AUF DIESER SEITE
Konfigurieren von Carrier-of-Carrier-VPNs für Kunden, die Internetdienste bereitstellen
Carrier-of-Carrier-VPN-Beispiel – Kunde stellt Internetdienst bereit
Konfigurieren von Carrier-of-Carriers-VPNs für Kunden, die VPN-Dienste bereitstellen
Carrier-of-Carrier-VPN-Beispiel – Kunde stellt VPN-Service zur Verfügung
Carrier-of-Carrier-VPNs
Carrier-of-Carriers-VPNs verstehen
Der Kunde eines VPN-Dienstanbieters kann ein Dienstanbieter für den Endkunden sein. Im Folgenden sind die beiden Haupttypen von Carrier-of-Carriers-VPNs aufgeführt (wie in RFC 4364 beschrieben):
Internet Service Provider als Kunde: Der VPN-Kunde ist ein ISP, der das Netzwerk des VPN-Service Providers nutzt, um seine geografisch unterschiedlichen regionalen Netzwerke zu verbinden. Der Kunde muss MPLS nicht innerhalb seiner regionalen Netze konfigurieren.
VPN-Dienstanbieter als Kunde: Der VPN-Kunde ist selbst ein VPN-Dienstanbieter, der seinen Kunden VPN-Dienste anbietet. Der Carrier-of-Carriers-VPN-Service-Kunde verlässt sich auf den Backbone-VPN-Service-Provider für die Konnektivität zwischen den Standorten. Der VPN-Dienstanbieter des Kunden ist verpflichtet, MPLS in seinen regionalen Netzwerken auszuführen.
Abbildung 1 veranschaulicht die Netzwerkarchitektur, die für einen Carrier-of-Carriers-VPN-Dienst verwendet wird.
In diesem Thema wird Folgendes behandelt:
Internet Service Provider als Kunde
Bei dieser Art der Carrier-of-Carrier-VPN-Konfiguration konfiguriert ISP A sein Netzwerk so, dass es Internetdienste für ISP B bereitstellt. ISP B stellt die Verbindung zu dem Kunden bereit, der einen Internetdienst wünscht, aber der eigentliche Internetdienst wird von ISP A bereitgestellt.
Diese Art der Carrier-of-Carrier-VPN-Konfiguration weist die folgenden Merkmale auf:
Der Carrier-of-Carrier-VPN-Service-Kunde (ISP B) muss MPLS in seinem Netzwerk nicht konfigurieren.
Der Carrier-of-Carrier-VPN-Dienstanbieter (ISP A) muss MPLS in seinem Netzwerk konfigurieren.
MPLS muss auch auf den CE-Routern und PE-Routern konfiguriert werden, die in den Netzwerken des Carrier-of-Carriers-VPN-Service-Kunden und des Carrier-of-Carrier-VPN-Service-Providers miteinander verbunden sind.
VPN-Dienstanbieter als Kunde
Ein VPN-Dienstanbieter kann Kunden haben, die selbst VPN-Dienstanbieter sind. Bei dieser Art von Konfiguration, die auch als hierarchisches oder rekursives VPN bezeichnet wird, werden die VPN-IPv4-Routen des VPN-Dienstanbieters des Kunden als externe Routen betrachtet, und der Backbone-VPN-Dienstanbieter importiert sie nicht in seine VRF-Tabelle. Der Backbone-VPN-Dienstanbieter importiert nur die internen Routen des VPN-Dienstanbieters des Kunden in seine VRF-Tabelle.
Die Gemeinsamkeiten und Unterschiede zwischen Interprovider- und Carrier-of-Carriers-VPNs sind in Tabelle 1 dargestellt.
Feature |
ISP-Kunde |
VPN-Dienstanbieter-Kunde |
---|---|---|
Kunden-Edge-Gerät |
AS Border-Router |
PE-Router |
IBGP-Sitzungen |
IPv4-Routen übertragen |
Externe VPN-IPv4-Routen mit zugehörigen Labels übertragen |
Weiterleitung innerhalb des Kundennetzwerks |
MPLS ist optional |
MPLS ist erforderlich |
Unterstützung für VPN-Service, da der Kunde auf QFX10000 Switches ab Junos OS Version 17.1R1 unterstützt wird.
Konfigurieren von Carrier-of-Carrier-VPNs für Kunden, die Internetdienste bereitstellen
Sie können einen Carrier-of-Carrier-VPN-Dienst für Kunden konfigurieren, die einen grundlegenden Internetdienst bereitstellen möchten. Der VPN-Dienstanbieter des Netzbetreibers muss MPLS in seinem Netzwerk konfigurieren, obwohl diese Konfiguration für den Netzbetreiberdienstkunden optional ist. Die Carrier-of-Carriers-VPN-Architektur zeigt, wie die Router oder Switches in dieser Art von Service miteinander verbunden werden.
