AUF DIESER SEITE
Konfiguration von Carrier-of-Carriers-VPNs für Kunden, die Internetservices bereitstellen
VPN-Beispiel "Carrier-of-Carriers" – Kunde stellt Internetservice bereit
Konfiguration von Carrier-of-Carriers-VPNs für Kunden, die VPN-Dienste anbieten
VPN-Beispiel für Carrier-of-Carriers: Kunde stellt VPN-Service bereit
Carrier-of-Carrier-VPNs
Carrier-of-Carriers-VPNs verstehen
Der Kunde eines VPN-Dienstanbieters kann ein Dienstanbieter für den Endkunden sein. Im Folgenden sind die beiden Haupttypen von Carrier-of-Carriers-VPNs aufgeführt (wie in RFC 4364 beschrieben):
Internet Service Provider als Kunde: Der VPN-Kunde ist ein Internetdienstanbieter, der das Netzwerk des VPN-Dienstanbieters nutzt, um seine geografisch verteilten regionalen Netzwerke zu verbinden. Der Kunde muss MPLS innerhalb seiner regionalen Netzwerke nicht konfigurieren.
VPN-Service Provider als Kunde: Der VPN-Kunde ist selbst ein VPN-Dienstanbieter, der seinen Kunden VPN-Dienste anbietet. Der Carrier-of-Carriers-VPN-Service-Kunde verlässt sich auf den Backbone-VPN-Service Provider für die Konnektivität zwischen Standorten. Der VPN-Dienstanbieter des Kunden ist verpflichtet, MPLS in seinen regionalen Netzwerken auszuführen.
Abbildung 1 veranschaulicht die Netzwerkarchitektur, die für einen Carrier-of-Carriers-VPN-Dienst verwendet wird.
für Carrier-of-Carriers
In diesem Thema werden folgende Themen behandelt:
Internet Service Provider als Kunde
Bei dieser Art der Carrier-of-Carriers-VPN-Konfiguration konfiguriert ISP A sein Netzwerk so, dass es ISP B einen Internetdienst bereitstellt. ISP B stellt die Verbindung zu dem Kunden bereit, der einen Internetdienst wünscht, aber der eigentliche Internetdienst wird von ISP A bereitgestellt.
Diese Art der Carrier-of-Carriers-VPN-Konfiguration weist die folgenden Merkmale auf:
Der Carrier-of-Carriers-VPN-Servicekunde (ISP B) muss MPLS in seinem Netzwerk nicht konfigurieren.
Der Carrier-of-Carriers-VPN-Dienstanbieter (ISP A) muss MPLS in seinem Netzwerk konfigurieren.
MPLS muss auch auf den CE-Routern und PE-Routern konfiguriert werden, die in den Netzwerken des Carrier-of-Carriers-VPN-Service-Kunden und des Carrier-of-Carriers-VPN-Service-Providers miteinander verbunden sind.
VPN-Service Provider als Kunde
Ein VPN-Dienstanbieter kann Kunden haben, die selbst VPN-Dienstanbieter sind. Bei dieser Art der Konfiguration, die auch als hierarchisches oder rekursives VPN bezeichnet wird, werden die VPN-IPv4-Routen des VPN-Dienstanbieters des Kunden als externe Routen betrachtet, und der Backbone-VPN-Dienstanbieter importiert sie nicht in seine VRF-Tabelle. Der Backbone-VPN-Dienstanbieter importiert nur die internen Routen des VPN-Dienstanbieters des Kunden in seine VRF-Tabelle.
Die Gemeinsamkeiten und Unterschiede zwischen Interprovider- und Carrier-of-Carriers-VPNs sind in Tabelle 1 dargestellt.
Merkmal |
ISP-Kunde |
VPN Service Provider – Kunde |
|---|---|---|
Kunden-Edge-Gerät |
AS-Border-Router |
PE-Router |
IBGP-Sitzungen |
Übertragung von IPv4-Routen |
Externe VPN-IPv4-Routen mit zugehörigen Labels übertragen |
Weiterleitung innerhalb des Kundennetzwerks |
MPLS ist optional |
MPLS ist erforderlich |
Unterstützung für VPN-Dienste, da der Kunde auf QFX10000 Switches ab Junos OS Version 17.1R1 unterstützt wird.
Konfiguration von Carrier-of-Carriers-VPNs für Kunden, die Internetservices bereitstellen
Sie können einen Carrier-of-Carriers-VPN-Dienst für Kunden konfigurieren, die einen grundlegenden Internetservice bereitstellen möchten. Der VPN-Dienstanbieter des Carrier-of-Carriers muss MPLS in seinem Netzwerk konfigurieren, obwohl diese Konfiguration für den Carrier-Servicekunden optional ist. Die Carrier-of-Carriers-VPN-Architektur zeigt, wie die Router oder Switches in dieser Art von Service miteinander verbunden werden.
