Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Konfigurieren eines AS für Layer-3-VPNs

Konfiguration von Layer 3-VPNs für die Übertragung von IBGP-Datenverkehr

Eine unabhängige AS-Domäne ist von der primären Routing-Instanzdomäne getrennt. Ein AS ist eine Reihe von Routern, die unter einer einzigen technischen Administration stehen und im Allgemeinen eine einzige IGP und Metriken verwenden, um Routing-Informationen innerhalb der Router zu verbreiten. Ein AS scheint für andere ASs einen einzigen, kohärenten Interior-Routing-Plan zu haben und liefert ein konsistentes Bild davon, welche Ziele über ihn erreichbar sind.

Durch die Konfiguration einer unabhängigen Domäne können Sie die AS-Pfade der unabhängigen Domäne vor der Freigabe mit den AS-Pfad- und AS-Pfadattributen anderer Domänen wie der Master-Routing-Instanzdomäne bewahren.

Wenn Sie BGP auf dem Router verwenden, müssen Sie eine AS-Nummer konfigurieren.

Wenn Sie BGP als Routing-Protokoll zwischen einem PE-Router und einem CE-Router in einem Layer-3-VPN konfigurieren, konfigurieren Sie in der Regel externe Peering-Sitzungen zwischen dem Layer-3-VPN-Service Provider und den Netzwerk-ASs des Kunden.

Wenn das Kundennetzwerk über mehrere Standorte verfügt, die Routen über eine externe BGP-Sitzung zum Service Provider-Netzwerk anzeigen, und wenn dieselbe AS von allen Kundenstandorten verwendet wird, lehnen die CE-Router Routen von den anderen CE-Routern ab. Sie erkennen eine Schleife im BGP AS-Pfadattribute.

Um zu verhindern, dass die CE-Router sich gegenseitig die Routen des jeweils anderen Anbieters ablehnen, können Sie Folgendes konfigurieren:

  • PE-Router, die Routen anzeigen, die von entfernten PE-Routern empfangen werden, können die Netzwerk-AS-Nummer des Kunden auf seine eigene AS-Nummer umstellen.

  • AS-Pfadschleifen können konfiguriert werden.

  • Das Kundennetzwerk kann an jedem Standort mit unterschiedlichen AS-Nummern konfiguriert werden.

Diese Arten von Konfigurationen können funktionieren, wenn es keinen BGP-Routing-Austausch zwischen dem Kundennetzwerk und anderen Netzwerken gibt. Sie haben jedoch Einschränkungen für Kundennetzwerke, die BGP intern zu anderen Zwecken als dem Transport von Datenverkehr zwischen den CE-Routern und den PE-Routern verwenden. Wenn diese Routen außerhalb des Kundennetzwerks angekündigt werden, sind die Service Provider-ASs im AS-Pfad vorhanden.

Um die Transparenz von Layer-3-VPN-Services für Kundennetzwerke zu verbessern, können Sie die Routing-Instanz für das Layer-3-VPN konfigurieren, um die Netzwerkattribute des Kunden von den Netzwerkattributen des ServiceAnbieters zu isolieren.

Wenn Sie die independent-domain Anweisung in die Layer 3-Routing-Instanzkonfiguration aufnehmen, werden BGP-Attribute, die vom Kundennetzwerk (vom CE-Router) empfangen werden, in einem BGP-Attribut (ATTRSET) gespeichert, das wie ein Stack funktioniert. Wenn diese Route vom entfernten PE-Router zum Remote-CE-Router angekündigt wird, werden die ursprünglichen BGP-Attribute wiederhergestellt. Dies ist das Standardverhalten für BGP-Routen, die an Layer-3-VPNs in verschiedenen Domänen angekündigt werden.

Diese Funktionalität wird im Internet Draft-marques-ppvpn-ibgp-version.txt, RFC 2547bis Networks Using Internal BGP as PE-CE Protocol beschrieben.

Damit ein Layer-3-VPN IBGP-Datenverkehr übertragen kann, fügen Sie die Folgende Anweisung ein independent-domain :

Sie können diese Anweisung auf den folgenden Hierarchieebenen einschließen:

  • [edit routing-instances routing-instance-name routing-options autonomous-system number]

  • [edit logical-systems logical-system-name routing-instances routing-instance-name routing-options autonomous-system number]

    Hinweis:

    Auf allen PE-Routern, die an einem Layer 3-VPN mit der Anweisung in der independent-domain Konfiguration teilnehmen, müssen Junos OS Version 6.3 oder höher ausgeführt werden.