Um ein Carrier-of-Carrier-VPN zu konfigurieren, führen Sie die in den folgenden Abschnitten beschriebenen Aufgaben aus:
- Konfigurieren des CE-Routers des Carrier-of-Carriers-VPN-Dienstes des Kunden
- Konfigurieren der PE-Router des Carrier-of-Carrier-VPN-Dienstanbieters
Konfigurieren des CE-Routers des Carrier-of-Carriers-VPN-Dienstes des Kunden
Der Router (oder Switch) des Carrier-of-Carrier-VPN-Service-Kunden fungiert in Bezug auf den PE-Router oder -Switch des Service Providers als CE-Router. In den folgenden Abschnitten wird beschrieben, wie Sie den CE-Router oder -Switch des Kunden des VPN-Service des Netzbetreibers konfigurieren:
Konfigurieren von MPLS
Um MPLS auf dem CE-Router oder - Switch des Kunden zu konfigurieren, fügen Sie die mpls
folgende Anweisung ein:
mpls { traffic-engineering bgp-igp; interface interface-name; }
Sie können diese Anweisung auf den folgenden Hierarchieebenen einbinden:
[edit protocols]
[edit logical-systems logical-system-name protocols]
BGP konfigurieren
Um eine Gruppe so zu konfigurieren, dass die internen Routen des Kunden sortiert werden, fügen Sie die bgp
folgende Anweisung ein:
bgp { group group-name { type internal; local-address address; neighbor address; } }
Sie können diese Anweisung auf den folgenden Hierarchieebenen einbinden:
[edit protocols]
[edit logical-systems logical-system-name protocols]
Der CE-Router (oder Switch) des Kunden muss in der Lage sein, Etiketten an den Router des VPN-Dienstanbieters zu senden. Aktivieren Sie dies, indem Sie die Anweisung in die Konfiguration für die labeled-unicast
BGP-Gruppe aufnehmen:
bgp { group group-name { export internal; peer-as as-number; neighbor address { family inet { labeled-unicast; } } } }
Sie können die bgp
Anweisung auf den folgenden Hierarchieebenen einbinden:
[edit protocols]
[edit logical-systems logical-system-name protocols]
OSPF konfigurieren
Um OSPF auf dem CE-Router oder -Switch des Kunden zu konfigurieren, fügen Sie die ospf
folgende Anweisung ein:
ospf { area area-id { interface interface-name { passive; } interface interface-name; } }
Sie können diese Anweisung auf den folgenden Hierarchieebenen einbinden:
[edit protocols]
[edit logical-systems logical-system-name protocols]
Konfigurieren von Richtlinienoptionen
Um Richtlinienoptionen auf dem CE-Router oder -Switch des Kunden zu konfigurieren, fügen Sie die policy-statement
folgende Anweisung ein:
policy-statement statement-name { term term-name { from protocol [ospf direct ldp]; then accept; } term term-name { then reject; } }
Sie können diese Anweisung auf den folgenden Hierarchieebenen einbinden:
[edit policy-options]
[edit logical-systems logical-system-name policy-options]
Konfigurieren der PE-Router des Carrier-of-Carrier-VPN-Dienstanbieters
Die PE-Router des Service Providers stellen eine Verbindung zu den CE-Routern des Kunden her und leiten den VPN-Datenverkehr des Kunden über das Netzwerk des Providers weiter.
In den folgenden Abschnitten wird beschrieben, wie Sie die PE-Router des Carrier-of-Carrier-VPN-Dienstanbieters konfigurieren:
- Konfigurieren von MPLS
- BGP konfigurieren
- IS-IS konfigurieren
- LDP konfigurieren
- Konfigurieren einer Routing-Instanz
- Konfigurieren von Richtlinienoptionen
Konfigurieren von MPLS
Um MPLS auf den PE-Routern oder -Switches des Anbieters zu konfigurieren, fügen Sie die mpls
folgende Anweisung ein:
mpls { interface interface-name; interface interface-name; }
Sie können diese Anweisung auf den folgenden Hierarchieebenen einbinden:
[edit protocols]
[edit logical-systems logical-system-name protocols]
BGP konfigurieren
Um eine BGP-Sitzung mit dem PE-Router des Anbieters am anderen Ende des Netzwerks des Anbieters zu konfigurieren, fügen Sie die bgp
folgende Anweisung ein:
bgp { group group-name { type internal; local-address address; family inet-vpn { any; } neighbor address; } }
Sie können diese Anweisung auf den folgenden Hierarchieebenen einbinden:
[edit protocols]
[edit logical-systems logical-system-name protocols]
IS-IS konfigurieren
Um IS-IS auf den PE-Routern oder -Switches des Anbieters zu konfigurieren, fügen Sie die isis
folgende Anweisung ein:
isis { interface interface-name; interface interface-name { passive; } }
Sie können diese Anweisung auf den folgenden Hierarchieebenen einbinden:
[edit protocols]
[edit logical-systems logical-system-name protocols]
LDP konfigurieren
Um LDP auf den PE-Routern oder -Switches des Anbieters zu konfigurieren, fügen Sie die ldp
folgende Anweisung ein:
ldp { interface interface-name; }
Sie können diese Anweisung auf den folgenden Hierarchieebenen einbinden:
[edit protocols]
[edit logical-systems logical-system-name protocols]
Konfigurieren einer Routing-Instanz
Um den Layer-3-VPN-Service mit dem CE-Router oder -Switch des Kunden zu konfigurieren, fügen Sie die Anweisung in die Konfiguration für die labeled-unicast
Routing-Instanz ein, damit der PE-Router (oder -Switch) Labels an den CE-Router oder - Switch des Kunden senden kann:
routing-instance-name { instance-type vrf; interface interface-name; route-distinguisher address; vrf-import policy-name; vrf-export policy-name; protocols { bgp { group group-name { peer-as as-number; neighbor address { family inet { labeled-unicast; } } } } } }
Sie können diese Anweisungen auf den folgenden Hierarchieebenen einbinden:
[edit routing-instances]
[edit logical-systems logical-system-name routing-instances]
Konfigurieren von Richtlinienoptionen
Um eine Richtlinienanweisung zum Importieren von Routen vom CE-Router oder -Switch des Kunden zu konfigurieren, fügen Sie die policy-statement
folgende Anweisung ein:
policy-statement policy-name { term term-name { from { protocol bgp; community community-name; } then accept; } term term-name { then reject; } }
Sie können diese Anweisung auf den folgenden Hierarchieebenen einbinden:
[edit policy-options]
[edit logical-systems logical-system-name policy-options]
Um eine Richtlinienanweisung zum Exportieren von Routen an den CE-Router oder -Switch des Kunden zu konfigurieren, fügen Sie die policy-statement
community
und-Anweisungen ein:
policy-statement policy-name { term term-name { from protocol bgp; then { community add community-name; accept; } } term term-name { then reject; } } community community-name members value;
Sie können diese Anweisungen auf den folgenden Hierarchieebenen einbinden:
[edit policy-options]
[edit logical-systems logical-system-name policy-options]
Siehe auch
Carrier-of-Carrier-VPN-Beispiel – Kunde stellt Internetdienst bereit
In diesem Beispiel ist der Netzbetreiberkunde nicht verpflichtet, MPLS und LDP in seinem Netzwerk zu konfigurieren. Der Netzbetreiber muss jedoch MPLS und LDP in seinem Netzwerk konfigurieren.