Führen Sie die in den folgenden Abschnitten beschriebenen Aufgaben aus, um ein Carrier-of-Carriers-VPN zu konfigurieren:
- Konfigurieren des CE-Routers des Carrier-of-Carriers-VPN-Dienstes des Kunden
- Konfigurieren der PE-Router des Carrier-of-Carriers-VPN-Service Providers
Konfigurieren des CE-Routers des Carrier-of-Carriers-VPN-Dienstes des Kunden
Der Router (oder Switch) des Carrier-of-Carriers-VPN-Servicekunden fungiert als CE-Router in Bezug auf den PE-Router oder -Switch des Service Providers. In den folgenden Abschnitten wird beschrieben, wie Sie den CE-Router oder -Switch des Carrier-of-Carriers-VPN-Dienstkunden konfigurieren:
- Konfigurieren von MPLS
- Konfigurieren von BGP
- Konfigurieren von OSPF
- Konfigurieren von Richtlinienoptionen
Konfigurieren von MPLS
Um MPLS auf dem CE-Router oder -Switch des Kunden zu konfigurieren, fügen Sie die mpls folgende Anweisung ein:
mpls {
traffic-engineering bgp-igp;
interface interface-name;
}
Sie können diese Anweisung auf folgenden Hierarchieebenen einfÃ1/4hren:
[edit protocols][edit logical-systems logical-system-name protocols]
Konfigurieren von BGP
Um eine Gruppe so zu konfigurieren, dass die internen Routen des Kunden zusammengestellt werden, fügen Sie die bgp folgende Anweisung ein:
bgp {
group group-name {
type internal;
local-address address;
neighbor address;
}
}
Sie können diese Anweisung auf folgenden Hierarchieebenen einfÃ1/4hren:
[edit protocols][edit logical-systems logical-system-name protocols]
Der CE-Router (oder Switch) des Kunden muss in der Lage sein, Etiketten an den Router des VPN-Dienstanbieters zu senden. Aktivieren Sie dies, indem Sie die labeled-unicast Anweisung in die Konfiguration für die BGP-Gruppe aufnehmen:
bgp {
group group-name {
export internal;
peer-as as-number;
neighbor address {
family inet {
labeled-unicast;
}
}
}
}
Sie können die bgp Anweisung auf den folgenden Hierarchieebenen einschließen:
[edit protocols][edit logical-systems logical-system-name protocols]
Konfigurieren von OSPF
Um OSPF auf dem CE-Router oder -Switch des Kunden zu konfigurieren, fügen Sie die ospf folgende Anweisung ein:
ospf {
area area-id {
interface interface-name {
passive;
}
interface interface-name;
}
}
Sie können diese Anweisung auf folgenden Hierarchieebenen einfÃ1/4hren:
[edit protocols][edit logical-systems logical-system-name protocols]
Konfigurieren von Richtlinienoptionen
Um Richtlinienoptionen auf dem CE-Router oder -Switch des Kunden zu konfigurieren, fügen Sie die policy-statement folgende Anweisung ein:
policy-statement statement-name {
term term-name {
from protocol [ospf direct ldp];
then accept;
}
term term-name {
then reject;
}
}
Sie können diese Anweisung auf folgenden Hierarchieebenen einfÃ1/4hren:
[edit policy-options][edit logical-systems logical-system-name policy-options]
Konfigurieren der PE-Router des Carrier-of-Carriers-VPN-Service Providers
Die PE-Router des Service Providers stellen eine Verbindung zu den CE-Routern des Kunden her und leiten den VPN-Datenverkehr des Kunden über das Netzwerk des Providers weiter.
In den folgenden Abschnitten wird beschrieben, wie Sie die PE-Router des Carrier-of-Carriers-VPN-Dienstanbieters konfigurieren:
- Konfigurieren von MPLS
- Konfigurieren von BGP
- Konfiguration von IS-IS
- Konfigurieren von LDP
- Konfigurieren einer Routing-Instanz
- Konfigurieren von Richtlinienoptionen
Konfigurieren von MPLS
Um MPLS auf den PE-Routern oder -Switches des Anbieters zu konfigurieren, fügen Sie die mpls Anweisung ein:
mpls {
interface interface-name;
interface interface-name;
}
Sie können diese Anweisung auf folgenden Hierarchieebenen einfÃ1/4hren:
[edit protocols][edit logical-systems logical-system-name protocols]
Konfigurieren von BGP
Um eine BGP-Sitzung mit dem PE-Router des Anbieters am anderen Ende des Netzwerks des Anbieters zu konfigurieren, fügen Sie die bgp folgende Anweisung ein:
bgp {
group group-name {
type internal;
local-address address;
family inet-vpn {
any;
}
neighbor address;
}
}
Sie können diese Anweisung auf folgenden Hierarchieebenen einfÃ1/4hren:
[edit protocols][edit logical-systems logical-system-name protocols]
Konfiguration von IS-IS
Um IS-IS auf den PE-Routern oder -Switches des Anbieters zu konfigurieren, fügen Sie die isis folgende Anweisung ein:
isis {
interface interface-name;
interface interface-name {
passive;
}
}
Sie können diese Anweisung auf folgenden Hierarchieebenen einfÃ1/4hren:
[edit protocols][edit logical-systems logical-system-name protocols]
Konfigurieren von LDP
Um LDP auf den PE-Routern oder -Switches des Anbieters zu konfigurieren, fügen Sie die ldp folgende Anweisung ein:
ldp {
interface interface-name;
}
Sie können diese Anweisung auf folgenden Hierarchieebenen einfÃ1/4hren:
[edit protocols][edit logical-systems logical-system-name protocols]
Konfigurieren einer Routing-Instanz
Um einen Layer 3-VPN-Service mit dem CE-Router oder -Switch des Kunden zu konfigurieren, fügen Sie die labeled-unicast Anweisung in die Konfiguration für die Routing-Instanz ein, damit der PE-Router (oder Switch) Labels an den CE-Router oder -Switch des Kunden senden kann:
routing-instance-name {
instance-type vrf;
interface interface-name;
route-distinguisher address;
vrf-import policy-name;
vrf-export policy-name;
protocols {
bgp {
group group-name {
peer-as as-number;
neighbor address {
family inet {
labeled-unicast;
}
}
}
}
}
}
Sie können diese Anweisungen auf den folgenden Hierarchieebenen einschließen:
[edit routing-instances][edit logical-systems logical-system-name routing-instances]
Konfigurieren von Richtlinienoptionen
Um eine Richtlinienanweisung zum Importieren von Routen vom CE-Router oder -Switch des Kunden zu konfigurieren, fügen Sie die policy-statement folgende Anweisung ein:
policy-statement policy-name {
term term-name {
from {
protocol bgp;
community community-name;
}
then accept;
}
term term-name {
then reject;
}
}
Sie können diese Anweisung auf folgenden Hierarchieebenen einfÃ1/4hren:
[edit policy-options][edit logical-systems logical-system-name policy-options]
Um eine Richtlinienanweisung zum Exportieren von Routen zum CE-Router oder -Switch des Kunden zu konfigurieren, schließen Sie die policy-statement community und-Anweisungen ein:
policy-statement policy-name {
term term-name {
from protocol bgp;
then {
community add community-name;
accept;
}
}
term term-name {
then reject;
}
}
community community-name members value;
Sie können diese Anweisungen auf den folgenden Hierarchieebenen einschließen:
[edit policy-options][edit logical-systems logical-system-name policy-options]
Siehe auch
VPN-Beispiel "Carrier-of-Carriers" – Kunde stellt Internetservice bereit
In diesem Beispiel ist der Netzbetreiberkunde nicht verpflichtet, MPLS und LDP in seinem Netzwerk zu konfigurieren. Der Netzbetreiber muss jedoch MPLS und LDP in seinem Netzwerk konfigurieren.
