switches encapsulation-type durch die Encapsulation-Anweisung .
l2vpn { (control-word | no-control-word); encapsulation-type type; traceoptions { file filename <files number> <size size> <world-readable | no-world-readable>; flag flag <flag-modifier> <disable>; } site site-name { site-identifier identifier; site-preference preference-value { backup; primary; } interface interface-name { description text; remote-site-id remote-site-id; } } }
Sie können diese Anweisung auf den folgenden Hierarchieebenen einschließen:
[edit routing-instances routing-instance-name protocols][edit logical-systems logical-system-name routing-instances routing-instance-name protocols]
Sie können kein Routing-Protokoll (OSPF, RIP, IS-IS oder BGP) in einer Layer-2-VPN-Routing-Instanz konfigurieren (instance-type l2vpn). Die Junos CLI lässt diese Konfiguration nicht zu.
Anweisungen zum Konfigurieren der verbleibenden Anweisungen finden Sie in den folgenden Abschnitten.
Konfiguration der Site
Alle Layer-2-Verbindungen, die für einen lokalen Standort bereitgestellt werden, werden als logische Schnittstellen (angegeben durch Einbeziehen der interface Anweisung) in der site Anweisung aufgeführt.
Auf jedem PE-Router müssen Sie jeden Standort konfigurieren, der über eine Verbindung zum PE-Router verfügt. Fügen Sie dazu die site folgende Anweisung hinzu:
site site-name { site-identifier identifier; site-preference preference-value { backup; primary; } interface interface-name { description text; remote-site-id remote-site-ID; } }
Sie können diese Anweisung auf den folgenden Hierarchieebenen einschließen:
[edit routing-instances routing-instance-name protocols l2vpn][edit logical-systems logical-system-name routing-instances routing-instance-name protocols l2vpn]
Sie müssen für jeden Standort Folgendes konfigurieren:
site-name– Name der Website.site-identifier identifier– 16-Bit-Zahl ohne Vorzeichen größer als Null, die die lokale Layer-2-VPN-Site eindeutig identifiziert. Die Standort-ID entspricht der Remote-Standort-ID, die an einem anderen Standort innerhalb desselben VPN konfiguriert ist.interface interface-name– Der Name der Schnittstelle und optional eine Remote-Standort-ID für Remote-Standort-Verbindungen. Siehe Konfigurieren der Remote-Site-ID.
Konfigurieren der Remote-Standort-ID
Mit der Remote-Standort-ID können Sie eine Layer-2-VPN-Topologie mit geringer Dichte konfigurieren. Eine dünnbesetzte Topologie bedeutet, dass nicht jeder Standort eine Verbindung zu allen anderen Standorten im VPN herstellen muss. Daher ist es nicht erforderlich, Schaltungen für alle Remote-Standorte zuzuweisen. Remote-Standort-IDs sind besonders wichtig, wenn Sie eine Topologie konfigurieren, die komplizierter als eine Full-Mesh-Topologie ist, z. B. eine Hub-and-Spoke-Topologie.
Die Remote-Site-ID (mit der remote-site-id Anweisung konfiguriert) entspricht der Site-ID (mit der site-identifier Anweisung konfiguriert), die an einem separaten Standort konfiguriert ist. Abbildung 1 veranschaulicht die Beziehung zwischen der Standortkennung und der Remotestandort-ID.
Wie in der Abbildung dargestellt, sieht die Konfiguration für Router PE1, der mit Router CE1 verbunden ist, wie folgt aus:
site-identifier 1;
interface so-0/0/0 {
remote-site-id 2;
}
Die Konfiguration für Router PE2, der mit Router CE2 verbunden ist, lautet wie folgt:
site-identifier 2;
interface so-0/0/1 {
remote-site-id 1;
}
Die Remote-Standort-ID (2) auf Router PE1 entspricht der Standortkennung (2) auf Router PE2. Auf Router PE2 entspricht die Remote-Standort-ID (1) der Standortkennung (1) auf Router PE1.