Konfigurationsinformationen finden Sie in den folgenden Abschnitten:
- Netzwerktopologie für den Carrier-of-Carriers-Service
- Konfiguration für Router A
- Konfiguration für Router B
- Konfiguration für Router C
- Konfiguration für Router D
- Konfiguration für Router E
- Konfiguration für Router F
- Konfiguration für Router G
- Konfiguration für Router H
- Konfiguration für Router I
- Konfiguration für Router J
- Konfiguration für Router K
- Konfiguration für Router L
Netzwerktopologie für den Carrier-of-Carriers-Service
Ein Carrier-of-Carriers-Service ermöglicht es einem Internet Service Provider (ISP), sich an mehreren Standorten mit einem transparenten ausgelagerten Backbone zu verbinden.
Abbildung 2 zeigt die Netzwerktopologie in diesem Carrier-of-Carrier-Beispiel.
Konfiguration für Router A
In diesem Beispiel stellt Router A einen Endkunden dar. Sie konfigurieren diesen Router als CE-Gerät .
[edit] protocols { bgp { group to-routerB { export attached; peer-as 21; as-override; neighbor 192.168.197.169; } } } policy-options { policy-statement attached { from protocol direct; then accept; } }
Konfiguration für Router B
Router B kann als Gateway-Router fungieren und für die Aggregation von Endkunden und deren Anbindung an das Netzwerk verantwortlich sein. Wenn eine Full-Mesh-IBGP-Sitzung konfiguriert ist, können Sie Routenreflektoren verwenden.
[edit] protocols { bgp { group int { type internal; local-address 10.255.14.179; neighbor 10.255.14.175; neighbor 10.255.14.181; neighbor 10.255.14.176; neighbor 10.255.14.178; neighbor 10.255.14.177; } group to-vpn-blue { peer-as 1; neighbor 192.168.197.170; } } ospf { area 0.0.0.0 { interface lo0.0 { passive; } interface fe-1/0/3.0; interface fe-1/0/2.0 { passive; } } } }
Konfiguration für Router C
Konfigurieren Sie Router C:
[edit] protocols { bgp { group int { type internal; local-address 10.255.14.176; neighbor 10.255.14.179; neighbor 10.255.14.175; neighbor 10.255.14.177; neighbor 10.255.14.178; neighbor 10.255.14.181; } } ospf { area 0.0.0.0 { interface lo0.0 { passive; } interface fe-0/3/3.0; interface fe-0/3/0.0; } } }
Konfiguration für Router D
Router D ist der CE-Router in Bezug auf AS 10023. In einem Carrier-of-Carriers-VPN muss der CE-Router in der Lage sein, Etiketten an den Carrier-Provider zu senden. Dies geschieht mit der Anweisung in group labeled-unicast
to-isp-red
.
[edit] protocols { mpls { interface t3-0/0/0.0; } bgp { group int { type internal; local-address 10.255.14.175; neighbor 10.255.14.179; neighbor 10.255.14.176; neighbor 10.255.14.177; neighbor 10.255.14.178; neighbor 10.255.14.181; } group to-isp-red { export internal; peer-as 10023; neighbor 192.168.197.13 { family inet { labeled-unicast; } } } } ospf { area 0.0.0.0 { interface lo0.0 { passive; } interface fe-0/3/0.0; interface t3-0/0/0.0 { passive; } } } } policy options { policy-statement internal { term a { from protocol [ ospf direct ]; then accept; } term b { then reject; } } }
Konfiguration für Router E
Mit dieser Konfiguration wird die inet-vpn
IBGP-Sitzung mit Router H und der PE-Router-Teil des VPN mit Router D eingerichtet. Da Router D in diesem Beispiel zum Senden von Labels erforderlich ist, konfigurieren Sie die BGP-Sitzung mit der Anweisung in der labeled-unicast
VRF-Tabelle (Virtual Routing and Forwarding).