Konfigurationsinformationen finden Sie in den folgenden Abschnitten:
- Netzwerktopologie für Carrier-of-Carriers-Service
- Konfiguration für Router A
- Konfiguration für Router B
- Konfiguration für Router C
- Konfiguration für Router D
- Konfiguration für Router E
- Konfiguration für Router F
- Konfiguration für Router G
- Konfiguration für Router H
- Konfiguration für Router I
- Konfiguration für Router J
- Konfiguration für Router K
- Konfiguration für Router L
Netzwerktopologie für Carrier-of-Carriers-Service
Ein Carrier-of-Carriers-Service ermöglicht es einem Internet Service Provider (ISP), sich mit einem transparenten, ausgelagerten Backbone an mehreren Standorten zu verbinden.
Abbildung 2 zeigt die Netzwerktopologie in diesem Carrier-of-Carriers-Beispiel.
für Carrier-of-Carriers
Konfiguration für Router A
In diesem Beispiel stellt Router A einen Endkunden dar. Sie konfigurieren diesen Router als CE-Gerät.
[edit]
protocols {
bgp {
group to-routerB {
export attached;
peer-as 21;
as-override;
neighbor 192.168.197.169;
}
}
}
policy-options {
policy-statement attached {
from protocol direct;
then accept;
}
}
Konfiguration für Router B
Router B kann als Gateway-Router fungieren, der für die Aggregation der Endkunden und ihre Anbindung an das Netzwerk verantwortlich ist. Wenn eine IBGP-Sitzung mit vollständigem Netz konfiguriert ist, können Sie Routenreflektoren verwenden.
[edit]
protocols {
bgp {
group int {
type internal;
local-address 10.255.14.179;
neighbor 10.255.14.175;
neighbor 10.255.14.181;
neighbor 10.255.14.176;
neighbor 10.255.14.178;
neighbor 10.255.14.177;
}
group to-vpn-blue {
peer-as 1;
neighbor 192.168.197.170;
}
}
ospf {
area 0.0.0.0 {
interface lo0.0 {
passive;
}
interface fe-1/0/3.0;
interface fe-1/0/2.0 {
passive;
}
}
}
}
Konfiguration für Router C
Konfigurieren von Router C:
[edit]
protocols {
bgp {
group int {
type internal;
local-address 10.255.14.176;
neighbor 10.255.14.179;
neighbor 10.255.14.175;
neighbor 10.255.14.177;
neighbor 10.255.14.178;
neighbor 10.255.14.181;
}
}
ospf {
area 0.0.0.0 {
interface lo0.0 {
passive;
}
interface fe-0/3/3.0;
interface fe-0/3/0.0;
}
}
}
Konfiguration für Router D
Router D ist der CE-Router in Bezug auf AS 10023. In einem Carrier-of-Carriers-VPN muss der CE-Router in der Lage sein, Etiketten an den Carrier-Provider zu senden. Dies geschieht mit der labeled-unicast Anweisung in Gruppe to-isp-red.
[edit]
protocols {
mpls {
interface t3-0/0/0.0;
}
bgp {
group int {
type internal;
local-address 10.255.14.175;
neighbor 10.255.14.179;
neighbor 10.255.14.176;
neighbor 10.255.14.177;
neighbor 10.255.14.178;
neighbor 10.255.14.181;
}
group to-isp-red {
export internal;
peer-as 10023;
neighbor 192.168.197.13 {
family inet {
labeled-unicast;
}
}
}
}
ospf {
area 0.0.0.0 {
interface lo0.0 {
passive;
}
interface fe-0/3/0.0;
interface t3-0/0/0.0 {
passive;
}
}
}
}
policy options {
policy-statement internal {
term a {
from protocol [ ospf direct ];
then accept;
}
term b {
then reject;
}
}
}
Konfiguration für Router E
Mit dieser Konfiguration wird die inet-vpn IBGP-Sitzung mit Router H und der PE-Routerteil des VPN mit Router D eingerichtet. Da Router D in diesem Beispiel zum Senden von Labels erforderlich ist, konfigurieren Sie die BGP-Sitzung mit der labeled-unicast Anweisung in der VRF-Tabelle (Virtual Routing and Forwarding).