Um die Remote-Standort-ID zu konfigurieren, fügen Sie die remote-site-id folgende Anweisung ein:
remote-site-id remote-site-id;
Sie können diese Anweisung auf den folgenden Hierarchieebenen einschließen:
[edit routing-instances routing-instance-name protocols l2vpn site site-name interface interface-name][edit logical-systems logical-system-name routing-instances routing-instance-name protocols l2vpn site site-name interface interface-name]
Wenn Sie die remote-site-id Anweisung für die auf Hierarchieebene [edit routing-instances routing-instance-name protocols l2vpn site site-name] konfigurierte Schnittstelle nicht explizit einschließen, wird dieser Schnittstelle eine Remote-Standort-ID zugewiesen.
Die Remote-Site-ID für eine Schnittstelle wird automatisch auf 1 höher als die Remote-Site-ID für die vorherige Schnittstelle gesetzt. Die Reihenfolge der Schnittstellen richtet sich nach ihren site-identifier Anweisungen. Wenn beispielsweise die erste Schnittstelle in der Liste keine Remote-Standort-ID hat, wird ihre ID auf 1 festgelegt. Die Remote-Site-ID der zweiten Schnittstelle in der Liste ist auf 2 und die dritte auf 3 festgelegt. Die Remote-Standort-IDs aller folgenden Schnittstellen werden auf die gleiche Weise erhöht, wenn Sie sie nicht explizit konfigurieren.
Konfigurieren des Kapselungstyps
Der Kapselungstyp, den Sie an jedem Layer-2-VPN-Standort konfigurieren, hängt davon ab, welches Layer-2-Protokoll Sie konfigurieren. Wenn Sie als Kapselungstyp konfigurieren ethernet-vlan , müssen Sie an jedem Layer-2-VPN-Standort dasselbe Protokoll verwenden.
Sie müssen nicht an jedem Layer 2-VPN-Standort dasselbe Protokoll verwenden, wenn Sie einen der folgenden Verkapselungstypen konfigurieren:
atm-aal5– Asynchronous Transfer Mode (ATM) Adaptation Layer (AAL5)atm-cell—ATM-Mobilfunk-Relaisatm-cell-port-mode—Promiscuous-Modus des ATM-Mobilfunk-Relaisportsatm-cell-vc-mode—ATM Virtual Circuit (VC) Cell Relay Nonpromiscuous-Modusatm-cell-vp-mode—ATM Virtual Path (VP) Cell Relay Promiscuous-Moduscisco-hdlc– Mit Cisco Systems kompatible High-Level Data Link Control (HDLC)ethernet– Ethernetethernet-vlan– Ethernet Virtual LAN (VLAN)frame-relay– Frame Relayframe-relay-port-mode—Frame Relay-Port-Modusinterworking– Layer 2.5 Interworking VPNppp– Punkt-zu-Punkt-Protokoll (PPP)
Wenn Sie an Ihren Layer-2-VPN-Standorten unterschiedliche Protokolle konfigurieren, müssen Sie einen TCC-Kapselungstyp (Translational Cross-Connect) konfigurieren. Weitere Informationen finden Sie unter Konfigurieren der TCC-Kapselung für Layer-2-VPNs und Layer-2-Circuits.
Um das vom PE-Router akzeptierte Layer-2-Protokoll zu konfigurieren, geben Sie den Verkapselungstyp an, indem Sie die encapsulation-type folgende Anweisung einfügen:
encapsulation-type type;
Geben Sie bei EX9200-Switches den Verkapselungstyp an, indem Sie die encapsulation folgende Anweisung einfügen:
encapsulation type;
Sie können diese Anweisung auf den folgenden Hierarchieebenen einschließen:
[edit routing-instances routing-instance-name protocols l2vpn][edit logical-systems logical-system-name routing-instances routing-instance-name protocols l2vpn]
Konfigurieren einer Standortpräferenz und Layer-2-VPN-Multihoming
Sie können den Präferenzwert angeben, der für eine bestimmte Layer 2-VPN-Site angekündigt wird. Der Wert für die Standortpräferenz ist im lokalen BGP-Präferenzattribut codiert. Wenn ein PE-Router mehrere Ankündigungen mit derselben CE-Gerätekennung empfängt, wird die Anzeige mit dem höchsten lokalen Präferenzwert bevorzugt.