[edit] protocols { mpls { interface t3-0/2/0.0; interface at-0/1/0.0; } bgp { group pe-pe { type internal; local-address 10.255.14.171; family inet-vpn { any; } neighbor 10.255.14.173; } } isis { interface at-0/1/0.0; interface lo0.0 { passive; } } ldp { interface at-0/1/0.0; } } routing-instances { vpn-isp1 { instance-type vrf; interface t3-0/2/0.0; route-distinguisher 10.255.14.171:21; vrf-import vpn-isp1-import; vrf-export vpn-isp1-export; protocols { bgp { group to-isp1 { peer-as 21; neighbor 192.168.197.14 { family inet { labeled-unicast; } } } } } } } policy-options { policy-statement vpn-isp1-import { term a { from { protocol bgp; community vpn-isp1-comm; } then accept; } term b { then reject; } } policy-statement vpn-isp1-export { term a { from protocol bgp; then { community add vpn-isp1-comm; accept; } } term b { then reject; } } community vpn-isp1-comm members target:69:21; }
Konfiguration für Router F
Konfigurieren Sie Router F so, dass er als Label-Swapping-Router fungiert:
[edit] protocols { isis { interface so-0/2/0.0; interface at-0/3/0.0; interface lo0.0 { passive; } } ldp { interface so-0/2/0.0; interface at-0/3/0.0; } }
Konfiguration für Router G
Konfigurieren Sie Router G so, dass er als Router mit Label-Swapping fungiert:
[edit] protocols { isis { interface so-0/0/0.0; interface so-1/0/0.0; interface lo0.0 { passive; } } ldp { interface so-0/0/0.0; interface so-1/0/0.0; } }
Konfiguration für Router H
Router H fungiert als PE-Router für AS 10023. Die folgende Konfiguration ähnelt der für Router F:
[edit] protocols { mpls { interface fe-1/1/0.0; interface so-1/0/0.0; } bgp { group pe-pe { type internal; local-address 10.255.14.173; family inet-vpn { any; } neighbor 10.255.14.171; } } isis { interface so-1/0/0.0; interface lo0.0 { passive; } } ldp { interface so-1/0/0.0; } } routing-instances { vpn-isp1 { instance-type vrf; interface fe-1/1/0.0; route-distinguisher 10.255.14.173:21; vrf-import vpn-isp1-import; vrf-export vpn-isp1-export; protocols { bgp { group to-isp1 { peer-as 21; neighbor 192.168.197.94 { family inet { labeled-unicast; } } } } } } } policy-options { policy-statement vpn-isp1-import { term a { from { protocol bgp; community vpn-isp1-comm; } then accept; } term b { then reject; } } policy-statement vpn-isp1-export { term a { from protocol bgp; then { community add vpn-isp1-comm; accept; } } term b { then reject; } } community vpn-isp1-comm members target:69:21; }
Konfiguration für Router I
Konfigurieren Sie Router I so, dass er eine Verbindung zum Basis-Internetdienstkunden (Router L) herstellt:
[edit] protocols { mpls { interface fe-1/0/1.0; interface fe-1/1/3.0; } bgp { group int { type internal; local-address 10.255.14.181; neighbor 10.255.14.177; neighbor 10.255.14.179; neighbor 10.255.14.175; neighbor 10.255.14.176; neighbor 10.255.14.178; } group to-vpn-green { peer-as 1; neighbor 192.168.197.198; } } ospf { area 0.0.0.0 { interface lo0.0 { passive; } interface fe-1/0/1.0 { passive; } interface fe-1/1/3.0; } } }
Konfiguration für Router J
Konfigurieren Sie Router J als Label-Swapping-Router:
[edit] protocols { bgp { group int { type internal; local-address 10.255.14.178; neighbor 10.255.14.177; neighbor 10.255.14.181; neighbor 10.255.14.175; neighbor 10.255.14.176; neighbor 10.255.14.179; } } } ospf { area 0.0.0.0 { interface lo0.0 { passive; } interface fe-1/0/2.0; interface fe-1/0/3.0; } }
Konfiguration für Router K
Router K fungiert als CE-Router am Ende der Verbindung zum Netzbetreiber. Fügen Sie wie in der Konfiguration für Router D die Anweisung für die labeled-unicast
EBGP-Sitzung ein:
[edit] protocols { mpls { interface fe-1/1/2.0; interface fe-1/0/2.0; } bgp { group int { type internal; local-address 10.255.14.177; neighbor 10.255.14.181; neighbor 10.255.14.178; neighbor 10.255.14.175; neighbor 10.255.14.176; neighbor 10.255.14.179; } group to-isp-red { export internal; peer-as 10023; neighbor 192.168.197.93 { family inet { labeled-unicast; } } } } ospf { area 0.0.0.0 { interface lo0.0 { passive; } interface fe-1/0/2.0; interface fe-1/1/2.0 { passive; } } } } policy-options { policy-statement internal { term a { from protocol [ ospf direct ]; then accept; } term b { then reject; } } }
Konfiguration für Router L
Konfigurieren Sie Router L so, dass er als Endkunde für den VPN-Dienst "Carrier-of-Carrier" fungiert:
[edit] protocols { bgp { group to-routerI { export attached; peer-as 21; neighbor 192.168.197.197; } } } policy-options { policy-statement attached { from protocol direct; then accept; } }
Siehe auch
Konfigurieren von Carrier-of-Carriers-VPNs für Kunden, die VPN-Dienste bereitstellen
Sie können einen Carrier-of-Carrier-VPN-Dienst für Kunden konfigurieren, die einen VPN-Service wünschen.
Führen Sie die Schritte in den folgenden Abschnitten aus, um die Router (oder Switches) in den Netzwerken des Kunden und des Anbieters so zu konfigurieren, dass der VPN-Dienst von Netzbetreibern aktiviert wird:
- Konfigurieren des PE-Routers des Carrier-of-Carriers-Kunden
- Konfigurieren des CE-Routers (oder Switches) des Carrier-of-Carriers-Kunden
- Konfigurieren des PE-Routers oder -Switches des Anbieters
Konfigurieren des PE-Routers des Carrier-of-Carriers-Kunden
Der PE-Router (oder Switch) des Carrier-of-Carrier-Kunden ist mit dem CE-Router (oder Switch) des Endkunden verbunden.