[edit]
protocols {
mpls {
interface t3-0/2/0.0;
interface at-0/1/0.0;
}
bgp {
group pe-pe {
type internal;
local-address 10.255.14.171;
family inet-vpn {
any;
}
neighbor 10.255.14.173;
}
}
isis {
interface at-0/1/0.0;
interface lo0.0 {
passive;
}
}
ldp {
interface at-0/1/0.0;
}
}
routing-instances {
vpn-isp1 {
instance-type vrf;
interface t3-0/2/0.0;
route-distinguisher 10.255.14.171:21;
vrf-import vpn-isp1-import;
vrf-export vpn-isp1-export;
protocols {
bgp {
group to-isp1 {
peer-as 21;
neighbor 192.168.197.14 {
family inet {
labeled-unicast;
}
}
}
}
}
}
}
policy-options {
policy-statement vpn-isp1-import {
term a {
from {
protocol bgp;
community vpn-isp1-comm;
}
then accept;
}
term b {
then reject;
}
}
policy-statement vpn-isp1-export {
term a {
from protocol bgp;
then {
community add vpn-isp1-comm;
accept;
}
}
term b {
then reject;
}
}
community vpn-isp1-comm members target:69:21;
}
Konfiguration für Router F
Konfigurieren Sie Router F so, dass er als Label-Swapping-Router fungiert:
[edit]
protocols {
isis {
interface so-0/2/0.0;
interface at-0/3/0.0;
interface lo0.0 {
passive;
}
}
ldp {
interface so-0/2/0.0;
interface at-0/3/0.0;
}
}
Konfiguration für Router G
Konfigurieren Sie Router G so, dass er als Label-Swapping-Router fungiert:
[edit]
protocols {
isis {
interface so-0/0/0.0;
interface so-1/0/0.0;
interface lo0.0 {
passive;
}
}
ldp {
interface so-0/0/0.0;
interface so-1/0/0.0;
}
}
Konfiguration für Router H
Die Oberfräse H fungiert als PE-Router für AS 10023. Die folgende Konfiguration ähnelt der für Router F:
[edit]
protocols {
mpls {
interface fe-1/1/0.0;
interface so-1/0/0.0;
}
bgp {
group pe-pe {
type internal;
local-address 10.255.14.173;
family inet-vpn {
any;
}
neighbor 10.255.14.171;
}
}
isis {
interface so-1/0/0.0;
interface lo0.0 {
passive;
}
}
ldp {
interface so-1/0/0.0;
}
}
routing-instances {
vpn-isp1 {
instance-type vrf;
interface fe-1/1/0.0;
route-distinguisher 10.255.14.173:21;
vrf-import vpn-isp1-import;
vrf-export vpn-isp1-export;
protocols {
bgp {
group to-isp1 {
peer-as 21;
neighbor 192.168.197.94 {
family inet {
labeled-unicast;
}
}
}
}
}
}
}
policy-options {
policy-statement vpn-isp1-import {
term a {
from {
protocol bgp;
community vpn-isp1-comm;
}
then accept;
}
term b {
then reject;
}
}
policy-statement vpn-isp1-export {
term a {
from protocol bgp;
then {
community add vpn-isp1-comm;
accept;
}
}
term b {
then reject;
}
}
community vpn-isp1-comm members target:69:21;
}
Konfiguration für Router I
Konfigurieren Sie Router I für die Verbindung mit dem grundlegenden Internetdienstkunden (Router L):
[edit]
protocols {
mpls {
interface fe-1/0/1.0;
interface fe-1/1/3.0;
}
bgp {
group int {
type internal;
local-address 10.255.14.181;
neighbor 10.255.14.177;
neighbor 10.255.14.179;
neighbor 10.255.14.175;
neighbor 10.255.14.176;
neighbor 10.255.14.178;
}
group to-vpn-green {
peer-as 1;
neighbor 192.168.197.198;
}
}
ospf {
area 0.0.0.0 {
interface lo0.0 {
passive;
}
interface fe-1/0/1.0 {
passive;
}
interface fe-1/1/3.0;
}
}
}
Konfiguration für Router J
Konfigurieren Sie Router J als Label-Swapping-Router:
[edit]
protocols {
bgp {
group int {
type internal;
local-address 10.255.14.178;
neighbor 10.255.14.177;
neighbor 10.255.14.181;
neighbor 10.255.14.175;
neighbor 10.255.14.176;
neighbor 10.255.14.179;
}
}
}
ospf {
area 0.0.0.0 {
interface lo0.0 {
passive;
}
interface fe-1/0/2.0;
interface fe-1/0/3.0;
}
}
Konfiguration für Router K
Router K fungiert als CE-Router am Ende der Verbindung zum Carrier-Provider. Fügen Sie wie in der Konfiguration für Router D die labeled-unicast Anweisung für die EBGP-Sitzung ein:
[edit]
protocols {
mpls {
interface fe-1/1/2.0;
interface fe-1/0/2.0;
}
bgp {
group int {
type internal;
local-address 10.255.14.177;
neighbor 10.255.14.181;
neighbor 10.255.14.178;
neighbor 10.255.14.175;
neighbor 10.255.14.176;
neighbor 10.255.14.179;
}
group to-isp-red {
export internal;
peer-as 10023;
neighbor 192.168.197.93 {
family inet {
labeled-unicast;
}
}
}
}
ospf {
area 0.0.0.0 {
interface lo0.0 {
passive;
}
interface fe-1/0/2.0;
interface fe-1/1/2.0 {
passive;
}
}
}
}
policy-options {
policy-statement internal {
term a {
from protocol [ ospf direct ];
then accept;
}
term b {
then reject;
}
}
}
Konfiguration für Router L
Konfigurieren Sie Router L so, dass er als Endkunde für den VPN-Dienst "Carrier-of-Carriers" fungiert:
[edit]
protocols {
bgp {
group to-routerI {
export attached;
peer-as 21;
neighbor 192.168.197.197;
}
}
}
policy-options {
policy-statement attached {
from protocol direct;
then accept;
}
}
Siehe auch
Konfiguration von Carrier-of-Carriers-VPNs für Kunden, die VPN-Dienste anbieten
Sie können einen Carrier-of-Carriers-VPN-Dienst für Kunden konfigurieren, die einen VPN-Dienst wünschen.
Führen Sie die Schritte in den folgenden Abschnitten aus, um die Router (oder Switches) in den Netzwerken des Kunden und des Anbieters so zu konfigurieren, dass der VPN-Dienst "Carrier-of-Carriers" aktiviert wird:
- Konfigurieren des PE-Routers des Carrier-of-Carriers-Kunden
- Konfigurieren des CE-Routers (oder Switches) des Carrier-of-Carriers-Kunden
- Konfigurieren des PE-Routers oder -Switches des Anbieters
Konfigurieren des PE-Routers des Carrier-of-Carriers-Kunden
Der PE-Router (oder Switch) des Carrier-of-Carriers-Kunden ist mit dem CE-Router (oder Switch) des Endkunden verbunden.