Sie können die site-preference Anweisung auch verwenden, um Multihoming für Layer-2-VPNs zu aktivieren. Multihoming ermöglicht es Ihnen, ein CE-Gerät mit mehreren PE-Routern zu verbinden. Für den Fall, dass eine Verbindung zum primären PE-Router fehlschlägt, kann der Datenverkehr automatisch auf den Backup-PE-Router umgeschaltet werden.
Um eine Standortpräferenz für ein Layer-2-VPN zu konfigurieren, fügen Sie die site-preference folgende Anweisung ein:
site-preference preference-value { backup; primary; }
Sie können diese Anweisung auf den folgenden Hierarchieebenen einschließen:
[edit routing-instances routing-instance-name protocols l2vpn site site-name][edit logical-systems logical-system-name routing-instances routing-instance-name protocols l2vpn site site-name]
Sie können auch entweder die backup Option oder die primary Option für die site-preference Anweisung angeben. Die Sicherungsoption gibt den Präferenzwert als 1 an, den niedrigstmöglichen Wert, um sicherzustellen, dass die Layer-2-VPN-Site am wenigsten wahrscheinlich ausgewählt wird. Die primäre Option gibt den Präferenzwert als 65.535 an, den höchstmöglichen Wert, um sicherzustellen, dass die Layer-2-VPN-Site am wahrscheinlichsten ausgewählt wird.
Bei Layer-2-VPN-Multihoming-Konfigurationen wird durch Angabe der primary Option für einen Layer-2-VPN-Standort die Verbindung vom PE-Router zum CE-Gerät als bevorzugte Verbindung festgelegt, wenn das CE-Gerät auch mit einem anderen PE-Router verbunden ist. Wenn Sie die backup Option für einen Layer 2-VPN-Standort angeben, wird die Verbindung vom PE-Router zum CE-Gerät als sekundäre Verbindung festgelegt, wenn das CE-Gerät auch mit einem anderen PE-Router verbunden ist.
Nachverfolgung von Layer 2-VPN-Datenverkehr und -Betrieb
Um den Datenverkehr des Layer-2-VPN-Protokolls zu verfolgen, geben Sie Optionen für die traceoptions Anweisung in der Layer-2-VPN-Konfiguration an:
traceoptions { file filename <files number> <size size> <world-readable | no-world-readable>; flag flag <flag-modifier> <disable>; }
Sie können diese Anweisung auf den folgenden Hierarchieebenen einschließen:
[edit routing-instances routing-instance-name protocols l2vpn][edit logical-systems logical-system-name routing-instances routing-instance-name protocols l2vpn]
Die folgenden Ablaufverfolgungsflags zeigen die Vorgänge an, die Layer 2-VPNs zugeordnet sind:
all– Alle Layer 2-VPN-Tracing-Optionen.connections– Layer 2-Verbindungen (Ereignisse und Zustandsänderungen)error– Fehlerbedingungen.general—Allgemeine Ereignisse.nlri—Layer-2-Ankündigungen, die über das BGP empfangen oder gesendet werden.normal(Normale Ereignisse).policy– Richtlinienverarbeitung.route– Routing-Informationen.state— Zustandsübergänge.task– Verarbeitung der Routing-Protokoll-Task.timer– Verarbeitung des Routing-Protokoll-Timers.topology– Änderungen der Layer-2-VPN-Topologie, die durch Neukonfiguration oder Werbung von anderen PE-Routern mit BGP verursacht werden.
Deaktivieren der normalen TTL-Dekrementierung für VPNs
Um Netzwerkprobleme im Zusammenhang mit VPNs zu diagnostizieren, kann es hilfreich sein, die normale Verringerung der TTL-Zeit (Time-to-Live) zu deaktivieren. In Junos können Sie dies mit den no-propagate-ttl no-decrement-ttl und-Anweisungen tun. Wenn Sie jedoch VPN-Datenverkehr verfolgen, ist nur die no-propagate-ttl Aussage wirksam.
Damit sich die Anweisung auf das no-propagate-ttl VPN-Verhalten auswirkt, müssen Sie die PE-Router-zu-PE-Router-BGP-Sitzung löschen oder die VPN-Routing-Instanz deaktivieren und dann aktivieren.
Weitere Informationen zu den no-propagate-ttl no-decrement-ttl und-Anweisungen finden Sie im Benutzerhandbuch für MPLS-Anwendungen.