In den folgenden Abschnitten wird beschrieben, wie der PE-Router (oder Switch) des Carrier-of-Carrier-Kunden konfiguriert wird:
- Konfigurieren von MPLS
- BGP konfigurieren
- OSPF konfigurieren
- LDP konfigurieren
- Konfigurieren des VPN-Dienstes in der Routinginstanz
- Konfigurieren von Richtlinienoptionen
Konfigurieren von MPLS
Um MPLS auf dem PE-Router (oder Switch) des Carrier-of-Carriers-Kunden zu konfigurieren, fügen Sie die mpls
folgende Anweisung ein:
mpls { interface interface-name; interface interface-name; }
Sie können diese Anweisung auf den folgenden Hierarchieebenen einbinden:
[edit protocols]
[edit logical-systems logical-system-name protocols]
BGP konfigurieren
Fügen Sie die Anweisung in die Konfiguration für die IBGP-Sitzung an den CE-Router (oder Switch) des Carrier-of-Carriers-Kunden und die Anweisung in die Konfiguration für die labeled-unicast
IBGP-Sitzung an den PE-Router (oder Switch) des Carrier-of-Carriers-Kunden auf der anderen Seite des Netzwerks ein family-inet-vpn
:
bgp { group group-name { type internal; local-address address; neighbor address { family inet { labeled-unicast; resolve-vpn; } } } neighbor address { family inet-vpn { any; } } }
Sie können diese Anweisungen auf den folgenden Hierarchieebenen einbinden:
[edit protocols]
[edit logical-systems logical-system-name protocols]
OSPF konfigurieren
Um OSPF auf dem PE-Router (oder Switch) des Carrier-of-Carriers-Kunden zu konfigurieren, fügen Sie die ospf
folgende Anweisung ein:
ospf { area area-id { interface interface-name { passive; } interface interface-name; } }
Sie können diese Anweisung auf den folgenden Hierarchieebenen einbinden:
[edit protocols]
[edit logical-systems logical-system-name protocols]
LDP konfigurieren
Um LDP auf dem PE-Router (oder Switch) des Carrier-of-Carriers-Kunden zu konfigurieren, fügen Sie die ldp
folgende Anweisung ein:
ldp { interface interface-name; }
Sie können diese Anweisung auf den folgenden Hierarchieebenen einbinden:
[edit protocols]
[edit logical-systems logical-system-name protocols]
Konfigurieren des VPN-Dienstes in der Routinginstanz
Geben Sie die folgenden Anweisungen an, um den VPN-Dienst für den CE-Router (oder Switch) des Endbenutzers auf dem PE-Router (oder Switch) des Netzbetreibers oder Netzbetreibers des Kunden zu konfigurieren:
instance-type vrf; interface interface-name; route-distinguisher address; vrf-import policy-name; vrf-export policy-name; protocols { bgp { group group-name { peer-as as-number; neighbor address; } } }
Sie können diese Anweisungen auf den folgenden Hierarchieebenen einbinden:
[edit routing-instances routing-instance-name]
[edit logical-systems logical-system-name routing-instances routing-instance-name]
Konfigurieren von Richtlinienoptionen
Um Richtlinienoptionen zum Importieren und Exportieren von Routen zum und vom CE-Router (oder Switch) des Endkunden zu konfigurieren, fügen Sie die community
policy-statement
und-Anweisungen ein:
policy-statement policy-name { term term-name { from { protocol bgp; community community-name; } then accept; } term term-name { then reject; } } policy-statement policy-name { term term-name { from protocol bgp; then { community add community-name; accept; } } term term-name { then reject; } } community community-name members value;
Sie können diese Anweisungen auf den folgenden Hierarchieebenen einbinden:
[edit policy-options]
[edit logical-systems logical-system-name policy-options]
Konfigurieren des CE-Routers (oder Switches) des Carrier-of-Carriers-Kunden
Der CE-Router (oder Switch) des Carrier-of-Carriers-Kunden stellt eine Verbindung zum PE-Router (oder Switch) des Anbieters her. Führen Sie die Anweisungen in den folgenden Abschnitten aus, um den CE-Router (oder Switch) der Carrier-of-Carrier-Kunden zu konfigurieren:
- Konfigurieren von MPLS
- BGP konfigurieren
- Konfigurieren von OSPF und LDP
- Konfigurieren von Richtlinienoptionen
Konfigurieren von MPLS
Fügen Sie in der MPLS-Konfiguration für den CE-Router (oder Switch) des Carrier-of-Carriers-Kunden die Schnittstellen zum PE-Router (oder Switch) des Anbieters und zu einem P-Router (oder Switch) im Netzwerk des Kunden hinzu:
mpls { traffic-engineering bgp-igp; interface interface-name; interface interface-name; }
Sie können diese Anweisungen auf den folgenden Hierarchieebenen einbinden:
[edit protocols]
[edit logical-systems logical-system-name protocols]
BGP konfigurieren
Konfigurieren Sie in der BGP-Konfiguration für den CE-Router (oder Switch) des Carrier-of-Carrier-Kunden eine Gruppe, die die labeled-unicast
Anweisung enthält, den VPN-Service auf den PE-Router (oder Switch) auszudehnen, der mit dem CE-Router (oder Switch) des Endkunden verbunden ist:
bgp { group group-name { type internal; local-address address; neighbor address { family inet { labeled-unicast; } } } }
Sie können die bgp
Anweisung auf den folgenden Hierarchieebenen einbinden:
[edit protocols]
[edit logical-systems logical-system-name protocols]
Um eine Gruppe so zu konfigurieren, dass sie gekennzeichnete interne Routen an den PE-Router (oder Switch) des Anbieters sendet, fügen Sie die bgp
folgende Anweisung ein:
bgp { group group-name { export internal; peer-as as-number; neighbor address { family inet { labeled-unicast; } } } }
Sie können diese Anweisung auf den folgenden Hierarchieebenen einbinden:
[edit protocols]
[edit logical-systems logical-system-name protocols]
Konfigurieren von OSPF und LDP
Um OSPF und LDP auf dem CE-Router (oder Switch) des Carrier-of-Carriers-Kunden zu konfigurieren, fügen Sie die ospf
Anweisungen and ldp
ein:
ospf { area area-id { interface interface-name { passive; } interface interface-name; } } ldp { interface interface-name; }
Sie können diese Anweisungen auf den folgenden Hierarchieebenen einbinden:
[edit protocols]
[edit logical-systems logical-system-name protocols]
Konfigurieren von Richtlinienoptionen
Um die Richtlinienoptionen auf dem CE-Router (oder Switch) des Carrier-of-Carrier-Kunden zu konfigurieren, fügen Sie die policy-statement
folgende Erklärung ein:
policy-statement policy-statement-name { term term-name { from protocol [ ospf direct ldp ]; then accept; } term term-name { then reject; } }
Sie können diese Anweisung auf den folgenden Hierarchieebenen einbinden:
[edit policy-options]
[edit logical-systems logical-system-name policy-options]
Konfigurieren des PE-Routers oder -Switches des Anbieters
Die PE-Router (oder Switches) des Carrier-of-Carriers-Anbieters stellen eine Verbindung zu den CE-Routern (oder Switches) des Carrier-of-Carrier-Kunden her. Führen Sie die Anweisungen in den folgenden Abschnitten aus, um den PE-Router (oder Switch) des Anbieters zu konfigurieren:
- Konfigurieren von MPLS
- Konfigurieren einer PE-to-PE-BGP-Sitzung
- IS-IS und LDP konfigurieren
- Konfigurieren von Richtlinienoptionen
- Konfigurieren einer Routing-Instanz zum Senden von Routen an den CE-Router
Konfigurieren von MPLS
Geben Sie in der MPLS-Konfiguration mindestens zwei Schnittstellen an: eine zum CE-Router (oder Switch) des Kunden und eine zum PE-Router (oder Switch) des Anbieters auf der anderen Seite des Netzwerks des Anbieters:
interface interface-name; interface interface-name;
Sie können diese Anweisungen auf den folgenden Hierarchieebenen einbinden:
[edit protocols mpls]
[edit logical-systems logical-system-name protocols mpls]
Konfigurieren einer PE-to-PE-BGP-Sitzung
Um eine PE-zu-PE-BGP-Sitzung auf den PE-Routern (oder Switches) des Anbieters so zu konfigurieren, dass VPN-IPv4-Routen zwischen den PE-Routern (oder Switches) übertragen werden können, fügen Sie die bgp
folgende Anweisung ein:
bgp { group group-name { type internal; local-address address; family inet-vpn { any; } neighbor address; } }
Sie können diese Anweisung auf den folgenden Hierarchieebenen einbinden:
[edit protocols]
[edit logical-systems logical-system-name protocols]
IS-IS und LDP konfigurieren
Um IS-IS und LDP auf den PE-Routern (oder Switches) des Anbieters zu konfigurieren, fügen Sie die isis
ldp
und-Anweisungen ein:
isis { interface interface-name; interface interface-name { passive; } } ldp { interface interface-name; }
Sie können diese Anweisungen auf den folgenden Hierarchieebenen einbinden:
[edit protocols]
[edit logical-systems logical-system-name protocols]
Konfigurieren von Richtlinienoptionen
Um Richtlinienanweisungen auf dem PE-Router (oder Switch) des Anbieters zu konfigurieren, um Routen in das Netzwerk des Netzbetreiberkunden zu exportieren und Routen aus dem Netzwerk des Netzbetreiberkunden zu importieren, fügen Sie die policy-statement
community
und-Anweisungen ein:
policy-statement statement-name { term term-name { from { protocol bgp; community community-name; } then accept; } term term-name { then reject; } } policy-statement statement-name { term term-name { from protocol bgp; then { community add community-name; accept; } } term term-name { then reject; } } community community-name members value;
Sie können diese Anweisungen auf den folgenden Hierarchieebenen einbinden:
[edit policy-options]
[edit logical-systems logical-system-name policy-options]
Konfigurieren einer Routing-Instanz zum Senden von Routen an den CE-Router
Geben Sie die folgenden Anweisungen ein, um die Routing-Instanz auf dem PE-Router (oder Switch) des Anbieters so zu konfigurieren, dass gekennzeichnete Routen an den CE-Router (oder Switch) des Netzbetreiberkunden gesendet werden:
instance-type vrf; interface interface-name; route-distinguisher value; vrf-import policy-name; vrf-export policy-name; protocols { bgp { group group-name { peer-as as-number; neighbor address { family inet { labeled-unicast; } } } } }
Sie können diese Anweisungen auf den folgenden Hierarchieebenen einbinden:
[edit routing-instances routing-instance-name]
[edit logical-systems logical-system-name routing-instances routing-instance-name]
Siehe auch
Carrier-of-Carrier-VPN-Beispiel – Kunde stellt VPN-Service zur Verfügung
In diesem Beispiel muss der Netzbetreiberkunde eine Form von MPLS (Resource Reservation Protocol [RSVP] oder LDP) in seinem Netzwerk ausführen, um dem Endkunden VPN-Dienste bereitzustellen. Im folgenden Beispiel fungieren Router B und Router I als PE-Router (oder Switches), und ein funktionierender MPLS-Pfad zwischen diesen Routern ist erforderlich, wenn sie VPN-IPv4-Routen austauschen.