In den folgenden Abschnitten wird beschrieben, wie der PE-Router (oder -Switch) des Carrier-of-Carriers-Kunden konfiguriert wird:
- Konfigurieren von MPLS
- Konfigurieren von BGP
- Konfigurieren von OSPF
- Konfigurieren von LDP
- Konfigurieren des VPN-Diensts in der Routinginstanz
- Konfigurieren von Richtlinienoptionen
Konfigurieren von MPLS
Um MPLS auf dem PE-Router (oder -Switch) des Carrier-of-Carriers-Kunden zu konfigurieren, fügen Sie die mpls folgende Anweisung ein:
mpls {
interface interface-name;
interface interface-name;
}
Sie können diese Anweisung auf folgenden Hierarchieebenen einfÃ1/4hren:
[edit protocols][edit logical-systems logical-system-name protocols]
Konfigurieren von BGP
Schließen Sie die labeled-unicast Anweisung in die Konfiguration für die IBGP-Sitzung zum CE-Router (oder Switch) des Carrier-of-Carriers-Kunden und in die Konfiguration für die IBGP-Sitzung zum PE-Router (oder Switch) des Carrier-of-Carriers-PE auf der anderen Seite des Netzwerks ein family-inet-vpn :
bgp {
group group-name {
type internal;
local-address address;
neighbor address {
family inet {
labeled-unicast;
resolve-vpn;
}
}
}
neighbor address {
family inet-vpn {
any;
}
}
}
Sie können diese Anweisungen auf den folgenden Hierarchieebenen einschließen:
[edit protocols][edit logical-systems logical-system-name protocols]
Konfigurieren von OSPF
Um OSPF auf dem PE-Router (oder Switch) des Carrier-of-Carriers-Kunden zu konfigurieren, fügen Sie die ospf folgende Anweisung ein:
ospf {
area area-id {
interface interface-name {
passive;
}
interface interface-name;
}
}
Sie können diese Anweisung auf folgenden Hierarchieebenen einfÃ1/4hren:
[edit protocols][edit logical-systems logical-system-name protocols]
Konfigurieren von LDP
Um LDP auf dem PE-Router (oder Switch) des Carrier-of-Carriers-Kunden zu konfigurieren, fügen Sie die ldp folgende Anweisung ein:
ldp {
interface interface-name;
}
Sie können diese Anweisung auf folgenden Hierarchieebenen einfÃ1/4hren:
[edit protocols][edit logical-systems logical-system-name protocols]
Konfigurieren des VPN-Diensts in der Routinginstanz
Um den VPN-Service für den CE-Router (oder Switch) des Endkunden auf dem PE-Router (oder Switch) des Carrier-of-Carriers-Kunden zu konfigurieren, geben Sie die folgenden Anweisungen ein:
instance-type vrf;
interface interface-name;
route-distinguisher address;
vrf-import policy-name;
vrf-export policy-name;
protocols {
bgp {
group group-name {
peer-as as-number;
neighbor address;
}
}
}
Sie können diese Anweisungen auf den folgenden Hierarchieebenen einschließen:
[edit routing-instances routing-instance-name][edit logical-systems logical-system-name routing-instances routing-instance-name]
Konfigurieren von Richtlinienoptionen
Um Richtlinienoptionen für den Import und Export von Routen zum und vom CE-Router (oder Switch) des Endkunden zu konfigurieren, fügen Sie die policy-statement community und-Anweisungen ein:
policy-statement policy-name {
term term-name {
from {
protocol bgp;
community community-name;
}
then accept;
}
term term-name {
then reject;
}
}
policy-statement policy-name {
term term-name {
from protocol bgp;
then {
community add community-name;
accept;
}
}
term term-name {
then reject;
}
}
community community-name members value;
Sie können diese Anweisungen auf den folgenden Hierarchieebenen einschließen:
[edit policy-options][edit logical-systems logical-system-name policy-options]
Konfigurieren des CE-Routers (oder Switches) des Carrier-of-Carriers-Kunden
Der CE-Router (oder Switch) des Carrier-of-Carriers-Kunden wird mit dem PE-Router (oder Switch) des Providers verbunden. Führen Sie die Anweisungen in den folgenden Abschnitten aus, um den CE-Router (oder -Switch) des Carrier-of-Carriers-Kunden zu konfigurieren:
- Konfigurieren von MPLS
- Konfigurieren von BGP
- Konfiguration von OSPF und LDP
- Konfigurieren von Richtlinienoptionen
Konfigurieren von MPLS
Schließen Sie in der MPLS-Konfiguration für den CE-Router (oder Switch) des Carrier-of-Carriers-Kunden die Schnittstellen zum PE-Router (oder Switch) des Anbieters und zu einem P-Router (oder Switch) im Netzwerk des Kunden ein:
mpls {
traffic-engineering bgp-igp;
interface interface-name;
interface interface-name;
}
Sie können diese Anweisungen auf den folgenden Hierarchieebenen einschließen:
[edit protocols][edit logical-systems logical-system-name protocols]
Konfigurieren von BGP
Konfigurieren Sie in der BGP-Konfiguration für den CE-Router (oder Switch) des Carrier-of-Carriers-Kunden eine Gruppe, die die Anweisung zum Erweitern des labeled-unicast VPN-Dienstes auf den PE-Router (oder Switch) enthält, der mit dem CE-Router (oder Switch) des Endkunden verbunden ist:
bgp {
group group-name {
type internal;
local-address address;
neighbor address {
family inet {
labeled-unicast;
}
}
}
}
Sie können die bgp Anweisung auf den folgenden Hierarchieebenen einschließen:
[edit protocols][edit logical-systems logical-system-name protocols]
Um eine Gruppe so zu konfigurieren, dass sie bezeichnete interne Routen an den PE-Router (oder Switch) des Anbieters sendet, fügen Sie die folgende bgp Anweisung ein:
bgp {
group group-name {
export internal;
peer-as as-number;
neighbor address {
family inet {
labeled-unicast;
}
}
}
}
Sie können diese Anweisung auf folgenden Hierarchieebenen einfÃ1/4hren:
[edit protocols][edit logical-systems logical-system-name protocols]
Konfiguration von OSPF und LDP
Um OSPF und LDP auf dem CE-Router (oder Switch) des Carrier-of-Carriers-Kunden zu konfigurieren, fügen Sie die ospf ldp und-Anweisungen ein:
ospf {
area area-id {
interface interface-name {
passive;
}
interface interface-name;
}
}
ldp {
interface interface-name;
}
Sie können diese Anweisungen auf den folgenden Hierarchieebenen einschließen:
[edit protocols][edit logical-systems logical-system-name protocols]
Konfigurieren von Richtlinienoptionen
Um die Richtlinienoptionen auf dem CE-Router (oder -Switch) des Carrier-of-Carriers-Kunden zu konfigurieren, fügen Sie die policy-statement folgende Anweisung hinzu:
policy-statement policy-statement-name {
term term-name {
from protocol [ ospf direct ldp ];
then accept;
}
term term-name {
then reject;
}
}
Sie können diese Anweisung auf folgenden Hierarchieebenen einfÃ1/4hren:
[edit policy-options][edit logical-systems logical-system-name policy-options]
Konfigurieren des PE-Routers oder -Switches des Anbieters
Die PE-Router (oder Switches) des Carrier-of-Carriers-Anbieters werden mit den CE-Routern (oder Switches) des Carrier-Kunden verbunden. Führen Sie die Anweisungen in den folgenden Abschnitten aus, um den PE-Router (oder -Switch) des Anbieters zu konfigurieren:
- Konfigurieren von MPLS
- Konfigurieren einer PE-zu-PE-BGP-Sitzung
- Konfiguration von IS-IS und LDP
- Konfigurieren von Richtlinienoptionen
- Konfigurieren einer Routing-Instanz zum Senden von Routen an den CE-Router
Konfigurieren von MPLS
Geben Sie in der MPLS-Konfiguration mindestens zwei Schnittstellen an: eine zum CE-Router (oder Switch) des Kunden und eine zum PE-Router (oder Switch) des Anbieters auf der anderen Seite des Netzwerks des Anbieters:
interface interface-name; interface interface-name;
Sie können diese Anweisungen auf den folgenden Hierarchieebenen einschließen:
[edit protocols mpls][edit logical-systems logical-system-name protocols mpls]
Konfigurieren einer PE-zu-PE-BGP-Sitzung
Um eine PE-zu-PE-BGP-Sitzung auf den PE-Routern (oder -Switches) des Anbieters so zu konfigurieren, dass VPN-IPv4-Routen zwischen den PE-Routern (oder Switches) passieren können, fügen Sie die bgp Anweisung ein:
bgp {
group group-name {
type internal;
local-address address;
family inet-vpn {
any;
}
neighbor address;
}
}
Sie können diese Anweisung auf folgenden Hierarchieebenen einfÃ1/4hren:
[edit protocols][edit logical-systems logical-system-name protocols]
Konfiguration von IS-IS und LDP
Um IS-IS und LDP auf den PE-Routern (oder Switches) des Anbieters zu konfigurieren, fügen Sie die isis and-Anweisungen ldp ein:
isis {
interface interface-name;
interface interface-name {
passive;
}
}
ldp {
interface interface-name;
}
Sie können diese Anweisungen auf den folgenden Hierarchieebenen einschließen:
[edit protocols][edit logical-systems logical-system-name protocols]
Konfigurieren von Richtlinienoptionen
Um Richtlinienanweisungen auf dem PE-Router (oder -Switch) des Anbieters zu konfigurieren, um Routen in das Netzwerk des Netzbetreiberkunden zu exportieren und Routen aus dem Netzwerk des Netzbetreiberkunden zu importieren, fügen Sie die policy-statement community und-Anweisungen ein:
policy-statement statement-name {
term term-name {
from {
protocol bgp;
community community-name;
}
then accept;
}
term term-name {
then reject;
}
}
policy-statement statement-name {
term term-name {
from protocol bgp;
then {
community add community-name;
accept;
}
}
term term-name {
then reject;
}
}
community community-name members value;
Sie können diese Anweisungen auf den folgenden Hierarchieebenen einschließen:
[edit policy-options][edit logical-systems logical-system-name policy-options]
Konfigurieren einer Routing-Instanz zum Senden von Routen an den CE-Router
Geben Sie die folgenden Anweisungen an, um die Routing-Instanz auf dem PE-Router (oder Switch) des Anbieters so zu konfigurieren, dass sie gekennzeichnete Routen an den CE-Router (oder Switch) des Netzbetreiber-Kunden sendet:
instance-type vrf;
interface interface-name;
route-distinguisher value;
vrf-import policy-name;
vrf-export policy-name;
protocols {
bgp {
group group-name {
peer-as as-number;
neighbor address {
family inet {
labeled-unicast;
}
}
}
}
}
Sie können diese Anweisungen auf den folgenden Hierarchieebenen einschließen:
[edit routing-instances routing-instance-name][edit logical-systems logical-system-name routing-instances routing-instance-name]
Siehe auch
VPN-Beispiel für Carrier-of-Carriers: Kunde stellt VPN-Service bereit
In diesem Beispiel muss der Netzbetreiberkunde irgendeine Form von MPLS (Resource Reservation Protocol [RSVP] oder LDP) in seinem Netzwerk ausführen, um VPN-Services für den Endkunden bereitzustellen. Im folgenden Beispiel fungieren Router B und Router I als PE-Router (oder Switches), und ein funktionierender MPLS-Pfad zwischen diesen Routern ist erforderlich, wenn sie VPN-IPv4-Routen austauschen.
Konfigurationsinformationen finden Sie in den folgenden Abschnitten:
- Netzwerktopologie für Carrier-of-Carriers-Service
- Konfiguration für Router A
- Konfiguration für Router B
- Konfiguration für Router C
- Konfiguration für Router D
- Konfiguration für Router E
- Konfiguration für Router F
- Konfiguration für Router G
- Konfiguration für Router H
- Konfiguration für Router I
- Konfiguration für Router J
- Konfiguration für Router K
- Konfiguration für Router L
Netzwerktopologie für Carrier-of-Carriers-Service
Ein Carrier-of-Carriers-Service ermöglicht es einem Internet Service Provider (ISP), sich mit einem transparenten, ausgelagerten Backbone an mehreren Standorten zu verbinden.