Hinweis:

Die [edit logical-systems] Hierarchieebene gilt nicht für Router der ACX-Serie.

Die unabhängige Domäne verwendet das transitive Pfad-Attribut 128 (Attributsatz), um die BGP-Attribute der unabhängigen Domäne durch den ibGP-Core (Internal BGP) zu tunneln. Wenn BGP in Junos OS Version 10.3 und höher das Attribut 128 empfängt und Sie keine unabhängige Domäne in einer Routinginstanz konfiguriert haben, behandelt BGP das empfangene Attribut 128 als unbekanntes Attribut.

Es gibt eine Obergrenze von 16 ASs für jede Domain.

Beispiel: Konfigurieren eines Layer 3-VPN mit Route Reflection und AS-Override

Nehmen wir an, Sie sind ein Service Provider, der einen verwalteten MPLS-basierten Layer 3-VPN-Service bereitstellt. Ihr Kunde hat mehrere Standorte und benötigt an jedem Standort BGP-Routing zu Kunden-Edge-Geräten (CE).

Anforderungen

Vor der Konfiguration dieses Beispiels ist keine spezielle Konfiguration erforderlich, die über die Geräteinitialisierung hinausgeht.

Übersicht

In diesem Beispiel gibt es zwei CE-Geräte, zwei Provider-Edge-Geräte (PE) und mehrere Provider-Core-Geräte. Das Provider-Netzwerk verwendet IS-IS auch zur Unterstützung von LDP und BGP Loopback-Erreichbarkeit Gerät P2 fungiert als Route Reflector (RR). Beide CE-Geräte befinden sich im Autonomen System (AS) 64512. Das Provider-Netzwerk befindet sich in AS 65534.

Die as-override Anweisung wird auf die PE-Geräte angewendet, wodurch die AS-Nummer des CE-Geräts durch die Nummer des PE-Geräts ersetzt wird. Dadurch wird verhindert, dass die Kunden-AS-Nummer mehr als einmal im AS-Pfad-Attribut angezeigt wird.

Abbildung 1 zeigt die in diesem Beispiel verwendete Topologie.

Abbildung 1: AS-Override-Topologie AS Override Topology

Cli-Schnellkonfiguration zeigt die Konfiguration für alle Geräte in Abbildung 1. Im Abschnitt Schritt-für-Schritt-Prozedur werden die Schritte auf Geräte-PE1 beschrieben.

Topologie

Konfiguration

Verfahren

CLI-Schnellkonfiguration

Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen sie in eine Textdatei ein, entfernen alle Zeilenumbrüche, ändern alle erforderlichen Details, um mit Ihrer Netzwerkkonfiguration zu übereinstimmen, und kopieren Sie dann die Befehle und fügen sie auf Hierarchieebene in die [edit] CLI ein.

Gerät CE1

Gerät P1

Gerät P2

Gerät P3

Gerät PE1

Geräte-PE2

Gerät CE2

Schritt-für-Schritt-Verfahren

Im folgenden Beispiel müssen Sie auf verschiedenen Ebenen in der Konfigurationshierarchie navigieren. Informationen zum Navigieren in der CLI finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im CLI-Benutzerhandbuch.

So konfigurieren Sie die AS-Override:

  1. Konfigurieren Sie die Schnittstellen.

    Um MPLS zu aktivieren, fügen Sie die Protokollfamilie in die Schnittstelle ein, damit die Schnittstelle eingehenden MPLS-Datenverkehr nicht verwirft.

  2. Fügen Sie die Schnittstelle zum MPLS-Protokoll hinzu, um die Konnektivität auf Steuerungsebene herzustellen.

    Richten Sie die IGP so ein, dass die Geräte des Anbieters miteinander kommunizieren können.

    Um einen Mechanismus zur Verteilung von MPLS-Labeln einzurichten, aktivieren Sie LDP. Optional aktivieren Sie für LDP FEC-Deaggregation (Forwarding Equivalence Class), was zu einer schnelleren globalen Konvergenz führt.