Konfigurationsinformationen finden Sie in den folgenden Abschnitten:
- Netzwerktopologie für den Carrier-of-Carriers-Service
- Konfiguration für Router A
- Konfiguration für Router B
- Konfiguration für Router C
- Konfiguration für Router D
- Konfiguration für Router E
- Konfiguration für Router F
- Konfiguration für Router G
- Konfiguration für Router H
- Konfiguration für Router I
- Konfiguration für Router J
- Konfiguration für Router K
- Konfiguration für Router L
Netzwerktopologie für den Carrier-of-Carriers-Service
Ein Carrier-of-Carriers-Service ermöglicht es einem Internet Service Provider (ISP), sich an mehreren Standorten mit einem transparenten ausgelagerten Backbone zu verbinden.
Abbildung 3 zeigt die Netzwerktopologie in diesem Carrier-of-Carrier-Beispiel.
Konfiguration für Router A
In diesem Beispiel fungiert Router A als CE-Router für den Endkunden. Konfigurieren Sie eine Standard-BGP-Sitzung family inet
auf Router A:
[edit] protocols { bgp { group to-routerB { export attached; peer-as 21; neighbor 192.168.197.169; } } } policy-options { policy-statement attached { from protocol direct; then accept; } }
Konfiguration für Router B
Da Router B der PE-Router für den CE-Router des Endkunden (Router A) ist, müssen Sie eine Routing-Instanz (vpna
) konfigurieren. Konfigurieren Sie die Anweisung für die IBGP-Sitzung auf Router D und konfigurieren Sie family-inet-vpn
für die labeled-unicast
IBGP-Sitzung auf der anderen Seite des Netzwerks mit Router I:
[edit] protocols { mpls { interface fe-1/0/2.0; interface fe-1/0/3.0; } bgp { group int { type internal; local-address 10.255.14.179; neighbor 10.255.14.175 { family inet { labeled-unicast { resolve-vpn; } } } } neighbor 10.255.14.181 { family inet-vpn { any; } } } ospf { area 0.0.0.0 { interface lo0.0 { passive; } interface fe-1/0/3.0; } } ldp { interface fe-1/0/3.0; } } routing-instances { vpna { instance-type vrf; interface fe-1/0/2.0; route-distinguisher 10.255.14.179:21; vrf-import vpna-import; vrf-export vpna-export; protocols { bgp { group vpna-06 { peer-as 1; neighbor 192.168.197.170; } } } } } policy-options { policy-statement vpna-import { term a { from { protocol bgp; community vpna-comm; } then accept; } term b { then reject; } } policy-statement vpna-export { term a { from protocol bgp; then { community add vpna-comm; accept; } } term b { then reject; } } community vpna-comm members target:100:1001; }
Konfiguration für Router C
Konfigurieren Sie Router C als Label-Swapping-Router innerhalb des lokalen AS:
[edit] protocols { mpls { traffic-engineering bgp-igp; } ospf { area 0.0.0.0 { interface lo0.0 { passive; } interface fe-0/3/3.0; interface fe-0/3/0.0; } } ldp { interface fe-0/3/0.0; interface fe-0/3/3.0; } }
Konfiguration für Router D
Router D fungiert als CE-Router für die VPN-Dienste, die vom AS 10023-Netzwerk bereitgestellt werden. In der BGP-Gruppenkonfiguration für die Gruppe , die den Datenverkehr zu Router B (10.255.14.179) verarbeitet, schließen Sie die int
labeled-unicast
Anweisung ein. Außerdem müssen Sie die BGP-Gruppe to-isp-red
so konfigurieren, dass sie gekennzeichnete interne Routen an den PE-Router (Router E) sendet.
[edit] protocols { mpls { traffic-engineering bgp-igp; interface fe-0/3/0.0; interface t3-0/0/0.0; } bgp { group int { type internal; local-address 10.255.14.175; neighbor 10.255.14.179 { family inet { labeled-unicast; } } } group to-isp-red { export internal; peer-as 10023; neighbor 192.168.197.13 { family inet { labeled-unicast; } } } } ospf { area 0.0.0.0 { interface lo0.0 { passive; } interface fe-0/3/0.0; } } ldp { interface fe-0/3/0.0; } } policy-options { policy-statement internal { term a { from protocol [ ospf direct ]; then accept; } term b { then reject; } } }
Konfiguration für Router E
Router E und Router H sind PE-Router. Konfigurieren Sie eine PE-Router-zu-PE-Router-BGP-Sitzung, um VPN-IPv4-Routen zwischen diesen beiden PE-Routern zuzulassen. Konfigurieren Sie die Routing-Instanz auf Router E so, dass gekennzeichnete Routen an den CE-Router (Router D) gesendet werden.