Abbildung 3 zeigt die Netzwerktopologie in diesem Carrier-of-Carriers-Beispiel.
für Carrier-of-Carriers
Konfiguration für Router A
In diesem Beispiel fungiert Router A als CE-Router für den Endkunden. Konfigurieren einer standardmäßigen family inet BGP-Sitzung auf Router A:
[edit]
protocols {
bgp {
group to-routerB {
export attached;
peer-as 21;
neighbor 192.168.197.169;
}
}
}
policy-options {
policy-statement attached {
from protocol direct;
then accept;
}
}
Konfiguration für Router B
Da Router B der PE-Router für den CE-Router des Endkunden (Router A) ist, müssen Sie eine Routing-Instanz konfigurieren (vpna). Konfigurieren Sie die labeled-unicast Anweisung für die IBGP-Sitzung auf Router D und family-inet-vpn konfigurieren Sie für die IBGP-Sitzung auf der anderen Seite des Netzwerks mit Router I:
[edit]
protocols {
mpls {
interface fe-1/0/2.0;
interface fe-1/0/3.0;
}
bgp {
group int {
type internal;
local-address 10.255.14.179;
neighbor 10.255.14.175 {
family inet {
labeled-unicast {
resolve-vpn;
}
}
}
}
neighbor 10.255.14.181 {
family inet-vpn {
any;
}
}
}
ospf {
area 0.0.0.0 {
interface lo0.0 {
passive;
}
interface fe-1/0/3.0;
}
}
ldp {
interface fe-1/0/3.0;
}
}
routing-instances {
vpna {
instance-type vrf;
interface fe-1/0/2.0;
route-distinguisher 10.255.14.179:21;
vrf-import vpna-import;
vrf-export vpna-export;
protocols {
bgp {
group vpna-06 {
peer-as 1;
neighbor 192.168.197.170;
}
}
}
}
}
policy-options {
policy-statement vpna-import {
term a {
from {
protocol bgp;
community vpna-comm;
}
then accept;
}
term b {
then reject;
}
}
policy-statement vpna-export {
term a {
from protocol bgp;
then {
community add vpna-comm;
accept;
}
}
term b {
then reject;
}
}
community vpna-comm members target:100:1001;
}
Konfiguration für Router C
Konfigurieren Sie Router C als Label-Swapping-Router innerhalb des lokalen AS:
[edit]
protocols {
mpls {
traffic-engineering bgp-igp;
}
ospf {
area 0.0.0.0 {
interface lo0.0 {
passive;
}
interface fe-0/3/3.0;
interface fe-0/3/0.0;
}
}
ldp {
interface fe-0/3/0.0;
interface fe-0/3/3.0;
}
}
Konfiguration für Router D
Router D fungiert als CE-Router für die VPN-Dienste, die vom Netzwerk AS 10023 bereitgestellt werden. In der BGP-Gruppenkonfiguration für die Gruppe int, die den Datenverkehr zu Router B (10.255.14.179) verarbeitet, schließen Sie die labeled-unicast Anweisung ein. Außerdem müssen Sie die BGP-Gruppe to-isp-red so konfigurieren, dass sie bezeichnete interne Routen an den PE-Router (Router E) sendet.
[edit]
protocols {
mpls {
traffic-engineering bgp-igp;
interface fe-0/3/0.0;
interface t3-0/0/0.0;
}
bgp {
group int {
type internal;
local-address 10.255.14.175;
neighbor 10.255.14.179 {
family inet {
labeled-unicast;
}
}
}
group to-isp-red {
export internal;
peer-as 10023;
neighbor 192.168.197.13 {
family inet {
labeled-unicast;
}
}
}
}
ospf {
area 0.0.0.0 {
interface lo0.0 {
passive;
}
interface fe-0/3/0.0;
}
}
ldp {
interface fe-0/3/0.0;
}
}
policy-options {
policy-statement internal {
term a {
from protocol [ ospf direct ];
then accept;
}
term b {
then reject;
}
}
}
Konfiguration für Router E
Router E und Router H sind PE-Router. Konfigurieren Sie eine PE-Router-zu-PE-Router-BGP-Sitzung, um VPN-IPv4-Routen zwischen diesen beiden PE-Routern passieren zu lassen. Konfigurieren Sie die Routing-Instanz auf Router E so, dass gekennzeichnete Routen an den CE-Router (Router D) gesendet werden.
Konfigurieren von Router E:
[edit]
protocols {
mpls {
interface t3-0/2/0.0;
interface at-0/1/0.0;
}
bgp {
group pe-pe {
type internal;
local-address 10.255.14.171;
family inet-vpn {
any;
}
neighbor 10.255.14.173;
}
}
isis {
interface at-0/1/0.0;
interface lo0.0 {
passive;
}
}
ldp {
interface at-0/1/0.0;
}
}
policy-options {
policy-statement vpn-isp1-import {
term a {
from {
protocol bgp;
community vpn-isp1-comm;
}
then accept;
}
term b {
then reject;
}
}
policy-statement vpn-isp1-export {
term a {
from protocol bgp;
then {
community add vpn-isp1-comm;
accept;
}
}
term b {
then reject;
}
}
community vpn-isp1-comm members target:69:21;
}
routing-instances {
vpn-isp1 {
instance-type vrf;
interface t3-0/2/0.0;
route-distinguisher 10.255.14.171:21;
vrf-import vpn-isp1-import;
vrf-export vpn-isp1-export;
protocols {
bgp {
group to-isp1 {
peer-as 21;
neighbor 192.168.197.14 {
as-override;
family inet {
labeled-unicast;
}
}
}
}
}
}
}
Konfiguration für Router F
Konfigurieren Sie Router F so, dass die Beschriftungen für Routen, die über seine Schnittstellen verlaufen, ausgetauscht werden:
[edit]
protocols {
isis {
interface so-0/2/0.0;
interface at-0/3/0.0;
interface lo0.0 {
passive;
}
}
ldp {
interface so-0/2/0.0;
interface at-0/3/0.0;
}
}
Konfiguration für Router G
Konfigurieren Sie Router G:
[edit]
protocols {
isis {
interface so-0/0/0.0;
interface so-1/0/0.0;
interface lo0.0 {