  3. Aktivieren Sie die interne BGP (IBGP)-Verbindung zum Peeren nur mit der RR unter Verwendung der IPv4-VPN-Unicast-Adressfamilie.

  4. Konfigurieren Sie die Routing-Instanz einschließlich der as-override Anweisung.

    Erstellen Sie die Routing-Instanz (VRF) auf dem PE-Gerät, und richten Sie die BGP-Konfiguration für peer mit Gerät CE1 ein.

  5. Konfigurieren Sie die Router-ID und die AS-Nummer.

Ergebnisse

Bestätigen Sie Ihre Konfiguration im Konfigurationsmodus, indem Sie die show interfacesBefehle , show protocols, show routing-instancesund show routing-options eingeben. Wenn in der Ausgabe die beabsichtigte Konfiguration nicht angezeigt wird, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.

Wenn Sie mit der Konfiguration des Geräts fertig sind, geben Sie im Konfigurationsmodus ein commit .

Überprüfung

Bestätigen Sie, dass die Konfiguration ordnungsgemäß funktioniert.

Überprüfung des AS-Pfads zu den CE-Geräten

Zweck

Zeigen Sie Informationen auf Geräte-PE1 über das AS-Pfad-Attribut für die Route zur Loopback-Schnittstelle des Geräts CE2 an.

Aktion

Geben Sie auf Gerät PE1 aus dem Betriebsmodus den show route table VPN-A.inet.0 10.255.6.6 Befehl ein.

Bedeutung

Die Ausgabe zeigt, dass Geräte-PE1 einen AS-Pfad für 10.255.6.6/32 hat, wie er von AS 64512 kommt.

Prüfen der Ausschreibung des Routens zum Gerät CE2

Zweck

Stellen Sie sicher, dass die Route zum Gerät CE2 wie vom MPLS-Core zu Gerät CE1 angekündigt ist.

Aktion

Geben Sie auf Gerät PE1 aus dem Betriebsmodus den show route advertising-protocol bgp 10.0.0.1 Befehl ein.

Bedeutung

Die Ausgabe zeigt an, dass Geräte PE1 nur seine eigene AS-Nummer im AS-Pfad angibt.

Überprüfen der Route auf Gerät CE1

Zweck

Stellen Sie sicher, dass Das Gerät CE1 nur die Provider AS-Nummer im AS-Pfad für die Route zu Gerät CE2 enthält.

Aktion

Geben Sie im Betriebsmodus den show route table inet.0 terse 10.255.6.6 Befehl ein.

Bedeutung

Die Ausgabe zeigt an, dass Das Gerät CE1 über eine Route zu Device CE2 verfügt. Das Problem mit der Schleife wird mit der Anweisung as-override gelöst.

Eine Route ist auf dem CE-Gerät ausgeblendet. Dies liegt daran, dass Junos OS keinen geteilten BGP-Horizont ausführt. Im Allgemeinen ist Split Horizon in BGP überflüssig, da alle Routen, die vom Originator zurück empfangen werden könnten, aufgrund der AS-Pfadlänge (für EBGP), AS-Pfadschleifenerkennung (IBGP) oder anderen BGP-Metriken weniger bevorzugt werden. Werberouten zurück zum Nachbarn, von denen sie gelernt wurden, haben einen vernachlässigbaren Einfluss auf die Leistung des Routers und sind die richtige Sache.

Konfigurieren des Algorithmus zur Bestimmung der aktiven Route zur Bewertung der AS-Zahlen in AS-Pfaden für VPN-Routen

Standardmäßig wertet der dritte Schritt des Algorithmus, der die aktive Route bestimmt, die Länge des AS-Pfads aus, nicht aber den Inhalt des AS-Pfads. In einigen VPN-Szenarien mit BGP-Routen mit mehreren Pfaden kann es auch nützlich sein, die AS-Nummern der AS-Pfade zu vergleichen und der Algorithmus die Route auszuwählen, deren AS-Zahlen übereinstimmen.

So konfigurieren Sie den Algorithmus, der den aktiven Pfad auswählt, um die AS-Zahlen in AS-Pfaden für VPN-Routen auszuwerten:

  • Fügen Sie die as-path-compare Anweisung auf Hierarchieebene [edit routing-instances routing-instance-name routing-options multipath] ein.

Hinweis:

Die as-path-compare Anweisung wird für die Standard-Routing-Instanz nicht unterstützt.