Konfigurieren Sie Router E:
[edit] protocols { mpls { interface t3-0/2/0.0; interface at-0/1/0.0; } bgp { group pe-pe { type internal; local-address 10.255.14.171; family inet-vpn { any; } neighbor 10.255.14.173; } } isis { interface at-0/1/0.0; interface lo0.0 { passive; } } ldp { interface at-0/1/0.0; } } policy-options { policy-statement vpn-isp1-import { term a { from { protocol bgp; community vpn-isp1-comm; } then accept; } term b { then reject; } } policy-statement vpn-isp1-export { term a { from protocol bgp; then { community add vpn-isp1-comm; accept; } } term b { then reject; } } community vpn-isp1-comm members target:69:21; } routing-instances { vpn-isp1 { instance-type vrf; interface t3-0/2/0.0; route-distinguisher 10.255.14.171:21; vrf-import vpn-isp1-import; vrf-export vpn-isp1-export; protocols { bgp { group to-isp1 { peer-as 21; neighbor 192.168.197.14 { as-override; family inet { labeled-unicast; } } } } } } }
Konfiguration für Router F
Konfigurieren Sie Router F so, dass Labels für Routen ausgetauscht werden, die über seine Schnittstellen ausgeführt werden:
[edit] protocols { isis { interface so-0/2/0.0; interface at-0/3/0.0; interface lo0.0 { passive; } } ldp { interface so-0/2/0.0; interface at-0/3/0.0; } }
Konfiguration für Router G
Konfigurieren Sie Router G:
[edit] protocols { isis { interface so-0/0/0.0; interface so-1/0/0.0; interface lo0.0 { passive; } } ldp { interface so-0/0/0.0; interface so-1/0/0.0; } }
Konfiguration für Router H
Die Konfiguration für Router H ähnelt der Konfiguration für Router E:
[edit] protocols { mpls { interface fe-1/1/0.0; interface so-1/0/0.0; } bgp { group pe-pe { type internal; local-address 10.255.14.173; family inet-vpn { any; } neighbor 10.255.14.171; } } isis { interface so-1/0/0.0; interface lo0.0 { passive; } } ldp { interface so-1/0/0.0; } } routing-instances { vpn-isp1 { instance-type vrf; interface fe-1/1/0.0; route-distinguisher 10.255.14.173:21; vrf-import vpn-isp1-import; vrf-export vpn-isp1-export; protocols { bgp { group to-isp1 { peer-as 21; neighbor 192.168.197.94 { as-override; family inet { labeled-unicast; } } } } } } } policy-options { policy-statement vpn-isp1-import { term a { from { protocol bgp; community vpn-isp1-comm; } then accept; } term b { then reject; } } policy-statement vpn-isp1-export { term a { from protocol bgp; then { community add vpn-isp1-comm; accept; } } term b { then reject; } } community vpn-isp1-comm members target:69:21; }
Konfiguration für Router I
Router I fungiert als PE-Router für den Endkunden. Die folgende Konfiguration ähnelt der Konfiguration für Router B:
[edit] protocols { mpls { interface fe-1/0/1.0; interface fe-1/1/3.0; } bgp { group int { type internal; local-address 10.255.14.181; neighbor 10.255.14.177 { family inet { labeled-unicast { resolve-vpn; } } } neighbor 10.255.14.179 { family inet-vpn { any; } } } } ospf { area 0.0.0.0 { interface lo0.0 { passive; } interface fe-1/1/3.0; } } ldp { interface fe-1/1/3.0; } } routing-instances { vpna { instance-type vrf; interface fe-1/0/1.0; route-distinguisher 10.255.14.181:21; vrf-import vpna-import; vrf-export vpna-export; protocols { bgp { group vpna-0 { peer-as 1; neighbor 192.168.197.198; } } } } } policy-options { policy-statement vpna-import { term a { from { protocol bgp; community vpna-comm; } then accept; } term b { then reject; } } policy-statement vpna-export { term a { from protocol bgp; then { community add vpna-comm; accept; } } term b { then reject; } } community vpna-comm members target:100:1001; }
Konfiguration für Router J
Konfigurieren Sie Router J so, dass Labels für Routen ausgetauscht werden, die über seine Schnittstellen verlaufen:
[edit] protocols { mpls { traffic-engineering bgp-igp; } ospf { area 0.0.0.0 { interface lo0.0 { passive; } interface fe-1/0/2.0; interface fe-1/0/3.0; } } ldp { interface fe-1/0/2.0; interface fe-1/0/3.0; } }
Konfiguration für Router K
Die Konfiguration für Router K ähnelt der Konfiguration für Router D:
[edit] protocols { mpls { traffic-engineering bgp-igp; interface fe-1/1/2.0; interface fe-1/0/2.0; } bgp { group int { type internal; local-address 10.255.14.177; neighbor 10.255.14.181 { family inet { labeled-unicast; } } } group to-isp-red { export internal; peer-as 10023; neighbor 192.168.197.93 { family inet { labeled-unicast; } } } } ospf { area 0.0.0.0 { interface lo0.0 { passive; } interface fe-1/0/2.0; } } ldp { interface fe-1/0/2.0; } } policy-options { policy-statement internal { term a { from protocol [ ospf direct ]; then accept; } term b { then reject; } } }
Konfiguration für Router L
In diesem Beispiel ist Router L der CE-Router des Endkunden. Konfigurieren Sie eine BGP-Sitzung der Standardfamilie inet
auf Router L:
[edit] protocols { bgp { group to-I { export attached; peer-as 21; neighbor 192.168.197.197; } } } policy-options { policy-statement attached { from protocol direct; then accept; } }
Siehe auch
Mehrere Instanzen für LDP- und Carrier-of-Carriers-VPNs
Durch die Konfiguration mehrerer LDP-Routing-Instanzen können Sie LDP verwenden, um Labels in einem Carrier-of-Carrier-VPN von einem PE-Router des Core-Providers zu einem CE-Router des Kunden-Carriers anzukündigen. Die LDP-Werbung für Labels auf diese Weise ist besonders nützlich, wenn der Netzbetreiberkunde ein einfacher ISP ist und vollständige Internetrouten auf seine PE-Router beschränken möchte. Durch die Verwendung von LDP anstelle von BGP schirmt der Netzbetreiberkunde seine anderen internen Router vom Internet ab. LDP mit mehreren Instanzen ist auch nützlich, wenn ein Netzbetreiberkunde seinen Kunden Layer-3-VPN- oder Layer-2-VPN-Services bereitstellen möchte.
Ein Beispiel für die Konfiguration mehrerer LDP-Routing-Instanzen für Carrier-of-Carrier-VPNs finden Sie unter https://www.juniper.net/documentation/us/en/software/junos/mpls/topics/example/multiple-instance-ldp-configuring-detailed-solutions.html.