passive;
}
}
ldp {
interface so-0/0/0.0;
interface so-1/0/0.0;
}
}
Konfiguration für Router H
Die Konfiguration für Router H ähnelt der Konfiguration für Router E:
[edit]
protocols {
mpls {
interface fe-1/1/0.0;
interface so-1/0/0.0;
}
bgp {
group pe-pe {
type internal;
local-address 10.255.14.173;
family inet-vpn {
any;
}
neighbor 10.255.14.171;
}
}
isis {
interface so-1/0/0.0;
interface lo0.0 {
passive;
}
}
ldp {
interface so-1/0/0.0;
}
}
routing-instances {
vpn-isp1 {
instance-type vrf;
interface fe-1/1/0.0;
route-distinguisher 10.255.14.173:21;
vrf-import vpn-isp1-import;
vrf-export vpn-isp1-export;
protocols {
bgp {
group to-isp1 {
peer-as 21;
neighbor 192.168.197.94 {
as-override;
family inet {
labeled-unicast;
}
}
}
}
}
}
}
policy-options {
policy-statement vpn-isp1-import {
term a {
from {
protocol bgp;
community vpn-isp1-comm;
}
then accept;
}
term b {
then reject;
}
}
policy-statement vpn-isp1-export {
term a {
from protocol bgp;
then {
community add vpn-isp1-comm;
accept;
}
}
term b {
then reject;
}
}
community vpn-isp1-comm members target:69:21;
}
Konfiguration für Router I
Router I fungiert als PE-Router für den Endkunden. Die folgende Konfiguration ähnelt der Konfiguration für Router B:
[edit]
protocols {
mpls {
interface fe-1/0/1.0;
interface fe-1/1/3.0;
}
bgp {
group int {
type internal;
local-address 10.255.14.181;
neighbor 10.255.14.177 {
family inet {
labeled-unicast {
resolve-vpn;
}
}
}
neighbor 10.255.14.179 {
family inet-vpn {
any;
}
}
}
}
ospf {
area 0.0.0.0 {
interface lo0.0 {
passive;
}
interface fe-1/1/3.0;
}
}
ldp {
interface fe-1/1/3.0;
}
}
routing-instances {
vpna {
instance-type vrf;
interface fe-1/0/1.0;
route-distinguisher 10.255.14.181:21;
vrf-import vpna-import;
vrf-export vpna-export;
protocols {
bgp {
group vpna-0 {
peer-as 1;
neighbor 192.168.197.198;
}
}
}
}
}
policy-options {
policy-statement vpna-import {
term a {
from {
protocol bgp;
community vpna-comm;
}
then accept;
}
term b {
then reject;
}
}
policy-statement vpna-export {
term a {
from protocol bgp;
then {
community add vpna-comm;
accept;
}
}
term b {
then reject;
}
}
community vpna-comm members target:100:1001;
}
Konfiguration für Router J
Konfigurieren Sie Router J so, dass die Bezeichnungen für Routen, die über seine Schnittstellen verlaufen, ausgetauscht werden:
[edit]
protocols {
mpls {
traffic-engineering bgp-igp;
}
ospf {
area 0.0.0.0 {
interface lo0.0 {
passive;
}
interface fe-1/0/2.0;
interface fe-1/0/3.0;
}
}
ldp {
interface fe-1/0/2.0;
interface fe-1/0/3.0;
}
}
Konfiguration für Router K
Die Konfiguration für Router K ähnelt der Konfiguration für Router D:
[edit]
protocols {
mpls {
traffic-engineering bgp-igp;
interface fe-1/1/2.0;
interface fe-1/0/2.0;
}
bgp {
group int {
type internal;
local-address 10.255.14.177;
neighbor 10.255.14.181 {
family inet {
labeled-unicast;
}
}
}
group to-isp-red {
export internal;
peer-as 10023;
neighbor 192.168.197.93 {
family inet {
labeled-unicast;
}
}
}
}
ospf {
area 0.0.0.0 {
interface lo0.0 {
passive;
}
interface fe-1/0/2.0;
}
}
ldp {
interface fe-1/0/2.0;
}
}
policy-options {
policy-statement internal {
term a {
from protocol [ ospf direct ];
then accept;
}
term b {
then reject;
}
}
}
Konfiguration für Router L
In diesem Beispiel ist Router L der CE-Router des Endkunden. Konfigurieren Sie eine Standardfamilien-BGP-Sitzung inet auf Router L:
[edit]
protocols {
bgp {
group to-I {
export attached;
peer-as 21;
neighbor 192.168.197.197;
}
}
}
policy-options {
policy-statement attached {
from protocol direct;
then accept;
}
}
Siehe auch
Mehrere Instanzen für LDP- und Carrier-of-Carriers-VPNs
Durch die Konfiguration mehrerer LDP-Routing-Instanzen können Sie LDP verwenden, um Labels in einem Carrier-of-Carriers-VPN von einem PE-Router eines Core-Providers an einen CE-Router eines Kundenanbieters anzukündigen. Dass LDP Labels auf diese Weise ankündigt, ist besonders nützlich, wenn der Netzbetreiberkunde ein einfacher ISP ist und vollständige Internetrouten auf seine PE-Router beschränken möchte. Durch die Verwendung von LDP anstelle von BGP schirmt der Netzbetreiberkunde seine anderen internen Router vom Internet ab. LDP mit mehreren Instanzen ist auch nützlich, wenn ein Netzbetreiberkunde seinen Kunden Layer-3-VPN- oder Layer-2-VPN-Services bereitstellen möchte.
Ein Beispiel für die Konfiguration mehrerer LDP-Routing-Instanzen für Carrier-of-Carriers-VPNs finden Sie unter https://www.juniper.net/documentation/us/en/software/junos/mpls/topics/example/multiple-instance-ldp-configuring-detailed-solutions.html.
Siehe auch
Tabellarischer Änderungsverlauf
Die Unterstützung der Funktion hängt von der Plattform und der Version ab, die Sie benutzen. Verwenden Sie Funktionen entdecken , um festzustellen, ob eine Funktion auf Ihrer Plattform unterstützt wird.